HTTPS
יש להשלים ערך זה: בערך זה חסר תוכן מהותי. ייתכן שתמצאו פירוט בדף השיחה. | |
HTTPS (ראשי תיבות באנגלית של: Hypertext Transfer Protocol Secure) הוא פרוטוקול תקשורת לאבטחת מידע ברשתות מחשבים הנפוץ במיוחד באינטרנט. באופן רשמי, הוא אינו פרוטוקול תקשורת כשלעצמו, אלא שימוש בפרוטוקול HTTP על שכבת TLS ובכך מקנה יכולות אבטחה של ההצפנה לתקשורת HTTP רגילה.
בשימושו הנפוץ באינטרנט מקנה אימות של זהות האתר, ויוצר חיבור בין שרת אינטרנט ללקוח שיוצר עמו קשר כנגד התקפת אדם באמצע. בנוסף, השימוש מאפשר הצפנה דו-כיוונית של תעבורת המידע בין הלקוח לשרת, אשר מגינה מפני האזנת סתר או שינוי של תוכן המידע העובר בין הצדדים. כפועל יוצא, הפרוטוקול מבטיח כי גולש האינטרנט הניגש לאתר כלשהו, אכן יתקשר עם אותו האתר שהתכוון להתקשר עמו.
באופן היסטורי, HTTPS שימש בעיקר לפעולות העברת כספים ב-World Wide Web, דואר אלקטרוני והעברת מידע רגיש במערכות מידע של תאגידים. בסוף שנות ה-2000 ובתחילת העשור השני של המאה ה-21, השימוש ב-HTTPS נעשה רחב יותר וניתן היה לראות אימות נתונים בסוגים שונים של אתרים, אשר הקנו אבטחה לחשבונות משתמש, לתקשורת בין משתמשים, זהות המשתמש ומידע המאוחסן על ידו בשרתים.
השימוש ב-HTTPS חשוב במיוחד ברשתות לא מוצפנות, WiFi למשל, בהן כל משתמש באותה הרשת מסוגל לבצע "רחרוח" אחר תעבורת המידע הנשלחת ברשת ולגלות מידע רגיש. יתרה מזאת, גם רשתות שהשימוש בהן מוגבל יכולות לעשות שימוש במידע העובר דרכן ואף משנות אותו, לעיתים לצורכי פרסום ולעיתים גם באופן זדוני.
בחודש אוגוסט 2014 קבעו בגוגל את השימוש ב-HTTPS כ"גורם דירוג" (Ranking Factor) המשפיע בפועל על דירוג האתר בהצגת תוצאות החיפוש במנוע החיפוש גוגל.
סקירה
עריכהHTTPS אינו פרוטוקול תקשורת בפני עצמו, אלא יישום של פרוטוקול HTTP. הוא זהה לו מבחינת המבנה, אך מורה לדפדפן להוסיף שכבת הצפנה כדי להגן על תעבורת המידע. היישום של מודל TLS על פני HTTP מתאים במיוחד מפני שניתן לאבטח את המידע אפילו אם רק זהותו של צד אחד בתקשורת מאומתת. בתקשורת HTTP על גבי האינטרנט, זהותו של השרת (אתר) לרוב מאומתת על ידי השוואה בין Public key certificate של האתר לזה השמור בדפדפן.
הרעיון הבסיסי ב-HTTPS הוא ליצור ערוץ מאובטח על גבי רשת פרוצה. ערוץ זה מאפשר הגנה סבירה מפני האזנת סתר והתקפת אדם באמצע. זאת, בהסתמך על רמה סבירה של חליפת ההצפנה והיכולת לסמוך על תעודה מאומתת ואמינה.
בדפדפני האינטרנט שמור מראש (בעת ההתקנה) מידע אשר מאפשר להם לאמת את התעודה הנשלחת מהאתר. גורמים בעלי סמכות לנפק תעודה חייבים לקבל את אמונו של הדפדפן, בין אם מראש או בעקבות הוספה של התעודה לרשימה על ידי המשתמש. מסיבה זו ניתן לסמוך על חיבור HTTPS אם ורק אם מתקיימים התנאים הבאים:
- המשתמש בוטח שהדפדפן מיישם נכונה את פרוטוקול ה-HTTPS והתעודות שהותקנו בו מראש אמינים.
- המשתמש בוטח בגורמים המנפקים תעודות כי ינפקו אותן רק לאתרים לגיטימיים.
- האתר מנפק תעודה מאושרת על ידי סמכות.
- התעודה תואמת את האתר שהמשתמש ניגש אליו (כלומר, כאשר הדפדפן מבקר ב"https://example.com", התעודה תתאים ל"example.com" ולא לדומיין אחר.)
- התעודה בתוקף.
- תוצאת ה-hash של התעודה מתאימה לשדה ה-hash בתעודה. סעיף זה נעשה כדי לוודא את אמינות התעודה המכילה בין היתר גם מפתח ציבורי להמשך ההתקשרות.
קישורים חיצוניים
עריכה- בשיתוף ברק רום, העברת אתר ל-HTTPS ואבטחת מידע, בעיתון מקור ראשון, 24 ביוני 2018