HTTPS. Использование SSL при обмене данными в Web

HTTPS — это протокол, который использует SSL для передачи НТТР-сообще- ний. Вся информация в коммуникационном взаимодействии между клиентом и сервером зашифровывается, включая и URL запроса. Сетевые анализаторы, перехватывающие передаваемый трафик, не смогут определить, к какому ресурсу осуществляется доступ (и с какими значениями параметров, если таковые имеются). Таким образом, запросы защищены от нарушения безопасности и постороннего вмешательства. В отличие от HTTP, в котором обычно используется порт 80 TCP, в HTTPS чаще всего используется порт 443. Необходимость отдельного порта обусловлена наличием выделенного сокета TCP/IP для обмена HTTPS-сообщениями.

Наиболее часто SSL используется совместно с HTTP, хотя могут применяться и другие протоколы ирикладиого уровш. Пользователи часто даже не замечают, что браузер использует SSL. Главные отличия состоят в том, что URL начинаются с https: вместо http:, а если процедура установления SSL-соедипения заканчивается неудачно, никакие реальные данные между клиентом и Web-сервером не передаются.

Следует отметить, что хотя HTTP является протоколом, не сохраняющим состояния, и HTTP-соединение может быть закрыто путем закрытия ТСР-соедине- пия, относящаяся к SSL информация может быть сохранена и повторно использована. Другими словами, пара клиент-сервер может продолжать безопасным образом взаимодействовать, если этим же браузером клиента осуществляется доступ к другому ресурсу на том же сайте. Новый сеанс SSL при этом устанавливать не нужно. В настоящее время ключи могут применяться в течение одного дня.

Многие версии популярных клиентских браузеров, таких как Netscape и Internet Explorer, а также многие популярные Web-серверы поддерживают SSL. Браузеры разрешают пользователям выбирать один из нескольких криптографических протоколов (например, SSL 2.0 или SSL 3.0). После выбора версии протокола возможна дополнительная настройка, такая как выбор метода шифрования. Например, браузер Netscape предоставляет несколько вариантов выбора метода шифрования для SSL 3.0, включая стандарт Data Encryption Standard (DES), принятый Национальным институтом стандартизации США (NIST), и ряд методов, разработанных фирмой RSA Company [RSA], таких как RC2 и RC4.

Является спорным, достаточно ли подготовлено большинство пользователей браузеров, чтобы понимать различия между версиями протокола SSL. Еще менее осознанно они смогут сделать выбор метода шифрования. В связи с этим настройки по умолчанию для сайта имеют важное значение, в конечном итоге они определяют реальный уровень безопасности для пользователей этого сайта. Браузеры также имеют возможность предупреждать пользователей о сайтах, использующих сертификаты, которые не вызывают достаточного доверия, или у которых исгек срок действия сертификатов.

Обычно браузеры отображают значок (закрытый замок), если соединение использует SSL.

Источник: Web-протоколы. Теория и практика. — M.: ЗАО «Издательство БИНОМ», 2002 г. – 592 c.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100