HTTPS este varianta securizata a protocolului HTTP care este protocolul principal de comunicare intre browserele web si servere. Singura diferenta dintre cele doua protocoale este ca HTTPS foloseste TLS (SSL) pentru a cripta solicitarile (request) si raspunsurile (response) HTTP normale si prin urmare, HTTPS este mult mai sigur decat HTTP. Un site web care utilizeaza HTTP are http:// in adresa URL, in timp ce un site web care utilizeaza HTTPS are https://.
„S” din HTTPS inseamna „secure”. HTTPS foloseste TLS (sau SSL) pentru a cripta cererile si raspunsurile HTTP, astfel incat un potential hacker ar vedea o gramada de caractere aparent aleatorii.
In loc de o solicitare (request) tipica HTTP:
GET /fisierulmeu.txt HTTP/1.1 User-Agent: curl/7.29.0 libcurl/7.29.0 OpenSSL/1.1.l zlib/1.2.11 Host: www.exemplu.ro Accept-Language: ro
Hacker-ul va vedea ceva de genul:
Kfjp833wd6T8UV81pQfyhDkDS#bbz7+oiwldr1j2gHBB3L3RFTRsQCpaSnSLnfjed37t9d+DpDVJPvZdZUZromrRvpzbbcqmSW1+3xXGsERHgfkfkPemmcewUjgH0BmVRWII6+{EidndCssZUI/orxPWKDODMdmdmcwsswdpwd383md23iaWKCOPKD==In HTTPS, cum cripteaza TLS/ SSL solicitarile si raspunsurile HTTP?
TLS utilizeaza o tehnologie numita criptare cu cheie publica. Exista doua chei, o cheie publica si o cheie privata iar cheia publica este partajata cu dispozitivele client prin certificatul SSL al serverului. Atunci cand un client deschide o conexiune cu un server, cele doua dispozitive folosesc cheia publica si cea privata pentru a conveni asupra noilor chei, numite chei de sesiune, pentru a cripta in continuare comunicarea intre ele.
Toate solicitarile si raspunsurile HTTP sunt apoi criptate cu aceste chei de sesiune astfel incat oricine intercepteaza comunicatiile sa poata vedea doar un sir aleatoriu de caractere, nu un text simplu.
Pentru mai multe informatii legate de Public Key Infrastructure (PKI) sau o infrastructura cu chei publice si necesitatea acesteia, cititi articolul nostru: Ce este Public Key Infrastructure (PKI)?
Cum ajuta HTTPS la autentificarea serverelor web?
Autentificarea inseamna verificarea faptului ca o persoana sau un dispozitiv este cine pretinde ca este. In HTTP nu exista verificarea identitatii – se bazeaza pe un principiu de incredere. Cei care au proiectat HTTP nu au luat cea mai fericita decizie – de a avea incredere implicita in toate serverele web. La momentul respectiv existau alte prioritati decat securitatea insa pentru Internetul modern autentificarea este esentiala.
La fel cum o carte de identitate confirma identitatea unei persoane, o cheie privata confirma identitatea serverului. Atunci cand un client deschide un canal cu un server de origine (de exemplu, atunci cand un utilizator navigheaza catre un site web), detinerea cheii private care se potriveste cu cheia publica din certificatul SSL al unui site web demonstreaza ca serverul este de fapt gazda legitima a site-ului web.
Acest lucru previne sau ajuta la blocarea unui numar de atacuri care sunt posibile atunci cand nu exista autentificare, cum ar fi:
- Atacuri on-path (Interceptarea sau modificarea comunicatiilor dintre browser si un server web.)
- DNS hijacking (Atacatorul redirectioneaza interogarile catre un alt server de nume de domeniu. Acest lucru se poate face fie cu malware, fie cu modificarea neautorizata a unui server DNS.)
- BGP hijacking (Atacatorii redirectioneaza in mod malitios traficul de pe Internet. Atacatorii realizeaza acest lucru anuntand in mod fals proprietatea asupra unor grupuri de adrese IP, numite prefixe IP, pe care nu le detin, nu le controleaza sau le trimit. BGP hijacking este ca si cum cineva ar schimba toate semnele pe o portiune de autostrada si a redirectiona traficul auto catre iesiri incorecte.)
- Domain spoofing (Falsificarea unui nume de website sau a unui domeniu de e-mail pentru a pacali utilizatorii. Domain spoofing este adesea utilizat in atacurile de tip phishing, cu scopul de a fura informatii personale – date de logare, detaliile cardului de credit, etc.)
In ce mod face posibil HostX site-urilor web sa adopte HTTPS?
La HostX suntem mereu preocupati de clienti si asigurarea securitatii acestora in mediul online. Prin urmare, furnizam certificate SSL gratuite (Let‘s Encrypt) pentru majoritatea pachetelor de gazduire, incluzand gazduirea pentru afaceri mici, VPS, pe servere dedicate sau de alt tip. Oferim de asemenea certificate SSL emise de Comodo, Geotrust, Thawte si Verisign/Symantec, cu preturi incepand de la 15 euro/an. Toate certificatele SSL sunt compatibile cu peste 99% din browsere.
Daca doriti sa aflati mai multe detalii despre tipurile de certificate SSL, va invitam sa cititi articolul nostru pe aceasta tema: Tipuri de Certificate SSL: care este potrivit pentru securitatea website-ului? Veti afla detalii despre tipurile de certificate SSL, in functie de metoda de validare si de utilizare.