HTTPS
Internet- en netwerkprotokolle | |
---|---|
Toepassingvlak: | DNS FTP Gopher HTTP HTTPS IMAP IRC NNTP POP3 RTP SIP SMTP SNMP SSH SSL Telnet UUCP XMPP |
Versendvlak: | DCCP SCTP TCP UDP |
Netwerkvlak: | ARP ICMP IGMP IP(IPv4, IPv6) RARP |
Dataskakelvlak: | ATM Ethernet FDDI PPP Token ring Wi-Fi |
volgens die TCP/IP-model |
Hypertext Transfer Protocol over Secure Socket Layer oftewel HTTPS is 'n URI-skema wat gebruik word om aan te dui dat 'n veilige HTTP-verbinding gemaak is. Dit is sintakties identies aan die http://
skema wat gewoonlik gebruik word om toegang tot hulpbronne te verkry deur die HTTP-protokol. Deur die https:
URL te gebruik word aangedui dat die HTTP protokol gebruik moet word maar dat 'n ander TCP-poort (443) by verstek gebruik moet word en dat 'n bykomende laag tussen die HTTP en TCP-protokol ingevoeg moet word wat versluiering en identifikasie funksies insluit. Hierdie stelsel is deur Netscape ontwikkel om die bevestiging van identiteit en versluierde kommunikasie te verskaf en word oral oor die Wêreldwye Web gebruik vir die beveiliging van sensitiewe kommunikasie soos onder ander betalinstransaksies en korporatiewe intekenings.
Werking
[wysig | wysig bron]Streng gesproke is https nie 'n afsonderlike protokol nie maar verwys na die kombinasie van 'n normale HTTP interaksie oor 'n versluierde SSL- of TCLS-verbinding. Dit verseker 'n redelike mate van beskerming teen afluisteraars en man-in-die-middel tipe aanvalle.
'n https:
URL kan 'n spesifieke TCP-poort aanvra; indien nie word die verbinding deur middel van poort 443 bewerkstellig (gewoonlik gebruik HTTP poort 80).
Om 'n webbediener voor te berei om https-verbindings te aanvaar moet die administrateur 'n publieke sleutelsertifikaat vir die webbediener skep. Hierdie sertifikate kan vir Unix-gebaseerde bedieners geskep word met nutsprogramme soos OpenSSL se ssl-ca
[1] of met SuSE se gensslcert
. Hierdie sertifikaat moet onderteken word deur 'n sertifiseringsowerheid van die een of ander aard wat kan bevestig dat die sertifikaat inderdaad aan die betrokke instansie behoort. Webblaaiers word gewoonlik versprei met die sertifikate van die bekendste sertifikaatowerhede sodat hulle sertifikate kan verifieer wat deur hulle geteken is.
Organisasies kan ook hulle eie sertifikaatowerhede bestuur, veral as hulle verantwoordelik is vir die opstel van webblaaiers om toegang tot hulle eie werwe te verkry (soos byvoorbeeld, werwe op 'n maatskappy se intranet). Dit stel hulle dan in staat om maklik hulle eie ondertekeningsertifikate by te voeg tot die sertifikate wat saam met die blaaier versprei word.
Sommige werwe, veral dié wat as 'n stokperdjie bedryf word, gebruik selfgetekende sertifikate op openbare werwe. Hierdie werwe beskerm wel teen eenvoudige afluistering maar anders as die bekende sertifikate vereis hierdie metode 'n ander veilige metode om die egtheid van die sertifikaat te bevestig as dit teen man-in-die-middel soort aanvalle wil beskerm.
Die stelsel kan ook gebruik word om 'n kliënt se identiteit te bevestig om sodoende toegang tot 'n webbediener te beperk tot slegs gemagtigde gebruikers. Om dit te doen sal die werfadministrateur 'n sertifikaat vir elke gebruiker skep en in hul blaaier inlaai. Hierdie sertifikate bevat die naam en e-pos adres van die gemagtigde gebruiker en word outomaties nagegaan deur die bediener met elke verbinding om die gebruiker se identiteit te bevestig, dikwels sonder die gebruik van 'n wagwoord.
Beperkinge
[wysig | wysig bron]Die vlak van beskerming hang grootliks af van die implementering deur die webblaaier en die bedienersagteware en die kriptografiese algoritme wat ondersteun word.
https beskerm slegs data wat versend word teen afluistery en man-in-die-middel aanvalle. Wanneer die data eers sy bestemming bereik het, is dit slegs so veilig as die rekenaar waarop dit voorkom.
https is onveilig as dit toegepas word op openbaar beskikbare statiese inhoud. 'n Indeks van die werf kan deur 'n program opgestel word en die URI van die versluierde hulpbron kan afgelei word deur slegs afleidings te maak vanuit die onderskepte versoeke/antwoorde se groottes.[2] Dit maak dit vir 'n indringer moontlik om toegang tot die gewone teks (die openbaar beskikbare inhoud) te verkry asook die versluierde teks.
Omdat SSL onder http werk en geen kennis het van enige hoër vlak protokolle nie, kan SSL bedieners streng gesproke slegs een sertifikaat vir 'n besondere IP/poort kombinasie verskaf. Dit beteken dat dit in baie gevalle nie moontlik is om virtuele bedieners te gebruik met https nie.[3][4][5]
Die nuutste weergawe van Internet Explorer het die aantal waarskuwings verhoog wat voorkom as sertifikate nie geregistreer is nie. Die koste verbonde aan registrasie van sertifikate op die sogenaamde root chains kan tussen om en by R200 tot effens meer as R10 000 beloop.
Verwysings
[wysig | wysig bron]- ↑ "OpenSSL se nutsprogram vir die skep van publieke sleutelsertifikate". Geargiveer vanaf die oorspronklike op 9 Mei 2008. Besoek op 4 September 2008.
- ↑ Pusep, Stanislaw (31 Julie 2008). "The Pirate Bay un-SSL" (in Engels). Geargiveer vanaf die oorspronklike op 11 Junie 2016. Besoek op 13 Augustus 2008.
- ↑ [rfc:3546 RFC-3546 TLS Extensions] beskryf 'n oplossing tot die probleem genaamd SNI. Ondersteuning vir SNI is beskikbaar in die volgende weergawes van gewilde webblaaiers: Opera 8, Mozilla 1.8, Internet Explorer 7 op Windows Vista.
- ↑ Server Name Indication (SNI)
- ↑ Mozilla 1.8
Eksterne skakels
[wysig | wysig bron]- Netscape se SSL 3.0 Spesifikasie Geargiveer 31 Maart 2008 op Wayback Machine
- Apache-SSL tuisblad (Word nie meer aktief ontwikkel nie)
- Apache 2.2 mod_ssl dokumentasie
- RFC 2818 - HTTP oor TLS
- HTTPS Protokol in Internet Explorer Ontwikkeling - MSDN
- Handmatige opstel van die Windows Communication Foundation (WCF) as HTTP en HTTPS gebruik word - MSDN
- HTTPS Sekuriteitsverbeteringe in Internet Explorer 7 en impak daarvan op versoenbaarheid - MSDN