Hyper Text Transfer Protocol Secure (HTTPS) to bezpieczna wersja protokołu HTTP. HTTPS jest stosowany do poufnej komunikacji internetowej, na przykład przy zawieraniu transakcji albo publikowaniu wiadomości w serwisach społecznościowych.
HTTPS jest protokołem internetowym inicjowanym poprzez sesję wymiany potwierdzeń (uzgadniania) SSL/TLS. W przeglądarkach internetowych takich jak Internet Explorer, Firefox i Chrome aktywne połączenie wykorzystujące protokół HTTPS jest sygnalizowane obecnością ikony kłódki na pasku adresu.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security) to standardowa technologia utrzymująca bezpieczeństwo połączenia przez protokół HTTP. Wykorzystuje ona algorytmy szyfrowania, które zapobiegają odczytywaniu i modyfikowaniu informacji przez nieuprawnione osoby lub systemy. Algorytmy uwierzytelniania wbudowane w protokole SSL/TLS gwarantują deklarowaną tożsamość punktu końcowego. TLS jest ulepszoną, bezpieczniejszą wersją protokołu SSL. Obecnie to właśnie protokół TLS jest najczęściej używany do ochrony ruchu internetowego. Tym niemniej określenie „SSL” jest nadal stosowane do opisywania technologii zabezpieczającej w sesjach łączności opartych na protokole HTTPS.
W tym podręczniku określenie SSL/TLS odnosi się do technologii SSL.
Aby można było nawiązać połączenie HTTPS między klientem a serwerem, jest potrzebny co najmniej jeden certyfikat tożsamości serwera. Posłuży on to uwierzytelniania.
Wymiana potwierdzeń SSL/TLS to pierwszy krok procesu inicjowania połączenia chronionego protokołem HTTPS. Podczas uzgadniania SSL/TLS serwer i klient wykonują procedury uwierzytelniania i negocjowania. Negocjują wersję protokołu TLS, algorytm wymiany kluczy oraz algorytm szyfrowania wymiany informacji. Cały używany zbiór algorytmów szyfrowania jest również nazywany zestawem szyfrów.
Przykład:
Poniżej przedstawiono schemat wyjaśniający główne etapy uzgadniania SSL/TLS między serwerem internetowym a przeglądarką.
Wymiana potwierdzeń SSL/TLSPrzeglądarka wysyła żądanie o nawiązanie połączenia HTTPS.
Serwer internetowy wysyła kopię swojego certyfikatu tożsamości z wbudowanym kluczem publicznym.
Przeglądarka weryfikuje certyfikat tożsamości i klucz publiczny.
Przeglądarka i serwer internetowy uzgadniają wspólny klucz szyfrowania.
Używając tego samego klucza wspólnego, przeglądarka i serwer internetowy szyfrują tekst, a następnie go odszyfrowują do zwykłego tekstu.
UWAGA
Aby zapewnić maksymalne bezpieczeństwo połączeń, dla każdej nowej sesji jest negocjowany i tworzony nowy klucz wspólny.