Тематические статьи →

HTTPS — защищенный протокол передачи гипертекста

HTTPS — рас­ши­ре­ние про­то­кола HTTP, под­дер­жи­ва­ю­щее шиф­ро­ва­ние. Пере­да­ва­е­мые по про­то­колу HTTPS дан­ные зашиф­ро­ва­ны, что обес­пе­чи­вает защиту от про­слу­ши­ва­ния. HTTPS широко исполь­зу­ется в мире и под­дер­жи­ва­ется всеми попу­ляр­ными браузерами.

HTTPS (HyperText Transfer Protocol Secure) — это не отдель­ный протокол, а рас­ши­ре­ние обыч­ного HTTP, рабо­та­ю­щего через шиф­ро­ван­ные транс­порт­ные меха­низмы SSL или TLS. HTTPS обеспечивает защиту от атак, осно­ван­ных на про­слу­ши­ва­нии сете­вого соеди­не­ния, то есть от сниф­фер­ских атак и атак типа man-in-the-middle.

В отли­чие от HTTP, кото­рый использует TCP-порт 80, для HTTPS по умол­ча­нию исполь­зу­ется TCP-порт 443. Чтобы под­го­то­вить веб-сер­вер для обра­ботки https-соеди­не­ний, адми­ни­стра­тор дол­жен полу­чить и уста­но­вить в систему SSL-сер­ти­фи­кат для этого веб-сер­вера.

SSL-сер­ти­фи­кат — это сво­его рода «элек­трон­ный пас­порт» сай­та, в кото­ром он под­твер­жда­ет, что он дей­стви­тельно тот сайт, за кото­рый выдает себя. Сер­ти­фи­кат сайта при­зван допол­ни­тельно под­твер­ждать, что этот сайт – дей­стви­тельно сайт бан­ка, пла­теж­ной системы и т.д. SSL-сер­ти­фи­кат, как и вся­кий пас­порт, хра­нит раз­лич­ные дан­ные: наиме­но­ва­ние орга­ни­за­ции и под­раз­де­ле­ния, стра­ну, реги­он, город и имя сер­вера, для кото­рого дан­ный сер­ти­фи­кат был создан.

Так­же, для нор­маль­ной работы HTTPS, SSL-сер­ти­фи­кат дол­жен быть под­пи­сан орга­ни­за­ци­ей, кото­рой дове­ряют все. В слу­чае SSL-сер­ти­фи­катов такими орга­ни­за­ци­ями явля­ются цен­тры сер­ти­фи­ка­ции. И если сер­ти­фи­кат под­пи­сан надёжным центром сер­ти­фи­ка­ции, то считается, что он содер­жит пра­виль­ную и соот­вет­ству­ю­щую дей­стви­тельности информацию.

Сер­ти­фи­кат состоит из 2 частей (2 клю­чей) — public и private. Public-часть сер­ти­фи­ката исполь­зу­ется для зашиф­ро­ва­ния тра­фика от кли­ента к сер­веру в защи­щён­ном соеди­не­нии, private-часть — для рас­шиф­ро­ва­ния полу­чен­ного от кли­ента зашиф­ро­ван­ного тра­фика на сер­вере. В HTTPS для шиф­ро­ва­ния исполь­зу­ются ключи дли­ной 40, 56, 128 или 256 бит. Реально надёж­ными явля­ются ключи от 128 бит.

Сто­и­мость сер­ти­фи­катов сильно раз­нится в зави­си­мо­сти от цен­тра сер­ти­фи­ка­ции и от «наво­ро­чен­но­сти» сер­ти­фи­ката, наи­бо­лее доро­гими явля­ются EV-сер­ти­фи­каты (Extended Validation Certificates) — их сто­и­мость может состав­лять более 1000 евро в год, а про­цесс их полу­че­ния тре­бует предо­став­ле­ния доста­точно объ­ём­ного пакета доку­мен­тов.

Суще­ствуют и сер­ти­фи­каты, которые «сде­ланы сво­ими руками», то есть без уча­стия цен­тра сер­ти­фи­ка­ции. Они назы­ва­ются самопод­пи­санными. Тех­ни­че­ски, они обес­пе­чи­вают абсолютно идентичное шиф­ро­ва­ние, но для исполь­зо­ва­ния на публичных сайтах самопод­пи­санные сер­ти­фи­каты не годят­ся, так как для их нор­маль­ной работы тре­бу­ются настройки на сто­роне поль­зо­ва­теля сай­та, без них бра­у­зер будет сооб­щать поль­зо­ва­те­лю, что дан­ное соеди­не­ние не явля­ется доверенным.

Поделитесь с друзьями:


Информация о публикации:

Материал опубликован в 2014 году. Эта ста­тья о веб-разработке. При пере­пуб­ли­ка­ции обя­за­тельно ука­за­ние пер­во­ис­точ­ника в виде гипер­тек­сто­вой ссылки на сайт web-creator.ru

Воспользуйтесь нашими
знаниями и опытом

Отправьте нам сообщение при помощи формы. Или напишите на e-mail s@web-creator.ru

Мы максимально оперативно ответим Вам по электронной почте или перезвоним.

При отправке сообщения через форму, укажите пожалуйста предпочтительный способ связи с Вами: телефон или адрес электронной почты. Мы сможем ответить Вам подробнее, если Вы напишете что-то о запланированном проекте или предполагаемых задачах.

Либо просто позвоните нам по номеру: +7 495 215-1501

Мы работаем по будним дням с 10 до 19 часов.

Комплексные услуги

Реализация «под ключ» проектов по созданию различных видов сайтов, разработка веб-приложений для автоматизации бизнес-процессов, ведение контекстных и медийных рекламных кампаний, поисковое продвижение, комплексная поддержка веб-проектов, консалтинговые услуги.