Tout d'abord, je suis développeur web et non expert en sécurité. J'ai lu de nombreux articles sur la différence entre HTTPS et HTTP , y compris ceci site.
L'idée de base que j'ai obtenue d'eux est que, lors de l'utilisation de HTTPS toutes les choses sont cryptées côté client puis envoyées au serveur. (S'il vous plait corrigez moi si je me trompe)
Donc, même notre network admin
ou une autre personne du réseau ne peut rien obtenir.
Lorsque j'utilise mon ordinateur portable à la maison (réseau de confiance) , y a-t-il un avantage à utiliser HTTPS sur HTTP ?
TLS fournit trois choses:
facebook.com
(Y compris le gars à la table suivante chez Starbucks, votre FAI, certains équipement de réseau sommaire dans le centre de données COUGH NSA, personne).facebook.com
(Ceci est distinct de Confidentiality car certains types d'attaques permettent vous de modifier le message de manière malveillante même si vous ne savez pas quels sont les messages).facebook.com
Authentique, et non à une version usurpée de celui-ci.L'idée de base que j'ai obtenue d'eux est que lors de l'utilisation de https, tout est crypté côté client, puis envoyé au serveur. (S'il vous plait corrigez moi si je me trompe)
Cela couvre les parties de confidentialité et d'intégrité, mais il vous manque la partie d'authentification:
Pour prouver que vous ne parlez pas à un serveur Web usurpé.
Disons que j'ai configuré une version de phishing de Facebook et que je pirate en quelque sorte votre routeur domestique (facile) ou votre FAI (plus difficile) de sorte que lorsque vous tapez facebook.com
, Il se résout à mon adresse IP au lieu de la vraie. J'ai créé une copie exacte de l'écran de connexion que vous attendez et vous entrerez votre nom d'utilisateur et votre mot de passe. Muahaha! J'ai maintenant votre nom d'utilisateur et votre mot de passe.
Comment HTTPS empêche-t-il cela? Réponse: avec certificats:
Si nous ouvrons le certificat dans Dev Tools> Security de mon navigateur, nous verrons ceci:
DigiCert est ce qu'on appelle une Autorité de certification (AC) de confiance publique . En fait, DigiCert est l'une des autorités de certification auxquelles votre navigateur fait confiance intrinsèquement car son "certificat racine" est intégré dans le code source de votre navigateur. Vous pouvez voir la liste complète des autorités de certification racines de confiance en fouillant dans les paramètres du navigateur et en recherchant "Certificats" ou "Racines de confiance" ou quelque chose.
Ainsi, votre navigateur fait intrinsèquement confiance à DigiCert et, grâce à ce certificat, DigiCert a certifié que le serveur auquel vous parlez est le vrai facebook.com
(Car il possède la clé privée qui correspond au certificat). Vous obtenez le cadenas vert et vous savez que tout va bien.
Juste pour le plaisir, faisons un faux facebook.com
. J'ai ajouté cette ligne à mon fichier d'hôtes pour qu'à chaque fois que je tape facebook.com
, Elle soit redirigée vers l'adresse IP de google.com
:
209.85.147.138 facebook.com
Google, que fais-tu en essayant de voler mon mot de passe facebook ?? Dieu merci, HTTPS est là pour me protéger! Mon navigateur est super mécontent car le certificat qui lui a été présenté (pour google.com
) Ne correspond pas à l'URL qu'il a demandée (facebook.com
). Merci HTTPS!
Jusqu'à présent, les autres réponses sont bonnes. J'ajouterai un autre angle: Internet est un maillage de routeurs peu connecté; votre routeur wifi domestique n'est que l'un d'entre eux. Toute connexion HTTP que vous établissez à un serveur Web ailleurs sur le net prend généralement le chemin d'une douzaine de routeurs pour y arriver. Ce chemin change fréquemment en fonction des conditions du réseau; vous ne pouvez pas prédire les routeurs que vous utiliserez. Chacun de ces routeurs appartient et est géré par une personne ou une entreprise différente [1].
Toutes ces personnes ont la possibilité de regarder vos données au fur et à mesure. Ils peuvent le faire régulièrement, dans des situations non malveillantes, au cours du dépannage quotidien, car ce maillage de routeurs a besoin d'une surveillance et d'une administration constantes pour qu'il continue de fonctionner; cet effort englobe à lui seul plusieurs domaines de carrière. (Les personnes qui choisissent ces domaines de carrière ont tendance à être plutôt catégoriques quant à la bonne sécurité et à prendre leur responsabilité sociale au sérieux, mais la seule chose qui les tient à l'écart de vos données dans un sens pratique est leur propre conscience et réputation.)
Ainsi, l'équipement, les logiciels et les capacités sont déjà là; tout ce qu'un méchant doit faire est de coopter le routeur ou le système de surveillance de quelqu'un d'autre.
Les connexions HTTPS empruntent le même chemin, mais comme elles sont chiffrées, seul l'administrateur du serveur Web peut voir le contenu en texte clair; les administrateurs de routeur ne verront que ce qui ressemble à du bruit aléatoire. (Le serveur Web lui-même peut être compromis, mais c'est un problème différent.)
[1] Jouer vous-même avec la commande traceroute
ou tracert
vous donnera un aperçu de ce à quoi ces chemins peuvent ressembler.
Réponse courte:
HTTPS a l'intention d'établir une connexion sécurisée entre un site Web enregistré et son ordinateur utilisateur, afin que vous puissiez être sûr que le site visité est vraiment ce que vous vouliez visiter et que les données ne sont pas acquises/modifiées en transit.
Longue réponse:
Si je vous ai bien compris, votre idée de base est que seul un administrateur réseau peut surveiller votre activité, et il n'y a rien de tel à la maison. Ce n'est pas le cas.
Tout individu, groupe, entreprise (FAI) ou état peut voir et modifier le transit, et par là infecter votre ordinateur. De nos jours, Internet est plutôt une cyber-zone, où les entités mentionnées attaquent souvent même leurs alliés pour voler des informations = argent = pouvoir, prendre le contrôle, menacer ou physiquement blesser des personnes par piratage. Même des outils d'État sont disponibles pour les particuliers sur le marché noir. Les outils/programmes malveillants persistants survivent à la modification du disque dur, afin qu'ils puissent vous surveiller/nuire à long terme.
Le problème avec https est qu'il peut également être piraté de nombreuses façons, ce qui vous donne un faux sentiment de sécurité, ce qui pourrait être plus dangereux.
C'est pourquoi il est important d'utiliser https, chaque fois que vous le pouvez, et de vous soucier également de la sécurité du système. Vous pouvez télécharger des extensions pour les navigateurs pour vous diriger automatiquement vers les sites HTTPS, lorsque cela est possible.
Avec HTTP, les informations transitent par ce pipeline entre votre ordinateur et le serveur:
De gauche à droite: votre ordinateur, l'espace aérien entourant votre ordinateur et votre routeur wifi, votre routeur, le câble vers votre boîtier FAI local, votre boîtier FAI local, un vaste réseau d'appareils et de fils dont vous ne savez rien et n'avez aucun contrôle sur le boîtier ISP local du serveur, le câble vers le serveur et le serveur lui-même.
Partout dans la zone rouge, les informations peuvent être consultées et falsifiées. Quiconque contrôle l'une des cases rouges peut espionner et falsifier les informations. N'importe qui peut briser l'un des tuyaux rouges et accéder aux informations qui le traversent et les fouiner ou les altérer.
Vos informations ne sont en sécurité que dans les boîtes et tuyaux verts et bleus.
Avec HTTPS, les informations transitent par ce pipeline:
Votre ordinateur et le serveur établissent un canal virtuel qui ne peut pas être ouvert et l'exécutent à travers tous les canaux et boîtes entre eux. Vos informations sont désormais en sécurité à tous les points de transit.
Oui, il y a un énorme avantage à utiliser HTTPS sur HTTP.
Avec HTTPS, toutes les informations envoyées et reçues sont cryptées via PKI, au minimum avec une clé de cryptage 1024bit/équivalent et un hachage SHA256, cependant de nombreux sites sont passés à 2048bit/équivalent, et toute connexion de traitement de site est plus susceptible qu'utiliser un 2048bit/clé de cryptage équivalente.
Votre question se pose également souvent avec les interfaces Web des routeurs sur les réseaux locaux, et même si ce trafic ne quitte jamais le réseau local, il devrait toujours être accessible via HTTPS uniquement, sinon tous les mots de passe, y compris ceux de la racine, seront envoyés en texte brut.
Même si vous ne vous souciez pas trop de la possibilité que votre FAI/gouvernement soit mauvais, il existe au moins deux attaques faciles à exécuter contre votre connexion à domicile, de sorte que HTTPS sera la seule chose à protéger vos données: