Kort fortalt er HTTPS samme protokol som HTTP bare med kryptering og verificering. HTTPS benytter nemlig TLS til at kryptere almindelige HTTP-anmodninger og -svar og underskrive disse digitalt. Det betyder selvsagt, at HTTPS er mere sikker end HTTP.
Det fremgår af et websteds URL, om der benyttes HTTP eller HTTPS, idet URL’en vil starte med enten http:// eller https://.
Hvad er HTTP?
HTTP er en forkortelse for Hypertext Transfer Protocol, som er en protokol eller bestemt rækkefølge for præsentation af information, som bliver brugt til at sende information eller kommunikation over internettet. Langt det meste information, herunder website-indhold og API-anmodninger, som bliver sendt over internettet, bruger HTTP-protokollen.
Der findes to slags HTTP-beskeder:
- HTTP-anmodninger bliver genereret af brugerens browser, idet brugeren interagerer med et websted. Det sker eksempelvis, når brugeren klikker på et hyperlink, hvorefter browseren sender en række HTTP-anmodninger til indholdet på websiden, for at få den nødvendige information for at kunne tilgå siden. HTTP-anmodninger bliver sendt til enten en origin server eller en proxy caching server, som vil generere et HTTP-svar.
- HTTP-svar er som nævnt svar på HTTP-anmodninger.
Derfor er HTTP usikker
En HTTP-anmodning består af en række tekstlinjer, som følger HTTP-protokollen. Disse tekstlinjer er genereret af brugerens browser og bliver sendt over internettet. Problemet med HTTP opstår imidlertid ved, at denne tekst er skrevet i ren, læsbar tekst, dvs. ikke i koder, hvilket betyder, at enhver, der måtte monitorere forbindelsen, kan læse med. Det kræver faktisk kun basisviden om HTTP-protokollen at kunne forstå dens syntaks.
Det bliver særligt problematisk, når brugere indtaster følsomme oplysninger på websider eller web-apps. Det kunne eksempelvis være en adgangskode, betalingskort-oplysninger, eller anden følsom information, som bliver indtastet i en formular. Der sker nemlig det, at når en bruger indsender en udfyldt formular, så bliver informationen oversat til en HTTP POST-anmodning af browseren.
Når en origin server modtager en HTTP-anmodning, sender den et lignende HTTP-svar tilbage.
Kort fortalt kan alle HTTP-anmodninger og -svar læses af enhver, der måtte følge med og monitorere forbindelsen. Det betyder, at en cyberkriminel potentielt kan følge med og opfange følsom information, som vedkommende derefter kan bruge til yderligere ondsindet aktivitet.
Hvad er HTTPS?
S’et i HTTPS står for ‘secure’. Som nævnt anvender HTTPS Transport Layer Security (TLS) til at kryptere HTTP-anmodninger og -svar. Det betyder, at anmodninger og svar ikke består af ren, læsbar tekst, men derimod af en række tilfældige tegn.
På grund af TLS kan en mulig tilskuer af kommunikationen eller forbindelsen altså kun se denne række af tilfældige tegn. Det sker ved hjælp af public key cryptography som anvendes i TLS, hvor en offentlig og en privat nøgle bruges til at oprette en sessionsnøgle, som sikrer krypteringen af kommunikationen mellem to parter.
Derudover verificerer HTTPS også webservere - modsat HTTP. Det betyder, at HTTPS verificerer identiteten på personer eller maskiner, som indgår i kommunikation. En privat nøgle verificerer nemlig en servers identitet, ligesom et ID-kort verificerer en persons identitet. Når en bruger opretter forbindelse til en webside sørger den private nøgle nemlig for at matche den offentlige nøgle i websidens TLS-certifikat, som således bekræfter, at serveren er legitim.
Dette kan forhindre en række cyberangreb i at finde sted, hvilket ikke er muligt med HTTP, såsom MitM angreb, DNS hijacking og domain spoofing, for eksempel.
Anvendelse af hhv. HTTP og HTTPS
Det kan måske virke meningsløst, hvorfor der anvendes HTTP, når man ved, at denne type forbindelse ikke er sikker. Men fordelen ved HTTP er, at den har en højere hastighed end HTTPS.
HTTP er oplagt at bruge på websider, som eksempelvis har med forbrug af information at gøre, herunder blogs. Det er det, fordi brugeren på den slags websider typisk ikke indtaster følsomme oplysninger.
HTTPS er derimod oplagt til websider, som involverer kommunikation og overførsel af følsomme oplysninger som fx betalingskort- og bankoplysninger eller adgangskoder.
Derfor anbefaler vi også, at man altid holder øje med, om det er en HTTPS-forbindelse, når man indtaster og sender følsomme oplysninger. Det kan man nemt se ved at kigge efter hængelås-ikonet i sin browser, som er en indikation på, at forbindelsen er krypteret med TLS, og at man dermed anvender en sikker HTTPS-forbindelse.
Forhåbentlig du er blevet klogere på hvad du skal se efter, når du gennemgår din awareness-træning fremover.
Emilie Hartmann
Emilie Hartmann er studerende og copywriter hos Moxso, hvor hun udfolder sig som sprognørd og altid er på udkig efter nye spændende emner at skrive om. Hun er igang med sin kandidat i engelsk, hvor hun primært bevæger sig indenfor fagområderne Creative Writing og Digital Humanities.
Se alle indlæg af Emilie Hartmann
