HTTPS

Hypertextübertragungsprotokoll sichern (Https) ist eine Erweiterung der Hypertext Transfer Protocol (Http). Es wird genutzt für Sichere Kommunikation über ein Computernetzwerkund wird im Internet weit verbreitet.[1][2] In https die Kommunikationsprotokoll wird verschlüsselt Transportschichtsicherheit (TLS) oder ehemals sichern Sockets Layer (SSL). Das Protokoll wird daher auch als bezeichnet Http über tls,[3] oder Http über SSL.

Die Hauptmotivationen für HTTPs sind Authentifizierung von dem abgerufen Webseiteund Schutz der Privatsphäre und Integrität der ausgetauschten Daten während des Transports. Es schützt vor MAN-in-the-Middle-Angriffeund die bidirektionale Verschlüsselung der Kommunikation zwischen einem Client und Server schützt die Kommunikation vor lauschen und Manipulationen.[4][5] Der Authentifizierungsaspekt von HTTPS erfordert einen vertrauenswürdigen Dritten, der die Server-Seite unterzeichnet digitale Zertifikate. Dies war historisch gesehen ein teurer Betrieb, was bedeutete, dass vollständig authentifizierte HTTPS -Verbindungen in der Regel nur für gesicherte Zahlungstransaktionsdienste und andere gesicherte Unternehmensinformationssysteme auf dem Weltweites Netz. 2016 eine Kampagne der Kampagne der Elektronische Grenzfundament mit der Unterstützung von Webbrowser Entwickler führten dazu, dass das Protokoll häufiger wurde.[6] HTTPS wird jetzt häufiger von Webnutzern als das ursprüngliche nicht-sichere HTTP verwendet, um die Seitenauthentizität auf allen Arten von Websites zu schützen. sichere Konten; und um Benutzerkommunikation, Identität und Web -Surfen privat zu halten.

Überblick

URL Beginnend mit dem HTTPS -Schema und dem Www Domainnamenbezeichnung

Das Einheitliche Ressourcenkennung (URI) Schema Https hat eine identische Nutzungssyntax zum HTTP -Schema. HTTPS signalisiert jedoch den Browser, um eine zusätzliche Verschlüsselungsschicht aus SSL/TLS zu verwenden, um den Verkehr zu schützen. SSL/TLS eignet sich besonders für HTTP, da es einen gewissen Schutz bieten kann, auch wenn nur eine Seite der Kommunikation ist authentifiziert. Dies ist bei HTTP -Transaktionen über das Internet der Fall Server wird authentifiziert (vom Client, der den Server untersucht Zertifikat).

HTTPS erstellt einen sicheren Kanal über einem unsicheren Netzwerk. Dies gewährleistet einen angemessenen Schutz vor Tranchedropper und MAN-in-the-Middle-Angriffe, vorausgesetzt, diese angemessene Chiffre -Suiten werden verwendet und dass das Serverzertifikat überprüft und vertrauenswürdig ist.

Da HTTPS -Piggybacks http vollständig auf TLS ist, kann das gesamte zugrunde liegende HTTP -Protokoll verschlüsselt werden. Dies schließt die Anfrage ein URL, Abfrageparameter, Header und Cookies (die häufig identifizierende Informationen über den Benutzer enthalten). Jedoch weil Website -Adressen und Hafen Zahlen sind notwendigerweise Teil der zugrunde liegenden TCP/IP Protokolle, HTTPS können ihre Offenlegung nicht schützen. In der Praxis bedeutet dies, dass Savesdroppers selbst auf einem korrekt konfigurierten Webserver die IP -Adresse und die Portnummer des Webservers und manchmal sogar den Domänennamen (z. B. www.example.org, nicht den Rest der URL) schließen können Ein Benutzer kommuniziert zusammen mit der Menge der übertragenen Daten und der Dauer der Kommunikation, jedoch nicht mit dem Inhalt der Kommunikation.[4]

Webbrowser wissen, wie man HTTPS -Websites basierend auf vertrauen Zertifikatbehörden Das kommt in ihrer Software vorinstalliert. Die Zertifikatbehörden werden auf diese Weise von den Webbrowser -Erstellern vertrauen, um gültige Zertifikate bereitzustellen. Daher sollte ein Benutzer einer HTTPS -Verbindung zu einer Website vertrauen dann und nur dann, wenn Alle folgenden sind wahr:

  • Der Benutzer vertraut darauf, dass das Gerät, das den Browser und die Methode zum Erhalten des Browsers selbst hostet, nicht beeinträchtigt ist (d. H. A. Lieferkettenangriff)
  • Der Benutzer vertraut darauf, dass die Browser-Software HTTPS mit korrekt vorinstallierten Zertifikatsbehörden korrekt implementiert.
  • Der Benutzer vertraut der Zertifikatberechtigung, nur für legitime Websites zu bürgen. (d. H. Die Zertifikatbehörde ist nicht beeinträchtigt und es gibt keine Missbrauch von Zertifikaten.)
  • Die Website enthält ein gültiges Zertifikat, was bedeutet, dass sie von einer vertrauenswürdigen Behörde unterzeichnet wurde.
  • Das Zertifikat identifiziert die Website korrekt (z. B. wenn der Browser besucht.https://example.com"Das empfangene Zertifikat ist ordnungsgemäß für" example.com "und nicht für eine andere Entität).
  • Der Benutzer vertraut darauf, dass die Verschlüsselungsschicht (SSL/TLS) des Protokolls gegen Traufedropfen ausreichend sicher ist.

HTTPS ist besonders wichtig für unsichere Netzwerke und Netzwerke, die möglicherweise manipuliert werden. Unsichere Netzwerke wie öffentlich W-lan Zugriffspunkte erlauben Sie jedem, der dasselbe lokales Netzwerk Paket-Sniff und entdecken sensible Informationen, die nicht durch HTTPS geschützt sind. Zusätzlich einige frei zu bedienende und bezahlte Wlan Netzwerke wurden mit Webseiten manipuliert, indem sie sich an engagieren Paketinjektion um ihre eigenen Anzeigen auf anderen Websites zu servieren. Diese Praxis kann in vielerlei Hinsicht böswillig ausgenutzt werden, z. B. durch Injektion Malware auf Webseiten und stehlen die privaten Informationen der Benutzer.[7]

HTTPS ist auch wichtig für Verbindungen über die TOR -Netzwerk, wie bösartige Torknoten sonst die Inhalte auf unsichere Weise beschädigen oder verändern können und in der Verbindung Malware injizieren. Dies ist ein Grund, warum die Elektronische Grenzfundament und Das Tor -Projekt begann die Entwicklung von Https überall,[4] das ist im Tor -Browser enthalten.[8]

Da werden weitere Informationen über global enthüllt Massenüberwachung Und Kriminelle, die persönliche Informationen stehlen, wird die Verwendung von HTTPS -Sicherheit auf allen Websites immer wichtiger, unabhängig von der Art der verwendeten Internetverbindung.[9][10] Wenngleich Metadaten Über einzelne Seiten, auf denen ein Benutzer besucht, werden möglicherweise nicht als sensibel angesehen. Wenn er aggregiert ist, kann er viel über den Benutzer ergeben und die Privatsphäre des Benutzers beeinträchtigen.[11][12][13]

Das Bereitstellen von HTTPs ermöglicht auch die Verwendung von von Http/2 (oder sein Vorgänger, das inzwischen vorgelegte Protokoll Spdy), eine neue Generation von HTTP, um die Ladezeiten, Größe und Latenz von Seiten zu reduzieren.

Es wird empfohlen zu verwenden HTTP strenge Transportsicherheit (HSTs) mit HTTPs, um Benutzer vor Angriffen des Menschen vor Mitte zu schützen, insbesondere vor Mitte SSL -Stripping.[13][14]

HTTPs sollten nicht mit dem selten verwendeten Verbrauch verwechselt werden Sichern Sie HTTP (S-HTTP) angegeben in RFC 2660.

Verwendung in Websites

Ab April 201833,2% der Top 1.000.000 Websites verwenden HTTPS als Standard.[15] 57,1% der 137.971 des Internets haben eine sichere Implementierung von HTTPS.[16] und 70% der Seitenladungen (gemessen mit Firefox -Telemetrie) verwenden HTTPS.[17] Trotz der Freilassung von TLS 1.3 war die Adoption langsam, und viele bleiben noch im älteren TLS 1.2 -Protokoll.[18]

Browserintegration

Die meisten Browser Zeigen Sie eine Warnung an, wenn sie ein ungültiges Zertifikat erhalten. Ältere Browser würden den Benutzer bei einer Verbindung mit einer Website mit einem ungültigen Zertifikat einen vorstellen Dialogbox Fragen Sie, ob sie weitermachen wollten. Neuere Browser zeigen eine Warnung über das gesamte Fenster. Neuere Browser zeigen auch die Sicherheitsinformationen der Website in der Adressleiste. Erweiterte Validierungszertifikate Zeigen Sie die juristische Person auf den Zertifikatsinformationen an. Die meisten Browser zeigen dem Benutzer auch eine Warnung an, wenn Sie eine Site besuchen, die eine Mischung aus verschlüsselten und unverschlüsselten Inhalten enthält. Zusätzlich viele Webfilter Gibt eine Sicherheitswarnung beim Besuch verbotener Websites zurück.

Das Elektronische GrenzfundamentWenn Sie das Aspekt haben, dass "in einer idealen Welt jede Webanforderung standardmäßig mit HTTPS gestellt werden kann", hat ein Add-On überall ein Add-On für HTTPS für überall zur Verfügung gestellt Mozilla Firefox, Google Chrome, Chrom, und AndroidDies ermöglicht HTTPS standardmäßig für Hunderte von häufig verwendeten Websites.[19][20]

Das Erzwingen eines Webbrowsers zum Laden nur HTTPS -Inhalte wurde in Version 83 in Firefox unterstützt.[21] Ab Version 94 kann Google Chrome "immer sichere Verbindungen verwenden", wenn sie in den Einstellungen des Browsers umgeschaltet werden.[22][23]

Sicherheit

Die Sicherheit von HTTPS ist die der zugrunde liegenden TLs, die typischerweise langfristig verwendet Öffentlichkeit und private Schlüssel, um kurzfristig zu generieren Sitzungsschlüssel, mit der dann der Datenfluss zwischen Client und Server verschlüsselt wird. X.509 Zertifikate werden verwendet, um den Server (und manchmal auch den Client) zu authentifizieren. Als Konsequenz, Zertifikatbehörden und öffentliche Schlüsselzertifikate sind erforderlich, um die Beziehung zwischen dem Zertifikat und seinem Eigentümer zu überprüfen sowie die Gültigkeit von Zertifikaten zu generieren, zu unterschreiben und zu verwalten. Dies kann zwar vorteilhafter sein, als die Identität über a zu überprüfen Web of Trust, das 2013 Massenüberwachung Offenlegungen machte die Aufmerksamkeit auf die Zertifikatbehörden als potenzielle Schwachstelle zulässt MAN-in-the-Middle-Angriffe.[24][25] Eine wichtige Eigenschaft in diesem Zusammenhang ist Vorwärtsgeheimnis, was sicherstellt, dass verschlüsselte in der Vergangenheit erfasste Kommunikation nicht abgerufen und entschlüsselt werden kann, wenn langfristige geheime Schlüssel oder Passwörter in Zukunft beeinträchtigt werden. Nicht alle Webserver liefern eine Vorwärtshöre.[26][Benötigt Update]

Damit HTTPs wirksam sind, muss eine Site vollständig über HTTPS gehostet werden. Wenn ein Teil des Inhalts der Website über HTTP (z. Über einfaches HTTP ist der Benutzer anfällig für Angriffe und Überwachung. Zusätzlich, Kekse auf einer Stelle, die über https serviert wird, muss das haben Sicheres Attribut aktiviert. Auf einer Website mit vertraulichen Informationen darüber wird der Benutzer und die Sitzung jedes Mal entlarvt, wenn die Website mit HTTP anstelle von HTTPS zugegriffen wird.[13]

Technisch

Unterschied von http

Https URLs Beginnen Sie mit "https: //" und verwenden Sie Hafen 443 standardmäßig, wohingegen, Http URLs beginnen mit "http: //" und verwenden standardmäßig Port 80.

HTTP ist nicht verschlüsselt und ist daher anfällig für der Mann in der Mitte und Abhören Angriffe, mit der Angreifer Zugriff auf Website -Konten und vertrauliche Informationen erhalten und Webseiten zum Injektion ändern können Malware oder Anzeigen. HTTPS ist so konzipiert, dass sie solchen Angriffen standhalten, und gilt als sicher gegen sie (mit Ausnahme von HTTPS -Implementierungen, die veraltete Versionen von SSL verwenden).

Netzwerkschichten

HTTP arbeitet auf der höchsten Schicht der TCP/IP -Modell-das Anwendungsschicht; ebenso wie das Tls Sicherheitsprotokoll (Betrieb als niedrigerer Untervermieter derselben Ebene), das vor der Übertragung eine HTTP -Nachricht verschlüsselt und bei der Ankunft eine Nachricht entschlüsselt. Streng genommen ist HTTPS kein separates Protokoll, sondern bezieht sich auf die Verwendung von gewöhnlicher Http über ein verschlüsselt SSL/TLS -Verbindung.

HTTPS verschlüsselt alle Nachrichteninhalte, einschließlich der HTTP -Header und der Anforderungs-/Antwortdaten. Mit Ausnahme des möglichen CCA Kryptografischer Angriff in der beschrieben Einschränkungen Abschnitt unten sollte ein Angreifer meiste in der Lage sein, zusammen mit ihren Domainnamen und IP -Adressen eine Verbindung zwischen zwei Parteien zu finden.

Server -Setup

Um einen Webserver für die Akzeptanz von HTTPS -Verbindungen vorzubereiten, muss der Administrator a erstellen Öffentliches Schlüsselzertifikat Für den Webserver. Dieses Zertifikat muss von einem vertrauenswürdigen unterzeichnet werden Zertifizierungsstelle Damit der Webbrowser es ohne Vorwarnung akzeptiert. Die Behörde begleitet, dass der Zertifikatsinhaber der Betreiber des Webservers ist, der ihn vorstellt. Webbrowser werden im Allgemeinen mit einer Liste von verteilt Unterzeichnung von Zertifikaten der wichtigsten Zertifikatsbehörden Damit sie von ihnen unterschriebene Zertifikate überprüfen können.

Zertifikate erwerben

Eine Reihe von Werbespots Zertifikatbehörden existieren, das bezahlte SSL/TLS-Zertifikate von einer Reihe von Typen anbietet, einschließlich Erweiterte Validierungszertifikate.

Lassen Sie uns verschlüsseln, ins Leben gerufen, im April 2016,[27] Bietet kostenlosen und automatisierten Service, der grundlegende SSL/TLS -Zertifikate an Websites liefert.[28] Laut dem Elektronische GrenzfundamentWenn wir verschlüsseln, wird das Wechsel von HTTP zu HTTPS "so einfach wie die Ausgabe eines Befehls oder Klicken auf eine Schaltfläche".[29] Die Mehrheit der Web -Hosts und Cloud -Anbieter nutzt nun ein Verschlüsseln und bietet ihren Kunden kostenlose Zertifikate.

Verwenden Sie als Zugriffskontrolle

Das System kann auch für den Client verwendet werden Authentifizierung Um den Zugriff auf einen Webserver auf autorisierte Benutzer zu beschränken. Dazu erstellt der Site -Administrator normalerweise ein Zertifikat für jeden Benutzer, den der Benutzer in seinen Browser lädt. Normalerweise enthält das Zertifikat den Namen und die E-Mail-Adresse des autorisierten Benutzers und wird automatisch vom Server auf jeder Verbindung überprüft, um die Identität des Benutzers zu überprüfen, möglicherweise ohne ein Kennwort.

Im Falle eines kompromittierten geheimen (privaten) Schlüssels

Eine wichtige Eigenschaft in diesem Zusammenhang ist Perfekte Vorwärtshöre (PFS). Der Besitz eines der langfristigen asymmetrischen Geheimtasten, die zur Festlegung einer HTTPS-Sitzung verwendet werden, sollte es nicht einfacher machen, den Kurzzeitsitzungsschlüssel abzuleiten, um das Gespräch zu entschlüsseln, auch zu einem späteren Zeitpunkt. Diffie -Hellman Key Exchange (Dhe) und Elliptische Kurve Diffie -Hellman Key Exchange (ECDHE) sind 2013 die einzigen Programme, von denen bekannt ist, dass diese Eigenschaft ist. Im Jahr 2013 verwendeten es nur 30% der Firefox-, Opera- und Chrom -Browser -Sitzungen und fast 0% der Apple's Safari und Microsoft Internet Explorer Sitzungen.[26] TLS 1.3, veröffentlicht im August 2018, ließ die Unterstützung für Chiffren ohne Vorwärtshöre fallen. Ab Februar 202096,6% der befragten Webserver unterstützen irgendeine Form von Forward Secrecy, und 52,1% werden bei den meisten Browsern eine Vorwärtshöhe verwenden.[30]

Widerruf des Zertifikats

Ein Zertifikat kann vor Ablauf widerrufen werden, beispielsweise weil die Geheimhaltung des privaten Schlüssels beeinträchtigt wurde. Neuere Versionen beliebter Browser wie Feuerfuchs,[31] Oper,[32] und Internet Explorer an Windows Vista[33] Implementieren Sie die Online -Zertifikat -Statusprotokoll (OCSP) Um zu überprüfen, ob dies nicht der Fall ist. Der Browser sendet die Seriennummer des Zertifikats an die Zertifikatbehörde oder seinen Delegierten über OCSP (Online -Zertifikat -Statusprotokoll) und die Behörde antwortet und teilt dem Browser mit, ob das Zertifikat noch gültig ist oder nicht.[34] Die CA kann auch a ausgeben CRL Leuten zu sagen, dass diese Zertifikate widerrufen werden. CRLs werden vom CA/Browser -Forum nicht mehr benötigt.[35] Trotzdem werden sie immer noch häufig von der CAS verwendet. Die meisten Widerrufstatus im Internet verschwinden kurz nach Ablauf der Zertifikate.[36]

Einschränkungen

SSL (Secure Sockets Layer) und TLS (Transport Layer Security) können in zwei Modi konfiguriert werden: einfach und gegenseitig. Im einfachen Modus wird die Authentifizierung nur vom Server durchgeführt. Die gegenseitige Version erfordert, dass der Benutzer eine persönliche Installation installiert Client -Zertifikat im Webbrowser zur Benutzerauthentifizierung.[37] In beiden Fällen hängt der Schutzniveau von der Richtigkeit des Implementierung der Software und der Kryptografische Algorithmen in Benutzung.

SSL/TLS verhindert nicht die Indexierung der Site durch a Web -Crawlerund in einigen Fällen die Uri der verschlüsselten Ressource kann abgeleitet werden, indem nur die abgefangene Anfrage/Antwortgröße kennt.[38] Dies ermöglicht es einem Angreifer, Zugang zur Klartext (der öffentlich verfügbare statische Inhalt) und die verschlüsselter Text (die verschlüsselte Version des statischen Inhalts), der a erlaubt Kryptografischer Angriff.

Da Tls arbeitet auf einer Protokollebene unter der von HTTP und hat keine Kenntnis der höheren Protokolle. TLS-Server können nur ein Zertifikat für eine bestimmte Adresse und eine bestimmte Portkombination strikt vorlegen.[39] In der Vergangenheit bedeutete dies, dass es nicht möglich war, sie zu verwenden Namensbasierte virtuelle Hosting mit https. Eine Lösung genannt Servername -Anzeige (SNI) existiert, das den Hostnamen vor dem Verschlingen der Verbindung an den Server sendet, obwohl viele alte Browser diese Erweiterung nicht unterstützen. Die Unterstützung für SNI ist seitdem verfügbar Feuerfuchs 2, Oper 8,, Apfelsafari 2.1, Google Chrome 6 und Internet Explorer 7 an Windows Vista.[40][41][42]

Aus architektonischer Sicht:

  • Eine SSL/TLS -Verbindung wird von der ersten Frontmaschine verwaltet, die die TLS -Verbindung initiiert. Wenn diese Frontmaschine aus Gründen (Routing, Verkehrsoptimierung usw.) nicht der Anwendungsserver ist und Daten entschlüsseln muss, müssen Lösungen gefunden werden, um die Benutzerauthentifizierungsinformationen oder das Zertifikat an den Anwendungsserver zu verbrauchen Wissen Sie, wer verbunden sein wird.
  • Für SSL/TLS mit gegenseitiger Authentifizierung wird die SSL/TLS -Sitzung vom ersten Server verwaltet, der die Verbindung initiiert. In Situationen, in denen die Verschlüsselung entlang von geketteten Servern propagiert werden muss, wird das Sitzungsverwaltungsmanagement äußerst schwierig.
  • Die Sicherheit ist mit gegenseitigem SSL/TLS maximal, aber auf der Client-Seite gibt es keine Möglichkeit, die SSL/TLS-Verbindung ordnungsgemäß zu beenden und den Benutzer zu trennen, außer wenn die Serversitzung abgelaufen ist oder alle zugehörigen Client-Anwendungen schließen.

Eine anspruchsvolle Art von Mann-in-the-Middle-Angriff Auf dem 2009 wurde SSL -Stripping genannt Blackhat -Konferenz. Diese Art von Angriff besiegt die von HTTPS bereitgestellte Sicherheit durch Ändern der https: Link in eine http: Link, nutzen Sie die Tatsache, dass nur wenige Internetnutzer tatsächlich "https" in ihre Browser -Schnittstelle eingeben Http. Der Angreifer kommuniziert dann klar mit dem Kunden.[43] Dies führte zur Entwicklung einer Gegenmaßnahme in HTTP, die genannt wurde HTTP strenge Transportsicherheit.

Es wurde gezeigt, dass HTTPS für eine Reihe von anfällig ist Verkehrsanalyse Anschläge. Verkehrsanalyseangriffe sind eine Art von Art von Seitenkanalangriff Das stützt sich auf Variationen des Zeitpunkts und der Größe des Verkehrs, um Eigenschaften über den verschlüsselten Verkehr selbst zu schließen. Die Verkehrsanalyse ist möglich, da die SSL/TLS -Verschlüsselung den Verkehrsinhalt ändert, jedoch nur minimale Auswirkungen auf die Größe und den Zeitpunkt des Verkehrs hat. Im Mai 2010 ein Forschungsarbeit von Forschern von Microsoft Research und Universität von Indiana entdeckte, dass detaillierte sensible Benutzerdaten aus Seitenkanälen wie Paketgrößen abgeleitet werden können. Die Forscher fanden heraus, dass trotz HTTPS-Schutz in mehreren hochkarätigen Webanwendungen in der Gesundheitsversorgung, der Besteuerung, der Investition und der Websuche ein Traufedropper auf die Krankheiten/Medikamente/Operationen des Benutzers schließen könnte, sein// ihr Familieneinkommen und Investitionsgeheimnisse.[44] Obwohl diese Arbeit die Anfälligkeit von HTTPS für die Verkehrsanalyse zeigte, wurde der von den Autoren vorgestellte Ansatz eine manuelle Analyse und konzentrierte sich speziell auf Webanwendungen, die durch HTTPS geschützt sind.

Die Tatsache, dass die meisten modernen Websites, einschließlich Google, Yahoo! Und Amazon, HTTPS verwenden Öffnen Sie eine HTTPS -Ressource.[45] Mehrere Websites, wie z. Neverssl.com, garantieren Sie, dass sie von HTTP immer zugänglich bleiben.[46]

Geschichte

Netscape Communications 1994 HTTPS für seine erstellt Netscape Navigator Webbrowser.[47] Ursprünglich wurde HTTPS mit dem verwendet SSL Protokoll. Als sich SSL entwickelte sich zu Transportschichtsicherheit (TLS), HTTPS wurde im Mai 2000 von RFC 2818 offiziell angegeben. Google gab im Februar 2018 bekannt, dass sein Chrome -Browser HTTP -Websites nach Juli 2018 als "nicht sicher" markieren werde.[48] Dieser Schritt bestand darin, Website -Eigentümer zur Implementierung von HTTPs zu ermutigen, um das zu machen Weltweites Netz sicherer.

Siehe auch

Verweise

  1. ^ "Sichern Sie Ihre Website mit HTTPS". Google -Support. Google Inc. Archiviert Aus dem Original am 1. März 2015. Abgerufen 20. Oktober 2018.
  2. ^ "Was ist HTTPS?". Comodo CA Limited. Archiviert Aus dem Original am 12. Februar 2015. Abgerufen 20. Oktober 2018. Hyper Text Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP [...]
  3. ^ Netzwerkarbeitsgruppe (Mai 2000). "Http über tls". Die Internet Engineering Task Force. Archiviert vom Original am 31. Oktober 2018. Abgerufen 20. Oktober 2018.
  4. ^ a b c "Https überall faq". 8. November 2016. Archiviert vom Original am 14. November 2018. Abgerufen 20. Oktober 2018.
  5. ^ "Verwendungsstatistik des Standardprotokolls HTTPS für Websites, Juli 2019". w3techs.com. Archiviert Aus dem Original am 1. August 2019. Abgerufen 20. Juli 2019.
  6. ^ "Verschlüsseln Sie das Web". Elektronische Grenzfundament. Archiviert Aus dem Original am 18. November 2019. Abgerufen 19. November 2019.
  7. ^ "Hotel WiFi JavaScript Injektion". Justinsomnia. 3. April 2012. Archiviert Aus dem Original am 18. November 2018. Abgerufen 20. Oktober 2018.
  8. ^ The Tor Project, Inc. "Was ist Torbrowser?". TorProject.org. Archiviert Aus dem Original am 17. Juli 2013. Abgerufen 30. Mai 2012.
  9. ^ Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13. November 2014). "HTTPS umarmen". Die New York Times. Archiviert Aus dem Original am 8. Januar 2019. Abgerufen 20. Oktober 2018.
  10. ^ Gallagher, Kevin (12. September 2014). "Fünfzehn Monate nach den NSA -Enthüllungen, warum nicht mehr Nachrichtenorganisationen HTTPS verwenden?". Freedom of the Press Foundation. Archiviert Aus dem Original am 10. August 2018. Abgerufen 20. Oktober 2018.
  11. ^ "Https als Ranking -Signal". Google Webmaster Central Blog. Google Inc. 6. August 2014. Archiviert Aus dem Original am 17. Oktober 2018. Abgerufen 20. Oktober 2018. Sie können Ihre Site mit HTTPS (Hypertext Transfer Protocol sicheret) [...] sicher machen [...]
  12. ^ Grigorik, Ilya; Weit, Pierre (26. Juni 2014). "Google I/O 2014 - HTTPS überall". Google -Entwickler. Archiviert Aus dem Original am 20. November 2018. Abgerufen 20. Oktober 2018.
  13. ^ a b c "So bereitstellen Sie HTTPS richtig". 15. November 2010. Archiviert Aus dem Original am 10. Oktober 2018. Abgerufen 20. Oktober 2018.
  14. ^ "HTTP Strenge Transportsicherheit". Mozilla Developer Network. Archiviert Aus dem Original am 19. Oktober 2018. Abgerufen 20. Oktober 2018.
  15. ^ "HTTPS -Nutzungsstatistik zu Top 1M -Websites". Statoperator.com. Archiviert Aus dem Original am 9. Februar 2019. Abgerufen 20. Oktober 2018.
  16. ^ "Qualys SSL Labs - SSL Pulse". www.sslllabs.com. 3. April 2018. Archiviert Aus dem Original am 2. Dezember 2017. Abgerufen 20. Oktober 2018.
  17. ^ "Lassen Sie uns Statistiken verschlüsseln". LetSencrypt.org. Archiviert Aus dem Original am 19. Oktober 2018. Abgerufen 20. Oktober 2018.
  18. ^ "TLS 1.3: Eine langsame Einführung stärkerer Webverschlüsselung befugt die Bösen". Hilfe bei der Nettosicherheit. 6. April 2020. Abgerufen 23. Mai 2022.
  19. ^ Eckersley, Peter (17. Juni 2010). "Verschlüsseln Sie das Web mit den HTTPs überall, wo Firefox -Erweiterung". EFF -Blog. Archiviert vom Original am 25. November 2018. Abgerufen 20. Oktober 2018.
  20. ^ "Https überall". EFF -Projekte. 7. Oktober 2011. Archiviert Aus dem Original am 5. Juni 2011. Abgerufen 20. Oktober 2018.
  21. ^ "HTTPS-Modus in Firefox". Abgerufen 12. November 2021.{{}}: CS1 Wartung: URL-Status (Link)
  22. ^ "Verwalten Sie die Sicherheit und Sicherheit von Chrome - Android - Google Chrome Hilfe". Support.google.com. Abgerufen 7. März 2022.
  23. ^ "Hände im HTTPS-ersten Modus von Chrom" ". Techdows. 19. Juli 2021. Abgerufen 7. März 2022.
  24. ^ Singel, Ryan (24. März 2010). "Strafverfolgungsbehörde untergräbt SSL". Verdrahtet. Archiviert Aus dem Original am 17. Januar 2019. Abgerufen 20. Oktober 2018.
  25. ^ Schön, Seth (24. März 2010). "Neue Forschungsergebnisse deuten darauf hin, dass Regierungen SSL -Zertifikate fälschen können". Eff. Archiviert Aus dem Original am 4. Januar 2016. Abgerufen 20. Oktober 2018.
  26. ^ a b Duncan, Robert (25. Juni 2013). "SSL: Heute abgefangen, morgen entschlüsselt". Netcraft. Archiviert Aus dem Original am 6. Oktober 2018. Abgerufen 20. Oktober 2018.
  27. ^ Cimpanu, Catalin (12. April 2016). "Lassen Sie uns heute gestartet und schützt derzeit 3,8 Millionen Domänen". Softpedia News. Archiviert Aus dem Original am 9. Februar 2019. Abgerufen 20. Oktober 2018.
  28. ^ Kerner, Sean Michael (18. November 2014). "Verschlüsseln wir die Anstrengungen, um die Internetsicherheit zu verbessern.". eweek.com. Quinstreet Enterprise. Abgerufen 20. Oktober 2018.
  29. ^ Eckersley, Peter (18. November 2014). "Start im Jahr 2015: Eine Zertifikatberechtigung zum Verschlingen des gesamten Webs". Elektronische Grenzfundament. Archiviert Aus dem Original am 18. November 2018. Abgerufen 20. Oktober 2018.
  30. ^ Qualys SSL Labs. "SSL Pulse". Archiviert von das Original (3. Februar 2019) am 15. Februar 2019. Abgerufen 25. Februar 2019.
  31. ^ "Mozilla Firefox Datenschutzrichtlinie". Mozilla Foundation. 27. April 2009. Archiviert Aus dem Original am 18. Oktober 2018. Abgerufen 20. Oktober 2018.
  32. ^ "Opera 8 auf FTP gestartet". Softpedia. 19. April 2005. Archiviert Aus dem Original am 9. Februar 2019. Abgerufen 20. Oktober 2018.
  33. ^ Lawrence, Eric (31. Januar 2006). "HTTPS -Sicherheitsverbesserungen im Internet Explorer 7". Microsoft Docs. Abgerufen 24. Oktober 2021.
  34. ^ Myers, Michael; Ankney, reich; Malpani, Ambarisch; Galperin, Slava; Adams, Carlisle (20. Juni 1999). "Online -Zertifikat -Statusprotokoll - OCSP". Internettechnik-Arbeitsgruppe. Archiviert Aus dem Original am 25. August 2011. Abgerufen 20. Oktober 2018.
  35. ^ "Basisanforderungen". Taxiforum. Abgerufen 1. November 2021.{{}}: CS1 Wartung: URL-Status (Link)
  36. ^ Korzhitskii, Nikita; Carlsson, Niklas (2021). Widerrufstatus im Internet. In Proceedings of 2021 Passive und aktive Messkonferenz (PAM 2021). Arxiv:2102.04288.{{}}: CS1 Wartung: URL-Status (Link)
  37. ^ "Verwalten Sie Kundenzertifikate auf Chrome -Geräten - Chrome für Geschäfts- und Bildungshilfe". Support.google.com. Archiviert Aus dem Original am 9. Februar 2019. Abgerufen 20. Oktober 2018.
  38. ^ PUSEP, Stanislaw (31. Juli 2008). "Die Pirate Bay UN-SSL" (PDF). Archiviert (PDF) Aus dem Original am 20. Juni 2018. Abgerufen 20. Oktober 2018.
  39. ^ "SSL/TLS starke Verschlüsselung: FAQ". apache.org. Archiviert Aus dem Original am 19. Oktober 2018. Abgerufen 20. Oktober 2018.
  40. ^ Lawrence, Eric (22. Oktober 2005). "Bevorstehende HTTPS -Verbesserungen im Internet Explorer 7 Beta 2". Microsoft. Archiviert Aus dem Original am 20. September 2018. Abgerufen 20. Oktober 2018.
  41. ^ "Servername -Indikation (SNI)". In Aebrahims Kopf. 21. Februar 2006. Archiviert Aus dem Original am 10. August 2018. Abgerufen 20. Oktober 2018.
  42. ^ Pierre, Julien (19. Dezember 2001). "Browser -Unterstützung für TLS -Servernamenanzeige". Bugzilla. Mozilla Foundation. Archiviert Aus dem Original am 8. Oktober 2018. Abgerufen 20. Oktober 2018.
  43. ^ "sslstrip 0,9". Archiviert Aus dem Original am 20. Juni 2018. Abgerufen 20. Oktober 2018.
  44. ^ Shuo Chen; Rui Wang; Xiaofeng Wang; Kehuan Zhang (20. Mai 2010). "Seitenkanallecks in Webanwendungen: Eine Realität heute, eine Herausforderung morgen". Microsoft Research. IEEE Symposium über Sicherheit und Privatsphäre 2010. Archiviert Aus dem Original am 22. Juli 2018. Abgerufen 20. Oktober 2018.
  45. ^ Guaay, Matthew (21. September 2017). "So erzwingen Sie eine öffentliche Wi-Fi-Netzwerkanmeldeseite zum Öffnen". Archiviert Aus dem Original am 10. August 2018. Abgerufen 20. Oktober 2018.
  46. ^ "Neverssl". Archiviert Aus dem Original am 1. September 2018. Abgerufen 20. Oktober 2018.
  47. ^ Walls, Colin (2005). Embedded Software: Die Arbeiten. Newnes. p. 344. ISBN 0-7506-7954-9. Archiviert Aus dem Original am 9. Februar 2019. Abgerufen 20. Oktober 2018.
  48. ^ "Ein sicheres Web ist hier, um zu bleiben". Chrom -Blog. Archiviert Aus dem Original am 24. April 2019. Abgerufen 22. April 2019.

Externe Links