HTTPS: відмінності між версіями
| [неперевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
htghfghgfhfh |
м Відкинуто редагування 195.34.196.74 (обговорення) до зробленого VictorAnyakin |
||
Рядок 1:
{{IPstack}}{{HTTP}}
'''HTTPS''' (інші назви: '''HTTP over [[Transport Layer Security|TLS]]''',<ref name="HTTP Over TLS">{{cite web | url=https://tools.ietf.org/html/rfc2818 | title=HTTP Over TLS | publisher=The Internet Engineering Task Force | date=May 2000 | accessdate=30 січня 2017 | author=Network Working Group}}</ref><ref name="HTTPS-ranking-signal">{{cite web | url=https://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html | title=HTTPS as a ranking signal | publisher=Google Inc. | work=Google Webmaster Central Blog | date=August 6, 2014 | accessdate=30 січня 2017 | quote = You can make your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...]}}</ref> '''HTTP over SSL''',<ref name="Enabling HTTP Over SSL">{{cite web | url=https://docs.adobe.com/docs/en/cq/5-6-1/deploying/config-ssl.html | title=Enabling HTTP Over SSL | publisher=Adobe Systems Incorporated | accessdate=30 січня 2017}}</ref> і '''HTTP Secure'''<ref name="Secure your site with HTTPS">{{cite web | url=https://support.google.com/webmasters/answer/6073543?hl=en | title=Secure your site with HTTPS | publisher=Google, Inc. | work=Google Support | accessdate=30 січня 2017}}</ref><ref name="What is HTTPS?">{{cite web | url=https://www.instantssl.com/ssl-certificate-products/https.html | title=What is HTTPS? | publisher=[[Comodo Group|Comodo CA Limited]] | accessdate=30 січня 2017 | quote = Hyper Text Transfer Protocol Secure (HTTPS) is the secure version of HTTP [...]}}</ref>) — схема [[URI]], що синтаксично ідентична http: схемі, яка зазвичай використовується для доступу до ресурсів [[Інтернет]]. Використання https: URL вказує, що протокол [[HTTP]] має використовуватися, але з іншим портом за замовчуванням (443) і додатковим шаром [[шифрування]]/[[автентифікація|автентифікації]] між HTTP і [[TCP]]. Ця схема була винайдена у компанії [[Netscape Communications Corporation]] для забезпечення автентифікації та шифрування комунікацій і широко використовується в [[Інтернет]]і у програмному забезпеченні, в якому важлива безпека комунікацій, наприклад, у платіжних системах та корпоративних логінах.
== Принцип роботи ==
Власне кажучи, HTTPS це не окремий протокол, а звичайний HTTP через [[SSL]] або [[Transport Layer Security|TLS]]. Це гарантує помірний захист від підслуховування та від нападу «[[Атака «людина посередині»|людина посередині]]» (man-in-the-middle) (якщо це здійснюється належним чином і уповноважені на видачу [[Цифровий сертифікат|сертифікатів]] верхнього рівня роблять свою роботу належним чином).
TCP портом за замовчуванням для HTTPS є 443 (для HTTP — 80).
Щоб підготувати веб-сервер для прийняття https транзакцій адміністратор повинен створити сертифікат з відкритим ключем для веб-сервера. Ці сертифікати можуть бути створені на [[UNIX]] сервері такими програмами, як наприклад [[OpenSSL]]. Цей сертифікат повинен бути [[Цифровий підпис|підписаний]] уповноваженим на видачу сертифікатів ([[certificate authority]]), який засвідчує, що отримувач сертифікату — саме той, про кого йдеться у сертифікаті. [[Браузер]]и розповсюджуються з сертифікатами уповноважених на видачу сертифікатів верхнього рівня організацій, таким чином браузери можуть перевірити сертифікати підписані ними.
Організації можуть також мати власних уповноважених на видачу сертифікатів, особливо якщо вони відповідальні за конфігурацію браузерів, що мають доступ до їх власних сайтів (наприклад, сайти на внутрішній мережі компанії), оскільки вони можуть тривіально додати свій власний сертифікат до браузера.
Деякі сайти використовують самостійно підписані сертифікати. Їх використання забезпечує захист проти підслуховування, але є ризик нападу «людина-посередині». Для запобігання нападу необхідна перевірка сертифікату іншим методом (наприклад подзвонити власнику сертифіката задля перевірки контрольної суми сертифіката).
Система може також використовуватися для клієнтської автентифікації, щоб обмежити доступ до веб-сервера тільки зареєстрованими користувачами. Для цього адміністратор сайту створює сертифікати для кожного користувача, які завантажуються в їх браузер. Ці сертифікати зазвичай містять ім'я і [[Електронна пошта|електронну пошту]] зареєстрованого користувача та автоматично перевіряються сервером при кожному повторному підключенні. Повторне введення паролю не потрібне.
HTTPS використовується на 10.13 % всіх українських доменів<ref>{{Cite web|url=https://www.ukralio.com/statistika-ukrainskogo-internetu|title=Статистика українського інтернету ukralio.com|website=www.ukralio.com|language=uk|accessdate=2017-02-16}}</ref>.
== Обмеження ==
Рівень захисту залежить від коректності запровадження браузерного і серверного програмного забезпечення та підтримуваних криптографічних алгоритмів.
Серед користувачів кредитних карток в Інтернеті існує помилкова думка, що HTTPS повністю захищає номер їхньої карти від злодіїв. Фактично шифроване підключення до веб-сервера тільки захищає номер кредитної картки при передаванні між комп'ютером користувача і сервером безпосередньо. Це не гарантує що сервер безпосередньо захищений — він навіть може бути зламаним.
Напади на веб-сервери, які зберігають дані клієнта, здійснити простіше, ніж намагатись перехопити дані при передачі. Вважається, що комерційні сайти негайно пересилають операції, що поступають до шлюзу оплати і зберігають тільки операційний номер, але вони часто зберігають номери карт в базі даних. Звичайно сервер і база даних є ціллю для нападу.
== Примітки ==
{{reflist}}
== Посилання ==
* [https://tools.ietf.org/html/rfc2818 RFC 2818: HTTP Over TLS]
* [https://tools.ietf.org/html/rfc5246 RFC 5246: The Transport Layer Security Protocol 1.2]
* [https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 SSL 3.0 Specification] (IETF)
{{URI scheme}}
{{Internet-stub}}
[[Категорія:Акроніми]]
[[Категорія:HTTP]]
| |||