HTTPS – Store norske leksikon

HTTPS er en kommunikasjonsprotokoll som støtter sikker kommunikasjon over internett. Protokollen sikrer at man kan verifisere identiteten til nett-tjenesten man kommuniserer med, samt at informasjonen som overføres ikke kan avlyttes eller endres. Dermed oppnås sikkerhetstjenestene autentisering, konfidensialitet og integritet. HTTPS er en videreutvikling av kommunikasjonsprotokollen HTTP, som ikke tilbyr autentisering og kryptering.

Faktaboks

Etymologi: engelsk forkortelse for Hypertext Transfer Protocol Secure

Alle nett-tjenester har nytte av HTTPS. HTTPS bør særlig benyttes av nettbanker, netthandel, ved overføring av passord (for eksempel innlogging til ulike tjenester på nett), sosiale medier og andre anledninger hvor sensitiv informasjon overføres på nett, og der tjenesten man samhandler med, bør autentiseres.

HTTPS krever vesentlig mer ressurser av både server og klient (nettleser) enn HTTP, som tidligere var benyttet som kommunikasjonsprotokoll, da informasjonen skal krypteres og dekrypteres. I dag er imidlertid ikke dette lenger noen reell problemstilling på grunn av bedre maskinvare.

Mange tjenestetilbydere fikk et ekstra påskudd for å ta i bruk HTTPS da søkemotorer som Google begynte å rangere nettsteder med HTTPS høyere i søketreffene enn tjenester som kun bruker HTTP.

I dag benytter så godt som alle store og kjente nettsider HTTPS. Selv om de fleste nettsider benytter HTTPS, vil imidlertid mange fortsatt tilby et alternative med HTTP for en mindre sikker kommunikasjon. Man skal for eksempel ikke lenger tilbake enn til 2012 før HTTPS ikke var påkrevd for bruk av Facebook, og det var mulig å bruke tjenesten uten at kommunikasjonen ble kryptert.

For brukeren kjennetegnes HTTPS først og fremst ved at nettadressen starter med https:// i stedet for http://, samt at de fleste nettlesere i dag illustrerer HTTPS med en hengelås først i adressefeltet.

Formelt vil ikke HTTP forsvinne, da HTTPS teknisk sett er HTTP med et ekstra påbygg.

Virkemåte

Når en nettleser starter kommunikasjon med en server, mottar nettleseren serverens sikkerhetssertifikat. Dette sertifikatet inneholder serverens offentlige krypteringsnøkkel, som en del av en asymmetrisk krypteringsalgoritme, og informasjon om serveren, slik som domenenavnet, sertifikatutsteder og gyldighetsperiode.

Sertifikatet er signert med sertifikatutstederens (Certificate Authority, CA) private krypteringsnøkkel. Nettleseren kan derfor benytte sertifikatutstederens offentlige krypteringsnøkkel for å autentisere innholdet i sertifikatet, altså koblingen mellom serverens offentlige krypteringsnøkkel og domenenavnet, samt at sertifikatet er gyldig.

Deretter vil nettleseren generere en symmetrisk krypteringsnøkkel og velge en krypteringsalgoritme. Dette sendes til serveren ved å kryptere informasjonen med serverens offentlige krypteringsnøkkel. Serveren kan så dekryptere dette med sin private krypteringsnøkkel.

Siden serverens offentlige nøkkel er autentisert, og bare serveren kjenner den tilhørende private nøkkelen, kan kun serveren dekryptere den symmetriske nøkkelen. Dermed har man indirekte autentisert serveren. Den videre kommunikasjonen skjer deretter via symmetrisk kryptering, og man oppnår konfidensialitet og integritet.

HTTPS er i bunn og grunn HTTP kombinert med Transport Layer Security (TLS) som tar seg av autentiseringen og krypteringen. I tillegg til krypteringen, som indirekte sikrer integritet, benytter TLS også meldingsautentiseringskoder (MAC).

Årsaken til at det veksles fra asymmetrisk til symmetrisk kryptering, er behovet for rask og effektiv overføring av større mengder data.

Nettlesere leveres med de offentlige nøklene til velkjente sertifikatutstedere. Dette gjør det mulig å autentisere sertifikatene. Enten direkte eller gjennom en kjede av mellomliggende sertifikater og sertifikatutstedere.

Utfordringer med HTTPS

Mange brukere har en feil oppfatning av hva HTTPS faktisk bidrar med. En vanlig misforståelse er at det er sikkert å benytte nettsteder som baserer seg på HTTPS. HTTPS medfører imidlertid ingen automatikk i dette. HTTPS sikrer kun at ingen kan avlytte brukerens kommunikasjon med svindleren, og at svindleren er den han/hun utgir seg for å være.

Altså vil det ikke være noen garanti mot å bli svindlet selv om nettstedet benytter HTTPS. Et nettsted som i dag ikke benytter HTTPS, bør derimot vekke skepsis.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

Fagansvarlig for Data- og informasjonssikkerhet

Tom Heine Nätt

Førstelektor, Høgskolen i Østfold