HTTPS

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש
יש להשלים ערך זה: בערך זה חסר תוכן מהותי.
הנכם מוזמנים להשלים את החלקים החסרים ולהסיר הודעה זו. שקלו ליצור כותרות לפרקים הדורשים השלמה, ולהעביר את התבנית אליהם.
יש להשלים ערך זה: בערך זה חסר תוכן מהותי.
הנכם מוזמנים להשלים את החלקים החסרים ולהסיר הודעה זו. שקלו ליצור כותרות לפרקים הדורשים השלמה, ולהעביר את התבנית אליהם.
כתובת HTTPS בשירות הדואר האלקטרוני "Gmail"

HTTPS (ראשי תיבות באנגלית של: Hypertext Transfer Protocol Secure) הוא פרוטוקול תקשורת נפוץ במיוחד לאבטחת מידע ברשתות מחשבים, ומיושם במיוחד באינטרנט. באופן רשמי, הוא אינו פרוטוקול תקשורת כשלעצמו, אלא שימוש בפרוטוקול HTTP על שכבת SSL/TLS ובכך מקנה יכולות אבטחה של סטנדרט SSL/TLS לתקשורת HTTP רגילה.

בשימושו הנפוץ באינטרנט מקנה אימות של זהות האתר, ויוצר חיבור בין שרת אינטרנט ללקוח שיוצר עמו קשר כנגד התקפת אדם באמצע. בנוסף, השימוש מאפשר הצפנה דו-כיוונית של תעבורת המידע בין הלקוח לשרת, אשר מגינה מפני האזנת סתר או שינוי של תוכן המידע העובר בין הצדדים. כפועל יוצא, הפרוטוקול מבטיח כי גולש האינטרנט הניגש לאתר כלשהו, אכן יתקשר עם אותו האתר שהתכוון להתקשר עמו.

באופן היסטורי, HTTPS שימש בעיקר לפעולות העברת כספים ב-World Wide Web, דואר אלקטרוני והעברת מידע רגיש במערכות מידע של תאגידים. בסוף שנות ה-2000 ובתחילת העשור השני של המאה ה-21, השימוש ב-HTTPS נעשה רחב יותר וניתן היה לראות אימות נתונים בסוגים שונים של אתרים, אשר הקנו אבטחה לחשבונות משתמש, לתקשורת בין משתמשים, זהות המשתמש ומידע המאוחסן על ידו בשרתים.

השימוש ב-HTTPS חשוב במיוחד ברשתות לא מוצפנות, WiFi למשל, בהן כל משתמש באותה הרשת מסוגל לבצע "רחרוח" אחר תעבורת המידע הנשלחת ברשת ולגלות מידע רגיש. יתרה מזאת, גם רשתות שהשימוש בהן מוגבל יכולות לעשות שימוש במידע העובר דרכן ואף משנות אותו, לעיתים לצורכי פרסום ולעיתים גם באופן זדוני.

בחודש אוגוסט 2014 קבעו בגוגל את השימוש ב-HTTPS כ"גורם דירוג" (Ranking Factor) המשפיע בפועל על דירוג האתר בהצגת תוצאות החיפוש במנוע החיפוש של גוגל.

סקירה

HTTPS אינו פרוטוקול תקשורת בפני עצמו, אלא יישום של פרוטוקול HTTP. הוא זהה לו מבחינת המבנה, אך מורה לדפדפן להוסיף שכבת הצפנה כדי להגן על תעבורת המידע. היישום של מודל SSL על פני HTTP מתאים במיוחד מפני שניתן לאבטח את המידע אפילו אם רק זהותו של צד אחד בתקשורת מאומתת. בתקשורת HTTP על גבי האינטרנט, זהותו של השרת (אתר) לרוב מאומתת על ידי השוואה בין Public key certificate של האתר לזה השמור בדפדפן.

הרעיון הבסיסי ב-HTTPS הוא ליצור ערוץ מאובטח על גבי רשת פרוצה. ערוץ זה מאפשר הגנה סבירה מפני האזנת סתר והתקפת אדם באמצע. זאת, בהסתמך על רמה סבירה של חליפת ההצפנה והיכולת לסמוך על certificate מאומת ואמין.

בדפדפני האינטרנט שמור מראש (בעת ההתקנה) מידע אשר מאפשר להם לאמת את ה-certificate שנשלח מהאתר. גורמים בעלי סמכות לנפק certificate חייבים לקבל את אמונו של הדפדפן, בין אם מראש או בערבות הוספה של ה-certificate לרשימה על ידי המשתמש. באופן לוגי, ניתן לסמוך על חיבור HTTPS אם ורק אם מתקיימים התנאים הבאים:

  • המשתמש בוטח שהדפדפן מיישם נכונה את פרוטוקול ה-HTTPS וה-certificates שהותקנו בו מראש אמינים.
  • המשתמש בוטח בגורמים המנפקים certificate כי ינפקו אישורים רק לאתרים לגיטימיים.
  • האתר מנפק certificate מאושר על ידי סמכות.
  • ה-certificate תואם את האתר שהמשתמש ניגש אליו (כלומר, כאשר הדפדפן מבקר ב"https://example.com", ה-certificate יתאים ל"example.com" ולא לדומיין אחר.)
  • ה-certificate בתוקף.
  • תוצאת ה-hash של ה-certificate מתאימה לשדה ה-hash ב-certificate. סעיף זה נעשה כדי לוודא את אמינות ה-certificate המכיל בין היתר גם מפתח ציבורי להמשך ההתקשרות.
  • נקודות הצומת בין המקור ליעד נתונים לבטחה, או שפרוטוקול שכבת ההצפנה (TLS/SSL) מאובטח דיו כנגד האזנות סתר.

קישורים חיצוניים

ויקישיתוף מדיה וקבצים בנושא HTTPS בוויקישיתוף
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

30944381HTTPS