Kaj je HTTP oz. HTTPS?

HTTP (Hypertext Transfer Protocol) je protokol za prenos hiperteksta oz. standardni protokol za klicanje spletnih strani. Običajno je prikazan v HTML obliki in ga brskalnik zahteva od strežnika. HTTP kot aplikacija temelji na internetni arhitekturi - prenos je privzeto nešifriran prek vrat 80 (prek TCP).

Leta 1994 je bil kot razširitev razvit protokol Hypertext Transfer Protocol Secure oz. HTTPS. Dodatek varno, pomeni, da je vsa komunikacija šifrirana s pomočjo protokola SSL ali TLS. Pri komunikaciji prek protokola HTTPS se namesto običajnih vrat uporabljajo vrata 443.

Razlika med HTTP in HTTPS je torej predvsem v tem, ali se vsi podatki prenašajo na način, ki je zaščiten pred prisluškovanjem, ali jih je mogoče prebrati v navadnem besedilu v omrežju.

Kako deluje HTTPS?

HTTPS deluje na enak način kot HTTP. Klasični protokol za prenos hiperteksta temelji na protokolu TCP (Transport Control Protocol) in je osnova za številne aplikacije v internetu. Razlika v primerjavi z različico HTTPS je v tem, da se med TCP in HTTP še vedno uporablja šifriranje prenesenih podatkov z uporabo protokola TLS.

Izmenjava šifrirnih ključev, potrebnih za šifriranje, poteka asimetrično ali po Diffie-Hellmannovi metodi. Pri tem se določi ključ seje, ki ga odjemalec in strežnik lahko uporabljata za komunikacijo v času trajanja seje. Dejanska komunikacija se nadaljuje prek protokola HTTP, vključno z vsemi mehanizmi, predvidenimi v protokolu. Vsi podatki so šifrirani samo na "transportni poti". Zato se danes poleg SSL večinoma uporablja tudi izraz TLS (Transport Layer Security).

HTTPS s SSL varna povezava
HTTPS: Varna povezava s SSL

Kakšno vlogo ima SSL certifikat pri HTTPS?

S potrdilom se strežnik identificira odjemalcu (npr. brskalniku). Pri povezavah HTTPS je to potrebno, da se lahko vzpostavi varna SSL povezava.

Večino potrdil zagotavlja tako imenovani organ za potrjevanje (CA). To so osrednja telesa, ki veljajo za zaupanja vredna in so zato že shranjena v brskalniku. Vsa potrdila, ki jih izda ta organ, zato samodejno veljajo za zaupanja vredna.

Če je bilo potrdilo ustvarjeno brez sodelovanja overitelja, se v vseh trenutnih brskalnikih prikaže opozorilno sporočilo. Za vzpostavitev povezave mora uporabnik dodati izjemo. Čeprav so podatki šifrirani enako dobro s samopodpisanimi potrdili kot s potrdili, ki jih potrdi overitelj, so tako imenovani napadi "vmesne osebe na poti" lažji.

V konkretnem primeru bi se takšno opozorilno sporočilo ponovno pojavilo. Ko uporabnik potrdi izjemo, se vsi podatki prenesejo prek napadalčeve povezave. Odslej lahko napadalec prebere vse podatke, tudi če so na zunanji strani še vedno šifrirani - ker je uspešno posredoval (man-in-the-middle).

Zakaj bi morale biti povezave v internetu šifrirane?

Danes se vse več podatkov prenaša prek interneta. Ne samo nakupi prek spleta, tudi velik del telefonskih klicev se opravi prek spleta zaradi prehoda na Voice-over-IP. Čim več podatkov in finančnih transakcij se opravi na ta način, tem bolj privlačna je kraja podatkov za storilce kaznivih dejanj. K temu je treba dodati še državne akterje, ki spremljajo podatke svojih državljanov ali državljanov iz drugih držav. Poleg tega morajo upravljavci spletnih strani zaradi strogih evropskih zakonov o varstvu podatkov, kot je GDPR, zagotoviti varstvo podatkov.

Zato je stalno HTTPS šifriranje priporočljivo in zaželeno, saj lahko le s takšnimi tehničnimi ukrepi preprečite branje podatkov na internetu. Sodobna spletna stran mora biti standardno dostopno prek protokola HTTPS, ne glede na panogo. To krepi zaupanje uporabnikov, predvsem pa je v skladu s predpisi o varstvu podatkov.

Top homeapartmentmagic-wandenvelopeinboxbookusercartphone-handsetmap-markerlaptop-phonegiftdiamondearthmagnifierlayers