HTTPS
TCP/IP-pino | |
---|---|
sovelluskerros |
BGP · DHCP · DNS · ESMTP · FTP · HTTP · IMAP · IRC · LDAP · MGCP · NNTP · NTP · POP3 · RPC · RTP · RTSP · SIP · SMTP · SNMP · SOCKS · SSH · Telnet · TLS/SSL · XMPP · (..lisää..) |
kuljetuskerros |
TCP · UDP · QUIC · DCCP · SCTP · RSVP · RIP · ECN |
verkkokerros |
IP (IPv4 ja IPv6) · ICMP (ICMPv6) · IGMP · IPsec |
siirtoyhteyskerros | ARP · IS-IS · NDP · OSPF · L2TP · PPP |
fyysinen kerros |
HTTPS (engl. Hypertext Transfer Protocol Secure) on HTTP-protokollan ja TLS/SSL-protokollan yhdistelmä, jota käytetään tiedon suojattuun siirtoon webissä. Protokollan ansiosta siirto on salattu sekä palvelimelle että palvelimelta. Selaimessa käytetty protokolla on HTTPS, kun osoite alkaa ”https://” (Arkistoitu – Internet Archive).[1] TLS-salausta käytettäessä tarvitaan varmenne. Varmenteen avulla käyttäjä voi paremmin selvittää, minkä palvelimen kanssa verkossa todellisuudessa asioi.
Web toimi alkujaan HTTP-protokollalla, mutta se oli ongelmallinen verkkokaupan suhteen, sillä se lähetti pankkikortin tiedot verkon yli salaamatta niitä. Netscape tarttui tilaisuuteen ja rakensi SSL-suojauksen. Yritys kutsui HTTP:n päälle tehtyä protokollaa nimellä HTTPS. Sitä pidettiin pitkään lähinnä verkkopankkien, osakekauppasivustojen ja verkkokauppojen käyttämänä tapana. Vuoden 2005 tienoilla se alkoi yleistyä kirjautumissivuilla, mutta varsin hitaasti. Google teki tammikuussa 2010 HTTPS:stä sähköpostipalvelu Gmailin oletus-protokollan ja myöhemmin lisäsi myös HTTPS-tuen hakukoneeseensa. Googlen inspiroimana Electronic Frontier Foundation ja The Tor Project julkaisivat kesäkuussa Firefox-laajennuksen HTTPS Everywhere, jonka tarkoituksena oli ohjata selain käyttämään aina HTTPS-sivustoa, jos se oli mahdollista.[2]
HTTPS:n läpimurtoon vaikutti Firesheep-niminen Firefox-laajennus, jonka avulla kuka tahansa pystyi vakoilemaan toisten Wi-Fi-käyttäjien evästeitä. Monet yritykset alkoivat siirtyä nopealla aikataululla HTTPS:ään. Facebook ja Twitter lisäsivät mahdollisuuden alkuvuoden 2011 aikana. Edward Snowdenin paljastukset Yhdysvaltain harjoittamasta maailmanlaajuisesta vakoilusta aiheuttivat sen, että suhtautuminen salattujen yhteyksien tarpeellisuuteen muuttui.[3] Vuonna 2014 perustettiin Let’s Encrypt, joka tarjoaa ilmaiseksi TLS-sertifikaatteja sivustoille. Tätä ennen sertifikaatin saaminen oli monille liian kallis ja monimutkainen prosessi. Selainvalmistajat alkoivat voimakkaasti tukea HTTPS:ää, ja monia uusia ominaisuuksia tehtiin vain kyseiselle protokollalle. Chrome ilmoitti syyskuussa 2016 alkavansa pian merkitä kaikki salasanoja ja luottokorttitietoja keräävät sivut turvattomaksi, jos ne eivät käyttäneet HTTPS-protokollaa. Heinäkuusta 2018 lähtien Chrome on merkinnyt kaikki HTTP-sivut turvattomiksi.[2]
Let’s Encryptin Firefox-selaimesta keräämien tietojen mukaan vuoden 2014 alussa noin 26 prosenttia kaikista latauksista tehtiin HTTPS-protokollan kautta. Osuus oli noussut 50 prosenttiin tammikuussa 2017, ja vuoden 2021 alussa 83 prosenttia kaikista verkkosivuista ladataan HTTPS:n kautta.[4]
HTTPS:n haittapuoli on, että liikennettä ei voi tallentaa välityspalvelimen välimuistiin. Välityspalvelin voi vain tunneloida yhteyden eikä pysty säästämään kaistaa.[5].
Lähteet
[muokkaa | muokkaa wikitekstiä]- ↑ HTTPS PCMag Encyclopedia. Ziff Davis, LLC. Viitattu 6.7.2021. (englanniksi)
- ↑ a b History of HTTPS Usage 8.3.2018. Jeff Kaufman. Viitattu 6.7.2021. (englanniksi)
- ↑ History of HTTPS Usage www.jefftk.com. Viitattu 1.1.2024. (englanniksi)
- ↑ Let's Encrypt Stats Internet Security Research Group. Viitattu 6.7.2021. (englanniksi)
- ↑ HTTP caching - HTTP | MDN developer.mozilla.org. 4.10.2023. Viitattu 1.1.2024. (englanti)
Aiheesta muualla
[muokkaa | muokkaa wikitekstiä]- RFC 2818, Technical specification of HTTP over TLS (englanniksi)