Https-порт - протокол безпечного зв 'язку

Https-порт - протокол безпечного зв 'язку

Https-порт - це протокол безпечного зв 'язку в комп' ютерній мережі, який широко використовується в Інтернеті. Https складається з зв 'язку за протоколом передачі гіпертексту (http) в рамках з' єднання, зашифрованого Security Transport Layer Security (або Secure Sockets Layer). Основним призначенням порту https є автентифікація відвідуваного веб-сайту і захист конфіденційності та цілісності обмінних даних.

Https забезпечує автентифікацію веб-сайту та пов 'язаного з ним веб-сервера, з яким він обмінюється даними. Також цей протокол забезпечує двонаправлене шифрування повідомлень між клієнтом і сервером, яке захищене від підслуховування та підробки вмісту повідомлення. На практиці це забезпечує гарантію того, що користувач спілкується з потрібним сайтом (не з сайтом-підробкою) і обмін даними між користувачем і ресурсом є конфіденційним.


Https-порт: історична довідка

Https створила компанія Netscape Communications 1994 року для свого веб-браузера Netscape Navigator. Спочатку https використовувався з протоколом SSL. У міру того як SSL перетворився на систему безпеки транспортного рівня (TLS), https був офіційно визначений RFC 2818 у травні 2000 року.

Історично https-з 'єднання в основному використовувалися для платіжних операцій в World Wide Web (Всесвітній павутині), електронній пошті і для конфіденційних транзакцій в корпоративних інформаційних системах. Наприкінці 2000-х і на початку 2010-х рр. https-протокол почав широко використовуватися для захисту автентифікації сторінок на всіх типах веб-сайтів, забезпечення безпеки облікових записів і конфіденційності користувачів, особистих даних і приватного перегляду веб-сторінок.

Використання у веб-сайтах

Станом на червень 2017 року 21,7% веб-сайтів, що налічують понад 1 000 000 користувачів, використовують https за замовчуванням. 43,1% найпопулярніших веб-сайтів у мережі Інтернет налічують 141 387 користувачів, які мають безпечну реалізацію https. Згідно з даними звіту Firefox Telemetry 45% завантажень сторінок застосовують https-протоколювання.

Відповідно до звітів Mozilla з січня 2017 року більше половини веб-трафіку передається в зашифрованому вигляді.

Інтеграція переглядача

Більшість переглядачів показують попередження, якщо вони отримують неприпустимий сертифікат. Старі переглядачі при підключенні до сайту з неприпустимим сертифікатом повинні надати користувачеві діалогове вікно з питанням про те, чи хочуть вони продовжити перехід на ресурс. Нові переглядачі відображають попередження у всьому вікні.

Більш нові браузери також бачать інформацію про безпеку сайту в адресному рядку. Розширені сертифікати перевірки відзначають адресний рядок зеленим кольором у нових браузерах. Більшість переглядачів також показують попередження користувачеві при відвідуванні сайту, що містить суміш зашифрованого та незашифрованого контенту.


Безпека протоколу https-порту

Безпека https - це базова TLS, яка зазвичай використовує довгострокові загальнодоступні і закриті ключі для генерації короткострокового ключа сеансу, який потім застосовується для шифрування потоку даних між клієнтом і сервером. Сертифікати X.509 використовуються для автентифікації сервера (а іноді і клієнта). Як наслідок, вони і сертифікати відкритих ключів необхідні для перевірки зв 'язку між сертифікатом і його власником, а також для створення, підписання та адміністрування дійсності сертифікатів.

Важливою властивістю в цьому контексті є пряма секретність, яка гарантує, що зашифровані повідомлення, записані в минулому, не можуть бути відновлені і дешифровані, якщо в майбутньому будуть скомпрометовані довгострокові секретні ключі або паролі. Не всі веб-сервери забезпечують пряму секретність - це залежить від того, який порт https-з 'єднання використовується.

Обмеження

Https-порт вразливий для низки атак з аналізом трафіку. Цей вид атаки відбувається на боці каналу, залежить від зміни часу і розміру трафіку і дискредитує властивості зашифрованого контенту. Аналіз трафіку можливий, оскільки шифрування SSL/TLS змінює вміст трафіку, але має мінімальний вплив на його розмір і час.

У травні 2010 року дослідники компанії Microsoft Research і Університету Індіани виявили, що докладні конфіденційні користувальницькі дані можуть бути виведені з бічних каналів, таких як розміри пакетів. Експерти з 'ясували, що підслуховуючий пристрій може отримувати конфіденційні дані користувачів.

У червні 2014 року група дослідників з UC Berkeley і Intel на чолі з Бредом Міллером продемонструвала узагальнений підхід до аналізу трафіку https-порту на основі машинного навчання. Дослідники продемонстрували, що атака застосовувалася до цілої низки веб-сайтів, включаючи такий популярний ресурс, як YouTube. Виявлено, що зловмисник може відвідувати ті ж веб-сторінки, що і жертва, для збору мережевого трафіку, який служить навчальними даними.

Потім зловмисник ідентифікує схожості в розмірах пакетів і порядках між трафіком жертви і трафіком даних навчання - це дозволяє зловмиснику виводити точну сторінку, яку відвідує жертва. Також виявлено, що атака не може використовуватися для виявлення користувацьких значень, вбудованих у веб-сторінку. Наприклад, багато банків пропонують веб-інтерфейси, які дозволяють користувачам переглядати залишки на рахунках. Зловмисник зможе виявити, що користувач переглядав сторінку балансу аккаунта, але не зможе дізнатися точний баланс користувача або номер рахунку.