Cloud

Définition de HTTPS

HTTPS (HTTP sur SSL ou HTTP Secure)

⌚: 3 minutes

HTTPS (HTTP over SSL ou HTTP Secure) est l’utilisation de Secure Socket Layer (SSL) ou de Transport Layer Security (TLS) comme sous-couche sous la couche normale d’application HTTP. Le HTTPS chiffre et décrypte les demandes de pages de l’utilisateur ainsi que les pages renvoyées par le serveur Web. L’utilisation du HTTPS protège contre les écoutes et les attaques de type « man-in-the-middle« . Le HTTPS a été développé par Netscape.

HTTPS et SSL prennent en charge l’utilisation de certificats numériques X.509 du serveur afin que, si nécessaire, un utilisateur puisse authentifier l’expéditeur. Sauf si un port différent est spécifié, le HTTPS utilise le port 443 au lieu du port HTTP 80 dans ses interactions avec la couche inférieure, TCP/IP.

Supposons que vous vous rendiez sur un site web pour consulter son catalogue en ligne. Lorsque vous serez prêt à commander, vous recevrez un formulaire de commande de page Web avec un localisateur de ressources uniformes (URL) qui commence par https://. Lorsque vous cliquez sur « Envoyer », pour renvoyer la page au détaillant du catalogue, la couche HTTPS de votre navigateur la cryptera. L’accusé de réception que vous recevrez du serveur voyagera également sous forme cryptée, arrivera avec une URL https://, et sera décrypté pour vous par la sous-couche HTTPS de votre navigateur.

L’efficacité du HTTPS peut être limitée par une mauvaise mise en œuvre du logiciel du navigateur ou du serveur ou par un manque de prise en charge de certains algorithmes. En outre, bien que le HTTPS sécurise les données lors de leur transfert entre le serveur et le client, une fois que les données sont décryptées à leur destination, elles ne sont sécurisées que par l’ordinateur hôte. Selon l’expert en sécurité Gene Spafford, ce niveau de sécurité est analogue à « l’utilisation d’un camion blindé pour transporter des rouleaux de pièces de monnaie entre une personne sur un banc de parc et une personne faisant des affaires à partir d’une boîte en carton ».

Le HTTPS ne doit pas être confondu avec le S-HTTP, une version de HTTP à sécurité renforcée développée et proposée comme norme par l’IET.

Démarrer avec le HTTPS

Pour découvrir comment le HTTPS est utilisé dans l’entreprise, voici quelques pistes supplémentaires pour en savoir plus sur le HTTPS et la sécurité des pages Web :
Activation du HTTPS dans les composants Web J2EE : Le protocole HTTPS est un élément de sécurité précieux pour les composants Web J2EE. L’expert Ramesh Nagappan explique comment mettre en œuvre le HTTPS dans les JSP et les servlets.

Authentification et autorisation pour les applications Web : Les applications web ont besoin de mécanismes d’authentification et d’autorisation robustes, comme le HTTPS. L’expert Ramesh Nagappan explique les mesures nécessaires avant de déployer des applications Web.

Comment créer une page de connexion sécurisée en utilisant ASP.NET : Une page de connexion sécurisée en ASP.NET est plus facile à créer qu’on ne pourrait le supposer. L’expert Dan Cornell explique comment utiliser l’authentification, l’autorisation et le HTTPS pour garantir la sécurité de votre page de connexion.

Ecrire un commentaire