Test de sécurité - Principes de base du protocole HTTPS

HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) ou HTTP over SSL est un protocole Web développé par Netscape. Ce n'est pas un protocole mais c'est juste le résultat de la superposition du HTTP au-dessus de SSL / TLS (Secure Socket Layer / Transport Layer Security).

En bref, HTTPS = HTTP + SSL

Quand HTTPS est-il requis?

Lorsque nous naviguons, nous envoyons et recevons normalement des informations en utilisant le protocole HTTP. Cela conduit donc quiconque à écouter la conversation entre notre ordinateur et le serveur Web. Plusieurs fois, nous devons échanger des informations sensibles qui doivent être sécurisées et empêcher tout accès non autorisé.

Protocole Https utilisé dans les scénarios suivants -

  • Sites Web bancaires
  • Passerelle de paiement
  • Sites de shopping
  • Toutes les pages de connexion
  • Applications de messagerie

Fonctionnement de base de HTTPS

  • La clé publique et les certificats signés sont requis pour le serveur dans le protocole HTTPS.

  • Demandes du client pour la page https: //

  • Lors de l'utilisation d'une connexion https, le serveur répond à la connexion initiale en proposant une liste de méthodes de chiffrement prises en charge par le serveur Web.

  • En réponse, le client sélectionne une méthode de connexion, et le client et le serveur échangent des certificats pour authentifier leurs identités.

  • Une fois cette opération effectuée, le serveur Web et le client échangent les informations chiffrées après s'être assuré que les deux utilisent la même clé et que la connexion est fermée.

  • Pour héberger des connexions https, un serveur doit avoir un certificat de clé publique, qui intègre les informations de clé avec une vérification de l'identité du propriétaire de la clé.

  • Presque tous les certificats sont vérifiés par un tiers afin que les clients soient assurés que la clé est toujours sécurisée.