web-dev-qa-db-fra.com

Différence entre http et https

Quelle est la différence entre l'en-tête HTTP et HTTPS?

  1. Quels sont les avantages de l'utilisation de HTTPS sur HTTP?
  2. Quels paramètres doivent être définis pour rendre le site Web HTTPS?
  3. Pouvons-nous utiliser HTTPS uniquement à des fins de connexion puis HTTP onwords?
  4. Y a-t-il une menace présente dans HTTPS?
  5. Le temps de traitement requis pour HTTPS est-il supérieur à HTTP?
  6. HTTPS coûte-t-il plus cher que HTTP?
securityhttphttpshttp-headers
60
Somnath Muluk
  1. Quels sont les avantages de l'utilisation de HTTPS sur HTTP?

HTTPS signifie que vous tunnelez le protocole HTTP sur TLS/SSL qui chiffre la charge utile HTTP. L'avantage est donc que les requêtes et réponses HTTP sont transmises en toute sécurité sur le câble, par exemple votre fournisseur de services Internet ne sait pas ce que vous faites.

  1. Comment utiliser HTTPS?

Activez-le sur votre point de terminaison, en général un serveur Web devant votre serveur d'applications. La plupart des serveurs Web (par exemple IIS, Apache) prennent en charge cela par configuration. Selon vos exigences de confidentialité, cela peut ne pas suffire.

  1. Pouvons-nous utiliser HTTPS uniquement à des fins de connexion puis HTTP onwords?

Techniquement, cela est possible, mais il présente certains risques de sécurité. Exemple: après une connexion sécurisée, vous transmettez des identifiants de session identifiant l'utilisateur. Si vous transmettez ces ID de session de manière non sécurisée (pas de SSL), le détournement de session devient un risque ('man-in-the-middle')

  1. Quels paramètres doivent être définis pour rendre le site Web HTTPS?

Voir # 2. Dans les scénarios Internet publics, vous devez demander (acheter) un certificat auprès d'une certaine autorité de certification (CA), afin que les clients utilisateurs finaux puissent vérifier s'ils doivent faire confiance à votre certificat.

  1. Y a-t-il une menace présente dans HTTPS?

Dans le protocole lui-même, il y a un léger risque d'attaques d'homme au milieu. Par exemple. un proxy entre le client et le serveur pourrait prétendre être le serveur lui-même (cela nécessite une attaque réussie de l'infrastructure réseau, par exemple DNS). Il existe plusieurs autres risques `` plus obscurs '' qui ne concernent pas le protocole lui-même, par exemple:

  • utilisation d'une longueur de clé de chiffrement obsolète (par exemple 256 bits)
  • perte de clés privées ou procédures de gestion de clés inappropriées (par exemple, envoi par e-mail non crypté)
  • échec de l'autorité de certification (il suffit de regarder les communiqués de presse en 2011)
  1. Le temps de traitement requis pour HTTPS est-il supérieur à HTTP?

Oui, la négociation de clés (prise de contact) nécessite beaucoup de capacité CPU.

86
home
  1. HTTPS signifie http secure et fournit le cryptage.
  2. Vous déléguez normalement cette tâche à votre serveur Web.
  3. Oui c'est possible.
  4. Cela dépend de votre serveur Web, vous devez au moins fournir un certificat et si votre site est public, vous devriez probablement l'acheter.
  5. HTTPS n'élimine pas toutes les menaces, mais n'ajoute aucune des siennes.
  6. Oui, cela prend un peu plus de ressources.
8
Michael Krelin - hacker

suggérer de voir
http://www.wisegeek.com/what-is-the-difference-between-http-and-https.htm

5
Shree