HTTPS

De Viquipèdia
Dreceres ràpides: navegació, cerca

https (Hypertext Transfer Protocol sobre Secure Socket Layer) és la capçalera d'URI utilitzada per a indicar una connexió segura HTTP. És sintàcticament idèntica a la capçalera {{format ref}} http:// normalment utilitzada en l'accés de recursos fent servir HTTP. Utilitzar una URI https: indica que s'utilitzarà HTTP, pero amb un port TCP per defecte diferent (el 443) i una capa d'encriptació/autenticació entre HTTP i TCP. Aquest sistema va ser dissenyat per Netscape Communications Corporation per a oferir autenticació i comunicació encriptada i és àmpliament utilitzat a la World Wide Web per a comunicacions en què la seguretat és important com ara transaccions de pagaments i accés a sistemes informàtics corporatius.

Sobre el seu ús[modifica | modifica el codi]

Cal fer advertir que l'accés a una pàgina HTTPS (segura) no impedeix que aquesta pàgina contingui elements HTTP (no segurs). En aquests casos, el nostre navegador web ens ho notificarà mitjançant un missatge d'avís. És utilitzat principalment per entitats bancàries, botigues en línia, i qualsevol tipus de servei que requereixi l'enviament de dades personals o contrasenyes.

Per a saber si la pàgina web que estem visitant fa servir el protocol HTTPS i és, per tant, segura quant a la transmisió de les dades que estem transcrivint, hem d'observar si al començament de la barra d'adreça del nostre navegador web es mostren les lletres https en comptes de http.

Com funciona[modifica | modifica el codi]

Parlant estrictament, https no és un protocol separat, sinó que fa referència a la combinació d'una interacció HTTP normal sobre una connexió Secure Sockets Layer o Transport Layer Security. Això asegura protecció raonable davant d'escoltes indesitjadesi atacs de man-in-the-middle.

Una URL https: pot especificar un port TCP; si no ho fa, la connexió fa servir el port 443 (HTTP insegur fa servir el port 80 habitualment).

Per a preparar un servidor web per a que accepti connexions https, l'administrador ha de crear un certificat de clau pública per al servidor web. Aquests certificats poden ser creats per servidors basats en Unix amb eines com ara ssl-ca d'OpenSSL [1] o gensslcert de SuSE. Aquest certificar ha d'estar signat per una autoritat certificadora d'una forma o una altra, per tal de certificar que el posseïdor del certificat és realment l'entitat que diu ser. Els navegadors web estan normalment venen amb els certificats de signatura de les autoritats certificadores principals, per a poder verificar els certificats signats per aquestes.

Les organitzacions també poden ser la seva pròpia autoritat certificadora, particularment si són responsables de configurar navegadors per a accedir als seus llocs (per exemple, llocs en una intranet d'empresa), ja que d'una forma molt senzilla poden afegir el seu propi certificat de signatura a aquells que ja venen amb el navegador.

Alguns cops, especialment en aquells operats per aficionats, es fan servir certificats auto-signats en llocs públics. Fer servir aquests ofereix protecció contra escoltes indesitjades simples, però a diferència del que ocòrre amb un certificat ben-conegut, la prevenció de l'atac de man-in-the-middle amb un certificat auto-signat requereix que el lloc faci disponible algun altre mètode segur per a la verificació del certificat.

El sistema també pot ser utilitzat per autenticació de client, per tal de restringir l'accés a un servidor web a només usuaris autoritzats. Per a això, habitualment l'administrador del lloc crea certificats per a cada usuari i aquests certificats són carregats al navegador de l'usuari corresponent. Aquests normalment contenen el nom i l'adreça d'e-mail de l'usuari autoritzat, i són automàticament comprovats pel servidor a cada reconnexió per a verificar la identitat de l'usuari, potencialment sense haver d'introduir mai la contrasenya.

Limitacions[modifica | modifica el codi]

El nivell de protecció depèn de la correctesa de la implementació per part del navegador web, el software de servidor i l'algorisme de xifratge fet servir realment.

HTTPS només protegeix les dades en trànsit d'escoltes no desitjades i d'atacs de man-in-the-middle. Un cop les dades arriben a la seva destinació, només són tan segures com els ordinadors en les que estan.

Donat que SSL opera sota http i no té coneixement de protocols superiors, els servidors SSL només poden presentar una certificació per a una combinació particular d'IP/port. Això vol dir que en molts casos no és factible fer servir virtual hosts basats en noms amb https.

Vegeu també[modifica | modifica el codi]

Referències[modifica | modifica el codi]

  1. [enllaç sense format] http://www.openssl.org/contrib/