Sicherheitstests - Grundlagen des HTTPS-Protokolls
HTTPS (Hypertext Transfer Protocol über Secure Socket Layer) oder HTTP über SSL ist ein von Netscape entwickeltes Webprotokoll. Es ist kein Protokoll, sondern nur das Ergebnis der Überlagerung von HTTP mit SSL / TLS (Secure Socket Layer / Transport Layer Security).
Kurz gesagt, HTTPS = HTTP + SSL
Wann ist HTTPS erforderlich?
Beim Surfen senden und empfangen wir normalerweise Informationen über das HTTP-Protokoll. Dies führt dazu, dass jeder das Gespräch zwischen unserem Computer und dem Webserver belauschen kann. Oft müssen wir vertrauliche Informationen austauschen, die gesichert werden müssen, und unbefugten Zugriff verhindern.
HTTP-Protokoll, das in den folgenden Szenarien verwendet wird -
- Bank-Websites
- Zahlungs-Gateways
- Shopping-Websites
- Alle Anmeldeseiten
- E-Mail-Apps
Grundlegende Arbeitsweise von HTTPS
Öffentlicher Schlüssel und signierte Zertifikate sind für den Server im HTTPS-Protokoll erforderlich.
Clientanfragen für die Seite https: //
Bei Verwendung einer https-Verbindung reagiert der Server auf die ursprüngliche Verbindung mit einer Liste der vom Webserver unterstützten Verschlüsselungsmethoden.
Als Antwort wählt der Client eine Verbindungsmethode aus und der Client und der Server tauschen Zertifikate aus, um ihre Identität zu authentifizieren.
Danach tauschen sowohl der Webserver als auch der Client die verschlüsselten Informationen aus, nachdem sichergestellt wurde, dass beide denselben Schlüssel verwenden und die Verbindung geschlossen ist.
Zum Hosten von https-Verbindungen muss ein Server über ein öffentliches Schlüsselzertifikat verfügen, in das Schlüsselinformationen mit einer Überprüfung der Identität des Schlüsselbesitzers eingebettet sind.
Fast alle Zertifikate werden von Dritten überprüft, sodass Kunden sicher sein können, dass der Schlüssel immer sicher ist.