HTTP Secure

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
Incomplete-document-purple.svg יש להשלים ערך זה: בערך זה חסר תוכן מהותי. ייתכן שתמצאו פירוט בדף השיחה.
הנכם מוזמנים להשלים את החלקים החסרים ולהסיר הודעה זו. שקלו ליצור כותרות לפרקים הדורשים השלמה, ולהעביר את התבנית אליהם.
כתובת HTTPS בשירות הדואר האלקטרוני Gmail

HTTPS) Hypertext Transfer Protocol Secure) הינו פרוטוקול תקשורת נפוץ במיוחד לאבטחת מידע ברשתות מחשבים, ומיושם במיוחד באינטרנט. באופן רשמי, הוא אינו פרוטוקול תקשורת לכשלעצמו, אלא שימוש בפרוטוקול HTTP על שכבת SSL\TLS ובכך מקנה יכולות אבטחה של סטנדרט SSL\TLS לתקשורת HTTP רגילה.

בשימושו הנפוץ באינטרנט מקנה אימות של זהות האתר, ויוצר חיבור בין שרת אינטרנט ללקוח שיוצר עמו קשר כנגד התקפת אדם באמצע. בנוסף, השימוש מאפשר הצפנה דו-כיוונית של תעבורת המידע בין הלקוח לשרת, אשר מגינה מפני האזנת סתר או שינוי של תוכן המידע העובר בין הצדדים. כפועל יוצא, הפרוטוקול מבטיח כי גולש האינטרנט הניגש לאתר כלשהו, אכן יתקשר עם אותו האתר שהתכוון להתקשר עימו.

באופן היסטורי, HTTPS שימש בעיקר לפעולות העברת כספים ב World Wide Web, דואר אלקטרוני והעברת מידע רגיש במערכות מידע של תאגידים. בסוף שנות ה-2000 ובתחילת העשור השני של המאה הנוכחית, השימוש ב-HTTPS נעשה רחב יותר וניתן היה לראות אימות נתונים בסוגים שונים של אתרים, אשר הקנו אבטחה לחשבונות משתמש, לתקשורת בין משתמשים, זהות המשתמש ומידע המאוחסן על ידו בשרתים.

השימוש ב-HTTPS חשוב במיוחד ברשתות לא מוצפנות, WiFi למשל, בהן כל משתמש באותה הרשת מסוגל לבצע "רחרוח" אחר תעבורת המידע הנשלחת ברשת ולגלות מידע רגיש. יתרה מזאת, גם רשתות שהשימוש בהן מוגבל יכולות לעשות שימוש במידע העובר דרכן ואף משנות אותו, לעתים לצורכי פרסום ולעתים גם באופן זדוני.

נכון לחודש יוני 2012, רק 12.3% מכלל האתרים הפופולאריים ביותר ברשת כוללים יישום של HTTPS. נתון זה מותיר 87.7% מהאתרים פתוחים להתקפות .[1]

סקירה[עריכת קוד מקור | עריכה]

HTTPS אינו פרוטוקול תקשורת, אלא יישום של פרוטוקול HTTP. הוא זהה לו מבחינת המבנה, אך מורה לדפדפן להוסיף שכבת הצפנה כדי להגן על תעבורת המידע. היישום של מודל SSL על פני HTTP מתאים במיוחד מפני שניתן לאבטח את המידע אפילו אם רק זהותו של צד אחד בתקשורת מאומתת. בתקשורת HTTP על גבי האינטרנט, זהותו השרת (אתר) לרוב מאומתת על ידי השוואה בין Public key certificate של האתר לזה השמור בדפדפן.

הרעיון הבסיסי ב-HTTPS הוא ליצור ערוץ מאובטח על גבי רשת פרוצה. ערוץ זה מאפשר הגנה סבירה מפני האזנת סתר והתקפת אדם באמצע. זאת, בהסתמך על רמה סבירה של חליפת ההצפנה והיכולת לסמוך על certificate מאומת ואמין.

בדפדפני האינטרנט שמור מראש (בעת ההתקנה) מידע אשר מאפשר להם לאמת את ה-certificate שנשלח מהאתר. גורמים בעלי סמכות לנפק certificate חייבים לקבל את אמונו של הדפדפן, בין אם מראש או בערבות הוספה של ה-certificate לרשימה על ידי המשתמש. באופן לוגי, ניתן לסמוך על חיבור HTTPS אם ורק אם מתקיימים התנאים הבאים:

  • המשתמש בוטח שהדפדפן מיישם נכונה את פרוטוקול ה-HTTPS וה-certificates שהותקנו בו מראש אמינים.
  • המשתמש בוטח בגורמים המנפקים certificate כי ינפקו אישורים רק לאתרים לגיטימיים.
  • האתר מנפק certificate מאושר על ידי סמכות.
  • ה-certificate תואם את האתר שהמשתמש ניגש אליו (כלומר, כאשר הדפדפן מבקר ב "https://example.com" , ה-certificate יתאים ל "Example Inc." ולא לישות אחרת.)
  • נקודות הצומת בין המקור ליעד נתונים לבטחה, או שפרוטוקול שכבת ההצפנה(TLS/SSL) מאובטח דיו כנגד האזנות סתר.

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ SSL Pulse. Trustworthy Internet Movement. אוחזר ב־11 July 2012.