Dali ste prebacivali Vaše postojeće web stranice na HTTPS ?
Dali ima smisla prelaziti na HTTPS ako je web sajt adult niše ili neke niše koja se ne baziraju na web prodaji?
i dali ste nakon prelaska na HTTPS imali nekih problema? dali su svi pluginovi radili ok,. popunderi, reklame,…
.
.
- digresija:
HTTPS
HyperText Transfer Protocol Secure (HTTPS) je internetski protokol nastao kombinacijom protokola HTTP s protokolom SSL/TLS.
Svojstva HTTPS-a
Ovaj protokol omogućava kriptiranu komunikaciju i sigurnu identifikaciju web poslužitelja mreže. HTTPS veze često se koriste za novčane transakcije na World Wide Webu i ostale povjerljive transakcije u korporativnim informacijskim sustavima.
HTTPS je URI shema koja ima identičnu sintaksu poput standardnog HTTP programa, osim svoje znakovne sheme. Međutim, HTTPS signalizira pregledniku za korištenje dodatnog zaštitnog SSL/TLS protokola kako bi zaštito promet. SSL je posebno pogodan za HTTP jer može pružiti određenu zaštitu čak i ako je samo jedna strana komunikacije ovjerena (autentična). To je slučaj HTTP transakcije preko Interneta, gdje je obično samo poslužitelj ovjeren.
Osnovna ideja HTTPS je stvoriti siguran kanal preko nesigurne mreže. To osigurava razumnu zaštitu od prisluškivanja i napada Man-in-the-middle, pod uvjetom da je korištena odgovarajuća enkripcija i da je poslužiteljev certifikat provjeravan i pouzdan.
Web preglednici znaju kako vjerovati HTTPS web stranicama na temelju certifikata koji dolaze pre-instalirani u njihovom softveru. Izdaju ih posebne tvrtke (engl. Certificate authorities) (npr. VeriSign / Thawte / itd.) kojima proizvođači Internet preglednika (Mozilla, Google, Microsoft) vjeruju. Logično, slijedi da korisnik mora imati povjerenja u HTTPS povezivanje na web stranicu onda i samo onda ako je sljedeće navedeno istinito:
-
Korisnik vjeruje da je internet preglednik ispravno implementirao podršku za HTTPS s ispravnim predinstaliranim certfikatom izdanim od ovlaštenih CA (certificirani autoritet).
-
Korisnik vjeruje certificiranom autoritetu CA da jamči samo za legitimne web stranice.
-
Internetska stranica daje valjani certifikat, što znači da je potpisan od strane pouzdanog certificiranog autoriteta.
-
Potvrda ispravno identificira web stranice (npr. kad preglednik posjeti “https://example.com”, dobiveni certifikat je ispravan za “Example Inc”, a ne neki drugi subjekt). 5. ili da je Internet mreža vjerodostojan, ili korisnik vjeruje da je sloj kriptiranog protokola (TLS/SSL) dovoljna zaštita protiv prisluškivanja.
Razlika od HTTP-a
HTTPS standardno rabi TCP/IP-port 443 a njegovi URL-ovi počinju s “https://”. S druge strane, HTTP standardno rabi TCP/IP-port 80 a njegovi URL-ovi počinju s “http://”.
HTTP je nezaštićen i predmet je napada čovjek-u-sredini i prisluškivanje, što može dopustiti napadačima pristup web računima i osjetljivim informacijama. HTTPS je dizajniran da izdrži takve napade i smatra se sigurnim protiv takvih napada (uz iznimku izvan upotrebe starije verzije SSL).
HTTP djeluje na najvišem sloju OSI modela, aplikacijski sloj, ali sigurnosni protokol radi na nižim podrazinama, kodirajući HTTP poruku prije prijenosa i dekriptirajući poruku pri dolasku. Strogo govoreći, HTTPS nije zasebni protokol, ali se odnosi na korištenje običnog HTTP preko kriptirane SSL / TLS veze.
Sve u HTTPS porukama je kodirano, uključujući i zaglavlja. S iznimkom mogućeg kriptografskog napada, napadač može znati činjenicu da se veza odvija između dviju stranaka, naziv domene i IP adrese ali kriptografski algoritmi korišteni za kodiranje su toliko sigurni da ih je u realnim uvjetima nemoguće probiti.
Ograničenja protokola
SSL dolazi u dvije opcije, jednostavna i zajednička.
Zajednička verzija je sigurnija, ali zahtijeva od korisnika instaliranje osobnog certifikata u svom pregledniku kako bi se prepoznao.
Koja god se strategija koristi (jednostavna ili zajednička), razina zaštite uvelike ovisi o ispravnosti provedbe web preglednika i poslužiteljevog softvera i kriptografskih algoritama koje podržava.
SSL ne sprječava potpuno indeksiranje web stranica od strane pretraživača (npr. Google)
S arhitektonske točke gledišta:
-
SSL/TLS vezom upravlja prvi (frontalni) server, ako se kojim slučajem aplikacija koji se pristupa ne nalazi na tom serveru, treba postojati riješenje koje će proslijediti informacije o korisniku i certifikatu tom aplikacijskom serveru.
-
Za SSL s zajedničkom autentifikacijom, SSL/TLS sjednica (session) je upravljana od strane prvog poslužitelja koji inicira vezu. U situacijama gdje se šifriranje mora širiti povezanim serverima, upravljanje istekom sjednice postaje vrlo komplicirana zadatak za provedbu. 3. S zajedničkim SSL/TLS, sigurnost je maksimalna, ali na strani klijenta, ne postoji način da se pravilno završi SSL veza i isključi korisnika osim čekanjem da SSL sjednica istekne ili zatvori sve povezane aplikacije klijenata. 4. Zbog preformasni statički sadržaj koji nije specifičan za korisnika ili transakciju, obično se dostavlja putem ne kriptiranog prednjeg poslužitelja ili zasebnog poslužitelja bez SSL-a. Kao posljedica toga, ovaj sadržaj obično nije zaštićen. Mnogi preglednici upozoravaju korisnika kada stranica pomiješa kodirane i ne kodirane dijelove
Sofisticiran tip MITM predstavljen je na Blackhat Conference 2009. Ova vrsta napada probija sigurnost koju pruža HTTPS promjenom https: linka u http:link, uzimajući prednost činjenice da rijetki korisnci Interneta zapravo upisuju “https” u njihov preglednik. Korisnici odlaze na sigurnu stranicu putem linka misleci da koriste HTTPS dok ustvari koriste HTTP. Napadač tada komunicira jasno s klijentom.
stvarno nemam pojima gdje sam stavio, al ok je i u bitriji 