Разница между http и https

В чем разница между заголовком HTTP и HTTPS?

  • Каковы преимущества использования HTTPS через HTTP?
  • Какие настройки необходимо сделать для создания веб-сайта HTTPS?
  • Можем ли мы использовать HTTPS только для целей входа, а затем в onwords HTTP?
  • Есть ли какая-либо угроза в HTTPS?
  • Требуется ли время обработки для HTTPS больше, чем HTTP?
  • Чем HTTPS стоит больше, чем HTTP?

ОТВЕТЫ

Ответ 1

  • Каковы преимущества использования HTTPS через HTTP?

HTTPS означает, что вы туннелируете протокол HTTP через TLS/SSL, который шифрует полезную нагрузку HTTP. Таким образом, преимущество заключается в том, что HTTP-запросы и ответы надежно передаются по проводу, например. ваш интернет-провайдер не знает, что вы делаете.

  1. Как использовать HTTPS?

Включите его на конечной точке, в общем, веб-сервер перед вашим сервером приложений. Большинство веб-серверов (например, IIS, Apache) поддерживают эту конфигурацию. В зависимости от ваших требований конфиденциальности этого может быть недостаточно.

  1. Можем ли мы использовать HTTPS только для целей входа, а затем в onwords HTTP?

Технически это возможно, но оно вводит некоторые риски для безопасности. Пример. После безопасного входа вы передаете идентификаторы сеанса, идентифицирующие пользователя. Если вы передаете эти идентификаторы сеанса незащищенно (без SSL), захват сеанса становится риском ( "человек в середине" )

  1. Какие настройки необходимо сделать для создания веб-сайта HTTPS?

См. № 2. В сценариях общедоступного Интернета вы должны запросить (купить) сертификат у определенного центра сертификации (CA), чтобы клиенты конечного пользователя могли проверить, должны ли они доверять вашему сертификату.

  1. Есть ли какая-либо угроза в HTTPS?

В самом протоколе существует небольшой риск нападений "человек-в-середине". Например. прокси-сервер между клиентом и сервером может претендовать на роль самого сервера (для этого требуется успешная атака на сетевую инфраструктуру, например DNS). Существует несколько других "более неясных" рисков, которые не относятся к самому протоколу, например:

  • использование устаревшей длины ключа шифрования (например, 256 бит)
  • потеря секретных ключей или неприемлемых процедур управления ключами (например, отправка по незашифрованной электронной почте).
  • Неисправность центра сертификации (просто посмотрите пресс-релизы в 2011 году)
  1. Требуется ли время обработки для HTTPS больше, чем HTTP?

Да, согласование ключей (квитирование) требует большой емкости процессора.

Ответ 2

  • HTTPS означает http secure и обеспечивает шифрование.
  • Обычно вы делегируете эту задачу на свой веб-сервер.
  • Да, это возможно.
  • Зависит от вашего веб-сервера, вы должны хотя бы предоставить сертификат, и если ваш сайт является общедоступным, вы должны его купить.
  • HTTPS не устраняет все угрозы, но не добавляет никаких своих собственных.
  • Да, для этого требуется немного больше ресурсов.