https

Hypertext Transfer Protocol Secure (HTTPS) est un protocole de communication largement utilis pour scuriser les communications sur un rseau informatique, avec un dploiement particulirement large sur Internet. Techniquement, ce n'est pas un protocole en lui-mme, mais plutt, il est le rsultat de la superposition simplement le Hypertext Transfer Protocol (HTTP) audessus du protocole SSL / TLS, ce qui ajoute des fonctions de scurit de SSL / TLS la norme de communication HTTP. Dans son dploiement populaire sur Internet, HTTPS assure l'authentification du site Web et le serveur Web associ que l'on communique avec qui protge contre Man-in-the-middle attaques. En outre, il fournit un cryptage bidirectionnel des communications entre un client et un serveur, qui protge contre l'espionnage et la manipulation et / ou forg le contenu de la communication. [1] Dans la pratique, cela donne une assurance raisonnable que l'on est en communication avec prcision le web le site que l'on vise communiquer (par opposition un imposteur), ainsi que veiller ce que le contenu des communications entre l'utilisateur et le site ne peut pas tre lu ou falsifis par un tiers. Parce que HTTPS HTTP se greffe entirement au-dessus de TLS, la totalit du sous-jacent protocole HTTP peut tre crypt. Cela inclut l'URL de requte (page web particulire qui a t demand), les paramtres de la requte, en-ttes et les cookies (qui contiennent souvent des informations d'identit sur l'utilisateur). Cependant, en raison d'accueil (site web) des adresses et des numros de port ne sont pas ncessairement partie des sous-jacents protocoles TCP / IP, HTTPS ne peut pas protger leur divulgation. En pratique, cela signifie que mme sur un indiscrets correctement configurs serveur Web peut encore dduire l'adresse IP et le numro de port du serveur web (parfois mme la www.example.org exemple de nom de domaine, mais pas le reste de l'URL) que l'on est communiquer avec ainsi que le montant (donnes transfres) et la dure (dure de la session) de la communication, mais pas le contenu de la communication. [citation ncessaire] Historiquement, les connexions HTTPS sont principalement utiliss pour les oprations de paiement sur le Web, Wide e-mail et pour les oprations sensibles dans les systmes d'information des entreprises. Dans les annes 2010 fin des annes 2000 et au dbut, HTTPS commenc voir l'utilisation gnralise de protger l'authenticit page sur tous les types de sites Web, la scurisation des comptes et de garder communications de l'utilisateur, l'identit et la navigation web priv. HTTPS est particulirement important au cours de rseaux non crypts tels que le WiFi que n'importe qui sur le mme rseau local peut faire reniflage de paquets et de dcouvrir des informations sensibles. En outre, de nombreux libres d'utiliser et mme pay pour les rseaux WLAN faire l'injection de paquets pour servir leurs propres annonces sur des pages Web ou tout simplement pour farces, mais cela peut tre exploite malicieusement par exemple, en injectant des logiciels

malveillants et espionner les utilisateurs. [2] Un autre exemple o le protocole HTTPS est important, c'est plus de connexions Tor (rseau d'anonymat), que les nuds Tor malicieux peut endommager ou de modifier le contenu qui les traversent de faon prcaire et injecter logiciels malveillants dans la connexion. C'est une des raisons pour lesquelles l'Electronic Frontier Foundation et Torproject commenc le dveloppement de HTTPS Everywhere, qui est inclus dans le pack de navigation Tor. Un site doit tre entirement hberge sur HTTPS, sans avoir une partie du contenu charg via HTTP, ou que l'utilisateur sera vulnrable certaines attaques et la surveillance. Par exemple Ayant son excution etc chargs scurise sur une page HTTPS rend l'utilisateur vulnrable aux attaques. Aussi avoir seulement une certaine page qui contient des informations sensibles (comme une page de connexion) d'un site charg via HTTPS, tout en ayant le reste du site charg par simple HTTP exposeront l'utilisateur des attaques. Par exemple si l'utilisateur accde pour la premire page d'accueil du site Web avec HTTP o il qu'aprs que les clics sur un lien HTTPS la page de connexion, la session a dj t compromise. Sur un site qui contient des informations sensibles, quelque part l-dessus, chaque fois que le site est accessible via le protocole HTTP au lieu de HTTPS, l'utilisateur et la session y sont exposs. De mme, les cookies sur un site servi via HTTPS doivent avoir l'attribut secure est activ. [3] Une ide fausse commune est que HTTPS est lourd et les performances ne peuvent tre dployes sur des quipements existants. Ce n'est pas vrai, le dploiement HTTPS ne ncessite aucun quipement supplmentaire ou matriel spcial [1] [3] Dploiement HTTPS permet galement l'utilisation de SPDY, qui est conu pour rduire les temps de chargement des pages et la latence.. Il est recommand d'utiliser HTTP Strict Transport Security avec le protocole HTTPS pour protger les utilisateurs contre les attaques de type man-in-the-middle. [3] [4] En date du 22/06/2012 seulement 12,3% des 186.821 de l'Internet des sites Web les plus populaires ont une implmentation scurise HTTPS. Ce qui laisse 87,7% (163 776) ouvert certaines attaques. [5] Cette enqute est aliment par le test de Qualys SSL, dans lequel n'importe qui peut vrifier la mise en uvre d'un serveur HTTPS Web spcifi. HTTPS ne doit pas tre confondu avec le HTTP peu utilise (Secure S-HTTP) spcifi dans la RFC 2660

Diffrence par HTTP

URL HTTPS commencer par https:// et utiliser le port 443 par dfaut, tandis que les URL HTTP commencer par "http://" et utiliser le port 80 par dfaut. HTTP est prcaire et est soumis man-in-the-middle et les tentatives d'coute, qui peuvent laisser des attaquants d'accder des comptes site web et des informations sensibles. HTTPS est conu pour rsister de telles attaques et est considr comme scuris contre les attaques de ce type ( l'exception des anciennes versions obsoltes de SSL). couches rseau

HTTP fonctionne la couche la plus haute de la pile TCP / IP modle, la couche d'application; fait que le protocole de scurit SSL (fonctionnant comme une sous-couche infrieure de la mme couche), qui crypte un message HTTP avant la transmission et dchiffre un message l'arrive. Strictement parlant, HTTPS n'est pas un protocole distinct, mais se rfre l'utilisation de HTTP ordinaire sur une connexion crypte SSL / TLS. Tout dans le message HTTPS est chiffr, y compris les en-ttes, et la demande / rponse de charge. l'exception de l'attaque cryptographique possible CCA dcrit dans la section sur les limites ci-dessous, l'attaquant ne peut savoir le fait que la connexion est en cours entre les deux parties, dj connues de lui, le nom de domaine et les adresses IP.

Configuration du serveur
Pour prparer un serveur Web pour accepter des connexions HTTPS, l'administrateur doit crer un certificat de cl publique pour le serveur Web. Ce certificat doit tre sign par une autorit de certification pour le navigateur web de l'accepter sans avertissement. L'autorit atteste que le titulaire du certificat est l'oprateur du serveur web qu'elle prsente. Les navigateurs Web sont gnralement distribus avec une liste de certificats de signature de principales autorits de certification afin qu'ils puissent vrifier les certificats signs par eux.

L'acquisition de certificats
Certificats signs autorit peut tre libre [10] [11] ou de cot entre 8 $ US [12] et 1500 $ [13] par an. Toutefois, dans le cas des autorits de certification gratuits tels que CACert, les navigateurs populaires (par exemple Firefox, Chrome, Internet Explorer) peut ne pas inclure les certificats racines de confiance, ce qui peut provoquer des messages d'avertissement non fiables pour tre affich aux utilisateurs finaux. StartSSL est un exemple d'une offre de certificats gratuits avec le soutien de votre vaste. Les organisations peuvent galement grer leur propre autorit de certification, en particulier si elles sont responsables de la mise en place navigateurs d'accder leurs propres sites (par exemple, les sites sur un intranet, ou les grandes universits). Ils peuvent facilement ajouter des copies de leur certificat de signature propre aux certificats scuriss distribus avec le navigateur. Il existe galement une autorit de certification peer-to-peer, CACert.Utilisation en tant que contrle d'accs Le systme peut galement tre utilis pour l'authentification du client, afin de limiter l'accs un serveur Web pour les utilisateurs autoriss. Pour ce faire, l'administrateur de site cre gnralement un certificat pour chaque utilisateur, un certificat qui est charg dans sa / son navigateur. Normalement, qui contient le nom et l'adresse e-mail de l'utilisateur autoris et est automatiquement vrifie par le serveur chaque reconnexion pour vrifier l'identit de l'utilisateur, ce qui pourrait sans mme entrer un mot de passe.