HTTPS

HTTPS (ang. Hypertext Transfer Protocol Secure) – protokół HTTP chroniony przy pomocy szyfrowania protokołu TLS (dawniej SSL) i ustandaryzowany w dokumencie RFC 2818 pod rzadziej używaną nazwą HTTP Over TLS^[1]. Szyfrowanie komunikacji w systemie od końca do końca ma zapobiegać jej przechwytywaniu między klientem i serwerem (np. atak man in the middle) czy wręcz modyfikacji przesyłanych danych, zanim dotrą do celu^[1].

W przeciwieństwie do niezabezpieczonego HTTP, którego serwery nasłuchują na porcie 80^[2], serwery obsługujące HTTPS nasłuchują domyślnie na porcie 443 protokołu TCP^[1]. Adresy URL zaczynają się od https://, podczas gdy adresy niezabezpieczonego HTTP od http://^[1].

Ograniczenia i rozpowszechnienie

Protokół HTTP realizuje się warstwę wyżej od standardu TLS, który znajduje się na warstwie prezentacji. Najpierw następuje więc wymiana kluczy TLS, a dopiero później możliwe jest przesłanie żądania HTTP. Historycznie uniemożliwiało to serwerom obsługiwanie wielu domen (bądź poddomen) z różnymi certyfikatami przy użyciu jednego adresu IP. Było to spowodowane brakiem informacji o tym, którego certyfikatu X.509 i klucza prywatnego należy użyć do odszyfrowania danych, ponieważ nagłówek HTTP Host jest przekazywany wewnątrz zaszyfrowanej części zapytania (którego z kolei nie można odszyfrować, nie znając domeny). Jedynym obejściem było użycie wspólnego certyfikatu dla wszystkich domen. Problem został zażegnany poprzez wprowadzenie do TLS rozszerzenia SNI (ang. Server Name Indication), które przechowuje informację o domenie w nieszyfrowanej postaci^[3].

Procent domen w Internecie serwujących strony domyślnie po HTTPS na przestrzeni lat
Źródło: W3Tech, marzec 2023^[4]^[5]

W starszych wersjach HTTP szyfrowanie połączenia było rozszerzeniem protokołu. Począwszy od HTTP/2 mimo braku takiego wymogu w RFC^[6], szyfrowanie stało się de facto wymogiem protokołu ze względu na stan implementacji w najpopularniejszych silnikach przeglądarek internetowych^[7].

Zobacz też

S-HTTP

Przypisy

↑ ^a ^b ^c ^d EricE. Rescorla EricE., HTTP Over TLS, RFC 2818, IETF, maj 2000, DOI: 10.17487/RFC2818, ISSN 2070-1721, OCLC 943595667 (ang.).
↑ R.R. Fielding R.R. i inni, Hypertext Transfer Protocol -- HTTP/1.1, RFC 2616, IETF, czerwiec 1999, DOI: 10.17487/RFC2616, ISSN 2070-1721, OCLC 943595667 (ang.).
↑ Rozszerzenie to łączy się jednak ze szczególnymi implikacjami prywatności i bezpieczeństwa, bowiem pozwala na wgląd w szyfrowany ruch sieciowy. Serwery pośredniczące w ruchu posiadają możliwość śledzenia, z jakimi domenami łączy się przeglądarka użytkownika. Ponieważ w implementacjach HTTP starszych niż 1.1 osobny IP musiał odpowiadać jednej zabezpieczonej domenie, co umożliwiało mapowanie ruchu, nie pogarsza to poziomu prywatności użytkowników, ale także go nie podnosi.
↑ Historical yearly trends in the usage statistics of site elements for websites. w3techs.com. [dostęp 2023-03-03]. (ang.).
↑ Sam Soltano: 20% of all websites and 53.9% of the top 1000 sites redirect to https.. w3techs.com, 2017-08-08. [dostęp 2023-03-03]. (ang.).
↑ Mark Nottingham: HTTP/2 Implementation Status. 2015-07-15. [dostęp 2022-09-06].
↑ HTTP/2 Frequently Asked Questions. [dostęp 2022-09-06]. (ang.).

[rfc2818-1] EricE. Rescorla EricE., HTTP Over TLS, RFC 2818, IETF, maj 2000, DOI: 10.17487/RFC2818, ISSN 2070-1721, OCLC 943595667 (ang.).

[rfc2616-2] R.R. Fielding R.R. i inni, Hypertext Transfer Protocol -- HTTP/1.1, RFC 2616, IETF, czerwiec 1999, DOI: 10.17487/RFC2616, ISSN 2070-1721, OCLC 943595667 (ang.).

[3] Rozszerzenie to łączy się jednak ze szczególnymi implikacjami prywatności i bezpieczeństwa, bowiem pozwala na wgląd w szyfrowany ruch sieciowy. Serwery pośredniczące w ruchu posiadają możliwość śledzenia, z jakimi domenami łączy się przeglądarka użytkownika. Ponieważ w implementacjach HTTP starszych niż 1.1 osobny IP musiał odpowiadać jednej zabezpieczonej domenie, co umożliwiało mapowanie ruchu, nie pogarsza to poziomu prywatności użytkowników, ale także go nie podnosi.

[4] Historical yearly trends in the usage statistics of site elements for websites. w3techs.com. [dostęp 2023-03-03]. (ang.).

[5] Sam Soltano: 20% of all websites and 53.9% of the top 1000 sites redirect to https.. w3techs.com, 2017-08-08. [dostęp 2023-03-03]. (ang.).

[6] Mark Nottingham: HTTP/2 Implementation Status. 2015-07-15. [dostęp 2022-09-06].

[7] HTTP/2 Frequently Asked Questions. [dostęp 2022-09-06]. (ang.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Warstwa aplikacji (liczby oznaczają numery portów)	BGP: 179 BOOTP: 67, 68 DHCP: 546, 547 DNS: 53 Finger: 79 FTP: 20, 21 Gopher: 70 HTTP: 80 HTTPS: 443 IMAP: 143 IRC: 194 NetBIOS: 137, 138, 139 NNTP: 119 NFS: 2049 NTP: 123 POP3: 110 RADIUS: 1812, 1813 RIP: 520 RTP: 5004, 5005 RTSP: 554 SNMP: 161, 162 SMTP: 25, 587 SSL/TLS SSH: 22 Telnet: 23 WHOIS: 43
Warstwa transportowa	TCP UDP
Warstwa Internetu	IP (IPv4, IPv6) ICMP ICMPv6 IGMP IPsec X.25
Warstwa dostępu do sieci	802.11 WiFi ADSL ATM CSLIP DSL Ethernet FDDI Fibre Channel Frame Relay HDLC ISDN PON PPP SLIP SNAP Token Ring

HTTPS

Ograniczenia i rozpowszechnienie

Zobacz też

Przypisy

Content Disclaimer