El protocol HTTPS
El protocol HTTPS
 
 

El protocol HTTPS és una versió segura del protocol HTTP que implementa un canal de comunicació segur i basat en SSL (Secure Socket Layers) entre el navegador del client i el servidor HTTP.
 

Taula de contingut

 

 

 

Per què utilitzar HTTPS?

TCP/IP és un canal de comunicació no segur, on per anar d'un client a un servidor, la informació realitza un seguit de salts entre diferents routers que s'encarreguen de fer arribar la informació al seu destí. 

A cada un d'aquests salts, la informació és transmesa a la xarxa local del router, sent rebuda també (depenent del dispositiu que crea aquesta xarxa) per tots els dispositius de la mateixa xarxa, podent ser capturada per a fins malintencionats. 

No podem evitar això, però podem xifrar aquesta informació per que un cop capturada no pugui conèixer el seu contingut i així poder enviar amb tranquil·litat números de compte, dades personals ...

 

 

 

 

Diferències amb HTTP

A diferència de HTTP, HTTPS treballa per defecte pel port 443 TCP, i abans d'enviar les dades realitza algunes accions prèvies.

Per fer aquesta negociació, el ​​client, envia al servidor les opcions de xifrat, compressió i versió de SSL juntament amb alguns bytes aleatoris anomenats Challenge de Client . 

El servidor, escull les opcions de xifrat, compressió i versió de SSL entre les quals ha ofert el client i li envia la seva decisió i el seu certificat. Tots dos negocien la clau secreta anomenada màster secret i usant aquesta clau, la Challenge de Client i les opcions pactades s'envien la informació xifrada de tal manera que de ser interceptada no es pot desxifrar.

 

 

 

El certificat del servidor

Perquè ens entenguem, un certificat de clau pública és un "document" que certifica que l'interlocutor (el servidor HTTPS en el cas de HTTPS) és qui realment diu ser, això es fa per evitar que un atacant pugui fer-se passar pel servidor i rebre la comunicació segura al seu lloc. Aquests certificats poden generar-se amb eines com OpenSSL i per a una major seguretat poden ser signats per una autoritat certificadora, per exemple:

VeriSign 
Thawte 
GoDaddy 
Geotrust

Encara que també pot ser auto-signat, en aquest cas, evitarem desemborsar la quantitat de diners que cobren les autoritats certificadores mantenint el xifrat del canal de dades, però el client no tindrà total seguretat que la informació està sent enviada al servidor correcte i rebrà un cridaner avís al teu navegador que el certificat no és de confiança