ti-enxame.com

Diferença entre http e https

Qual é a diferença entre o cabeçalho HTTP e HTTPS?

  1. Quais são os benefícios do uso de HTTPS sobre HTTP?
  2. Quais configurações precisam ser feitas para criar o HTTPS do site?
  3. Podemos usar HTTPS apenas para fins de login e, em seguida, onwords HTTP?
  4. Existe alguma ameaça presente no HTTPS?
  5. O tempo de processamento necessário para HTTPS é maior que HTTP?
  6. O HTTPS custa mais que HTTP?
60
Somnath Muluk
  1. Quais são os benefícios do uso de HTTPS sobre HTTP?

HTTPS significa que você encapsula o protocolo HTTP sobre TLS/SSL que criptografa a carga útil do HTTP. Portanto, o benefício é que solicitações e respostas HTTP são transmitidas com segurança pela conexão, por exemplo o seu provedor de serviços de Internet não sabe o que você está fazendo.

  1. Como usar o HTTPS?

Ative-o no seu nó de extremidade, em geral um servidor da Web na frente do seu servidor de aplicativos. A maioria dos servidores da Web (por exemplo, IIS, Apache) suporta isso por configuração. Dependendo dos seus requisitos de confidencialidade, isso pode não ser suficiente.

  1. Podemos usar HTTPS apenas para fins de login e, em seguida, onwords HTTP?

Tecnicamente, isso é possível, mas apresenta alguns riscos de segurança. Exemplo: Após um login seguro, você transmite os IDs da sessão identificando o usuário. Se você transmitir esses IDs de sessão sem segurança (sem SSL), o sequestro de sessão se tornará um risco ('man-in-the-middle')

  1. Quais configurações precisam ser feitas para criar o HTTPS do site?

Veja o item 2. Em cenários públicos da Internet, você deve solicitar (comprar) um certificado de uma certa autoridade de certificação (CA), para que os clientes usuários finais possam verificar se devem confiar no seu certificado.

  1. Existe alguma ameaça presente no HTTPS?

No próprio protocolo, há um pequeno risco de ataques do tipo man-in-the-middle. Por exemplo. um proxy entre o cliente e o servidor pode fingir ser o próprio servidor (isso requer um ataque bem-sucedido à infraestrutura de rede, por exemplo, DNS). Existem vários outros riscos 'mais obscuros' que não se relacionam com o próprio protocolo, por exemplo:

  • uso de um comprimento de chave de criptografia desatualizado (por exemplo, 256 bits)
  • perda de chaves privadas ou procedimentos inadequados de gerenciamento de chaves (por exemplo, enviar por email não criptografado)
  • falha na autoridade de certificação (veja os comunicados de imprensa em 2011)
  1. O tempo de processamento necessário para HTTPS é maior que HTTP?

Sim, a negociação de chaves (handshaking) requer muita capacidade da CPU.

86
home
  1. HTTPS significa http seguro e fornece criptografia.
  2. Você normalmente delega essa tarefa ao seu servidor web.
  3. Sim, é possível.
  4. Depende do seu servidor da web, você deve pelo menos fornecer um certificado e, se o site for público, você provavelmente deverá comprá-lo.
  5. HTTPS não elimina todos ameaças, mas não adiciona nenhuma sua.
  6. Sim, são necessários um pouco mais de recursos.
8
Michael Krelin - hacker
5
Shree