HTTPS

Sikker webtrafik med kryptering - forstå HTTP og HTTPS-protokollen.

Sikker HTTPS-forbindelse og kryptering
Foto: Shahadat Rahman

HTTPS (HyperText Transfer Protocol Secure) er den krypterede version af HTTP, som beskytter kommunikationen mellem din browser og webserveren. I dag er HTTPS standard for næsten alle hjemmesider, og browsere markerer sider uden HTTPS som "ikke sikre".

Forskellen på HTTP og HTTPS

HTTP sender data i klartekst, hvilket betyder at enhver der kan opsnappe trafikken kan læse indholdet - logins, kreditkortoplysninger, personlige beskeder. HTTPS tilfojer et krypteringslag via TLS (Transport Layer Security), sa data er ulæselige for alle undtagen afsender og modtager.

TLS-handshake

Nar din browser forbinder til en HTTPS-side, udforer den et TLS-handshake:

1. Client Hello

Browseren sender en liste over understottede krypteringsalgoritmer og en tilfældig værdi til serveren.

2. Server Hello

Serveren vælger en krypteringsalgoritme, sender sit SSL/TLS-certifikat og sin egen tilfældige værdi.

3. Certifikatverifikation

Browseren verificerer at serverens certifikat er gyldigt - udstedt af en betroet Certificate Authority (CA), ikke udlobet og matcher det domæne der tilgas.

4. Nogleuudveksling

Browser og server udveksler kryptografiske nogler og etablerer en fælles sessionsngle, der bruges til at kryptere al efterfolgende kommunikation.

SSL/TLS-certifikater

Et SSL/TLS-certifikat er et digitalt dokument der beviser at serveren er den, den udgiver sig for at være. Certifikater udstedes af Certificate Authorities (CAs) som Let's Encrypt (gratis), DigiCert eller Comodo. Let's Encrypt har revolutioneret HTTPS-udbredelsen ved at tilbyde gratis, automatiserede certifikater.

Certifikattyper

  • DV (Domain Validation): Verificerer kun domænejerskab. Hurtigst og billigst.
  • OV (Organization Validation): Verificerer også organisationens identitet.
  • EV (Extended Validation): Grundig verificering af organisationen. Bruges typisk af banker og store virksomheder.

HTTP/2 og HTTP/3

Moderne versioner af HTTP-protokollen forbedrer ydeevnen markant. HTTP/2 introduserer multiplexing (flere foresprgsler over en enkelt forbindelse), header-komprimering og server push. HTTP/3 gar endnu længere ved at erstatte TCP med QUIC-protokollen, der reducerer latenstiden yderligere og håndterer pakketab bedre.

HSTS

HTTP Strict Transport Security (HSTS) er en mekanisme hvor serveren fortæller browseren altid at bruge HTTPS. Nar en browser modtager en HSTS-header, vil den automatisk bruge HTTPS ved alle fremtidige besog, selv hvis brugeren skriver HTTP i adresselinjen.

Video: Hvordan HTTPS og TLS-kryptering virker

Se også

Netværkskabler der illustrerer TCP/IP-forbindelser

TCP/IP

Grundlaget for al internetkommunikation - forstå TCP/IP-protokolstakken.

Serverrum der håndterer DNS-forespørgsler

DNS

Domain Name System - internettets telefonbog der oversætter domænenavne til IP-adresser.

Netværksinfrastruktur og DHCP-servere

DHCP

Dynamic Host Configuration Protocol - automatisk tildeling af IP-adresser på netværket.