Mi a különbség a HTTP és a HTTPS között?
A weboldalak böngészése közben biztosan észrevette már a böngésző címsorában a http:// vagy a https:// címet. Pontosabban mindkettő olyan protokoll, amelyet egy adott weboldal használ a böngésző és a webkiszolgáló közötti információcseréhez.
Mi a HTTP és a HTTPS?
A HTTP teljes alakja a Hyper Text Transfer Protocol rövidítése. E protokoll használata során a webfelhasználók képesek adatokat átvinni a weboldalakról, többek között: videókat, képeket, szövegeket, grafikákat, zenéket és egyéb fájlokat. Alapvetően weboldalak és egyéb erőforrások elérésére használják. Más szóval, ez egy kérés-válasz rendszer a számítástechnika kliens-szerver modelljében. Amikor a http:// címet írja be a meglátogatni kívánt weboldal webcíme elé, az azt jelenti, hogy a böngészője HTTP-n keresztül csatlakozik a weboldalhoz.
Ha például a webböngésző címsorába beírja a http://www.xyz.com címsort, akkor az HTTP-parancsot küld a webkiszolgálónak a kért weboldal átvitelére és lekérésére. Ebben az esetben az Ön kliense a webböngésző, a kiszolgáló pedig a weboldal gazdája.
Másrészt a HTTPS teljes formája Hyper Text Transfer Protocol Secure. Ez a HTTP titkosított kapcsolatát használja a szállítási réteg biztonsági rendszerén keresztül. Miközben az ügyfél bizalmas adatokat cserél a kiszolgálón keresztül, azt biztosítani kell, hogy senki ne férhessen hozzá vagy ne törhesse fel. Ezt szem előtt tartva a Netscape Corporation kifejlesztette a HTTPS-t, hogy lehetővé tegye a biztonságos tranzakciókat és engedélyezést.
A HTTP és a HTTPS biztonsága
A World Wide Web kezdeti időszakában a hálózati rendszergazdáknak meg kellett találniuk a módját az internetre feltöltött információk megosztásának. Ezt a célt szem előtt tartva állapodtak meg a HTTP-ben mint információcsere-eljárásban. Miután mindenki megismerte a HTTP információcsere módját, a hackelés mindennapossá vált. Ezért kifejlesztettek egy HTTPs nevű eljárást a kicserélt információk védelmére. Az online adatok biztonsága az SSL-tanúsítványok titkosításán alapul. Ez azt jelenti, hogy a feladó beleegyezik abba, hogy egy kódot küld a címzettnek, így a dokumentumai érthetetlen karaktersorozatokká alakulnak át. Ha a feladó és a címzett között bárki megnyitja az üzenetet, nem lesz képes megfejteni az információt, aminek köszönhetően az adatok védettek maradnak.
Amikor az emberek megkapják a kódot, képesek kódolni a dokumentumokat, de a számítógépek még gyorsabban képesek dekódolni. Ennek érdekében a számítógépek mindkét végén SSL-tanúsítványt használnak, amely tartalmazza azokat a karaktersorokat, amelyekkel a titkos kódok feloldhatók. Az SSL-tanúsítvány nyilvános kulcsot tartalmaz, amelyhez bárki hozzáférhet, ha titkosítani kell az üzenetet. A privát kulcsot senki sem osztja meg, hogy a megosztott információ védett és bizalmas maradjon.
A HTTP és a HTTPS előnyei
A HTTP legfőbb előnye, hogy független platform, amely lehetővé teszi a platformok közötti egyenes portolást. A hatékony működéshez nincs szükség „futási időre”, és tűzfalakon keresztül is használható. Nem igényel sem kapcsolatorientációt, sem hálózati többletköltséget.
A HTTPS számos előnnyel is jár. Először is, biztonságot nyújt a bizalmas és személyes ügyféladatoknak, például a hitelkártyaszámoknak és jelszavaknak. Ezeket nem lehet lehallgatni, ezért a feladó és a címzett között nem tudja megfejteni egyetlen hacker sem. A webcímén található HTTPS megjelenésével a látogatók gyorsan meggyőződhetnek arról, hogy Ön egy bejegyzett vállalkozás, és Ön a domain tulajdonosa. Biztosak lehetnek abban, hogy a weboldalán megosztott információk védve maradnak a lopás ellen. A látogatók nagyobb valószínűséggel hajtanak végre tranzakciókat a HTTPS-szel rendelkező webhelyeken.
A HTTP és a HTTPS biztonsági aggályai
Mint korábban említettük, a HTTP-nek megvannak a maga biztonsági aggályai. Mivel nem rendelkezik semmilyen módon a megosztott információk titokban tartására, bárki könnyen hozzáférhet a feladó és a címzett számítógépei között megosztott adatokhoz. Mivel nem rendelkezik integritással, bárki jogosulatlanul megváltoztathatja vagy ellophatja a tartalmat. A HTTP nem biztonságos, mivel nem rendelkezik titkosítási módszerekkel. Ezért a rajta keresztül megosztott érzékeny információk lehallgatásnak vannak kitéve. Mivel nincs hitelesítés, a felhasználónak fogalma sincs arról, hogy kivel osztja meg adatait. A hitelesítés mindenki számára nyitott, ami azt jelenti, hogy bárki, aki képes lehallgatni a kérést, ellophatja a használt felhasználónevet és jelszót.
A HTTPS használata mindig lassabb, mint a HTTP, valószínűleg azért, mert nagyobb a késleltetése a kapcsolat létrehozása során elvégzendő többletmunka miatt. Ez a többletidő azonban csak az első kérésnél merül fel. A további kéréseknél a böngésző újra használja a kapcsolatot, és az SSL-munkamenetet gyorsítótárba helyezi, így gyorsan folytathatja a kommunikációt.
A HTTPS-en keresztül elérhető oldalakat nem lehet megosztott gyorsítótárral gyorsítótárazni. Mivel a kiszolgáló és a böngésző közötti kapcsolat titkosított, egyetlen köztes gyorsítótár sem láthatja a tartalmat. Egyes böngészők a HTTPS-fájlokat sem gyorsítótárazzák a helyi gyorsítótárukban. Mivel nem biztonságos a HTTP- és HTTPS-tartalom keverése egyetlen oldalon, a beágyazott képeknek és ikonoknak titkosításon kell keresztülhaladniuk, hogy ne lehessen gyorsítótárba helyezni őket. Mivel nincs helyi gyorsítótárazási lehetőség, ez problémákhoz vezethet az Internet Explorerrel, amely nem lesz képes elmenteni a fájlokat, vagy megnyitni azokat más alkalmazásokban.
A titkosítási és visszafejtési folyamatok a böngésző és a kiszolgáló számára is számítási többletköltséget okozhatnak. A modern kliensrendszereknél ez talán észre sem vehető, de a több HTTPS-kapcsolat kezelése a kiszolgálók forgalmas időszakában komoly problémát jelentene. Bizonyos proxy- és tűzfalrendszerek nem engedélyezik a HTTPS-oldalak elérését. Sok rendszergazda egyszerűen elfelejti engedélyezni a HTTPS-hozzáférést a rendszerén. Míg néha biztonsági okokból szándékosan hozzák meg ezt a döntést.
Mivel a HTTPS titkosítva van az egyik végpontról a másikra, képes a forgalmat továbbítani, de ennek ára van. Ha a költségekről van szó, a hitelesítésszolgáltatók komoly összeget számítanak fel a tanúsítványok kiadásáért. Legalább egy tanúsítványra van szükség minden egyes biztosítandó webhelyhez, mivel a hostnév része a kiállított tanúsítványnak. A tanúsítvány és annak évenkénti megújítása rejtett adminisztratív költségeket is jelent.
Mi az a port és a titkosítás?
A port egy kommunikációs csatorna, amely meghatározza, hogy a kiszolgáló milyen elvárásokat támaszt az ügyfelektől érkező adatok fogadásával szemben. Bizonyos funkcióknak különböző portokra van szükségük. Például az e-mailek fogadásának és küldésének funkcióját a 25-ös SMTP port teszi lehetővé, a fájlátvitelhez pedig a 21-es portra van szükség.
Hasonlóképpen, a HTTP a 80-as portot használja a legtöbb kommunikációs funkcióhoz, másrészt a HTTPS esetében a 443-as port az előnyben részesített port. Ami a titkosítást illeti, a HTTP nem használ titkosítást, míg a HTTPS az SSL/TSL tanúsítványok miatt használ titkosítást. Az URL-név alapján gyorsan megállapíthatja, hogy egy weboldal titkosított-e vagy sem. A HTTP url a HTTP://, míg a HTTPS url a HTTPS:// kezdetű.
Ezért ha csak tájékoztatás céljából böngészik egy webhelyet, akkor a HTTP url is megfelelő, de ha bármilyen személyes adatot oszt meg egy weboldalon, vagy pénzügyi tranzakciót hajt végre, akkor győződjön meg róla, hogy az HTTPS használatával biztonságos.