HTTPS

HTTPS (Hypertext Transfer Protocol Secure) és la capçalera d'URI utilitzada per a indicar una connexió segura HTTP. És sintàcticament idèntica a la capçalera [enllaç sense format] http:// normalment utilitzada en l'accés de recursos fent servir HTTP. Utilitzar una URI [enllaç sense format] https:// indica que s'utilitzarà HTTP, però amb un port TCP per defecte diferent (el 443) i una capa d'encriptació/autenticació entre HTTP i TCP. Aquest sistema va ser dissenyat per Netscape Communications Corporation per a oferir autenticació i comunicació encriptada i és àmpliament utilitzat a la World Wide Web per a comunicacions en què la seguretat és important com ara transaccions de pagaments i accés a sistemes informàtics corporatius.

Sobre el seu ús

[modifica]

Cal fer advertir que l'accés a una pàgina HTTPS (segura) no impedeix que aquesta pàgina contingui elements HTTP (no segurs). En aquests casos, el nostre navegador web ens ho notificarà mitjançant un missatge d'avís. És utilitzat principalment per entitats bancàries, botigues en línia, i qualsevol mena de servei que requereixi l'enviament de dades personals o contrasenyes.

Per a saber si la pàgina web que estem visitant fa servir el protocol HTTPS i és, per tant, segura quant a la transmissió de les dades que estem transmetent, hem d'observar si al començament de la barra d'adreça del nostre navegador web es mostren les lletres https en comptes de http.

Com funciona

[modifica]

Parlant estrictament, HTTPS no és un protocol separat, sinó que fa referència a la combinació d'una interacció HTTP normal sobre una connexió Secure Sockets Layer o Transport Layer Security. Això assegura protecció raonable davant d'escoltes indesitjades i atacs de man-in-the-middle.

Un URL [enllaç sense format] https: pot especificar un port TCP; si no ho fa, la connexió fa servir el port 443 (HTTP insegur fa servir el port 80 habitualment).

Per a preparar un servidor web perquè accepti connexions https, l'administrador ha de crear un certificat de clau pública per al servidor web. Aquests certificats poden ser creats per servidors basats en Unix amb eines com ara ssl-ca d'OpenSSL[1] o gensslcert de SuSE. Aquest certificar ha d'estar signat per una autoritat certificadora d'una forma o una altra, per tal de certificar que el posseïdor del certificat és realment l'entitat que diu ser. Els navegadors web estan normalment venen amb els certificats de signatura de les autoritats certificadores principals, per a poder verificar els certificats signats per aquestes.

Les organitzacions també poden ser la seva pròpia autoritat certificadora, particularment si són responsables de configurar navegadors per a accedir als seus llocs (per exemple, llocs en una intranet d'empresa), ja que d'una forma molt senzilla poden afegir el seu propi certificat de signatura a aquells que ja venen amb el navegador.

Alguns cops, especialment en aquells operats per aficionats, es fan servir certificats autosignats en llocs públics. Fer servir aquests ofereix protecció contra escoltes indesitjades simples, però a diferència del que ocorre amb un certificat ben-conegut, la prevenció de l'atac de man-in-the-middle amb un certificat autosignat requereix que el lloc faci disponible algun altre mètode segur per a la verificació del certificat.

El sistema també pot ser utilitzat per autenticació de client, per tal de restringir l'accés a un servidor web a només usuaris autoritzats. Per a això, habitualment l'administrador del lloc crea certificats per a cada usuari i aquests certificats són carregats al navegador de l'usuari corresponent. Aquests normalment contenen el nom i l'adreça d'e-mail de l'usuari autoritzat, i són automàticament comprovats pel servidor a cada reconnexió per a verificar la identitat de l'usuari, potencialment sense haver d'introduir mai la contrasenya.

Limitacions

[modifica]

El nivell de protecció depèn de la correctesa de la implementació per part del navegador web, el software de servidor i l'algorisme de xifratge fet servir realment.

HTTPS només protegeix les dades en trànsit d'escoltes no desitjades i d'atacs de man-in-the-middle. Un cop les dades arriben a la seva destinació, només són tan segures com els ordinadors en les quals estan.

Atès que SSL opera sota http i no té coneixement de protocols superiors, els servidors SSL només poden presentar una certificació per a una combinació particular d'IP/port. Això vol dir que en molts casos no és factible fer servir virtual hosts basats en noms amb https.

Referències

[modifica]

Vegeu també

[modifica]