HTTPS: відмінності між версіями
[перевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
м https://lcorp.ulif.org.ua/dictua/ |
м https://lcorp.ulif.org.ua/dictua/ |
||
Рядок 3:
== Принцип роботи ==
Оскільки HTTPS це фактично HTTP, який передається через [[SSL]] або [[Transport Layer Security|TLS]], то майже всі його основні елементи шифруються: URL-запити, включаючи шлях та назву ресурсу (сторінки), параметри запиту, заголовки та кукі, які часто містять ідентифікаційні дані про користувача. Не шифруються: назва або адреса хоста (
Шифрування гарантує помірний захист від підслуховування та від нападу «[[Атака «людина посередині»|людина посередині]]» (man-in-the-middle), за умови це коректних налаштувань та підпису [[Цифровий сертифікат|сертифікату]] авторизованим [[Акредитований центр сертифікації ключів|центром сертифікації]].
Рядок 16:
* Користувач довіряє тому, що у браузері правильно забезпечено підтримку HTTPS із коректними попередньо встановленими сертифікатами уповноважених на видачу сертифікатів.
* Користувач довіряє тому, що уповноважені на видачу сертифікатів засвідчують тільки відповідні (справжні)
* Вебсайт надає дійсний сертифікат, тобто підписаний довіреним центром сертифікації.
* Сертифікат конкретно розпізнає
* Користувач довіряє тому, що криптографічний рівень (шифрування за допомогою SSL/TLS) достатньо надійний, щоб захиститися від дешифрування.
Рядок 39:
Напади на веб-сервери, які зберігають дані клієнта, здійснити простіше, ніж намагатись перехопити дані при передачі. Вважається, що комерційні сайти негайно пересилають операції, що поступають до шлюзу оплати і зберігають тільки операційний номер, але вони часто зберігають номери карток в базі даних. Звичайно сервер і база даних є ціллю для нападу.
Передача даних через захищені канали допомагає усунути деякі ризики: при використанні [[Transport Layer Security|TLS]], [[HTTP Strict Transport Security|HSTS]], фіксованих публічних ключів, веб-браузер може бути впевнений, що він отримує дані з саме того сервера, до якого він звернувся. Проте, ці механізми [[Автентифікація|автентифікують]] лише сервер, але не отримані дані. Зловмисник (або адміністратор
Проте, застосування TLS не гарантує захисту від витоків інформації про з'єднання. Наприклад, зловмисник може дізнаватись сервери, до яких звертався браузер, щонайменше з чотирьох джерел: повідомлення з сертифікатом TLS, запит до DNS, IP-адреса сервера, та розширення TLS Server Name Indication (TLS SNI). Проти деяких з цих «сторонніх каналів» існують методи захисту. Зокрема, в протоколі TLS 1.3 серверний сертифікат передається у зашифрованому вигляді за замовчуванням, а для захисту від витоків через SNI було розроблене розширення протоколу «шифрованої індикації імені сервера» — Encrypted Server Name Indication (ESNI)<ref>{{cite web | url = https://blog.mozilla.org/security/2018/10/18/encrypted-sni-comes-to-firefox-nightly/ | title = Encrypted SNI Comes to Firefox Nightly | author = Eric Rescorla | publisher = Mozilla Security Blog | date = 2018-1018 }}</ref>.
Слід також зазначити, що використання сайтом HTTPS не гарантує захисту від шахрайства. Так, наприклад, за даними 2017 року дедалі більше [[фішинг]]ових
== Примітки ==
|