Https-порт — протокол безпечної зв'язку

Https-порт — це протокол безпечної зв'язку в комп'ютерній мережі, який широко використовується в Інтернеті. Https складається з зв'язку за протоколом передачі гіпертексту (http) у рамках з'єднання, зашифрованого Security Transport Layer Security (або Secure Sockets Layer). Основним призначенням порту https є аутентифікація відвідуваного веб-сайту та захист конфіденційності і цілісності обмінних даних. Https забезпечує аутентифікацію веб-сайту і пов'язаного з ним веб-сервера, з якими він обмінюється даними. Також цей протокол забезпечує двонаправлений шифрування повідомлень між клієнтом та сервером, яке захищене від підслуховування і підробки вмісту повідомлення. На практиці це забезпечує гарантію того, що користувач спілкується з потрібним сайтом (не з сайтом-підробкою) і обмін даними між користувачем і ресурсом є конфіденційним.

Https-порт: історична довідка

Https створила компанія Netscape Communications в 1994 році для свого веб-браузера Netscape Navigator. Спочатку https використовувався з протоколом SSL. По мірі того як SSL перетворився в систему безпеки транспортного рівня (TLS), https був офіційно визначений RFC 2818 в травні 2000 року.

Історично https-з'єднання в основному використовувалися для платіжних операцій в World Wide Web електронною поштою і для конфіденційних транзакцій в корпоративних інформаційних системах. В кінці 2000-х і на початку 2010-х рр. https-протокол почав широко використовуватися для захисту аутентифікації сторінок на всіх типах веб-сайтів, забезпечення безпеки облікових записів і конфіденційності користувачів, особистих даних і приватного перегляду веб-сторінок.

Використання у веб-сайтах

За станом на червень 2017 року 217% веб-сайтів, що налічують більше 1000000 користувачів, використовують https за замовчуванням. 431% найпопулярніших веб-сайтів в мережі Інтернет налічують 141387 користувачів, які мають безпечну реалізацію https. Згідно з даними звіту Firefox Telemetry 45% завантажень сторінок застосовують https-протоколювання. Згідно із звітами Mozilla з січня 2017 року більше половини веб-трафіку, що передається в зашифрованнном вигляді.

Інтеграція браузера

Більшість браузерів відображають попередження, якщо вони отримують некоректний сертифікат. Старі браузери при підключенні до сайту неприпустимим сертифікатом повинні надати користувачеві діалогове вікно з питанням про те, чи вони хочуть продовжити перехід на ресурс. Нові браузери відображають попередження у всьому вікні.

Більш нові браузери також бачать інформацію про безпеку сайту в адресному рядку. Розширені сертифікати перевірки зазначають адресний рядок зеленим кольором в нових браузерах. Більшість браузерів також відображають попередження користувачу при відвідуванні сайту, який містить суміш зашифрованого і незашифрованого контенту.

Безпека протоколу https-порту

Безпека https — це базова TLS, яка зазвичай використовує довгострокові загальнодоступні і закриті ключі для генерації короткострокового ключа сеансу, який потім застосовується для шифрування потоку даних між клієнтом і сервером. Сертифікати X. 509 використовуються для аутентифікації сервера (а іноді і клієнта). Як наслідок, вони і сертифікати відкритих ключів необхідні для перевірки зв'язку між сертифікатом та його власником, а також для створення, підписання та адміністрування дійсності сертифікатів.
Важливою властивістю в цьому контексті є пряма секретність, яка гарантує, що зашифровані повідомлення, записані в минулому, не можуть бути відновлені та дешифровані, якщо в майбутньому будуть скомпрометовані довгострокові секретні ключі або паролі. Не всі веб-сервери забезпечують пряму секретність — це залежить від того, який порт https-з'єднання використовується.

Обмеження

Https-порт вразливий для ряду атак з аналізом трафіку. Даний вид атаки відбувається на стороні каналу, залежить від зміни часу і розміру трафіку і дискредитує властивості зашифрованого контенту. Аналіз трафіку можливий, оскільки шифрування SSL/TLS змінює трафіку, але надає мінімальний вплив на його розмір і час. У травні 2010 року дослідники компанії Microsoft Research та Університету Індіани виявили, що докладні конфіденційні дані користувача можуть бути виведені з бічних каналів, таких як розміри пакетів. Експерти з'ясували, що підслуховуючий пристрій може отримувати конфіденційні дані користувачів. У червні 2014 року група дослідників з UC Berkeley і Intel на чолі з Бредом Міллером продемонструвала узагальнений підхід до аналізу трафіку https-порту на основі машинного навчання. Дослідники продемонстрували, що атака застосовувалася до цілого ряду веб-сайтів, включаючи такий популярний ресурс, як YouTube. Виявлено, що зловмисник може відвідувати ті ж веб-сторінки, що та жертва, для збору мережевого трафіку, який служить навчальними даними.

Потім зловмисник ідентифікує подібності в розмірах пакетів і порядках між трафіком жертви і трафіком даних навчання — це дозволяє зловмисникові виводити точну сторінку, яку відвідує жертва. Також виявлено, що атака не може використовуватися для виявлення користувацьких значень, які вбудовані у веб-сторінку. Наприклад, багато банків пропонують веб-інтерфейси, які дозволяють користувачам переглядати залишки на рахунках. Зловмисник зможе виявити, що користувач переглядав сторінку балансу аккаунта, але не зможе дізнатися точний баланс користувача або номер рахунку.