Cesko.wiki HTTPS
Author
Albert FloresHTTPS (Hypertext Transfer Protocol Secure) je v [url= využívá protokol [[Hypertext Transfer Protocol|HTTP]url= je využíván především pro komunikaci webového prohlížeče s [[Webový server|webovým serverem]url= vyžaduje, aby podepisovala digitální certifikáty na straně serveru důvěryhodná třetí strana. Jednalo se o historicky nákladnou operaci, což znamenalo, že plně ověřená připojení[/url]url= byla obvykle nalezena pouze na zabezpečených službách platebních transakcí a dalších zabezpečených podnikových informačních systémech na World Wide Web. V roce 2016 vedla kampaň Electronic Frontier Foundation s podporou vývojářů webových prohlížečů k tomu, že se protokol stal běžnějším.
Protokol[/url]url= byl v roce 1994 vyvinut společností [[Netscape Communications Corporation|Netscape Communications][Informatika|informatice]] protokol umožňující zabezpečenou komunikaci v počítačové síti. [/url]] spolu s protokolem SSL nebo TLS. +more[/url]]. Zajišťuje autentizaci, důvěrnost přenášených dat a jejich integritu. Standardní port na straně serveru je 443 TCP.
Aspekt ověřování[/url]] pro webový prohlížeč Netscape Navigator.
Všeobecně se doporučuje podporovat HTTPS místo nezabezpečeného HTTP pro všechny webové stránky.
Princip funkce
Bezpečnost komunikace zaručuje protokol SSL anebo novější TLS. Pomocí asymetrické kryptografie je ověřena identita webového serveru, volitelně i klienta. +more Poté následuje dohoda na klíči pro symetrické šifrování samotné komunikace (z výkonnostních důvodů). Klíč pro symetrickou šifru je buď vybrán klientem a nebo dohodnut pomocí Diffieho-Hellmanovy výměny klíče pro dosažení dopředné bezpečnosti.
Pro SSL a TLS je zásadní infrastruktura veřejného klíče a X. +more509 certifikáty, díky nimž probíhá autentizace. Pro úspěšné ověření identity je nutná důvěra v zaslaný certifikát, která nejčastěji bývá zprostředkovaná některou z certifikačních autorit, jejichž certifikáty jsou v úložišti důvěryhodných certifikátů operačního systému nebo aplikace (například webového prohlížeče). Většina certifikačních autorit vystavuje certifikáty na komerční bázi (Symantec, Verisign, COMODO, Thawte a jiné), avšak existují i certifikační autority vystavující certifikáty bezplatně jako například Let's Encrypt, StartSSL a jiné. Do úložiště důvěryhodných certifikátů lze doinstalovat další certifikační autority.
Nepodaří-li se certifikát ověřit automaticky, je možné na uživatelův pokyn pokračovat bez ověření (ovšem se zvýšeným rizikem Man in the middle útoku) anebo ověření provést jiným způsobem manuálně.
Bezpečnost
Míra bezpečnosti závisí na chování uživatele, na implementaci protokolů ve webovém prohlížeči a webovém serveru, správné konfiguraci a na důvěryhodnosti certifikačních autorit.
Soubor:HTTPS adresni radek 1. PNG|Zobrazení informace o zabezpečení v adresním řádku. +more Soubor:HTTPS adresni radek 2. JPG|Zobrazení informace o zabezpečení v panelu stránky. Soubor:Pripojeni secure. jpg|Varování před nezabezpečeným HTTPS spojením.
Výhody HTTPS
ověření identity * důvěrnost přenášených dat * integrita obsahu * možnost využití url=HTTP/2]protokolu * zvýhodnění ve vyhledávači [[Google[/url]] * jen nepatrný pokles výkonu u novějšího hardwaru
Nevýhody HTTPS
pokles výkonu u staršího hardwaru * potřeba certifikátu a jeho obnovování * mírně složitější konfigurace webového serveru * možné komplikace u starších webových prohlížečů
Budoucnost
Kryptografické algoritmy, které se dnes běžně používají v HTTPS, obecně neposkytují ochranu proti (dnes hypotetickým) kvantovým počítačům (např. algoritmus RSA svou bezpečnost odvozuje od složitosti faktorizace, kterou by však Shorův algoritmus na kvantovém počítači dokázal provádět v polynomiálním čase). +more Pokud by se tedy podařilo sestrojit prakticky použitelný kvantový počítač dostatečné kapacity, bezpečnost internetové komunikace by byla prolomena. Toto riziko se snaží eliminovat vývoj tzv. postkvantové kryptografie. Pokud však nějaký útočník dnes zaznamenává cizí internetovou komunikaci zabezpečenou HTTPS, tak by sice zatím neměl být schopen ji dešifrovat, avšak v budoucnu, jakmile budou k dispozici kvantové počítače, by tuto uloženou komunikaci mohl dešifrovat zpětně.
Nasazení HTTPS
Navzdory rozšířenému názoru, že HTTPS je nutné pouze pro weby pracující s citlivými údaji, je mnohými organizacemi a odborníky doporučeno používat HTTPS na všech webech. HTTPS představuje účinnou obranu proti vkládání nežádoucího obsahu ([url= je možnost ukončení podpory[/url]url= ve webových prohlížečích a v důsledku toho odstranění rizika [[SSL-stripping útok]url= je získání certifikátu od některé z [[Certifikační autorita|certifikačních autorit]url= je nutné pravidelně obnovovat certifikát, jehož platnost typicky může být od 1 do 3 let. +more V případě certifikační autority [[Let's Encrypt][malware]], nevyžádané reklamy…) poskytovatelem internetového připojení či jiným útočníkem. Dalším významným důvodem pro nasazení[/url]]u.
Prvním krokem pro nasazení[/url]] nebo vygenerování self-signed certifikátu. Poté následuje konfigurace web serveru, kde je důležitý zejména výběr šifrovacích sad. +more S konfigurací může pomoci online nástroj [url=https://mozilla. github. io/server-side-tls/ssl-config-generator/]Mozilla SSL Configuration Generator[/url]. Bezpečnost webového serveru je vhodné otestovat. K tomuto účelu mohou být použity například online nástroje [url=https://www. ssllabs. com/index. html]Qualys SSL Labs[/url], [url=https://tls. imirhil. fr/]CryptCheck[/url] nebo [url=https://observatory. mozilla. org/]Observatory by Mozilla[/url].
Po nasazení[/url]] je platnost certifikátu pouze 90 dní, ale celý proces může být zautomatizován.
Pokročilé možnosti zabezpečení
Zabezpečení HTTPS je možné zvýšit některými technikami jakými jsou například HSTS, HPKP, CAA a TLSA záznamy v DNS (je vhodné mít DNSSEC).
Rozšíření HTTPS
V červnu 2018 podporovalo HTTPS protokol jako výchozí 35,3 % webů ze seznamu [url= 69% webových stránek.
Od ledna 2017 začal prohlížeč Chrome označovat [[Webová stránka|webové stránky][Alexa top 1,000,000]]. Dle údajů Firefox Telemetry bylo na konci června 2018 načteno prostřednictvím protokolu[/url]], které přijímají od uživatele citlivé informace bez použití HTTPS protokolu. +more Od této změny se očekává výrazný nárůst použití HTTPS.
Reference
Související články
Externí odkazy
http://wp. netscape. +morecom/eng/ssl3/draft302. txt - Netscape's SSL 3. 0 Specification (anglicky) * [url= při vstupu na určité stránky *[/url]url=://web. archive. org/web/20090314040822/http://www. apache-ssl. org/ - Apache-SSL homepage (anglicky) *[/url]url=://httpd. apache. org/docs/2. 2/ssl/ - Apache 2. 2 mod_ssl documentation (anglicky) * [[rfc:2818|RFC 2818]url= Over TLS (anglicky) *[/url]url=://www. g-loaded. eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/ - SNI s mod_gnutls (anglicky) *[/url]url=://www. lupa. cz/clanky/https-bezpecnost-jen-pro-vyvolene/ - český článek o protokolu[/url]url= * Radek Krejčí, Pavel Čeleda,(Ne)bezpečné[/url]url= - část I, Článek v recenzovaném časopise. DSM - Data security management (3/2010) * Jaroslav Hlavinka - [url=https://jakdelatseo. cz/checklist-pro-prechod-z-http-na-https/]url=. [/url]url= od SEO konzultanta z Seznam. cz * [url=https://www. linuxexpres. cz/chrome-68-jde-cestou-bezpecnosti]url=https://www. eff. org/https-everywhere]HTTPS Everywhere[/url] vytvořeno [url=https://secure. wikimedia. org/wikipedia/en/wiki/Electronic_Frontier_Foundation]Electronic Frontier Foundation[/url] - rozšíření pro Mozillu Firefox umožňující permanentní využívání protokolu[/url]] -[/url]Co si pohlídat při přechodu na[/url] - Článek o přechodu na[/url]Chrome 68 jde cestou bezpečnosti[/url] - Článek o Chrome 68, který začal zvýrazňovat nezabezpečené stránky.
Kategorie:Aplikační protokoly IP Kategorie:Standardy W3C Kategorie:Kryptografie Kategorie:Zkratky