Jak konkrétně HTTPS chrání bezpečnost přenosu dat? Na některé časté obavy se zaměříme prostřednictvím odpovědí na následující otázky.
1. Jak si mohou být uživatelé jisti, že je webová stránka legitimní?
Legitimní webové stránky mají certifikát vydaný certifikační autoritou (CA). Pro každý odkaz zašle web klientovi tento certifikát, aby prokázal jeho legitimitu.
2. Jak mohou uživatelé zajistit důvěrnost údajů přenášených mezi webovými stránkami a uživateli?
Po ověření se webová stránka s uživatelem dohodne na šifrování. Tento proces probíhá automaticky mezi webem a prohlížečem, který společně určí sadu šifer (včetně šifrovacího algoritmu a algoritmu pro ověřování zpráv atd.) a verzi protokolu SSL/TLS. Poté se data přenášená mezi webem a uživateli zašifrují na základě dohodnutého algoritmu.
3. Jak mohou uživatelé zajistit integritu dat přenášených mezi webovými stránkami a uživateli?
K zajištění toho, že s vašimi daty nebylo manipulováno, lze použít kryptografický algoritmus "Message Authentication Code Algorithm". Tento algoritmus dokáže transformovat data libovolné velikosti na data pevné velikosti, a i když dojde ke změně vstupních dat o jeden bit, transformovaná data jsou zcela jiná. Tyto vlastnosti značně přispívají k zajištění integrity dat.
Pokud chce mít organizace zabezpečené webové stránky, které používají protokol HTTPS, musí získat certifikát webu nebo hostitele.
Co jsou to legitimní certifikáty?
Zjednodušeně řečeno, každý, kdo potřebuje tento certifikát, musí o něj požádat u legitimních certifikačních autorit a tento proces zahrnuje distribuci soukromých klíčů.
Pokud navštívená webová stránka nemá legitimní certifikát, prohlížeč zobrazí výzvu se zprávou, jako je: