HTTPS

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Pictogramă lacăt, care în browsere identifică utilizarea HTTPS.
Pictogramă lacăt HTTPS.

În telecomunicații și IT , protocolul de transfer HyperText over Secure Socket Layer ( HTTPS ), (cunoscut și ca HTTP peste TLS , [1] [2] HTTP peste SSL [3] și HTTP Secure [4] [5] ) este un protocol pentru comunicare securizată printr-o rețea de calculatoare utilizată pe Internet . Portul utilizat în general (dar nu neapărat) este 443. Acesta constă în comunicarea prin HTTP (Hypertext Transfer Protocol) într-o conexiune criptată , prin criptare asimetrică , prin Transport Layer Security ( TLS ) sau predecesorul său, Secure Sockets Layer ( SSL ) furnizând ca cerințe cheie:

  1. o autentificare a site - ului vizitat;
  2. protecția vieții private (confidențialitate sau confidențialitate );
  3. integritatea datelor schimbate între părțile care comunică.

Generalitate

În operațiunea sa populară pe Internet, HTTPS asigură securitatea site-ului web și a serverului web asociat cu care una dintre părți comunică, protejând comunicarea de atacurile cunoscute prin tehnica omului în mijloc . În plus, HTTPS asigură o criptare bidirecțională a comunicațiilor dintre un client și un server , care le protejează împotriva posibilelor operațiuni de ascultare (o acțiune prin care conversația privată dintre părți este ascultată în secret fără consimțământul lor ) și falsificarea ( literalmente falsificarea) cu sau modificarea comunicării ) falsificarea conținutului acesteia. [6] În practică, acest mecanism oferă o garanție satisfăcătoare că comunicați exact cu site-ul web dorit (spre deosebire de un site fals), precum și asigurarea faptului că conținutul comunicărilor dintre utilizator și site-ul web nu este interceptat sau modificat de terți.

Din punct de vedere istoric, conexiunile HTTPS erau utilizate în principal pentru plăți în tranzacțiile World Wide Web , e-mail și pentru tranzacții sensibile în cadrul sistemelor de informații corporative. La sfârșitul anilor 2000 și începutul anilor 2010, HTTPS a început să aibă o utilizare larg răspândită pentru a proteja autenticitatea paginilor web , securitatea conturilor de utilizator și pentru a păstra comunicațiile, identitatea și navigarea pe internet a utilizatorului.

Istorie

Acest sistem a fost proiectat de Netscape Communications Corporation, care se ocupă de autentificare și comunicații criptate și este utilizat pe scară largă pe World Wide Web pentru situații care necesită cerințe speciale de securitate, cum ar fi plata pentru tranzacții online. În acest caz, SSL garantează criptarea datelor trimise și primite pe internet .

Descriere

În browserele web, URI ( Uniform Resource Identifier ) care se referă la această tehnologie are numele schemei https și este, din toate punctele de vedere, similar cu URI-urile http . Cu toate acestea, HTTPS semnalează browserului să utilizeze stratul suplimentar de criptare SSL / TLS pentru a proteja traficul de internet. SSL / TLS este potrivit în special protocolului HTTP, deoarece poate oferi o anumită securitate, chiar dacă este autentificată doar una dintre părțile care comunică. Acesta este cazul HTTP în tranzacțiile pe internet, în care de obicei serverul este singura parte autentificată, în timp ce clientul examinează certificatul serverului.

HTTPS se ocupă de crearea unui canal de comunicație sigur printr-o rețea de calculatoare nesecurizată. Acest lucru asigură o protecție acceptabilă din spionării (ascultători) indiscrete și om-in-the-middle atacuri , atâta timp cât criptare comunicare adecvată este utilizat și certificatul de server este verificat și de încredere.

La baza funcționării HTTPS, deasupra Transport Layer Security , se află protocolul HTTP în întregime; din acest motiv, acesta din urmă poate fi complet criptat. Criptarea protocolului HTTP include:

  • cererea URL ( pagina web care a fost solicitată )
  • parametrii de interogare
  • antetele conexiunii
  • cookie-uri ( care conțin adesea informații despre identitatea utilizatorului )

Cu toate acestea, deoarece adresele IP gazdă ( site-urile web ) și numerele de port fac parte din protocoalele de bază ale TCP / IP, HTTPS nu le poate proteja divulgarea. În practică, înseamnă că, chiar dacă un server web este configurat corect, ascultătorii pot deduce adresa IP și numărul portului (uneori chiar și numele domeniului, de exemplu „www.example.org”, dar nu și adresa URL de rest) a web-ului serverul cu care comunicați, pe lângă cantitatea de date transferate și durata comunicării (durata sesiunii), dar nu și conținutul comunicării. [6]

Browserele web știu cum să aibă încredere în site-urile web HTTPS bazate pe certificatul de autoritate care sunt preinstalate în software-ul lor. Autoritățile de certificare (cum ar fi Symantec, Comodo, GoDaddy și GlobalSign ) sunt de încredere de către creatorii browserelor web pentru a furniza certificate valabile în scopuri de comunicare. Prin urmare, un utilizator ar trebui să aibă încredere într-o conexiune HTTPS la un site web dacă și numai dacă sunt verificate toate următoarele:

  • Utilizatorul are încredere că software-ul browserului implementează corect protocolul HTTPS cu certificate de autorizare preinstalate corect.
  • Utilizatorul are încredere în autoritatea de certificare care garantează numai site-uri web legitime.
  • Site-ul web oferă un certificat valid, ceea ce înseamnă că a fost semnat de o autoritate de încredere.
  • Certificatul identifică corect site-ul web (de exemplu, atunci când browserul vizitează „ https://example.com ”, certificatul primit este în mod corespunzător cel legat de „example.com” și nu o altă entitate).
  • Utilizatorul are încredere că nivelul de criptare al protocolului (SSL / TLS) este suficient de sigur împotriva posibilelor operațiuni de ascultare.

HTTPS este deosebit de important în rețelele nesigure (cum ar fi hotspoturile WiFi publice), deoarece oricine din aceeași rețea locală poate adulmeca pachete și descoperi informații sensibile, care nu sunt protejate de HTTPS. În plus, mulți sunt plătiți să se angajeze în injectarea pachetelor în rețelele fără fir în scopul furnizării unui serviciu de publicitate a paginilor lor web, în ​​timp ce alții o fac în mod liber. Cu toate acestea, această operațiune poate fi exploatată cu răutate în multe moduri, cum ar fi injectarea de programe malware pe paginile web și furtul de informații private de la utilizatori. [7]

HTTPS este, de asemenea, foarte important cu conexiunile din rețeaua Tor (acronim pentru The Onion Router) pentru a păstra anonimatul pe internet, deoarece nodurile Tor dăunătoare pot deteriora sau modifica conținutul care le trece într-un mod nesigur și poate injecta malware în conexiune. Din acest motiv, Electronic Frontier Foundation ( EFF ) și proiectul Tor au început dezvoltarea protocolului HTTPS Everywhere [6] , care este inclus în pachetul Tor Browser. [8]

Deși sunt dezvăluite mai multe informații cu privire la supravegherea globală în masă și furtul de informații personale de către hackeri , utilizarea HTTPS pentru securitate pe toate site-urile web devine din ce în ce mai importantă, indiferent de tipul de conexiune la internet utilizată. [9] [10] În timp ce metadatele paginilor individuale pe care le vizitează un utilizator nu sunt informații sensibile, atunci când aceste informații sunt combinate, acestea pot dezvălui multe despre identitatea utilizatorului și le pot compromite confidențialitatea. [2] [11] [12]

Utilizarea HTTPS permite, de asemenea, utilizarea protocoalelor SPDY / HTTP / 2 , care sunt noi generații ale protocolului HTTP, concepute pentru a reduce timpul de încărcare și latența paginilor web.

Este recomandat să utilizați HTTP Strict Transport Security (HSTS) cu HTTPS pentru a proteja utilizatorii de atacurile omului din mijloc, în special de striparea SSL . [12] [13]

HTTPS nu trebuie confundat cu protocolul HTTP Secure (S-HTTP) puțin folosit descris în specificația RFC 2660 .

Utilizare pe site-uri web

Începând cu 3 mai 2017, 56,8% din cele 139.032 site-uri importante au o implementare sigură a protocolului HTTPS. [14] HTTPS este utilizat de 5,24% din totalul domeniilor italiene înregistrate [15] .

Integrare în browsere

Majoritatea browserelor afișează un mesaj de avertizare dacă primesc un certificat nevalid de la serverul care acționează ca autoritate de certificare. Browserele mai vechi, atunci când se conectau la un site web cu un certificat nevalid, au arătat utilizatorului un mesaj de dialog care îi întreba dacă doresc să continue navigarea. Cele mai recente browsere, pe de altă parte, afișează un mesaj de avertizare care acoperă întreaga fereastră, arătând utilizatorului informațiile de siguranță ale site-ului vizitat pe bara de adrese a browserului. În browserele moderne, validarea certificatului extins afișează bara de adrese cu o culoare verde. Mai mult, majoritatea browserelor afișează utilizatorului un mesaj de avertizare atunci când vizitează un site care conține un amestec de conținut criptat și necriptat.

Firefox folosește protocolul HTTPS pentru căutările Google de la versiunea 14, [16] cu scopul de a „proteja utilizatorii noștri de infrastructura de rețea care poate colecta date de la utilizatori sau poate modifica / cenzura rezultatele căutării acestora”. [17]

Fundația Electronic Frontier și-a exprimat opinia că: „ Într-o lume ideală, fiecare cerere web ar putea fi transformată în mod implicit într-o cerere HTTPS ”. Pentru browserele Google Chrome , Mozilla Firefox (și pe Android ) și Opera există un supliment numit „ HTTPS Everywhere ” care permite protocolul HTTPS implicit pentru sute de site-uri web.

Siguranță

Securitatea HTTPS este asigurată de protocolul TLS subiacent, care utilizează în esență chei private și publice pe termen lung pentru a genera chei de sesiune pe termen scurt. Aceste chei sunt utilizate ulterior pentru a cripta fluxul de date schimbate între client și server. Certificatele definite de standardul X.509 sunt utilizate pentru autentificarea serverului (uneori chiar și a clientului). În consecință, autoritățile de certificare și certificatele cu cheie publică sunt necesare pentru a verifica relația dintre certificat și proprietarul acestuia, precum și pentru a genera semnătura și pentru a gestiona validitatea certificatelor. Deși acest lucru poate fi mai benefic decât verificarea identităților printr-o rețea de încredere, dezvăluirile de supraveghere în masă din 2013 au atras atenția asupra autorităților de certificare ca potențial punct slab pentru atacurile omului în mijloc . [18] [19] O proprietate importantă în acest context este secretul direct , care asigură că comunicațiile criptate înregistrate în trecut nu pot fi recuperate și decriptate, iar cheile sau parolele de criptare pe termen lung nu sunt compromise în viitor. Nu toate serverele web asigură secretul înainte . [20]

Un site web trebuie să fie găzduit complet pe protocolul HTTPS, fără a avea o parte din conținutul său prin HTTP - de exemplu, să aibă scripturi încărcate online într-un mod nesigur (în clar) - sau utilizatorul va fi vulnerabil la anumite atacuri și supus supravegherii . Având chiar doar o anumită pagină web a unui site care conține informații sensibile (cum ar fi o pagină de conectare) sub protocol HTTPS, dar având restul site-ului încărcat peste protocolul HTTP în text clar, va expune utilizatorul la posibile atacuri . Pe un site web care are informații sensibile undeva pe el, ori de câte ori site-ul este accesat în HTTP în loc de HTTPS, utilizatorul și sesiunea vor fi expuse în rețea. În mod similar, cookie-urile de pe un site web activ prin protocolul HTTPS trebuie să aibă atributul de securitate activat. [12]

Aspecte tehnice

Diferență față de HTTP

Adresele URL ale protocolului HTTPS încep cu https: // și folosesc implicit portul 443, în timp ce adresele URL HTTP încep cu http: // și utilizează portul 80.

HTTP nu este criptat, deci este vulnerabil la interceptarea ascultărilor și la atacurile omului în mijloc: atacatorii pot avea acces la conturile site-ului web cu informații sensibile sau pot modifica paginile web pentru a injecta programe malware sau publicitate rău intenționată. HTTPS este conceput pentru a rezista la astfel de atacuri și este considerat sigur împotriva acestora (cu excepția celor mai învechite și mai vechi versiuni ale protocolului SSL ).

Niveluri de rețea

HTTPS funcționează la cel mai înalt nivel al modelului TCP / IP, stratul de aplicație; la fel ca și protocolul de securitate TLS (care funcționează ca un substrat inferior de același nivel).

În practică, între protocolul TCP și HTTP se interpune un nivel de criptare / autentificare (transparent utilizatorului), cum ar fi Secure Sockets Layer (SSL) sau Transport Layer Security (TLS) care criptează mesajul HTTP înainte de transmisie și decriptează mesajul odată ce ajunge la destinație. Practic, se creează un canal de comunicație criptat între client și server printr-un schimb de certificate ; odată ce acest canal a fost stabilit, protocolul HTTP este utilizat intern pentru comunicare. Strict vorbind, HTTPS nu este de fapt considerat ca un protocol separat de HTTP, ci se referă tocmai la utilizarea acestuia din urmă printr-o conexiune SSL / TLS criptată. Acest tip de comunicare asigură faptul că numai clientul și serverul sunt capabili să cunoască conținutul comunicării.

Totul din mesajul HTTPS este criptat, inclusiv anteturile și solicitarea / răspunsul mesajului. Cu excepția posibilului atac criptografic CCA descris în secțiunea „ Limite ” de mai jos, atacatorul poate ști doar că a avut loc o conexiune între cele două părți comunicante și le poate cunoaște numele de domeniu și adresele IP.

Achiziționarea certificatelor

Certificatele semnate în mod autorizat pot fi gratuite [21] [22] sau pot costa între 8 $ [23] și 70 $ [24] pe an. (2012-2014). Organizațiile își pot adopta propriile autorități de certificare, mai ales dacă sunt responsabile de configurarea browserelor pentru a-și accesa site-urile (de exemplu, site-urile de pe un intranet corporativ sau ale marilor universități). Astfel de organizații pot adăuga cu ușurință copii ale semnăturii certificatului lor la certificatele de încredere distribuite cu browserul web. În plus, există autorități de certificare peer-to-peer , cum ar fi CACert . Cu toate acestea, acesta din urmă nu este inclus în certificatele de origine de încredere ale multor browsere web populare (de exemplu, Firefox , Chrome , Internet Explorer ), care pot afișa mesaje de avertizare pentru utilizatorii finali. O autoritate de certificare, „ Let's Encrypt ”, a fost lansată la sfârșitul anului 2015 [25] și oferă certificate SSL / TLS automate gratuite pentru site-uri web. [26] Conform Electronic Frontier Foundation , „Let's Encrypt” va efectua trecerea de la HTTP la HTTPS „la fel de ușor ca rularea unei comenzi sau apăsarea unui buton”. [27]

Folosiți ca control de acces

Sistemul poate fi, de asemenea, utilizat pentru autentificarea clientului pentru a limita accesul la serverul web numai pentru utilizatorii autorizați. Pentru a face acest lucru, administratorul site-ului creează de obicei un certificat pentru fiecare utilizator, care este încărcat în browserul utilizatorilor. În mod normal, acesta conține numele și adresa de e-mail ale utilizatorului autorizat și este verificat automat de server la fiecare reconectare pentru a verifica identitatea utilizatorului, posibil chiar fără a introduce parola.

În cazul unei chei private secrete compromise

O proprietate importantă în acest context este secretul perfect înainte (PFS). Dacă aveți o cheie privată secretă asimetrică pe termen lung utilizată pentru a stabili o sesiune HTTPS, nu ar trebui să fie mai ușor să obțineți cheia de sesiune pe termen scurt și apoi să decriptați conversația, chiar și ulterior. Diffie-Hellman (DHE) cheie de schimb și Diffie-Hellman (ECDHE) curbe eliptice sunt singurele scheme cunoscute de a avea perfet înainte proprietatea secret începând cu 2013. Doar 30% din sesiunile de browser Firefox, Opera și Chromium folosesc această proprietate și aproape 0% din sesiunile de browser Apple Safari și Microsoft Internet Explorer. [20] Dintre cei mai mari furnizori de internet, numai Google acceptă PFS din 2011. Un certificat poate fi revocat înainte de expirarea acestuia, de exemplu, deoarece secretul cheii private a fost compromis. Majoritatea versiunilor moderne ale browserelor populare precum Firefox, [28] Opera, [29] și Internet Explorer pe Windows Vista [30] implementează Protocolul de stare a certificatului online (OCSP) și autoritatea răspunde, informând browserul dacă certificatul este încă valabil. sau nu. [31]

Operațiune

HTTPS este un protocol care integrează interacțiunea protocolului HTTP printr-un mecanism de criptare Transport Layer Security ( SSL / TLS ). Această tehnică mărește nivelul de protecție împotriva omului în atacurile din mijloc .

Portul implicit pentru protocolul HTTPS este numărul 443 (în timp ce pentru protocolul HTTP este numărul 80).

Pentru a configura un server web pentru a accepta conexiuni HTTPS, administratorul de rețea trebuie să creeze un certificat digital care este un document electronic care asociază identitatea unei persoane cu o cheie publică . Aceste certificate pot fi create de servere bazate pe UNIX cu ajutorul unor instrumente precum OpenSSL ssl-ca sau folosind SuSE gensslcert (TinyCA2, CA.pl, script Perl). Aceste certificate trebuie să fie emise de o autoritate de certificare sau, în orice caz, de un sistem care verifică validitatea acestora pentru a defini identitatea adevărată a proprietarului (browserele web sunt create în așa fel încât să le poată verifica validitatea printr-o listă prestabilită).

În anumite situații (cum ar fi în cazul companiilor cu un intranet privat) este posibil să aveți propriul certificat digital care poate fi eliberat utilizatorilor dvs.

Prin urmare, această tehnologie poate fi utilizată și pentru a permite accesul limitat la un server web . Administratorul creează adesea certificate pentru fiecare utilizator care sunt încărcate în browserele lor care conțin informații precum numele și adresa de e- mail în așa fel încât să permită serverului să recunoască utilizatorul atunci când acesta din urmă încearcă să se reconecteze fără a introduce numele de utilizator și / sau parola .

Pentru un grad mai bun de protecție a conexiunilor HTTPS în fața atacurilor om-în-mijloc și în special pentru a face față tehnicii „ SSL stripping ”, se recomandă utilizarea HTTP Strict Transport Security , un mecanism de securitate suplimentar. care forțează utilizarea HTTPS. [12] [13]

Limite

Protocolul SSL / TLS este disponibil cu două opțiuni, simplă și reciprocă. În versiunea simplă, numai serverul are grijă să asigure securitatea comunicării. Versiunea reciprocă este mai sigură, dar necesită ca utilizatorul să instaleze un certificat personal de client în browserul său pentru a se autentifica. Indiferent de strategia utilizată (simplă sau reciprocă), nivelul de protecție depinde în mare măsură de corectitudinea implementării browserului web, de software-ul server și de algoritmii criptografici reali suportați. SSL / TLS nu împiedică indexarea întregului site folosind un crawler web și, în unele cazuri, URI - ul resursei criptate poate fi dedus prin cunoașterea numai a dimensiunii cererii / răspunsului interceptat. [32] Acest lucru permite unui atacator să aibă acces la text neformatat (conținutul static accesibil publicului) și text cifrat (versiunea criptată a conținutului static), permițând un atac criptografic.

Deoarece TLS funcționează sub protocolul HTTP și nu are cunoștințe despre protocoalele de nivel superior, serverele TLS pot prezenta strict un singur certificat pentru o combinație particulară de port și adresă IP. [33] Aceasta înseamnă că, în majoritatea cazurilor, nu este posibil să utilizați găzduire virtuală bazată pe nume cu HTTPS. Există o soluție numită Server Name Indication (SNI) care trimite numele gazdei către server înainte de a cripta conexiunea, deși multe browsere mai vechi nu acceptă această extensie. Suportul SNI este disponibil începând cu: Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 și Internet Explorer 7 pe Windows Vista. [34] [35] [36]

Din punct de vedere arhitectural:

  1. O conexiune SSL / TLS este gestionată de prima mașină vizibilă care inițiază conexiunea TLS. Dacă, dintr-un anumit motiv (rutare, optimizare a traficului etc.), această mașină nu este serverul de aplicații și trebuie să decripteze datele, trebuie găsite soluții pentru propagarea informațiilor de autentificare a utilizatorului sau a certificatului serverului de aplicații, care trebuie să fie conștienți de cine se va conecta.
  2. Pentru versiunea SSL / TLS cu autentificare reciprocă, sesiunea SSL / TLS este gestionată de primul server care inițiază conexiunea. În situațiile în care criptarea trebuie propagată de-a lungul unui lanț de servere, gestionarea expirării sesiunii devine complicată de implementat.
  3. Cu versiunea reciprocă a SSL / TLS securitatea este maximă, dar din partea clientului nu există nicio modalitate de a termina corect conexiunea SSL / TLS și de a deconecta utilizatorul, cu excepția așteptării expirării sesiunii de pe server sau a tuturor aplicațiilor client conectate .

Un tip sofisticat de atac man-in-the-middle numit SSL stripping a fost dezvăluit la conferința Blackhat din 2009. Acest tip de atac învinge securitatea furnizată de protocolul HTTPS prin schimbarea https: link-ului către un link http: profitând a faptului că unii utilizatori de Internet tastează de fapt „https” din interfața browserului lor: ajung pe un site securizat făcând clic pe un link și, prin urmare, sunt păcăliți să creadă că folosesc HTTPS atunci când folosesc de fapt HTTP. Atacatorul comunică apoi în clar cu clientul. Acest lucru a determinat dezvoltarea unei contramăsuri HTTP numită HTTP Strict Transport Security (HSTS).

În mai 2010, un articol scris de cercetători de la Microsoft Research și Indiana University a dezvăluit că datele detaliate despre utilizatori sensibile pot fi deduse din canalele laterale / marginale, cum ar fi dimensiunea pachetului. Mai precis, cercetătorii au descoperit că un ascultător poate deduce bolile / medicamentele / intervențiile chirurgicale ale utilizatorului, veniturile familiei și secretele investiționale, în ciuda protecției HTTPS prezente în diferite aplicații web de profil înalt și mai bune. , investiții și cercetare web.

În iunie 2014, o echipă de cercetători de la Universitatea din California, Berkeley și Intel condusă de Brad Miller a demonstrat o abordare generalizată a analizei traficului HTTPS bazată pe învățarea automată . [37] [38] Cercetătorii au demonstrat atacul aplicat pe o serie de site-uri web, inclusiv Mayo Clinic , Planned Parenthood și YouTube . [39] Atacul presupune că atacatorul poate vizita aceleași pagini web ca și victima pentru a culege informații despre traficul de rețea care servește ca instruire a datelor. Atacatorul este capabil ulterior să identifice asemănări în dimensiunile și sorturile pachetelor dintre traficul victimei și traficul de instruire a datelor, ceea ce permite atacatorului să deducă frecvent pagina web exactă pe care o vizitează victima. De exemplu, acest atac ar putea fi folosit pentru a determina dacă un utilizator care vizitează site-ul web Planned Parenthood caută informații despre un screening preventiv al sănătății sau despre un avort. Rețineți că atacul nu poate fi utilizat pentru a descoperi valori specifice utilizatorului încorporate într-o pagină web. De exemplu, multe bănci oferă interfețe web care permit utilizatorilor să își vadă soldul contului curent. În timp ce atacatorul ar putea descoperi că utilizatorul vizualizează o pagină de vizualizare a soldului contului curent, acesta nu ar putea cunoaște valoarea exactă a soldului contului curent sau numărul contului utilizatorilor.

Implicații SEO

La 8 august 2014, Google anunță că site-urile găzduite sub protocolul HTTPS vor fi considerate mai fiabile în ochii motorului de căutare. Protocolul HTTPS este anunțat oficial ca factor de clasare.

Notă

  1. ^ Network Working Group, HTTP Over TLS , la tools.ietf.org , The Internet Engineering Task Force, mai 2000. Accesat la 27 februarie 2015 ( arhivat la 31 octombrie 2018) .
  2. ^ a b HTTPS ca semnal de clasare , pe Google Webmaster Central Blog , Google Inc., 6 august 2014. Accesat la 27 februarie 2015 (arhivat din original la 8 martie 2016) .
    „Puteți să vă protejați site-ul cu HTTPS (Hypertext Transfer Protocol Secure) [...]” .
  3. ^ Activarea HTTP peste SSL , la docs.adobe.com , Adobe Systems Incorporated. Accesat la 27 februarie 2015 ( arhivat la 8 martie 2015) .
  4. ^ Securizați-vă site-ul cu HTTPS , pe asistența Google , Google, Inc .. Accesat la 27 februarie 2015 ( arhivat la 15 decembrie 2017) .
  5. ^ Ce este HTTPS? , pe instantssl.com , Comodo CA Limited . Adus la 27 februarie 2015 (arhivat din original la 12 februarie 2015) .
    „Hyper Text Transfer Protocol Secure (HTTPS) este versiunea securizată a HTTP [...]” .
  6. ^ a b c Întrebări frecvente despre HTTPS oriunde , pe eff.org . Accesat la 3 mai 2012 ( arhivat la 20 aprilie 2018) .
  7. ^ Hotel Wifi JavaScript Injection , la justinsomnia.org . Adus la 24 iulie 2012 ( arhivat la 24 iulie 2012) .
  8. ^ The Tor Project, Inc., Tor , la torproject.org . Adus la 12 mai 2016 ( arhivat la 17 iulie 2013) .
  9. ^ Konigsburg, Eitan, Pant, Rajiv și Kvochko, Elena, Embracing HTTPS , la open.blogs.nytimes.com , The New York Times, 13 noiembrie 2014. Accesat la 27 februarie 2015 (arhivat din original la 22 aprilie 2018.) .
  10. ^ Gallagher, Kevin, la cincisprezece luni după Revelațiile NSA, de ce nu mai sunt organizații de știri care folosesc HTTPS? , pe freedom.press , Fundația Freedom of the Press, 12 septembrie 2014. Accesat la 27 februarie 2015 (arhivat din original la 2 decembrie 2016) .
  11. ^ Grigorik, Ilya e Far, Pierre, Google I / O 2014 - HTTPS pretutindeni , pe youtube.com , Google Developers, 26 iunie 2014. Accesat 27 februarie 2015 ( arhivat 15 martie 2018) .
  12. ^ a b c d Cum să implementați corect HTTPS , la eff.org . Adus la 13 iunie 2012 ( arhivat la 14 martie 2018) .
  13. ^ a b HTTP Strict Transport Security , pe rețeaua de dezvoltatori Mozilla . Adus la 14 octombrie 2015 (arhivat din original la 15 mai 2012) .
  14. ^ SSL Pulse , pe trustworthyinternet.org , Trustworthy Internet Movement, 3 octombrie 2015. Accesat la 7 mai 2017 (arhivat din original la 15 mai 2017) .
  15. ^ Statistici de internet în centroli.it italiană , pe www.centroli.it . URL consultato il 7 Maggio 2017 (archiviato dall' url originale il 16 febbraio 2017) .
  16. ^ Firefox 14.0.1 Release Notes , su mozilla.org . URL consultato il 24 luglio 2012 ( archiviato il 22 luglio 2012) .
  17. ^ Firefox Rolling Out HTTPS Google search , su blog.mozilla.org . URL consultato il 24 luglio 2012 ( archiviato il 20 luglio 2012) .
  18. ^ Law Enforcement Appliance Subverts SSL Archiviato il 15 marzo 2014 in Internet Archive ., Wired, 2010-04-03.
  19. ^ New Research Suggests That Governments May Fake SSL Certificates Archiviato il 4 gennaio 2016 in Internet Archive ., EFF, 2010-03-24.
  20. ^ a b SSL: Intercepted today, decrypted tomorrow Archiviato il 21 settembre 2013 in Internet Archive ., Netcraft, 2013-06-25.
  21. ^ Free SSL Certificates from a Free Certificate Authority , su sslshopper.com . URL consultato il 24 ottobre 2009 ( archiviato il 9 febbraio 2010) .
  22. ^ Justin Fielding, Secure Outlook Web Access with (free) SSL: Part 1 , su techrepublic.com , TechRepublic , 16 luglio 2006. URL consultato il 24 ottobre 2009 ( archiviato il 24 marzo 2011) .
  23. ^ Namecheap.com SSL Services , su namecheap.com , namecheap. URL consultato il 30 gennaio 2012 ( archiviato il 4 febbraio 2012) .
  24. ^ Secure Site Pro with SSL Certificate , su ssl.comodo.com . URL consultato il 23 Aug 2014 ( archiviato il 26 agosto 2014) .
  25. ^ Launch schedule , su Let's Encrypt . URL consultato il 21 settembre 2015 ( archiviato il 27 settembre 2015) .
  26. ^ Kerner, Sean Michael, Let's Encrypt Effort Aims to Improve Internet Security , su eWeek.com , Quinstreet Enterprise, 18 novembre 2014. URL consultato il 27 febbraio 2015 .
  27. ^ Eckersley, Peter, Launching in 2015: A Certificate Authority to Encrypt the Entire Web , su eff.org , Electronic Frontier Foundation , 18 novembre 2014. URL consultato il 27 febbraio 2015 ( archiviato il 10 maggio 2018) .
  28. ^ Mozilla Firefox Privacy Policy , su mozilla.com , Mozilla Foundation , 27 aprile 2009. URL consultato il 13 maggio 2009 (archiviato dall' url originale il 26 maggio 2009) .
  29. ^ Opera 8 launched on FTP , Softpedia , 19 aprile 2005. URL consultato il 13 maggio 2009 (archiviato dall' url originale il 12 luglio 2009) .
  30. ^ Eric Lawrence, HTTPS Security Improvements in Internet Explorer 7 , su msdn.microsoft.com , MSDN , 31 gennaio 2006. URL consultato il 13 maggio 2009 ( archiviato il 1º ottobre 2017) .
  31. ^ Myers, M, Ankney, R, Malpani, A, Galperin, S e Adams, C, Online Certificate Status Protocol – OCSP , su tools.ietf.org , Internet Engineering Task Force , June 1999. URL consultato il 13 maggio 2009 ( archiviato il 25 novembre 2017) .
  32. ^ Stanislaw Pusep, The Pirate Bay un-SSL , su sysd.org , 31 luglio 2008. URL consultato il 6 marzo 2009 (archiviato dall' url originale l'8 marzo 2009) .
  33. ^ SSL/TLS Strong Encryption: FAQ , su apache.org . URL consultato il 1º maggio 2019 ( archiviato il 19 ottobre 2018) .
  34. ^ Eric Lawrence, Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2 , su blogs.msdn.com , Microsoft , 22 ottobre 2005. URL consultato il 12 maggio 2009 ( archiviato il 26 gennaio 2010) .
  35. ^ Server Name Indication (SNI) , su inside aebrahim's head . URL consultato il 13 maggio 2016 (archiviato dall' url originale il 30 giugno 2017) .
  36. ^ Julien Pierre, Browser support for TLS server name indication , su Bugzilla , Mozilla Foundation, 19 dicembre 2001. URL consultato il 15 dicembre 2010 (archiviato dall' url originale l'8 ottobre 2018) .
  37. ^ Statistical Tricks Extract Sensitive Data from Encrypted Communications , su technologyreview.com , MIT Technology Review, 19 giugno 2014.
  38. ^ Researchers Use Big Data to Get Around Encryption , su blogs.wsj.com , The Wall Street Journal, 23 giugno 2014. URL consultato il 13 maggio 2016 ( archiviato il 18 marzo 2016) .
  39. ^ Brad Miller, Ling Huang, Anthony D. Joseph, JD Tygar, I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis ( PDF ), su bradmiller.io . URL consultato il 13 maggio 2016 ( archiviato il 31 maggio 2016) .

Voci correlate

Altri progetti

Collegamenti esterni

Documenti ufficiali

Estensioni per i browser