Güvenli Köprü Metni Aktarım Protokolü - Secure Hypertext Transfer Protocol
| HTTP |
|---|
| İstek yöntemleri |
| Başlık alanları |
| Yanıt durum kodları |
| Güvenlik erişim kontrol yöntemleri |
| Güvenlik açıkları |
Güvenli Köprü Metni Aktarım Protokolü ( S-HTTP ), HTTP üzerinden taşınan web iletişimlerini şifrelemek için HTTPS protokolüne eski bir alternatiftir . Eric Rescorla ve Allan M. Schiffman tarafından geliştirilmiş ve 1999 yılında RFC 2660 olarak yayınlanmıştır.
Web tarayıcıları , web sunucularıyla iletişim kurmak için genellikle HTTP kullanır , bilgileri şifrelemeden gönderir ve alır. İnternet e-ticareti veya finansal hesaplara çevrimiçi erişim gibi hassas işlemler için tarayıcı ve sunucu bu bilgileri şifrelemelidir. HTTPS ve S-HTTP, bu ihtiyacı karşılamak için 1990'ların ortalarında tanımlandı. S-HTTP, Spyglass'ın web sunucusu tarafından kullanılırken , Netscape ve Microsoft , S-HTTP yerine HTTPS'yi destekledi ve HTTPS'nin web iletişimini güvence altına almak için fiili standart mekanizma haline gelmesine yol açtı .
TLS üzerinden HTTP ile karşılaştırma
S-HTTP, yalnızca sunulan sayfa verilerini ve POST alanları gibi gönderilen verileri şifreler ve protokolün başlatılmasını değiştirmeden bırakır. Bu nedenle, şifrelenmemiş başlık iletimin geri kalanının şifrelenip şifrelenmediğini belirleyeceğinden, S-HTTP aynı bağlantı noktasında HTTP (güvenli olmayan) ile aynı anda kullanılabilir.
Buna karşılık, TLS üzerinden HTTP, tüm iletişimi Aktarım Katmanı Güvenliği (TLS; eski adıyla SSL) içinde sarar , bu nedenle şifreleme, herhangi bir protokol verisi gönderilmeden önce başlar. Bu , istek için hangi DNS adının amaçlandığını belirlemede ada dayalı bir sanal barındırma "tavuk ve yumurta" sorunu yaratır .
Bu, Sunucu Adı Gösterimi (SNI) desteği olmayan HTTPS uygulamalarının , DNS adı başına ayrı bir IP adresi gerektirdiği ve tüm HTTPS uygulamalarının, açık şifreleme kullanımı için (çoğu tarayıcıda şu şekilde ele alınır) ayrı bir bağlantı noktası (genellikle 443'e karşı HTTP'nin 80 standardı) gerektirdiği anlamına gelir. ayrı bir URI şeması , https:// ).
RFC 2817'de belgelendiği gibi, HTTP, HTTP/1.1 Yükseltme üstbilgileri uygulanarak ve TLS'ye yükseltilerek de güvenli hale getirilebilir . HTTP'nin bu şekilde anlaşılan TLS üzerinden çalıştırılması, ad tabanlı sanal barındırmayla ilgili olarak HTTPS'nin etkilerine sahip değildir (fazladan IP adresleri, bağlantı noktaları veya URI alanı yoktur). Ancak, birkaç uygulama bu yöntemi desteklemektedir.
S-HTTP'de istenen URL, açık metin başlıklarında iletilmez, ancak boş bırakılır; şifrelenmiş yükün içinde başka bir başlık kümesi bulunur. TLS üzerinden HTTP'de, tüm başlıklar şifrelenmiş yükün içindedir ve sunucu uygulaması genellikle TLS'nin önemli hatalarından ('istemci sertifikası güvenilmez' ve 'istemci sertifikasının süresi doldu' dahil) sorunsuz bir şekilde kurtarma fırsatına sahip değildir.