WebブラウザとWebサーバーの間で、攻撃者が傍受した場合、HTTPプロトコルは、情報を送信するために、Webブラウザ、Webサーバとの間で使用されるハイパーテキスト転送プロトコル、平文で送信されたHTTPコンテンツは、どのような方法でデータの暗号化を提供していませんクレジットカード番号、パスワードやその他のお支払い情報:メッセージを送信し、あなたが直接に情報を読み取ることができ、そのため、HTTP伝送プロトコルは、次のような、機密情報には適していません。
この欠点のHTTPプロトコルに対処するには、別のプロトコルを使用する必要があります:セキュアソケットレイヤのハイパーテキスト転送プロトコルHTTPSを、安全なデータ伝送のために、HTTPSはHTTPに基づいて、SSLプロトコルを追加した場合、SSLサーバを認証するための証明書に依存していますブラウザとサーバ間の通信のためのIDと暗号化。
.HTTPとHTTPSの基本的な概念:
HTTP:インターネットで最も広く使用されているネットワークプロトコル、クライアントとサーバー側の要求と応答の標準(TCP)、ローカルブラウザにWWWサーバからの送信のためのハイパーテキスト転送プロトコルであり、それはブラウジングを行うことができますネットワークトラフィックが減少するようにそれは、より効率的です。
HTTPS:HTTPは、対象チャネルのための安全で、簡単に、HTTP、HTTP追加SSL層、HTTPSセキュリティインフラストラクチャは、SSL、暗号化であるため、詳細はSSLにする必要がありますの安全なバージョンです。
HTTPSプロトコルの主な役割は、2つのタイプに分けることができる:一つは、データ伝送のセキュリティを確保するために、情報セキュリティのチャネルを確立することであり、他のサイトの真正性を確認することです。
二.HTTPとの違いは何ですかHTTPS?
HTTPデータ伝送プロトコルは、プレーンテキストは、したがって、データ伝送のプライバシーを確保するために、安全でない個人情報は、暗号化することができますされたHTTPプロトコルを使用して送信され、暗号化されていないので、とのNetscape SSL(Secure Sockets Layer)プロトコルを設計しデータ伝送のためのHTTPプロトコルは、このように、暗号化されたHTTPSを生まれました。簡単に言えば、HTTPSプロトコルはSSL + HTTPプロトコルから構成された伝送は、httpプロトコルのセキュリティよりもネットワーク認証プロトコルを暗号化することができます。
主な違い:
1、httpsプロトコルは、このように料金が必要、一般にあまりフリー証明書、証明書を申請する必要があるCA。
図2は、HTTPの情報は、HTTPSは、セキュリティSSL転送プロトコルで暗号化され、平文で送信され、ハイパーテキスト転送プロトコルです。
図3は、HTTPおよびHTTPSの使用が完全に異なる接続である、ポートと同じではない、前者は443であり、80です。
図4は、HTTP接続が非常に簡単であり、ステートレスであり、セキュリティよりも、伝送プロトコル、ネットワーク認証プロトコル、HTTPプロトコルを暗号化されたHTTPSプロトコルSSL + HTTPによって構成されています。
三点の.HTTPS作品:
図に示すように、サーバ・ウェブと通信するためにHTTPSを使用する場合、クライアントは、以下のステップを有します。
(1)顧客がWebサーバーにアクセスするために、HTTPS URLを使用するには、WebサーバーへのSSL接続が必要です。
(2)Webサーバーがクライアント要求を受信した後、証明書情報をクライアントにコピーを送信する(証明書は、公開鍵を含む)サイトになります。
(3)クライアントのブラウザとWebサーバーのセキュリティレベルは、情報のレベルを、暗号化されたSSL接続を、交渉を始めました。
(4)セキュリティレベルに応じて、クライアントのブラウザは、セッションキーを確立し、その後、セッションキーを暗号化してサイトに送信するために、サイトの公開キーを使用することに合意しました。
(5)セッションキーを解読するために、自分の秘密鍵を使用して、Webサーバーを。
(6)クライアントと暗号化されたセッションキーの間の通信を使用して、Webサーバー。
IV。HTTPSの利点:
HTTPSは、絶対に安全ではありませんが、マスター権限のルート証明書は、組織の暗号化アルゴリズムはまた、攻撃の中間成形することができ習得するが、HTTPSは、主に次のような利点には、最も安全なソリューションの既存の枠組みの中です。
(1)HTTPSプロトコルを使用するユーザとサーバを認証することができる、正しいクライアントとサーバことを保証するためにデータを送信します。
(2)HTTPSプロトコルはSSL + HTTPデータの整合性を保証するために、伝送中に盗難から変更データを防止するために、伝送プロトコル、ネットワーク認証プロトコル、セキュリティよりhttpプロトコルを、暗号化することによって構築されます。
(3)HTTPS既存の枠組みの下では絶対的なものではないセキュリティが、最も安全な解決策であるが、それは大幅に仲介攻撃のコストを増加させます。
(4)Googleの検索エンジンのアルゴリズムは言って、2014年8月に調整した「検索結果で暗号化されたサイトの順位は高くなりますHTTPSを使用して、同じHTTPサイトと比較すると。」
V. HTTPSの短所:
HTTPSは、大きな利点を持っていますが、比較的に欠点それでも、話すものの:
(1)HTTPSプロトコルハンドシェイク時間がかかり、消費電力の20%に延長約50%、10%をロードするページを引き起こす可能性があります。
(2)効率的なHTTPほど良好HTTPS接続キャッシュは、も既存のセキュリティ対策も影響され、データオーバヘッドおよび電力消費を増加させます。
(3)SSL証明書は、お金が必要、高コストの証明書は、個人用サイトは、小規模なサイトは、一般的に使用していない、より強力な必要はありません。
(4)SSL証明書は通常、同じIPに複数のドメイン名をバインドすることはできません、IPをバインドする必要があり、IPv4のリソースは、この消費をサポートする可能性は低いです。
暗号化の範囲(5)HTTPSプロトコルは、サービス拒否攻撃、ハイジャックや他のサーバーの否認条項は、ほぼすべての効果を達成することはありません、ハッカーの攻撃では、比較的限られています。最も重要な、SSL証明書の信用チェーンシステムは、特に特定の国でのCAルート証明書、できるだけmiddle攻撃で男を制御することができ、安全ではありません。