Cum funcționează HTTPS?
HTTPS (HyperText Transfer Protocol Secure) este versiunea securizată a protocolului HTTP, care folosește criptare SSL/TLS pentru a proteja datele schimbate între client (browser) și server.
1. Ce este HTTPS?
HTTPS este un protocol pentru comunicarea securizată pe internet, care criptează datele schimbate între client (browser) și server. El folosește o combinație între:
- HTTP (protocolul standard pentru transferul de pagini web)
- SSL/TLS (protocoale de criptare și autentificare)
Scopuri principale:
- Confidențialitatea - datele nu pot fi citite de terți
- Integritatea - datele nu pot fi modificate în tranzit
- Autenticitatea - serverul este cel real, nu un impostor
2. Cum funcționează HTTPS?
HTTPS folosește SSL/TLS pentru a stabili o conexiune securizată. Procesul are mai multe etape:
A. Handshake-ul SSL/TLS (negocierea conexiunii securizate)
1. Client Hello
Browserul trimite către server o cerere de inițializare HTTPS, care include:
- Versiunile TLS acceptate
- Algoritmii de criptare suportați (Cipher Suites)
- O valoare aleatoare numită "Client Random"
2. Server Hello
Serverul răspunde cu:
- Certificatul său SSL (care include cheia publică)
- Alegerea unui algoritm de criptare din lista oferită de client
- O altă valoare aleatoare numită "Server Random"
3. Verificarea certificatului
Browserul verifică certificatul serverului:
- Dacă este emis de o autoritate de încredere (CA - Certificate Authority)
- Dacă nu a expirat
- Dacă se potrivește cu numele de domeniu (DNS)
4. Generarea cheii de sesiune (Pre-Master Secret)
Browserul generează o a treia valoare aleatoare, numită "Pre-Master Secret", o criptează cu cheia publică a serverului (din certificat) și o trimite înapoi.
5. Generarea cheilor simetrice (Master Secret)
- Serverul decriptează Pre-Master Secret cu cheia sa privată
- Ambele părți folosesc cele 3 valori aleatoare (Client Random, Server Random, Pre-Master Secret) pentru a genera aceeași cheie simetrică de sesiune (Master Secret)
- Aceasta va fi folosită pentru criptarea simetrică a comunicării (ex: AES)
6. Finalizarea handshake-ului
Ambele părți trimit un mesaj criptat cu noua cheie, confirmând că procesul a funcționat.
B. Comunicarea criptată (Transferul de date)
- După handshake, toate datele sunt criptate cu cheia simetrică stabilită
- Se folosesc algoritmi precum AES (Advanced Encryption Standard) pentru viteza
- Fiecare pachet este verificat pentru integritate (folosind HMAC)
C. Închiderea conexiunii (TLS Termination)
- Când conexiunea se închide, cheia de sesiune este invalidată
- Dacă se reconectează, se face un nou handshake
3. De ce este HTTPS important?
- Protejează împotriva atacurilor Man-in-the-Middle (MITM) – fără HTTPS, un atacator poate intercepta datele
- Asigură autenticitatea site-urilor – previne phishing-ul (site-uri false)
- Este necesar pentru funcționalități moderne (ex: Service Workers, Geolocație, Web Payments)
- Influențează SEO – Google prioritizează site-urile HTTPS
4. Diferența dintre HTTP și HTTPS
| Caracteristică | HTTP | HTTPS |
|---|---|---|
| Criptare | Nu (datele sunt în clar) | Da (SSL/TLS) |
| Port implicit | 80 | 443 |
| Securitate | Vulnerabil la MITM | Protejat |
| Viteză | Ușor mai rapid (fără overhead) | Ușor mai lent (datorită criptării) |
| Certificat | Nu necesită | Necesită certificat SSL |
5. Tipuri de certificate SSL/TLS
- DV (Domain Validated) – Verifică doar domeniul (cel mai simplu)
- OV (Organization Validated) – Verifică și organizația
- EV (Extended Validation) – Cea mai strictă verificare (afișează numele companiei în bara de adresă)
6. Cum poți verifica dacă un site folosește HTTPS?
- În browser, vezi 🔒 lângă URL
- Adresa începe cu
https://(nuhttp://) - Poți inspecta certificatul (click pe 🔒 → "Certificate")
Concluzie
HTTPS este esențial pentru securitatea online, transformând comunicarea într-un proces criptat și verificat. Folosirea lui a devenit standard, iar majoritatea site-urilor moderne îl implementează implicit.
Documentație
Resurse recomandate despre HTTPS și SSL/TLS
1. Cărți fundamentale despre HTTPS și SSL/TLS
-
Bulletproof SSL and TLSEditura: Feisty DuckDe ce o recomand: Cea mai completă lucrare despre implementarea corectă a SSL/TLS. Acoperă atât teoria, cât și practica (inclusiv vulnerabilități comune). Actualizată pentru TLS 1.3.
-
Cryptography and Network SecurityEditura: Pearson
-
Web Security for DevelopersEditura: No Starch PressDe ce o recomand: Explică HTTPS din perspectiva unui developer. Include exemple practice de configurare și debugging.
2. Cărți despre securitatea web (care acoperă HTTPS)
-
The Tangled WebEditura: No Starch PressDe ce o recomand: Analizează vulnerabilitățile browserelor și ale protocolului HTTPS.
-
Serious CryptographyEditura: No Starch PressDe ce o recomand: Explică algoritmii de criptare folosiți în HTTPS (AES-GCM, SHA-256 etc.).
3. Resurse oficiale și standarde
RFC-uri relevante
- RFC 8446: TLS 1.3 (cea mai recentă versiune)
- RFC 2818: HTTPS over TLS
- Disponibile gratuit pe IETF Datatracker
Alte resurse online
- Mozilla SSL Configuration Generator: https://ssl-config.mozilla.org/
- OWASP TLS Cheat Sheet: Ghid de securitate
4. Cărți în română
-
Securitatea Calculatoarelor și a RețelelorEditura: PoliromConținut relevant: Capitol despre criptografie și protocoale securizate.
-
Rețele de Calculatoare (ediția a IV-a)Editura: Byblos (tradusă în română)Conținut relevant: Protocoale de securitate în rețele.
Susține acest blog
Dacă cumperi folosind linkurile care duc la emag.ro si aliexpress.com vei susține blogul meu, iar 10% din donații se vor direcționa pentru fundația dăruiește viată. Mulțumesc !
Mulțumesc pentru atenție!
Pentru întrebări și/sau consultanță tehnică vă stau la dispoziție pe blog mai jos în secțiunea de comentarii sau pe email simedruflorin@automatic-house.ro.
O zi plăcută tuturor !
Back to top of page