Hva er HTTPS?

13/05/2015 - - Nettrafikk / 3 minutter lesetid (660 ord)
Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter

HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt mellom din nettleser og nettsiden er kryptert.

Hva er HTTP?

For å forstå hva HTTPS er kreves det først en rask innføring i HTTP. HTTP er en forkortelse for HyperText Transfer Protocol. Det er rett og slett en fremgangsmåte for overføring av informasjon, samt lenking til andre kilder med informasjon.

Protokollen har en spørsmål- og svar-funksjon. Det betyr i praksis at du som bruker sender en forespørsel om å få se for eksempel http://www.google.no, og Google svarer med å vise deg innholdet på siden.

Imidlertid er HTTP kun fokusert på at innholdet som etterspørres presenteres på riktig måte hos brukeren, uten å “bry seg” om hvordan dataene forflytter seg fra punkt A til punkt B.

Hvordan fungerer HTTPS?

HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt er kryptert.

Dersom du for eksempel fyller ut et skjema med passord vil nettsiden være den eneste som kan lese dette. Dette gjelder også den andre veien, hvor en nettside trygt kan sende deg sensitiv informasjon. I tråd med Googles egen anbefaling om å alltid benytte HTTPS er dette det foretrukne alternativet når vi driver med webutvikling for våre klienter.

Les mer om våre tjenester innen webdesign

Tegnet mann med nøkkel illustrerer HTTPS krypteringHvorfor kryptering?

Uten kryptering kan personer som har tilgang til infrastrukturen mellom deg og serveren til nettsiden se alt innhold som sendes. Krypteringen løser dermed dette problemet ved at det du sender kun kan leses av serveren og det serveren sender kun kan leses av deg.

Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og hvilken krypteringsalgoritme som er brukt. HTTPS er ingen egen protokoll, men en kombinasjon av vanlig HTTP over en kryptert SSL- (Secure Sockets Layer) eller TLS-kopling (Transport Layer Security). Dette skaper også beskyttelse mot avlytting, mellomleddsangrep og endring av sendte data.

Det finnes også tilfeller hvor den eller de som har kontroll over infrastrukturen utgir seg for å være en nettside du er i kontakt med.

Dette skjer spesielt på åpne trådløse nettverk, hvor alle kan lese informasjonen som sendes. Hensikten kan være å fange opp passord til en nettside du bruker. For å løse dette problemet bruker HTTPS en tredjepart som bekrefter at nettsiden du sender kryptert informasjon til faktisk er den som nettsiden utgir seg for å være.

Digitalt sertifikat

Når en web-tjener skal settes opp for å akseptere HTTPS-forbindelser, må administratoren opprette et digitalt sertifikat for web-tjeneren.

Dette sertifikatet må så signeres av en sertifikatautoritet, som beviser at sertifikateieren virkelig er entiteten den oppgir å være. For eksempel en organisasjon eller en person. Nettlesere er generelt distribuert med signeringssertifikatene til kjente sertifikatautoriteter for å kunne verifisere at sertifikatene virkelig er signert av dem.

Organisasjoner kan også drive sin egen sertifikatautoritet til sitt intranett. Der kan de legge egne signeringssertifikater til dem som allerede fulgte med nettleseren. Noen sider, spesielt de som er drevet av hobbybrukere, bruker selv-signerte sertifikater på offentlige nettsider. Ved å gjøre dette sikrer de seg mot enkel avlytting, men det kan ikke stoppe et mellomleddsangrep slik et godkjent sertifikat kan.

Google verdsetter HTTPS

Google setter sikkerhet høyt. Selv benytter de HTTPS som standard. I tillegg ønsker de at nettsteder som besøkes fra deres søkeside også skal være trygge. HTTPS er allerede en rangeringsfaktor som Google vurderer å styrke i tiden fremover.

Markerer ikke-krypterte sider som “usikre”

Googles nettleser Chrome varsler fra versjon 56 brukerne når de går inn på sider uten SSL-sertifikat. Det gjelder for sider som har innlogging eller betalingsløsning.

Gmail varsler også brukeren dersom epost sendes via en ikke-kryptert forbindelse. Varselet er forholdsvis diskret. Det kommer i form av et hengelås-ikon som vises sammen med meldingene man mottar eller vil sende.

Kontakt oss for hjelp med HTTPS

Dersom du har spørsmål angående HTTP/HTTPS eller ønsker å sette opp et godkjent sertifikat, ta kontakt på post@nettrafikk.no eller +47 21 39 94 11, så hjelper vi deg!

Var denne artikkelen nyttig?
Kontakt oss
Nettrafikk AS
Nedre gate 5, 0551 Oslo
post@nettrafikk.no
Tlf: +47 21 39 94 11
Meld deg på vårt nyhetsbrev!