Hyper Text Transfer Protocol Secure (HTTPS) is de veilige versie van HTTP. HTTPS wordt gebruikt voor vertrouwelijke internetcommunicatie, bijvoorbeeld voor online transacties en de uitwisseling van berichten op sociale media.
HTTPS is een internetprotocol dat tot stand wordt gebracht via een sessie SSL/TLS-handshake. In webbrowsers zoals Internet Explorer, Firefox en Chrome wordt het hangslotpictogram in de adresbalk weergegeven om aan te geven dat een HTTPS-verbinding actief is.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security) is standaardtechnologie om de HTTP-verbinding veilig te houden. Er worden versleutelingsalgoritmen gebruikt om te voorkomen dat gegevens kunnen worden gelezen en gewijzigd door ongeautoriseerde personen of systemen. De verificatiealgoritmen van SSL/TLS bieden de gegarandeerde identiteit van het eindpunt. TLS is een bijgewerkte en veiligere versie van SSL. Tegenwoordig is TLS de primaire methode voor het beveiligen van internetverkeer. De term SSL wordt echter nog altijd gebruikt om de beveiligingstechnologie van HTTPS-sessies te beschrijven.
In deze handleiding gebruiken we SSL/TLS om te verwijzen naar de SSL-technologie.
Om een HTTPS-verbinding tussen een client en een server tot stand te brengen, is in elk geval het identiteitscertificaat van de server vereist voor verificatie.
De sessie SSL/TLS-handshake is de eerste stap om een HTTPS-verbinding te starten. Tijdens de SSL/TLS-handshake voeren de server en de client verificatie- en onderhandelingsprocedures uit. Ze onderhandelen over de TLS-versie, het algoritme voor sleuteluitwisseling en het algoritme om de gegevensuitwisseling te versleutelen. De verzameling versleutelingsalgoritmen wordt ook wel een coderingssuite genoemd.
Voorbeeld:
Hieronder vindt u een schema waarin de belangrijkste stappen van de SSL/TLS-handshake tussen een webserver en een browser worden uitgelegd.
SSL/TLS-handshakeDe browser vraagt een HTTPS-verbinding aan.
De webserver verzendt een kopie van het ingesloten identiteitscertificaat met de openbare sleutel.
De browser verifieert het identiteitscertificaat en de openbare sleutel.
De browser en webserver gaan akkoord met een gedeelde coderingssleutel.
De browser en webserver gebruiken dezelfde gedeelde sleutel om tekst zonder opmaak te versleutelen in coderingstekst en coderingstekst te ontsleutelen in tekst zonder opmaak.
OPMERKING
Om de beveiliging van de verbinding te garanderen, wordt voor elke nieuwe sessie een nieuwe gedeelde sleutel overeengekomen en gemaakt.