HTTPS

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca
Icona de cadenat, que als navegadors identifica l’ús d’HTTPS.
Icona de cadenat HTTPS.

En telecomunicacions i TI, el protocol de transferència d’hipertext sobre capa de sòcol segur ( HTTPS ), (també conegut com a HTTP sobre TLS , [1] [2] HTTP sobre SSL [3] i HTTP segur [4] [5] ) és un protocol per a comunicació segura a través d’una xarxa informàtica utilitzada a Internet . El port que s’utilitza generalment (però no necessàriament) és 443. Consisteix en comunicar-se mitjançant HTTP (Hypertext Transfer Protocol) dins d’una connexió xifrada , mitjançant xifratge asimètric , mitjançant Transport Layer Security ( TLS ) o el seu predecessor, Secure Sockets Layer ( SSL ). com a requisits clau:

  1. una autenticació del lloc web visitat;
  2. protecció de la privadesa (confidencialitat o confidencialitat );
  3. integritat de les dades intercanviades entre les parts comunicants.

Generalitat

En la seva popular operació a Internet, HTTPS proporciona la seguretat del lloc web i del servidor web associat amb el qual es comunica una de les parts, protegint la comunicació dels atacs coneguts mitjançant la tècnica home in the middle . A més, HTTPS proporciona un xifratge bidireccional de comunicacions entre un client i un servidor , que el protegeix contra possibles operacions d’ espionatge (una acció mitjançant la qual s’escolta secretament la conversa privada entre les parts sense el seu consentiment ) i la manipulació ( literalment manipulació) amb o alteració de la comunicació ) falsificant-ne el contingut. [6] A la pràctica, aquest mecanisme proporciona una garantia satisfactòria que es comunica exactament amb el lloc web desitjat (a diferència d’un lloc web fals), així com també garanteix que no es pugui contenir el contingut de les comunicacions entre l’usuari i el lloc web. interceptats o alterats per tercers.

Històricament, les connexions HTTPS s’utilitzaven principalment per a pagaments en transaccions de la xarxa mundial , correu electrònic i per a transaccions sensibles dins dels sistemes d’informació corporativa. A finals de la dècada de 2000 i principis de la dècada de 2010, HTTPS va començar a tenir un ús generalitzat i generalitzat per protegir l’autenticitat de les pàgines web , la seguretat dels comptes d’usuari i per mantenir les comunicacions, la identitat i la navegació web del web privades.

Història

Aquest sistema va ser dissenyat per Netscape Communications Corporation, que s’ocupa de les comunicacions xifrades i d’autenticació i s’utilitza àmpliament a la xarxa mundial per a situacions que requereixen requisits de seguretat especials , com ara el pagament de transaccions en línia. En aquest cas, SSL garanteix el xifratge de les dades enviades i rebudes per Internet .

Descripció

Als navegadors web, l’ URI ( Uniform Resource Identifier ) que fa referència a aquesta tecnologia té el nom de l’esquema https i és en tots els aspectes similar als URI http . Tot i això, HTTPS indica al navegador que utilitzi la capa de xifratge SSL / TLS addicional per protegir el trànsit d’Internet. SSL / TLS és especialment adequat per al protocol HTTP, ja que pot proporcionar una certa protecció, encara que només s’autentiqui una de les parts comunicants. És el cas de l'HTTP en les transaccions d'Internet, on normalment el servidor és l'únic que s'ha autenticat, mentre que el client examina el certificat del servidor.

HTTPS s’encarrega de crear un canal de comunicació segur a través d’una xarxa informàtica no segura. Això garanteix una protecció acceptable contra els escoltes ( oients indiscrets ) i els atacs man-in-the-middle , sempre que s'utilitzi un xifratge de comunicació adequat i es verifiqui i es confiï el certificat del servidor.

A la base de l'operació d'HTTPS, per sobre de la seguretat de capa de transport , hi ha el protocol HTTP; per aquest motiu, aquest últim es pot xifrar completament. El xifratge del protocol HTTP inclou:

  • la sol·licitud d'URL ( la pàgina web que es va sol·licitar )
  • paràmetres de consulta
  • les capçaleres de connexió
  • cookies ( que sovint contenen informació sobre la identitat de l'usuari )

Tanmateix, atès que les adreces IP ( llocs web ) i els números de port de l’amfitrió formen part dels protocols subjacents de TCP / IP, HTTPS no pot protegir la seva divulgació. A la pràctica, vol dir que, fins i tot si un servidor web està configurat correctament, els auditors poden deduir l'adreça IP i el número de port (de vegades fins i tot el nom del domini, per exemple "www.example.org", però no la resta URL) del web servidor amb el qual us comuniqueu, a més de la quantitat de dades transferides i la durada de la comunicació (durada de la sessió), però no el contingut de la comunicació. [6]

Els navegadors web saben confiar en els llocs web HTTPS basats en certificats d'autoritat que vénen preinstal·lats al seu programari. Els creadors de navegadors web confien en les autoritats certificadores (com Symantec, Comodo, GoDaddy i GlobalSign ) per proporcionar certificats vàlids amb finalitats de comunicació. Per tant, un usuari hauria de confiar en una connexió HTTPS a un lloc web si i només si es comprova tot el següent:

  • L'usuari confia que el programari del navegador implementi correctament el protocol HTTPS amb certificats d'autoritat preinstal·lats correctament.
  • L'usuari confia en l'autoritat de certificació que garanteix només llocs web legítims.
  • El lloc web proporciona un certificat vàlid, el que significa que ha estat signat per una autoritat de confiança.
  • El certificat identifica correctament el lloc web (per exemple, quan el navegador visita " https://example.com ", el certificat rebut és adequadament el relacionat amb "example.com" i no amb cap altra entitat).
  • L'usuari confia que el nivell de xifratge del protocol (SSL / TLS) és suficientment segur contra possibles operacions d'espionatge.

L’HTTPS és especialment important a les xarxes insegures (com ara els punts Wi-Fi públics), ja que qualsevol persona de la mateixa xarxa local pot inhalar paquets i descobrir informació sensible que no estigui protegida per HTTPS. A més, a molts se’ls paga per dedicar-se a la injecció de paquets a les xarxes sense fils amb la finalitat de proporcionar un servei de publicitat de les seves pàgines web, mentre que altres ho fan lliurement. Tanmateix, aquesta operació es pot explotar de manera maliciosa de moltes maneres, com ara injectar programari maliciós a les pàgines web i robar informació privada als usuaris. [7]

HTTPS també és molt important amb les connexions a la xarxa Tor (acrònim de The Onion Router) per preservar l’anonimat a Internet, ja que els nodes Tor maliciosos poden danyar o alterar el contingut que els passa a través d’una manera insegura i injectar malware a la connexió. Per aquest motiu, la Electronic Frontier Foundation ( EFF ) i el projecte Tor han iniciat el desenvolupament del protocol HTTPS Everywhere [6] , que s'inclou al paquet Tor Browser. [8]

Tot i que es divulga més informació sobre la vigilància global massiva i el robatori d’informació personal per part dels pirates informàtics , l’ús d’HTTPS per a seguretat en tots els llocs web és cada vegada més important, independentment del tipus de connexió a Internet que s’utilitzi. [9] [10] Tot i que les metadades de les pàgines individuals que visita un usuari no són informació sensible, quan es combina aquesta informació, es pot revelar molt sobre la identitat de l'usuari i comprometre la seva privadesa. [2] [11] [12]

L’ús d’HTTPS també permet l’ús dels protocols SPDY / HTTP / 2 , que són noves generacions del protocol HTTP, dissenyats per reduir els temps de càrrega i la latència de les pàgines web.

Es recomana utilitzar HTTP Strict Transport Security (HSTS) amb HTTPS per protegir els usuaris dels atacs de l'home en mig, especialment el despullament SSL . [12] [13]

No s’ha de confondre HTTPS amb el protocol Secure HTTP (S-HTTP) poc utilitzat descrit a l’especificació RFC 2660 .

Ús a llocs web

A partir del 3 de maig de 2017, el 56,8% dels 139.032 llocs web principals tenen una implementació segura del protocol HTTPS. [14] HTTPS és utilitzat pel 5,24% del total de dominis italians registrats [15] .

Integració en navegadors

La majoria dels navegadors mostren un missatge d'advertència si reben un certificat no vàlid del servidor que actua com a autoritat de certificació. Els navegadors més antics, quan es connectaven a un lloc web amb un certificat no vàlid, mostraven a l’usuari un missatge de diàleg en què se li demanava si volia continuar navegant. Els navegadors més recents, en canvi, mostren un missatge d’advertència que cobreix tota la finestra, mostrant a l’usuari la informació de seguretat del lloc visitat a la barra d’adreces del navegador. Als navegadors moderns, la validació de certificats ampliada mostra la barra d’adreces amb un color verd. A més, la majoria de navegadors mostren un missatge d'advertència a l'usuari quan visita un lloc que conté una barreja de contingut xifrat i no xifrat.

Firefox utilitza el protocol HTTPS per a les cerques de Google des de la versió 14, [16] amb l'objectiu de "protegir els nostres usuaris de la infraestructura de xarxa que pot recollir dades dels usuaris o modificar / censurar els seus resultats de cerca". [17]

La Electronic Frontier Foundation va opinar que: " En un món ideal, cada sol·licitud web es podria transformar per defecte en una sol·licitud HTTPS ". Per als navegadors Google Chrome , Mozilla Firefox (també a Android ) i Opera hi ha un complement anomenat " HTTPS Everywhere " que habilita el protocol HTTPS per defecte per a centenars de llocs web.

Seguretat

La seguretat d’HTTPS està assegurada pel protocol TLS subjacent, que utilitza bàsicament claus públiques i privades a llarg termini per generar claus de sessió a curt termini. Aquestes claus s'utilitzen posteriorment per xifrar el flux de dades intercanviats entre client i servidor. Els certificats definits per l'estàndard X.509 s'utilitzen per autenticar el servidor (de vegades fins i tot el client). En conseqüència, les autoritats certificadores i els certificats de clau pública són necessaris per verificar la relació entre el certificat i el seu propietari, així com generar la signatura i gestionar la validesa dels certificats. Tot i que això pot ser més beneficiós que verificar les identitats a través d’una xarxa de confiança, les divulgacions de vigilància massiva del 2013 van cridar l’atenció sobre les autoritats de certificació com a potencial punt feble per als atacs d’ home-al-mig . [18] [19] Una propietat important en aquest context és el secret directe , que garanteix que les comunicacions xifrades enregistrades en el passat no es puguin recuperar i desxifrar i que les claus o contrasenyes de xifratge a llarg termini no es comprometin en el futur. No tots els servidors web ofereixen secret cap endavant . [20]

Un lloc web ha d’estar completament allotjat al protocol HTTPS, sense tenir part del seu contingut a través d’HTTP (per exemple, tenir scripts carregats en línia d’una manera insegura (clarament)) o l’usuari serà vulnerable a certs atacs i serà sotmès a vigilància. . Tenir fins i tot només una determinada pàgina web d’un lloc que conté informació confidencial (com ara una pàgina d’inici de sessió) sota el protocol HTTPS, però que la resta del lloc web es carregui a través del protocol HTTP en text clar, exposarà l’usuari a possibles atacs . En un lloc web que tingui informació confidencial en qualsevol lloc, sempre que s’accedeixi al lloc en HTTP en lloc d’HTTPS, l’usuari i la sessió s’exposaran a la xarxa. De la mateixa manera, les cookies d’un lloc web actiu mitjançant el protocol HTTPS han de tenir l’atribut de seguretat habilitat. [12]

Aspectes tècnics

Diferència respecte a HTTP

Els URL del protocol HTTPS comencen per https: // i utilitzen el port 443 per defecte , mentre que els URL HTTP comencen per http: // i fan servir el port 80.

HTTP no està xifrat, de manera que és vulnerable a les escoltes i als atacs intermèdia: els atacants poden accedir a comptes de llocs web amb informació sensible o modificar pàgines web per injectar programari maliciós o publicitat maliciosa. HTTPS està dissenyat per resistir aquests atacs i es considera segur contra ells (a excepció de les versions més obsoletes i obsoletes del protocol SSL ).

Nivells de xarxa

HTTPS funciona al nivell més alt del model TCP / IP, la capa d’aplicació; igual que el protocol de seguretat TLS (que funciona com una sub capa inferior del mateix nivell).

A la pràctica, entre el protocol TCP i HTTP s’interposa un nivell de xifratge / autenticació (transparent a l’usuari), com ara Secure Sockets Layer (SSL) o Transport Layer Security (TLS) que xifra el missatge HTTP abans de la transmissió i desxifra el missatge un cop arriba al seu destí. Bàsicament, es crea un canal de comunicació xifrat entre el client i el servidor mitjançant un intercanvi de certificats ; un cop establert aquest canal, el protocol HTTP s’utilitza internament per a la comunicació. En sentit estricte, HTTPS no es considera en realitat com un protocol separat d’HTTP, sinó que es refereix precisament a l’ús d’aquest darrer mitjançant una connexió SSL / TLS xifrada. Aquest tipus de comunicació garanteix que només el client i el servidor puguin conèixer el contingut de la comunicació.

Tot el missatge HTTPS està xifrat, incloses les capçaleres i la càrrega de sol·licitud / resposta del missatge. A excepció del possible atac criptogràfic CCA descrit a la secció " Límits " següent, l'atacant només pot saber que s'ha produït una connexió entre les dues parts comunicants i pot conèixer els seus noms de domini i adreces IP.

Adquisició de certificats

Els certificats signats amb autoritat poden ser gratuïts [21] [22] o costar entre 8 [23] i 70 [24] dòlars a l' any. (2012-2014). Les organitzacions també poden adoptar les seves pròpies autoritats de certificació, sobretot si són responsables de configurar els navegadors per accedir als seus llocs (per exemple, llocs d’una intranet corporativa o de les principals universitats). Aquestes organitzacions poden afegir fàcilment còpies de la signatura del certificat als certificats de confiança distribuïts amb el navegador web. A més, hi ha autoritats de certificació d’ igual a igual , com CACert . Tanmateix, aquest últim no s'inclou als certificats d'origen de confiança de molts navegadors web populars (per exemple, Firefox , Chrome , Internet Explorer ), que poden mostrar missatges d'advertència als usuaris finals. Una autoritat de certificació, " Let's Encrypt ", es va llançar a finals de 2015 [25] i proporciona certificats SSL / TLS automàtics gratuïts per a llocs web. [26] Segons l' Electronic Frontier Foundation , "Let's Encrypt" farà que el canvi d'HTTP a HTTPS "sigui tan fàcil com executar una ordre o fer clic en un botó". [27]

Utilitzeu-lo com a control d’accés

El sistema també es pot utilitzar per a l'autenticació del client per tal de restringir l'accés al servidor web només als usuaris autoritzats. Per fer-ho, l'administrador del lloc sol crear un certificat per a cada usuari, que es carrega al navegador dels usuaris. Normalment, conté el nom i l'adreça de correu electrònic de l'usuari autoritzat i el servidor el verifica automàticament a cada reconnexió per verificar la identitat de l'usuari, potencialment sense ni tan sols introduir la contrasenya.

En cas d'una clau privada secreta compromesa

Una propietat important en aquest context és el secret directe perfecte (PFS). Tenir una clau privada secreta asimètrica a llarg termini que s’utilitzi per establir una sessió HTTPS no hauria de facilitar la derivació de la clau de sessió a curt termini i desxifrar la conversa, fins i tot en un moment posterior. L’intercanvi de claus Diffie-Hellman (DHE) i les corbes el·líptiques Diffie-Hellman (ECDHE) són des de 2013 els únics esquemes coneguts per tenir la propietat de secret cap endavant. Només el 30% de les sessions del navegador Firefox, Opera i Chromium utilitzen aquesta propietat i gairebé el 0% de les sessions del navegador Safari i Microsoft Internet Explorer d’Apple. [20] Entre els proveïdors d’Internet més grans, només Google admet PFS des del 2011. Es pot revocar un certificat abans que caduqui, per exemple perquè s’ha compromès el secret de la clau privada. La majoria de versions modernes de navegadors populars com Firefox, [28] Opera, [29] i Internet Explorer a Windows Vista [30] implementen el protocol d’estat del certificat en línia (OCSP) i l’autoritat respon i li informa al navegador si el certificat encara és vàlid o no. [31]

Operació

HTTPS és un protocol que integra la interacció del protocol HTTP mitjançant un mecanisme de xifratge de seguretat de capa de transport ( SSL / TLS ). Aquesta tècnica augmenta el nivell de protecció contra l' home en els atacs mitjans .

El port per defecte per al protocol HTTPS és el número 443 (mentre que per al protocol HTTP és el número 80).

Per configurar un servidor web que accepti connexions HTTPS, l’ administrador de la xarxa ha de crear un certificat digital que sigui un document electrònic que associa la identitat d’una persona amb una clau pública . Aquests certificats els poden crear servidors basats en UNIX amb l'ajut d'eines com OpenSSL ssl-ca o mitjançant SuSE gensslcert (TinyCA2, CA.pl, script Perl). Aquests certificats han de ser emesos per una autoritat certificadora o, en qualsevol cas, per un sistema que en verifiqui la validesa per tal de definir la veritable identitat del propietari (els navegadors web es creen de manera que es pugui verificar la seva validesa) mitjançant una llista predeterminada).

En situacions particulars (com ara en el cas d’empreses amb intranet privada) és possible disposar del vostre propi certificat digital que es pot emetre als vostres usuaris.

Per tant, aquesta tecnologia també es pot utilitzar per permetre l'accés limitat a un servidor web . L'administrador crea sovint certificats per a cada usuari que es carreguen en els seus navegadors contenen informació tal com el seu nom i adreça -mail direcció d'una manera tal com per permetre que el servidor reconegui a l'usuari quan aquest intenta tornar a connectar-se sense introduir nom d'usuari i / o contrasenya .

Per obtenir un millor grau de protecció de les connexions HTTPS davant dels atacs man-in-the-middle , i en particular per fer front a la tècnica de " SSL stripping ", es recomana utilitzar HTTP Strict Transport Security , un mecanisme de seguretat addicional. que obliga a utilitzar HTTPS. [12] [13]

Límits

El protocol SSL / TLS està disponible amb dues opcions, simple i mútua. A la versió simple, només el servidor s’encarrega de garantir la seguretat de la comunicació. La versió mútua és més segura, però requereix que l’usuari instal·li un certificat de client personal al seu navegador per tal d’autenticar-se. Independentment de l’estratègia que s’utilitzi (simple o mútua), el nivell de protecció depèn en gran mesura de la correcció de la implementació del navegador web, del programari de servidor i dels algorismes criptogràfics realment compatibles. SSL / TLS no impedeix indexar tot el lloc mitjançant un rastrejador web i, en alguns casos, es pot deduir l’ URI del recurs encriptat coneixent només la mida de la sol·licitud / resposta interceptada. [32] Això permet a un atacant tenir accés al text sense format (el contingut estàtic accessible públicament) i al text xifrat (la versió xifrada del contingut estàtic), permetent un atac criptogràfic.

Com que TLS funciona sota el protocol HTTP i no té coneixement de protocols de nivell superior, els servidors TLS només poden presentar estrictament un certificat per a una combinació particular de port i adreça IP. [33] Això significa que, en la majoria dels casos, no és possible utilitzar allotjament virtual basat en noms amb HTTPS. Hi ha una solució anomenada Server Name Indication (SNI) que envia el nom d'amfitrió al servidor abans de xifrar la connexió, tot i que molts navegadors antics no admeten aquesta extensió. El suport SNI està disponible a partir de: Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 i Internet Explorer 7 a Windows Vista. [34] [35] [36]

Des del punt de vista arquitectònic:

  1. La primera màquina visible que inicia la connexió TLS gestiona una connexió SSL / TLS. Si, per algun motiu (encaminament, optimització del trànsit, etc.), aquesta màquina no és el servidor d’aplicacions i necessita desxifrar les dades, cal trobar solucions per propagar la informació d’autenticació de l’usuari o el certificat del servidor d’aplicacions, qui ha de saber qui és connectaré.
  2. Per a la versió de SSL / TLS amb autenticació mútua, la primera sessió que inicia la connexió gestiona la sessió SSL / TLS. En situacions en què el xifratge s’ha de propagar al llarg d’una cadena de servidors, la gestió del temps d’espera de la sessió es complica a implementar.
  3. Amb la versió mútua de SSL / TLS, la seguretat és màxima, però, al costat del client, no hi ha manera de finalitzar correctament la connexió SSL / TLS i desconnectar l’usuari, excepte esperar que caduqui la sessió del servidor o totes les aplicacions del client connectades. .

A la conferència de Blackhat es va donar a conèixer un tipus sofisticat d’atac home-a-mig anomenat stripping SSL el 2009. Aquest tipus d’atac derrota la seguretat proporcionada pel protocol HTTPS canviant l’enllaç https: a un enllaç http: aprofitant del fet que alguns usuaris d'Internet realment escriuen "https" des de la interfície del navegador: arriben a un lloc segur fent clic a un enllaç i, per tant, es deixen enganyar pensant que utilitzen HTTPS quan de fet utilitzen HTTP. L'atacant es comunica de manera clara amb el client. Això va provocar el desenvolupament d'una contramedida HTTP anomenada HTTP Strict Transport Security (HSTS).

Al maig del 2010, un article escrit per investigadors de Microsoft Research i la Universitat d'Indiana va revelar que es poden inferir dades detallades sobre usuaris sensibles a partir de canals laterals / marginals, com ara la mida del paquet. Més específicament, els investigadors van trobar que un escolta pot inferir les malalties / medicaments / cirurgies de l’usuari, els seus ingressos familiars i els seus secrets d’inversió, malgrat la protecció HTTPS present a les diferents aplicacions web de gran perfil i millors. , inversions i recerca web.

El juny de 2014, un equip d’investigadors de la Universitat de Califòrnia, Berkeley i Intel dirigit per Brad Miller va demostrar un enfocament generalitzat de l’anàlisi del trànsit HTTPS basat en l’ aprenentatge automàtic . [37] [38] Els investigadors van demostrar l'atac aplicat a diversos llocs web, inclosos Mayo Clinic , Planned Parenthood i YouTube . [39] L'atac suposa que l'atacant pot visitar les mateixes pàgines web que la víctima per recopilar informació sobre el trànsit de la xarxa que serveix d'entrenament de dades. Posteriorment, l'atacant pot identificar similituds en mides i tipus de paquets entre el trànsit de la víctima i el trànsit de formació de dades, cosa que permet a l'atacant inferir amb freqüència la pàgina web exacta que visita la víctima. Per exemple, aquest atac es podria utilitzar per determinar si un usuari que visita el lloc web de Planned Parenthood busca informació sobre un examen preventiu de salut o un avortament. Tingueu en compte que l'atac no es pot utilitzar per descobrir valors específics d'usuari incrustats en una pàgina web. Per exemple, molts bancs ofereixen interfícies web que permeten als usuaris veure el saldo del compte actual. Tot i que l'atacant podria descobrir que l'usuari està visualitzant una pàgina de visualització del saldo del compte actual, no podrà conèixer el valor exacte del saldo del compte actual ni del número de compte dels usuaris.

Implicacions de SEO

El 8 d’agost de 2014, Google anuncia que els llocs allotjats sota el protocol HTTPS es consideraran més fiables als ulls del motor de cerca. El protocol HTTPS s’anuncia oficialment com a factor de classificació.

Nota

  1. Network Working Group, HTTP Over TLS , a tools.ietf.org , The Internet Engineering Task Force, maig de 2000. Consultat el 27 de febrer de 2015 ( arxivat el 31 d'octubre de 2018) .
  2. ^ a b HTTPS com a senyal de classificació , a Google Webmaster Central Blog , Google Inc., 6 d'agost de 2014. Obtingut el 27 de febrer de 2015 (arxivat de l' original el 8 de març de 2016) .
    "Podeu protegir el vostre lloc amb HTTPS (Hypertext Transfer Protocol Secure) [...]" .
  3. ^ Activació d'HTTP a través de SSL , a docs.adobe.com , Adobe Systems Incorporated. Consultat el 27 de febrer de 2015 ( arxivat el 8 de març de 2015) .
  4. ^ Assegureu el vostre lloc amb HTTPS , a l' assistència de Google , Google, Inc .. Consultat el 27 de febrer de 2015 ( arxivat el 15 de desembre de 2017) .
  5. ^ Què és HTTPS? , a instantssl.com , Comodo CA Limited . Consultat el 27 de febrer de 2015 (arxivat de l' original el 12 de febrer de 2015) .
    "Hyper Text Transfer Protocol Secure (HTTPS) és la versió segura d'HTTP [...]" .
  6. ^ a b c Preguntes freqüents sobre HTTPS Everywhere , a eff.org . Consultat el 3 de maig de 2012 ( arxivat el 20 d'abril de 2018) .
  7. ^ Hotel Wifi JavaScript Injection , a justinsomnia.org . Consultat el 24 de juliol de 2012 ( arxivat el 24 de juliol de 2012) .
  8. The Tor Project, Inc., Tor , a torproject.org . Consultat el 12 de maig de 2016 ( arxivat el 17 de juliol de 2013) .
  9. ^ Konigsburg, Eitan, Pant, Rajiv i Kvochko, Elena, Embracing HTTPS , a open.blogs.nytimes.com , The New York Times, 13 de novembre de 2014. Consultat el 27 de febrer de 2015 (arxivat de l' original el 22 d'abril de 2018) .
  10. ^ Gallagher, Kevin, quinze mesos després de les revelacions de la NSA, per què no hi ha més organitzacions de notícies que facin servir HTTPS? , a freedom.press , Fundació Freedom of the Press, 12 de setembre de 2014. Obtingut el 27 de febrer de 2015 (arxivat de l' original el 2 de desembre de 2016) .
  11. ^ Grigorik, Ilya e Far, Pierre, Google I / O 2014 - HTTPS Everywhere , a youtube.com , Google Developers, 26 de juny de 2014. Consultat el 27 de febrer de 2015 ( arxivat el 15 de març de 2018) .
  12. ^ a b c d Com implementar HTTPS correctament , a eff.org . Consultat el 13 de juny de 2012 ( arxivat el 14 de març de 2018) .
  13. ^ a b HTTP Strict Transport Security , a la xarxa de desenvolupadors de Mozilla . Consultat el 14 d'octubre de 2015 (arxivat de l' original el 15 de maig de 2012) .
  14. ^ SSL Pulse , a trustworthyinternet.org , Trustworthy Internet Movement, 3 d'octubre de 2015. Consultat el 7 de maig de 2017 (arxivat de l' original el 15 de maig de 2017) .
  15. ^ Estadístiques d'Internet en italià centroli.it , a www.centroli.it . URL consultato il 7 Maggio 2017 (archiviato dall' url originale il 16 febbraio 2017) .
  16. ^ Firefox 14.0.1 Release Notes , su mozilla.org . URL consultato il 24 luglio 2012 ( archiviato il 22 luglio 2012) .
  17. ^ Firefox Rolling Out HTTPS Google search , su blog.mozilla.org . URL consultato il 24 luglio 2012 ( archiviato il 20 luglio 2012) .
  18. ^ Law Enforcement Appliance Subverts SSL Archiviato il 15 marzo 2014 in Internet Archive ., Wired, 2010-04-03.
  19. ^ New Research Suggests That Governments May Fake SSL Certificates Archiviato il 4 gennaio 2016 in Internet Archive ., EFF, 2010-03-24.
  20. ^ a b SSL: Intercepted today, decrypted tomorrow Archiviato il 21 settembre 2013 in Internet Archive ., Netcraft, 2013-06-25.
  21. ^ Free SSL Certificates from a Free Certificate Authority , su sslshopper.com . URL consultato il 24 ottobre 2009 ( archiviato il 9 febbraio 2010) .
  22. ^ Justin Fielding, Secure Outlook Web Access with (free) SSL: Part 1 , su techrepublic.com , TechRepublic , 16 luglio 2006. URL consultato il 24 ottobre 2009 ( archiviato il 24 marzo 2011) .
  23. ^ Namecheap.com SSL Services , su namecheap.com , namecheap. URL consultato il 30 gennaio 2012 ( archiviato il 4 febbraio 2012) .
  24. ^ Secure Site Pro with SSL Certificate , su ssl.comodo.com . URL consultato il 23 Aug 2014 ( archiviato il 26 agosto 2014) .
  25. ^ Launch schedule , su Let's Encrypt . URL consultato il 21 settembre 2015 ( archiviato il 27 settembre 2015) .
  26. ^ Kerner, Sean Michael, Let's Encrypt Effort Aims to Improve Internet Security , su eWeek.com , Quinstreet Enterprise, 18 novembre 2014. URL consultato il 27 febbraio 2015 .
  27. ^ Eckersley, Peter, Launching in 2015: A Certificate Authority to Encrypt the Entire Web , su eff.org , Electronic Frontier Foundation , 18 novembre 2014. URL consultato il 27 febbraio 2015 ( archiviato il 10 maggio 2018) .
  28. ^ Mozilla Firefox Privacy Policy , su mozilla.com , Mozilla Foundation , 27 aprile 2009. URL consultato il 13 maggio 2009 (archiviato dall' url originale il 26 maggio 2009) .
  29. ^ Opera 8 launched on FTP , Softpedia , 19 aprile 2005. URL consultato il 13 maggio 2009 (archiviato dall' url originale il 12 luglio 2009) .
  30. ^ Eric Lawrence, HTTPS Security Improvements in Internet Explorer 7 , su msdn.microsoft.com , MSDN , 31 gennaio 2006. URL consultato il 13 maggio 2009 ( archiviato il 1º ottobre 2017) .
  31. ^ Myers, M, Ankney, R, Malpani, A, Galperin, S e Adams, C, Online Certificate Status Protocol – OCSP , su tools.ietf.org , Internet Engineering Task Force , June 1999. URL consultato il 13 maggio 2009 ( archiviato il 25 novembre 2017) .
  32. ^ Stanislaw Pusep, The Pirate Bay un-SSL , su sysd.org , 31 luglio 2008. URL consultato il 6 marzo 2009 (archiviato dall' url originale l'8 marzo 2009) .
  33. ^ SSL/TLS Strong Encryption: FAQ , su apache.org . URL consultato il 1º maggio 2019 ( archiviato il 19 ottobre 2018) .
  34. ^ Eric Lawrence, Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2 , su blogs.msdn.com , Microsoft , 22 ottobre 2005. URL consultato il 12 maggio 2009 ( archiviato il 26 gennaio 2010) .
  35. ^ Server Name Indication (SNI) , su inside aebrahim's head . URL consultato il 13 maggio 2016 (archiviato dall' url originale il 30 giugno 2017) .
  36. ^ Julien Pierre, Browser support for TLS server name indication , su Bugzilla , Mozilla Foundation, 19 dicembre 2001. URL consultato il 15 dicembre 2010 (archiviato dall' url originale l'8 ottobre 2018) .
  37. ^ Statistical Tricks Extract Sensitive Data from Encrypted Communications , su technologyreview.com , MIT Technology Review, 19 giugno 2014.
  38. ^ Researchers Use Big Data to Get Around Encryption , su blogs.wsj.com , The Wall Street Journal, 23 giugno 2014. URL consultato il 13 maggio 2016 ( archiviato il 18 marzo 2016) .
  39. ^ Brad Miller, Ling Huang, Anthony D. Joseph, JD Tygar, I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis ( PDF ), su bradmiller.io . URL consultato il 13 maggio 2016 ( archiviato il 31 maggio 2016) .

Voci correlate

Altri progetti

Collegamenti esterni

Documenti ufficiali

Estensioni per i browser