Разница между протоколом https и SSL-сертификатом

Ответ 1

HTTPS - это HTTP (протокол передачи гипертекста) плюс SSL (Secure Socket Layer). Вам нужен сертификат для использования любого протокола, использующего SSL.

SSL позволяет безопасно передавать произвольные протоколы. Он позволяет клиентам (а) проверять, действительно ли они взаимодействуют с ожидаемым сервером, а не с человеком в середине, и (б) шифровать сетевой трафик, чтобы стороны, отличные от клиента и сервера, не могли видеть сообщение.

Сертификат SSL содержит открытый ключ и сертификат. Клиенты не только могут использовать сертификат для связи с сервером, клиенты могут проверить, что сертификат был криптографически подписан официальным центром сертификации. Например, если ваш браузер доверяет центру сертификации VeriSign, а VeriSign подписывает мой SSL-сертификат, ваш браузер по своей сути будет доверять моему SSL-сертификату.

Здесь неплохо читается: http://en.wikipedia.org/wiki/Transport_Layer_Security

Ответ 2

Две части одного решения.

https - это протокол, определяющий, как клиент и сервер будут вести переговоры о безопасном соединении.

Сертификат SSL - это документ, который они будут использовать для согласования подлинности серверов.

Ответ 3

HTPS - это новый HTTPS. HTTPS очень уязвим для отключения SSL/MITM (человек посередине). чтобы процитировать адам langley (google) блог имперский фиолетовый:

"HTTPS имеет тенденцию заставлять людей давать разговоры насмешливую защиту сертификатов и экосистему вокруг нее".

Проблема заключается в том, что страница не передается через HTTPS. Это должно было быть, но когда пользователь вводит имя хоста в браузер, по умолчанию используется HTTP. Сервер может попытаться перенаправить пользователей на HTTPS, но перенаправление небезопасно: злоумышленник MITM может переписать его и сохранить пользователя по HTTP, все время подталкивая реальный сайт. Теперь злоумышленник может перехватить весь трафик на этот прекрасно настроенный и безопасный веб-сайт.

Это называется отключением SSL, и это ужасно просто и разрушительно эффективно. Мы, вероятно, не видим этого очень часто, потому что это не то, что нужно делать корпоративным прокси, так что это не в готовых устройствах. Но эта передышка вряд ли продлится очень долго и, может быть, уже закончилась: как бы мы даже знали, если она используется?

Чтобы остановить удаление SSL, мы должны сделать HTTPS единственным протоколом. Мы не можем сделать это для всего Интернета, но мы можем сделать это по-узлу с помощью HTTP Strict Transport Security (HSTS).

HSTS сообщает, что браузеры всегда делают запросы через HTTPS на сайты HSTS. Сайты становятся HSTS либо встроенными в браузер, либо рекламируя заголовок:

Strict-Transport-Security: max-age = 8640000; IncludeSubdomains

Заголовок действует в течение заданного количества секунд и может также применяться ко всем субдоменам. Заголовок должен быть получен через чистое соединение HTTPS.

Как только браузер узнает, что сайт только HTTPS, пользователь, набравший mail.google.com, безопасен: исходный запрос использует HTTPS, и нет места для использования злоумышленником.

(mail.google.com и ряд других сайтов уже встроены в Chrome как сайты HSTS, поэтому на самом деле невозможно получить доступ к аккаунту accounts.google.com через HTTP с помощью Chrome - мне пришлось обратиться к этому изображению! чтобы быть включенным в список встроенных HSTS Chrome, напишите мне.)

HSTS также может защитить вас, веб-мастера, от глупых ошибок. Предположим, что вы сказали своей матери, что она должна всегда вводить https://перед тем, как отправиться на ее банковский сайт или, может быть, вы установите для нее закладку. Это честно больше, чем мы можем или должны ожидать от наших пользователей. Но позвольте сказать, что наш суперпользователь...]

из-за препятствий/очень глупых правил ссылок для новых пользователей в stackoverflow я не могу дать вам остальную часть ответа adam, и вам придется посетить блог adam langley самостоятельно https://www.imperialviolet.org/2012/07/19/hope9talk.html

"Адам Лэнгли работает как с инфраструктурой обслуживания Google HTTPS, так и с сетевым стеком Google Chrome".

Ответ 4

HTTPS - это протокол прикладного уровня. Он может обеспечить отказ от отдельных запросов или ответов посредством цифровых подписей.

SSL является протоколом более низкого уровня и не имеет этой возможности. SSL - это шифрование транспортного уровня.

HTTPS более гибкая, чем SSL: приложение может настроить уровень безопасности, который ему нужен. У SSL меньше вариантов, поэтому его легче настраивать и администрировать.