Hypertext Transfer Protocol Secure (HTTPS) adalah kombinasi dari Hypertext Transfer Protocol dengan TLS, SSL / protokol untuk menyediakan enkripsi dan identifikasi server aman. It uses port 443. Menggunakan port 443. . koneksi HTTPS sering digunakan untuk transaksi pembayaran pada World Wide Web dan untuk transaksi sensitif dalam sistem informasi perusahaan. HTTPS tidak harus bingung dengan Secure HTTP (S-HTTP) ditentukan dalam RFC 2660 .
Bagaimana cara kerjanya .
. Gagasan utama HTTPS adalah untuk membuat saluran aman melalui jaringan tidak aman. This ensures reasonable protection from eavesdroppers and Ini menjamin perlindungan yang wajar dari penyadap dan -in-the-tengah serangan manusia , asalkan cipher suite yang memadai digunakan dan bahwa sertifikat server diverifikasi dan terpercaya.
Kepercayaan yang melekat dalam HTTPS didasarkan pada besar otoritas sertifikat yang datang pra-instal di software browser (ini setara dengan mengatakan "Saya percaya otoritas sertifikat (misalnya VeriSign / Microsoft / kepercayaan etc.) untuk memberitahu saya siapa saya harus"). Oleh karena itu sambungan HTTPS ke sebuah website dapat dipercaya jika dan hanya jika semua hal berikut ini benar:
1. Yang bertabiat pengguna perangkat lunak browser mereka benar menerapkan HTTPS dengan benar otoritas sertifikat pra-instal.
2. Pengguna mempercayai otoritas sertifikat untuk menjamin hanya untuk situs yang sah tanpa nama menyesatkan.
3. Website ini menyediakan sertifikat yang sah (sertifikat tidak sah menunjukkan peringatan di hampir semua browser), yang berarti telah ditandatangani oleh otoritas terpercaya.
4. Sertifikat dengan benar mengidentifikasi situs (misalnya mengunjungi https: / / contoh dan menerima sertifikat untuk "Contoh Inc" dan bukan hal lain [lihat di atas]).
5. Entah campur tangan melompat di Internet yang dapat dipercaya, atau pengguna trust's enkripsi lapisan protokol ( TLS atau SSL) yang bisa dipecahkan oleh seorang yg ikut mendengarkan rahasia.
Ketika melakukan koneksi ke sebuah situs dengan sertifikat yang tidak valid, browser lama akan hadir pengguna dengan kotak dialog yang menanyakan apakah mereka ingin untuk melanjutkan. Newer browsers display a warning across the entire window. browser yang lebih baru menampilkan peringatan di seluruh jendela. Newer browsers also prominently display the site's security information in the address bar . Browser yang lebih baru juga keamanan secara mencolok menampilkan informasi situs di address bar .
Extended validasi sertifikat hijau gilirannya bar alamat di browser yang lebih baru. ebanyakan browser juga menampilkan peringatan kepada pengguna ketika mengunjungi sebuah situs yang berisi campuran konten dienkripsi dan tidak terenkripsi.
opining bahwa dunia yang ideal, setiap permintaan web dapat default HTTPS", telah memberikan add-on untuk Firefox browser yang tidak jadi untuk beberapa situs yang sering digunakan
TeknisBerbeda dengan HTTP URL yang dimulai dengan "http://" dan menggunakan port 80 secara default, HTTPS URL dimulai dengan "https: / /" dan menggunakan port 443 secara default.
HTTP adalah jaminan dan dikenakan man-in-the-middle dan menguping serangan yang dapat membiarkan penyerang mendapatkan akses ke website account dan informasi sensitif. HTTPS dirancang untuk menahan serangan itu dan dianggap aman terhadap serangan tersebut (dengan pengecualian versi lama usang SSL).
HTTP beroperasi pada lapisan tertinggi dari Model OSI , lapisan aplikasi, tetapi protokol keamanan beroperasi pada sublapisan lebih rendah, enkripsi pesan HTTP sebelum transmisi dan mendekripsi pesan pada saat kedatangan. Strictly speaking, HTTPS is not a separate protocol, but refers to use of ordinary HTTP over an encrypted Secure Sockets Layer (SSL) or Transport Layer Security (TLS) connection. Sebenarnya, HTTPS bukan protokol yang terpisah, namun mengacu pada penggunaan biasa HTTP melalui dienkripsi Secure Socket Layer (SSL) atau Transport Layer Security (TLS) koneksi.
Untuk menyiapkan web server untuk menerima koneksi HTTPS, administrator harus membuat sertifikat kunci publik untuk server web. This certificate must be signed by a trusted certificate authority. sertifikat ini harus ditandatangani oleh terpercaya otoritas sertifikat untuk browser web untuk menerimanya. Otoritas mengesahkan bahwa pemegang sertifikat memang entitas itu diklaimnya. Web browser pada umumnya didistribusikan dengan penandatanganan sertifikat otoritas sertifikat utama sehingga mereka dapat memverifikasi sertifikat yang ditandatangani oleh mereka.
Acquiring certificates
Menandatangani sertifikat otoritatif mungkin bebas atau biaya antara US $ 13 dan $ 1.500 per tahun.
Organisasi juga dapat menjalankan otoritas sertifikat mereka sendiri, terutama jika mereka bertanggung jawab untuk mensetting browser untuk mengakses situs mereka sendiri (misalnya, situs pada sebuah perusahaan intranet , atau universitas besar). Mereka dapat dengan mudah menambahkan salinan sertifikat penandatanganan mereka sendiri ke sertifikat terpercaya yang didistribusikan dengan browser.
Gunakan sebagai kontrol akses
Sistem ini juga dapat digunakan untuk klien otentikasi untuk membatasi akses ke web server untuk pengguna yang sah situs biasanya membuat sertifikat untuk setiap pengguna, sebuah sertifikat yang dimuat ke / di browser nya Biasanya, yang berisi nama dan alamat e-mail dari pengguna yang berwenang dan secara otomatis diperiksa oleh server pada masing-masing kembali untuk memverifikasi identitas pengguna, berpotensi bahkan tanpa memasukkan password.
- In case of compromised private key
Sertifikat dapat dicabut sebelum kadaluarsa, misalnya karena kerahasiaan kunci pribadi telah diganggu. Versi yang lebih baru dari browser populer seperti Firefox , Opera , dan Internet Explorer pada Windows Vista melaksanakan Protokol Status Sertifikat Online (OCSP) untuk memverifikasi bahwa ini tidak terjadi. Browser akan mengirimkan nomor seri sertifikat kepada otoritas sertifikat atau mendelegasikan perusahaan melalui OCSP dan otoritas merespon, mengatakan browser apakah atau tidak sertifikat tersebut masih berlaku.
SSL datang dalam dua pilihan, sederhana dan saling menguntungkan.
Rasa saling lebih aman tetapi membutuhkan pengguna untuk menginstal sertifikat pribadi dalam browser mereka untuk mengotentikasi sendiri.
Apapun strategi yang digunakan (sederhana atau bersama), tingkat perlindungan sangat tergantung pada kebenaran implementasi dari browser web dan perangkat lunak server dan aktual algoritma kriptografi didukung. See list in HTTP_Secure#Main idea . Lihat daftar di HTTP_Secure # Utama ide .
SSL tidak mencegah seluruh situs dari diindeks menggunakan web crawler , dan dalam beberapa kasus, URI sumberdaya dienkripsi dapat disimpulkan hanya dengan mengetahui permintaan disadap / ukuran respon. Hal ini memungkinkan penyerang untuk memiliki akses ke yang plaintext (yang tersedia statis konten-publik), dan teks terenkripsi (dienkripsi versi isi statis), yang memungkinkan sebuah serangan kriptografi .
Karena SSL beroperasi di bawah HTTP dan tidak memiliki pengetahuan tentang tingkat protokol yang lebih tinggi, server SSL hanya dapat benar-benar menyajikan salah satu sertifikat untuk IP tertentu / kombinasi port. Ini berarti bahwa, dalam banyak kasus, tidak layak untuk menggunakan nama- berbasis virtual hosting dengan HTTPS. Sebuah solusi yang disebut Nama Server Indikasi (SNI) ada yang akan mengirimkan nama host ke server sebelum koneksi enkripsi, meskipun banyak browser lama tidak mendukung ekstensi ini. Support for SNI is available since Firefox 2, Opera 8, and Internet Explorer 7 on Windows Vista . ] Dukungan untuk SNI tersedia sejak Firefox 2, Opera 8, dan Internet Explorer 7 di Windows Vista .
Jika kontrol orangtua akan diaktifkan pada Mac OS X , situs HTTPS harus secara eksplisit diperbolehkan menggunakan Selalu Izinkan daftar
From an architectural point of view: Dari sudut pandang arsitektur:
1. An SSL connection is managed by the first front machine which initiates the SSL connection. Sambungan SSL dikelola oleh mesin depan pertama yang memulai sambungan SSL. If, for any reasons (routing, traffic optimization, etc.), Jika, untuk alasan apapun (routing, optimasi lalu lintas, dll), mesin depan bukan server aplikasi dan telah menguraikan data, solusi harus ditemukan untuk menyebarkan informasi otentikasi pengguna atau sertifikat ke server aplikasi yang perlu tahu yang akan dihubungkan.
2. For SSL with mutual authentication, the SSL session is managed by the first server which initiates the connection. Untuk SSL dengan otentikasi bersama, sesi SSL dikelola oleh server pertama yang memulai sambungan.. Dalam situasi di mana enkripsi harus disebarkan sepanjang server dirantai, manajemen sesi timeout menjadi sangat sulit untuk diterapkan.
3. Dengan saling SSL, keamanan maksimal, namun di sisi-klien, tidak ada cara untuk benar mengakhiri sambungan SSL dan putuskan pengguna kecuali dengan menunggu server sesi SSL untuk berakhir atau menutup semua aplikasi klien terkait.
4. Untuk alasan performa, isi statis biasanya dikirimkan melalui server non-crypted depan atau misalnya server terpisah tanpa SSL. As a consequence, these contents are usually not protected. Akibatnya, isi ini biasanya tidak dilindungi.
