HTTPS

Z Multimediaexpo.cz

Cena protokolu HTTPS brzy vystřelí do nebes a bude to další nepříjemná "firemní daň z internetu" !

HTTPS je v informatice nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem před odposloucháváním, podvržením dat a umožňuje též ověřit identitu protistrany. HTTPS používá protokol HTTP, přičemž přenášená data jsou šifrována pomocí SSL nebo TLS a standardní port na straně serveru je 443.

Princip funkce

Protokol HTTPS využívá asymetrické šifrování. Obě strany si před zahájením komunikace vygenerují pár klíčů (privátní a veřejný). Při zahájení komunikace si vymění veřejné klíče, které by obě strany měly ověřit pomocí jiného komunikačního kanálu. Ověření může proběhnout kontrolou výtahu (otisk, miniatura, hash) veřejného klíče u protistrany například pomocí telefonu nebo lze použít princip přenosu důvěry, kdy nám protistrana předá veřejný klíč, který je digitálně podepsaný (nejlépe certifikační autoritou, které důvěřujeme a jejíž veřejný klíč máme v důvěryhodném úložišti, např. THAWTE, VeriSign, ...).

Zatímco samotné šifrování ochrání komunikaci před odposloucháváním, bez ověření autenticity veřejných klíčů jsou komunikující strany vystaveny riziku útoku Man in the middle.

Za certifikáty vydané certifikačními autoritami, které mají svůj veřejný klíč v úložišti, které je dodáváno s webovým prohlížečem, je nutné platit. Existuje však možnost vytvoření certifikátu, který si vydavatel sám sobě podepíše (anglicky: self-signed certificate), avšak v takovém případě musí protistrana přidat do úložiště veřejný klíč sama (a ověřit ho jinak).

Omezení

Míra bezpečnosti

Míra bezpečnosti závisí zejména na chování uživatele při přístupu na zabezpečené stránky (při ověřování klíčů) a na verzi a korektnosti použité implementace šifrovacího algoritmu jak ve webovém prohlížeči, tak ve webovém serveru.

Možnost oslabení

HTTPS není vhodné používat pro veřejně dostupný statický obsah, protože webové stránky mohou být indexovány pomocí internetového vyhledávače a URI šifrovaného obsahu lze odvodit pouze se znalostmi zachycené velikosti šifrované žádosti a odpovědi. Tím je útočníkovi poskytnut přístup k šifrovanému i nešifrovanému obsahu, což oslabuje použitý šifrovací algoritmus.

Virtuální webové servery

Při navázání spojení pomocí HTTPS je veškerá komunikace ihned od počátku šifrována pomocí SSL/TLS, není možné včas serveru sdělit, s jakým doménovým jménem (resp. virtuálním serverem) chceme pracovat (stejně jako s pomocí řádku Host: u protokolu HTTP). Proto pro HTTPS spojení standardně nelze vytvářet více virtuálních webových serverů na jediné IP adrese (a portu), které jsou rozlišeny pouze doménovým jménem. Proto je v RFC-3546 definováno rozšíření Server Name Indication (SNI), které je implementováno do FireFoxu 2.0, Opery 8, Mozilly 1.8 a Internet Exploreru 7. S pomocí tohoto rozšíření lze vytvářet na jedné IP adrese (a portu) více virtuálních webových HTTPS serverů, které jsou rozlišeny doménovým jménem

(anglicky: name-based virtual host).

Vynucené komerční certifikáty

Internet Explorer 7 zvýšil úroveň vypisovaných varování, když nejsou certifikáty registrovány. Původně oznamovalo problém vyskakovací okno, nyní je přes celou plochu prohlížeče zobrazeno varování, které doporučuje nepoužívat problematickou internetovou stránku. Do tohoto varování jsou však zahrnuty i (nekomerční) certifikáty, které nejsou registrovány u certifikačních autorit, které Microsoftu platí za umístění jejich veřejného klíče v úložišti prohlížeče. Chování Internet Exploreru tak nutí správce serverů kupovat komerční certifikáty pro jejich webové servery za cenu 10 až 1200 USD za rok.

Bezpečnost

Míra bezpečnosti závisí na chování uživatele, na implementaci protokolů ve webovém prohlížeči a webovém serveru, správné konfiguraci a na důvěryhodnosti certifikačních autorit.

Výhody HTTPS

• ověření identity obou stran pomocí certifikátů
• důvěrnost přenášených dat
• integrita obsahu
• možnost využití protokolů HTTP/2 a HTTP/3
• zvýhodnění ve vyhledávači Google^[1][2]
• jen nepatrný pokles výkonu u novějšího hardwaru^[3][4]

Nevýhody HTTPS

• Cena certifikátu a potřeba jeho obnovování brzy vystřelí do nebes ! Certifikáty postupně zkrátí, do roku 2029, svou životnost na 47 dní !
• pokles výkonu u staršího hardwaru
• Buzerování a omezování uživatelů starších operačních systémů (třeba Windows 7), kterým lze efektivně zakázat (odmítnout) zobrazení libovolné webové stránky (díky certifikátu)
  bez ohledu na možnost, že jejich starší webový prohlížeč by s danou webovou stránkou neměl absolutně žádný problém.
• mírně složitější konfigurace webového serveru
• možné komplikace u starších webových prohlížečů
• název cílového serveru je přenášen nešifrovaně (viz Server Name Indication)

Související články

• Server Name Indication

Reference

1. ↑ Použití kanonických adres URL - Nápověda Search Console. support.google.com [online].  [cit. 2017-02-17]. Dostupné online.  ( ) 
2. ↑ Google Starts Giving A Ranking Boost To Secure HTTPS/SSL Sites. Search Engine Land, 2014-08-07. Dostupné online [cit. 2017-02-17]. (en-US) 
3. ↑ LANGLEY, Adam. ImperialViolet - Overclocking SSL. www.imperialviolet.org [online].  [cit. 2017-02-17]. Dostupné online.  ( ) 
4. ↑ Analyzing HTTPS Performance Overhead. KeyCDN Blog, 2015-12-17. Dostupné online [cit. 2017-02-17]. (en-US) 

Externí odkazy

• Root.cz – Certifikáty pro HTTPS zkrátí postupně do roku 2029 svou životnost na 47 dní
• Apache 2.4 mod_ssl documentation (anglicky)
• Apache 2.2 mod_ssl documentation (anglicky)
• Netscape's SSL 3.0 Specification (anglicky)
• RFC 2818 – HTTP Over TLS (anglicky)
• SNI s mod_gnutls (anglicky)