HTTPS

HTTPS(Hypertext Transfer Protocol Secure) és la capçalera d'URIutilitzada per a indicar una connexió seguraHTTP.És sintàcticament idèntica a la capçalera^{[enllaç sense format]}http://normalment utilitzada en l'accés de recursos fent servir HTTP. Utilitzar unaURI^{[enllaç sense format]}https://indica que s'utilitzarà HTTP, però amb un portTCPper defecte diferent (el 443) i una capa d'encriptació/autenticacióentre HTTP i TCP. Aquest sistema va ser dissenyat perNetscape Communications Corporationper a oferir autenticació i comunicació encriptada i és àmpliament utilitzat a laWorld Wide Webper a comunicacions en què la seguretat és important com ara transaccions de pagaments i accés asistemes informàticscorporatius.

Cal fer advertir que l'accés a una pàgina HTTPS (segura) no impedeix que aquesta pàgina contingui elements HTTP (no segurs). En aquests casos, el nostrenavegador webens ho notificarà mitjançant un missatge d'avís. És utilitzat principalment per entitats bancàries, botigues en línia, i qualsevol mena de servei que requereixi l'enviament de dades personals ocontrasenyes.

Per a saber si la pàgina web que estem visitant fa servir el protocol HTTPS i és, per tant, segura quant a la transmissió de les dades que estem transmetent, hem d'observar si al començament de la barra d'adreça del nostre navegador web es mostren les lletreshttpsen comptes dehttp.

Parlant estrictament, HTTPS no és un protocol separat, sinó que fa referència a la combinació d'una interaccióHTTPnormal sobre una connexióSecure Sockets LayeroTransport Layer Security.Això assegura protecció raonable davant d'escoltes indesitjades i atacs deman-in-the-middle.

Un URL^{[enllaç sense format]}https:pot especificar un port TCP; si no ho fa, la connexió fa servir el port 443 (HTTP insegur fa servir el port 80 habitualment).

Per a preparar unservidor webperquè accepti connexions https, l'administrador ha de crear uncertificat de clau públicaper al servidor web. Aquests certificats poden ser creats per servidors basats enUnixamb eines com arassl-cad'OpenSSL^[1]ogensslcertdeSuSE.Aquest certificar ha d'estar signat per unaautoritat certificadorad'una forma o una altra, per tal de certificar que el posseïdor del certificat és realment l'entitat que diu ser. Els navegadors web estan normalment venen amb els certificats de signatura de les autoritats certificadores principals, per a poder verificar els certificats signats per aquestes.

Les organitzacions també poden ser la seva pròpia autoritat certificadora, particularment si són responsables de configurar navegadors per a accedir als seus llocs (per exemple, llocs en unaintranetd'empresa), ja que d'una forma molt senzilla poden afegir el seu propi certificat de signatura a aquells que ja venen amb el navegador.

Alguns cops, especialment en aquells operats per aficionats, es fan servir certificats autosignats en llocs públics. Fer servir aquests ofereix protecció contra escoltes indesitjades simples, però a diferència del que ocorre amb un certificat ben-conegut, la prevenció de l'atac de man-in-the-middle amb un certificat autosignat requereix que el lloc faci disponible algun altre mètode segur per a la verificació del certificat.

El sistema també pot ser utilitzat perautenticacióde client, per tal de restringir l'accés a un servidor web a només usuaris autoritzats. Per a això, habitualment l'administrador del lloc crea certificats per a cada usuari i aquests certificats són carregats al navegador de l'usuari corresponent. Aquests normalment contenen el nom i l'adreça d'e-mail de l'usuari autoritzat, i són automàticament comprovats pel servidor a cada reconnexió per a verificar la identitat de l'usuari, potencialment sense haver d'introduir mai la contrasenya.

El nivell de protecció depèn de la correctesa de laimplementacióper part delnavegador web,el software de servidor i l'algorisme de xifratgefet servir realment.

HTTPS només protegeix les dades en trànsit d'escoltes no desitjades i d'atacs de man-in-the-middle. Un cop les dades arriben a la seva destinació, només són tan segures com els ordinadors en les quals estan.

Atès que SSL opera sota http i no té coneixement de protocols superiors, els servidors SSL només poden presentar una certificació per a una combinació particular d'IP/port. Això vol dir que en molts casos no és factible fer servirvirtual hostsbasats en noms ambhttps.

AWikimedia Commonshi ha contingut multimèdia relatiu a:HTTPS

• GNU Wget
• Let's encrypt,autoritat de certificació gratuïta per activar HTTPS
• Protocol criptogràfic
• Seguretat informàtica
• Sal (criptografia)