HTTPS
Piecu slāņu TCP/IP modelis |
---|
Lietojumslānis |
Transporta slānis |
Tīkla slānis |
Datu posma slānis |
Fizikālais slānis |
OSI modelis |
7: Lietojumslānis |
---|
6: Pasniegšanas slānis |
5: Sesijas slānis |
4: Transporta slānis |
3: Tīkla slānis |
2: Datu posma slānis |
1: Fiziskais slānis |
HTTPS (saīsinājums no angļu: Hypertext Transfer Protocol Secure, Hypertext Transfer Protocol over Secure Sockets Layer)[1] ir komunikācijas protokols drošai saziņai datortīklā, ar plašu izmantošanu internetā. Tehniski tas pats par sevi nav protokols, drīzāk tas ir vienkāršs hiperteksta transporta protokols - HTTP, kurš strādā caur transporta slāņa šifrēšanas mehānismiem TLS/SSL, tādējādi papildinot standarta HTTP sakarus ar TLS/SSL drošības iespējām. HTTPS izveides mērķis ir novērst informācijas nesankcionētu pārtveršanu un man-in-the-middle uzbrukumus.
HTTPS drošība balstās uz TLS (Transport Layer Security), kas izmanto ilgtermiņa publiskās un privātās atslēgas, lai apmainītos ar īstermiņa sesijas atslēgu, kas šifrē datu plūsmu starp klientu un serveri. Būtiska nozīme ir ideālai nākotnes slepenībai (Perfect Forward Secrecy - PFS), lai īstermiņa sesijas atslēgu nevarētu atvasināt no ilgtermiņa asimetriskās privātās atslēgas.
Lai garantētu to, ka viena puse runā ar izvēlēto partneri, tiek izmantoti X.509 sertifikāti. No tā izriet, ka ir nepieciešama sertifikātu autoritāte (Certificate Authority - CA) un publisko atslēgu infrastruktūra (Public Key Infrastructure - PKI) , lai pārbaudītu attiecības starp sertifikāta īpašnieku un sertifikātu, kā arī, lai radītu, parakstītu un pārvaldītu sertifikātu derīgumu.
Vēsturiski HTTPS savienojumi galvenokārt tika izmantoti maksājumu darījumiem tīmeklī, e-pastiem un paaugstināta riska darījumiem uzņēmumu informācijas sistēmās. 2000. gadu beigās un 2010. gadu sākumā HTTPS sāka plašāk lietot, lai aizsargātu lietotāju autentiskumu tīmeklī, nodrošinātu kontus un uzturētu lietotāju komunikāciju, to identitāti un tīmekļa pārlūkošanas (web browsing) privātumu.
Pārskats
[labot šo sadaļu | labot pirmkodu]Vienotā resursa identifikatora (URI) shēmai HTTPS ir tāda pati lietošanas sintakse kā HTTP shēmai. Tomēr HTTPS signalizē pārlūkprogrammai izmantot pievienoto SSL / TLS šifrēšanas slāni, lai aizsargātu trafiku. SSL / TLS ir īpaši piemērots HTTP, jo tas var nodrošināt zināmu aizsardzību pat tad, ja tiek autentificēta tikai viena komunikācijas puse. Tas attiecas uz HTTP transakcijām internetā, kur parasti tiek autentificēts tikai serveris (klientam pārbaudot servera sertifikātu). HTTPS izveido drošu kanālu nedrošā tīklā. Tas nodrošina saprātīgu aizsardzību no noklausīšanās ierīcēm un uzbrukumiem starp cilvēku, ja tiek izmantoti atbilstoši šifrēšanas komplekti un servera sertifikāts ir pārbaudīts un uzticams.
Tā kā HTTPS ir piespiests HTTP pilnībā virs TLS, visu pamatā esošo HTTP protokolu var šifrēt. Tas ietver pieprasījuma URL (kuru konkrēto tīmekļa lapu pieprasīja), vaicājuma parametrus, galvenes un sīkfailus (kas bieži satur identificējošu informāciju par lietotāju). Tomēr, tā kā vietņu adreses un portu numuri obligāti ir pamatā esošo TCP / IP protokolu sastāvdaļa, HTTPS nevar aizsargāt to izpaušanu. Praksē tas nozīmē, ka pat pareizi konfigurētā tīmekļa serverī noklausītāji var secināt tīmekļa servera IP adresi un porta numuru un dažreiz pat domēna nosaukumu (piemēram, www.example.org, bet ne pārējo URL), kas lietotājs sazinās ar pārsūtīto datu apjomu un saziņas ilgumu, kaut arī ne ar saziņas saturu.[2]
Tīmekļa pārlūkprogrammas zina, kā uzticēties HTTPS vietnēm, pamatojoties uz sertifikātu autorizācijām, kuras programmatūrā ir iepriekš instalētas. Tādā veidā tīmekļa pārlūkprogrammu veidotāji uztic uzticības sertifikātu izsniegšanai derīgus sertifikātus. Tāpēc lietotājam jāuzticas HTTPS savienojumam ar vietni tikai tad, ja ir spēkā visi šie nosacījumi:
- Lietotājs paļaujas, ka pārlūkprogrammas programmatūra pareizi ievieš HTTPS ar pareizi iepriekš instalētām sertifikātu autoritātēm.
- Lietotājs uzticas sertifikāta iestādei garantēt tikai likumīgas vietnes.
- Vietne nodrošina derīgu sertifikātu, kas nozīmē, ka to ir parakstījusi uzticama iestāde.
- Sertifikāts pareizi identificē vietni (piemēram, kad pārlūkprogramma apmeklē vietni “https://example.com”, saņemtais sertifikāts ir domāts vietnei “example.com”, nevis kādai citai vienībai).
- Lietotājs paļaujas, ka protokola šifrēšanas slānis (SSL / TLS) ir pietiekami drošs pret noklausītājiem.
Skatīt arī
[labot šo sadaļu | labot pirmkodu]Atsauces
[labot šo sadaļu | labot pirmkodu]- ↑ «Latvijas Nacionālais terminoloģijas portāls - HTTPS». termini.gov.lv.
- ↑ «HTTPS Everywhere FAQ». Skatīts: 17.05.2021.