AWWW-1st3.6-w04.tresc-1.1-Slajd21
HTTPS: Protokół bezpieczny
Wadą podstawowego protokołu HTTP jest brak zabezpieczenia poufności komunikacji pomiędzy klientem HTTP a serwerem HTTP. Komendy, parametry, zmienne Cookie i dokumenty są przesyłane w postaci czytelnego tekstu. Hasła uwierzytelniające są kodowane w prymitywny sposób.
W celu zapewnienia bezpieczeństwa komunikacji w środowisku WWW powszechnie stosuje się protokół HTTPS, który w przeciwieństwie do HTTP, opartego bezpośrednio na TCP, wykorzystuje warstwę komunikacyjną SSL. SSL obsługuje szyfrowanie transmisji, kontrolę jej integralności oraz uwierzytelnianie serwera, a opcjonalnie także klienta. Dzięki temu komunikaty żądań HTTP i odpowiedzi HTTP nie są narażone na łatwy podsłuch lub ingerencję osób trzecich.
Podczas nawiązywania połączenia HTTPS klient HTTP otrzymuje od serwera HTTP certyfikat klucza publicznego, na podstawie którego potwierdza się tożsamość serwera HTTP. Aby certyfikat ten został uznany przez klienta HTTP, wystawiający go urząd certyfikacyjny powinien zostać uprzednio zarejestrowany w aplikacji klienta HTTP. W przeciwnym razie certyfikat serwera HTTP będzie uznany za nielegalny. Przykładowo, w aplikacji Microsoft Internet Explorer 6, definicje uznawanych urzędów certyfikacyjnych znajdują się w menu "Narzędzia->Opcje internetowe->Zawartość->Certyfikaty->Zaufane główne urzędy certyfikacji".
Protokół HTTPS stwarza również możliwość uwierzytelniania użytkownika końcowego za pomocą jego certyfikatu klucza publicznego. W takim przypadku serwer HTTP żąda od klienta HTTP przesłania certyfikatu użytkownika. Certifikat użytkownika musi zostac uprzednio zarajestrowany w aplikacji klienta HTTP. Przykładowo, w aplikacji Microsoft Internet Explorer 6, definicje uznawanych urzędów certyfikacyjnych znajdują się w menu "Narzędzia->Opcje internetowe->Zawartość->Certyfikaty->Osobisty".
