HTTPS

internetin suojatun tiedonsiirron protokolla

HTTPS (engl. Hypertext Transfer Protocol Secure) on HTTP-protokollan ja TLS/SSL-protokollan yhdistelmä, jota käytetään tiedon suojattuun siirtoon webissä. Protokollan ansiosta siirto on salattu sekä palvelimelle että palvelimelta. Selaimessa käytetty protokolla on HTTPS, kun osoite alkaa ”https://” (Arkistoitu – Internet Archive).[1] TLS-salausta käytettäessä tarvitaan varmenne. Varmenteen avulla käyttäjä voi paremmin selvittää, minkä palvelimen kanssa verkossa todellisuudessa asioi.

Web toimi alkujaan HTTP-protokollalla, mutta se oli ongelmallinen verkkokaupan suhteen, sillä se lähetti pankkikortin tiedot verkon yli salaamatta niitä. Netscape tarttui tilaisuuteen ja rakensi SSL-suojauksen. Yritys kutsui HTTP:n päälle tehtyä protokollaa nimellä HTTPS. Sitä pidettiin pitkään lähinnä verkkopankkien, osakekauppasivustojen ja verkkokauppojen käyttämänä tapana. Vuoden 2005 tienoilla se alkoi yleistyä kirjautumissivuilla, mutta varsin hitaasti. Google teki tammikuussa 2010 HTTPS:stä sähköpostipalvelu Gmailin oletus-protokollan ja myöhemmin lisäsi myös HTTPS-tuen hakukoneeseensa. Googlen inspiroimana Electronic Frontier Foundation ja The Tor Project julkaisivat kesäkuussa Firefox-laajennuksen HTTPS Everywhere, jonka tarkoituksena oli ohjata selain käyttämään aina HTTPS-sivustoa, jos se oli mahdollista.[2]

HTTPS:n läpimurtoon vaikutti Firesheep-niminen Firefox-laajennus, jonka avulla kuka tahansa pystyi vakoilemaan toisten Wi-Fi-käyttäjien evästeitä. Monet yritykset alkoivat siirtyä nopealla aikataululla HTTPS:ään. Facebook ja Twitter lisäsivät mahdollisuuden alkuvuoden 2011 aikana. Edward Snowdenin paljastukset Yhdysvaltain harjoittamasta maailmanlaajuisesta vakoilusta aiheuttivat sen, että suhtautuminen salattujen yhteyksien tarpeellisuuteen muuttui.[3] Vuonna 2014 perustettiin Let’s Encrypt, joka tarjoaa ilmaiseksi TLS-sertifikaatteja sivustoille. Tätä ennen sertifikaatin saaminen oli monille liian kallis ja monimutkainen prosessi. Selainvalmistajat alkoivat voimakkaasti tukea HTTPS:ää, ja monia uusia ominaisuuksia tehtiin vain kyseiselle protokollalle. Chrome ilmoitti syyskuussa 2016 alkavansa pian merkitä kaikki salasanoja ja luottokorttitietoja keräävät sivut turvattomaksi, jos ne eivät käyttäneet HTTPS-protokollaa. Heinäkuusta 2018 lähtien Chrome on merkinnyt kaikki HTTP-sivut turvattomiksi.[2]

Let’s Encryptin Firefox-selaimesta keräämien tietojen mukaan vuoden 2014 alussa noin 26 prosenttia kaikista latauksista tehtiin HTTPS-protokollan kautta. Osuus oli noussut 50 prosenttiin tammikuussa 2017, ja vuoden 2021 alussa 83 prosenttia kaikista verkkosivuista ladataan HTTPS:n kautta.[4]

HTTPS:n haittapuoli on, että liikennettä ei voi tallentaa välityspalvelimen välimuistiin. Välityspalvelin voi vain tunneloida yhteyden eikä pysty säästämään kaistaa.[5].

Lähteet

muokkaa
  1. HTTPS PCMag Encyclopedia. Ziff Davis, LLC. Viitattu 6.7.2021. (englanniksi)
  2. a b History of HTTPS Usage 8.3.2018. Jeff Kaufman. Viitattu 6.7.2021. (englanniksi)
  3. History of HTTPS Usage www.jefftk.com. Viitattu 1.1.2024. (englanniksi)
  4. Let's Encrypt Stats Internet Security Research Group. Viitattu 6.7.2021. (englanniksi)
  5. HTTP caching - HTTP | MDN developer.mozilla.org. 4.10.2023. Viitattu 1.1.2024. (englanti)

Aiheesta muualla

muokkaa
  • RFC 2818, Technical specification of HTTP over TLS (englanniksi)