Https-порт — это протокол безопасной связи в компьютерной сети, который широко используется в Интернете. Https состоит из связи по протоколу передачи гипертекста (http) в рамках соединения, зашифрованного Security Transport Layer Security (или Secure Sockets Layer). Основным назначением порта https является аутентификация посещаемого веб-сайта и защита конфиденциальности и целостности обменных данных.
Https обеспечивает аутентификацию веб-сайта и связанного с ним веб-сервера, с которым он обменивается данными. Также данный протокол обеспечивает двунаправленное шифрование сообщений между клиентом и сервером, которое защищено от подслушивания и подделки содержимого сообщения. На практике это обеспечивает гарантию того, что пользователь общается с нужным сайтом (не с сайтом-подделкой) и обмен данными между пользователем и ресурсом является конфиденциальным.
Https-порт: историческая справка
Вам будет интересно:Главный тормозной цилиндр ВАЗ-2109: устройство, схема и отзывы
Https создала компания Netscape Communications в 1994 году для своего веб-браузера Netscape Navigator. Первоначально https использовался с протоколом SSL. По мере того как SSL превратился в систему безопасности транспортного уровня (TLS), https был официально определен RFC 2818 в мае 2000 года.
Исторически https-соединения в основном использовались для платежных операций в World Wide Web (Всемирной паутине), электронной почте и для конфиденциальных транзакций в корпоративных информационных системах. В конце 2000-х и начале 2010-х гг. https-протокол начал широко использоваться для защиты аутентификации страниц на всех типах веб-сайтов, обеспечения безопасности учетных записей и конфиденциальности пользователей, личных данных и приватного просмотра веб-страниц.
Использование в веб-сайтах
По состоянию на июнь 2017 года 21,7% веб-сайтов, насчитывающих более 1 000 000 пользователей, используют https по умолчанию. 43,1% самых популярных веб-сайтов в сети Интернет насчитывают 141 387 пользователей, которые имеют безопасную реализацию https. Согласно данным отчета Firefox Telemetry 45% загрузок страниц применяют https-протоколирование.
В соответствии с отчётами Mozilla с января 2017 года более половины веб-трафика передается в зашифрованнном виде.
Интеграция браузера
Большинство браузеров отображают предупреждение, если они получают недопустимый сертификат. Старые браузеры при подключении к сайту с недопустимым сертификатом должны предоставить пользователю диалоговое окно с вопросом о том, хотят ли они продолжить переход на ресурс. Новые браузеры отображают предупреждение во всем окне.
Более новые браузеры также видят информацию о безопасности сайта в адресной строке. Расширенные сертификаты проверки отмечают адресную строку зеленым цветом в новых браузерах. Большинство браузеров также отображают предупреждение пользователю при посещении сайта, содержащего смесь зашифрованного и незашифрованного контента.
Безопасность протокола https-порта
Безопасность https — это базовая TLS, которая обычно использует долгосрочные общедоступные и закрытые ключи для генерации краткосрочного ключа сеанса, который затем применяется для шифрования потока данных между клиентом и сервером. Сертификаты X.509 используются для аутентификации сервера (а иногда и клиента). Как следствие, они и сертификаты открытых ключей необходимы для проверки связи между сертификатом и его владельцем, а также для создания, подписания и администрирования действительности сертификатов.
Важным свойством в этом контексте является прямая секретность, которая гарантирует, что зашифрованные сообщения, записанные в прошлом, не могут быть восстановлены и дешифрованы, если в будущем будут скомпрометированы долгосрочные секретные ключи или пароли. Не все веб-серверы обеспечивают прямую секретность — это зависит от того, какой порт https-соединения используется.
Ограничения
Https-порт уязвим для ряда атак с анализом трафика. Данный вид атаки происходит на стороне канала, зависит от изменения времени и размера трафика и дискредитирует свойства зашифрованного контента. Анализ трафика возможен, поскольку шифрование SSL/TLS изменяет содержимое трафика, но оказывает минимальное влияние на его размер и время.
В мае 2010 года исследователи компании Microsoft Research и Университета Индианы обнаружили, что подробные конфиденциальные пользовательские данные могут быть выведены из боковых каналов, таких как размеры пакетов. Эксперты выяснили, что подслушивающее устройство может получать конфиденциальные данные пользователей.
В июне 2014 года группа исследователей из UC Berkeley и Intel во главе с Брэдом Миллером продемонстрировала обобщенный подход к анализу трафика https-порта на основе машинного обучения. Исследователи продемонстрировали, что атака применялась к целому ряду веб-сайтов, включая такой популярный ресурс, как YouTube. Выявлено, что злоумышленник может посещать те же веб-страницы, что и жертва, для сбора сетевого трафика, который служит учебными данными.
Затем злоумышленник идентифицирует сходства в размерах пакетов и порядках между трафиком жертвы и трафиком данных обучения — это позволяет злоумышленнику выводить точную страницу, которую посещает жертва. Также обнаружено, что атака не может использоваться для обнаружения пользовательских значений, встроенных в веб-страницу. Например, многие банки предлагают веб-интерфейсы, которые позволяют пользователям просматривать остатки на счетах. Злоумышленник сможет обнаружить, что пользователь просматривал страницу баланса аккаунта, но не сможет узнать точный баланс пользователя или номер счета.