HTTPS
(Hypertext Transfer Protocol Secure) je v
informatice
protokol
umo??ujici zabezpe?enou komunikaci v
po?ita?ove siti
. HTTPS vyu?iva protokol
HTTP
spolu s protokolem
SSL
nebo
TLS
. HTTPS je vyu?ivan p?edev?im pro komunikaci weboveho prohli?e?e s
webovym serverem
. Zaji??uje autentizaci, d?v?rnost p?ena?enych dat a jejich integritu. Standardni
port
na stran? serveru je 443 TCP.
Aspekt ov??ovani HTTPS vy?aduje, aby podepisovala digitalni certifikaty na stran? serveru d?v?ryhodna t?eti strana. Jednalo se o historicky nakladnou operaci, co? znamenalo, ?e pln? ov??ena p?ipojeni HTTPS byla obvykle nalezena pouze na zabezpe?enych slu?bach platebnich transakci a dal?ich zabezpe?enych podnikovych informa?nich systemech na World Wide Web. V roce 2016 vedla kampa? Electronic Frontier Foundation s podporou vyvoja?? webovych prohli?e?? k tomu, ?e se protokol stal b??n?j?im.
[1]
Protokol HTTPS byl v roce 1994 vyvinut spole?nosti
Netscape Communications
pro
webovy prohli?e?
Netscape Navigator
[2]
.
V?eobecn? se doporu?uje podporovat HTTPS misto nezabezpe?eneho HTTP pro v?echny webove stranky.
[3]
[4]
[5]
[6]
[7]
[8]
Bezpe?nost komunikace zaru?uje protokol
SSL
anebo nov?j?i
TLS
[9]
. Pomoci
asymetricke kryptografie
je ov??ena identita weboveho serveru, voliteln? i klienta. Pote nasleduje dohoda na kli?i pro
symetricke ?ifrovani
samotne komunikace (z vykonnostnich d?vod?). Kli? pro symetrickou ?ifru je bu? vybran klientem a nebo dohodnut pomoci
Diffieho-Hellmanovy vym?ny kli?e
pro dosa?eni
dop?edne bezpe?nosti
.
Pro SSL a TLS je zasadni
infrastruktura ve?ejneho kli?e
a
X.509
certifikaty, diky nim? probiha autentizace. Pro usp??ne ov??eni identity je nutna d?v?ra v zaslany certifikat, ktera nej?ast?ji byva zprost?edkovana n?kterou z
certifika?nich autorit
, jejich? certifikaty jsou v ulo?i?ti d?v?ryhodnych certifikat? opera?niho systemu nebo aplikace (nap?iklad weboveho prohli?e?e). V?t?ina certifika?nich autorit vystavuje certifikaty na komer?ni bazi (
Symantec
,
Verisign
,
COMODO
,
Thawte
a jine), av?ak existuji i certifika?ni autority vystavujici certifikaty bezplatn? jako nap?iklad
Let's Encrypt
,
StartSSL
a jine. Do ulo?i?t? d?v?ryhodnych certifikat? lze doinstalovat dal?i certifika?ni autority.
Nepoda?i-li se certifikat ov??it automaticky, je mo?ne na u?ivatel?v pokyn pokra?ovat bez ov??eni (ov?em se zvy?enym rizikem
Man in the middle
utoku) anebo ov??eni provest jinym zp?sobem manualn?.
Mira bezpe?nosti zavisi na chovani u?ivatele, na implementaci protokol? ve
webovem prohli?e?i
a
webovem serveru
, spravne konfiguraci a na d?v?ryhodnosti certifika?nich autorit.
-
Zobrazeni informace o zabezpe?eni v adresnim ?adku.
-
Zobrazeni informace o zabezpe?eni v panelu stranky.
-
Varovani p?ed nezabezpe?enym HTTPS spojenim.
- ov??eni identity
- d?v?rnost p?ena?enych dat
- integrita obsahu
- mo?nost vyu?iti
HTTP/2
protokolu
- zvyhodn?ni ve vyhledava?i
Google
[10]
[11]
- jen nepatrny pokles vykonu u nov?j?iho hardwaru
[12]
[13]
Kryptograficke algoritmy, ktere se dnes b??n? pou?ivaji v HTTPS, obecn? neposkytuji ochranu proti (dnes hypotetickym)
kvantovym po?ita??m
(nap?. algoritmus
RSA
svou bezpe?nost odvozuje od slo?itosti
faktorizace
, kterou by v?ak
Shor?v algoritmus
na kvantovem po?ita?i dokazal provad?t v polynomialnim ?ase). Pokud by se tedy poda?ilo sestrojit prakticky pou?itelny kvantovy po?ita? dostate?ne kapacity, bezpe?nost internetove komunikace by byla prolomena. Toto riziko se sna?i eliminovat vyvoj tzv.
postkvantove kryptografie
. Pokud v?ak n?jaky uto?nik dnes zaznamenava cizi internetovou komunikaci zabezpe?enou HTTPS, tak by sice zatim nem?l byt schopen ji de?ifrovat, av?ak v budoucnu, jakmile budou k dispozici kvantove po?ita?e, by tuto ulo?enou komunikaci mohl de?ifrovat zp?tn?.
[14]
Navzdory roz?i?enemu nazoru, ?e HTTPS je nutne pouze pro weby pracujici s citlivymi udaji, je mnohymi organizacemi
[3]
[5]
[7]
[8]
a odborniky
[4]
[15]
[16]
doporu?eno pou?ivat HTTPS na v?ech webech. HTTPS p?edstavuje u?innou obranu proti vkladani ne?adouciho obsahu (
malware
, nevy?adane reklamy…)
[17]
[18]
poskytovatelem internetoveho p?ipojeni ?i jinym uto?nikem. Dal?im vyznamnym d?vodem pro nasazeni HTTPS je mo?nost ukon?eni podpory HTTP ve webovych prohli?e?ich a v d?sledku toho odstran?ni rizika
SSL-stripping utoku
.
Prvnim krokem pro nasazeni HTTPS je ziskani certifikatu od n?ktere z
certifika?nich autorit
nebo vygenerovani self-signed certifikatu. Pote nasleduje konfigurace web serveru, kde je d?le?ity zejmena vyb?r ?ifrovacich sad. S konfiguraci m??e pomoci online nastroj
Mozilla SSL Configuration Generator
. Bezpe?nost weboveho serveru je vhodne otestovat. K tomuto u?elu mohou byt pou?ity nap?iklad online nastroje
Qualys SSL Labs
,
CryptCheck
nebo
Observatory by Mozilla
.
Po nasazeni HTTPS je nutne pravideln? obnovovat certifikat, jeho? platnost typicky m??e byt od 1 do 3 let. V p?ipad? certifika?ni autority
Let's Encrypt
je platnost certifikatu pouze 90 dni, ale cely proces m??e byt zautomatizovan.
[19]
Zabezpe?eni HTTPS je mo?ne zvy?it n?kterymi technikami jakymi jsou nap?iklad
HSTS
,
HPKP
,
CAA
a
TLSA
zaznamy v
DNS
(je vhodne mit
DNSSEC
).
V ?ervnu 2018 podporovalo HTTPS protokol jako vychozi 35,3 % web? ze seznamu
Alexa top 1,000,000
[20]
. Dle udaj? Firefox Telemetry bylo na konci ?ervna 2018 na?teno prost?ednictvim protokolu HTTPS 69% webovych stranek
[21]
.
Od ledna 2017 za?al prohli?e? Chrome ozna?ovat
webove stranky
, ktere p?ijimaji od u?ivatele citlive informace bez pou?iti HTTPS protokolu. Od teto zm?ny se o?ekava vyrazny nar?st pou?iti HTTPS.
[7]
- ↑
Electronic prescriptions to be introduced nationally from November 2019.
The Pharmaceutical Journal
. 2019.
Dostupne online
[cit. 2022-04-04].
ISSN
2053-6186
.
DOI
10.1211/pj.2019.20207220
.
- ↑
WALLS, Colin.
Embedded Software: The Works
. [s.l.]: Elsevier, 2006. 390 s.
Dostupne online
.
ISBN
0750679549
,
ISBN
9780750679541
. S. 344.
- ↑
a
b
Why HTTPS Matters | Web | Google Developers.
Google Developers
[online]. [cit. 2017-02-17].
Dostupne online
. (anglicky)
- ↑
a
b
Why We Encrypt - Schneier on Security.
www.schneier.com
[online]. [cit. 2017-02-17].
Dostupne online
.
- ↑
a
b
MORGAN, Cindy.
IAB Statement on Internet Confidentiality | Internet Architecture Board
[online]. [cit. 2017-02-17].
Dostupne online
.
- ↑
Securing the Web.
www.w3.org
[online]. [cit. 2017-02-17].
Dostupne online
. (anglicky)
- ↑
a
b
c
Moving towards a more secure web.
Google Online Security Blog
.
Dostupne online
[cit. 2017-02-01]. (anglicky)
- ↑
a
b
Marking HTTP As Non-Secure - The Chromium Projects.
www.chromium.org
[online]. [cit. 2017-02-17].
Dostupne online
.
- ↑
RESCORLA, E. HTTP Over TLS.
tools.ietf.org
[online]. [cit. 2017-02-17].
Dostupne online
. (anglicky)
- ↑
Pou?iti kanonickych adres URL - Napov?da Search Console.
support.google.com
[online]. [cit. 2017-02-17].
Dostupne online
.
- ↑
Google Starts Giving A Ranking Boost To Secure HTTPS/SSL Sites.
Search Engine Land
. 2014-08-07.
Dostupne online
[cit. 2017-02-17]. (anglicky)
- ↑
LANGLEY, Adam. ImperialViolet - Overclocking SSL.
www.imperialviolet.org
[online]. [cit. 2017-02-17].
Dostupne online
. (anglicky)
- ↑
Analyzing HTTPS Performance Overhead.
KeyCDN Blog
. 2015-12-17.
Dostupne online
[cit. 2017-02-17]. (anglicky)
- ↑
How future quantum computers will threaten today's encrypted data.
phys.org
[online]. 2017-09-14 [cit. 2021-12-28].
Dostupne online
. (anglicky)
- ↑
KR?MA?, Petr. HTTPS by m?lo byt v?ude - Root.cz.
Root.cz
.
Dostupne online
[cit. 2017-02-17].
- ↑
P?edna?ka HTTPS v?ude. A pro? vlastn?? (F5 forum).
www.michalspacek.cz
[online]. [cit. 2017-02-17].
Dostupne online
.
- ↑
NAKIBLY, Gabi; SCHCOLNIK, Jaime; RUBIN, Yossi. Website-Targeted False Content Injection by Network Operators.
arxiv.org
[online]. 2016-02-29.
Dostupne online
. (anglicky)
- ↑
Verizon Injecting Perma-Cookies to Track Mobile Customers, Bypassing Privacy Controls.
Electronic Frontier Foundation
. 2014-11-03.
Dostupne online
[cit. 2017-02-17].
- ↑
ACME Client Implementations - Let's Encrypt - Free SSL/TLS Certificates.
letsencrypt.org
[online]. [cit. 2017-02-17].
Dostupne online
. (anglicky)
- ↑
HTTPS usage statistics on top websites.
STATOPERATOR
.
Dostupne v archivu
po?izenem dne 2019-02-09. (anglicky)
- ↑
Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates.
letsencrypt.org
[online]. [cit. 2018-06-28].
Dostupne online
. (anglicky)