HTTPS als standaard protocol?

Status
Niet open voor verdere reacties.

Ivan

Oprichter
Forumleiding
Admin
https.jpg
Bij ars technica vraagt men zich af waarom HTTPS niet standaard het gebruikte protocol is op het web. Het is de veilige versie van HTTP, de “s” staat voor secure en het bestaat al bijna net zo lang als het web zelf.

Het protocol HTTPS staat voor HyperText Transfer Protocol Secure en is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.
Een HTTPS-verbinding is een normale HTTP-verbinding bovenop een SSL-Verbinding. De SSL-verbinding versleutelt hierbij het HTTP-verkeer, waardoor het verkeer, als het onderschept wordt, niet uit te lezen valt zonder het encryptie-algoritme te kraken. Dit in tegenstelling tot normaal HTTP-verkeer. Dit wordt namelijk als onversleutelde tekst over de verbinding verstuurd.

Sniffing-tools als FireSheep maken het gebruik van HTTPS al helemaal een verplicht nummertje. Met dergelijke tools is het voor iedereen mogelijk om eenvoudig jouw inloggevens te bemachtigen wanneer je bijv. gebruik maakt van een openbare hotspot of WiFi verbinding in de trein.
Sinds kort bieden Twitter en Facebook ook eindelijk de mogelijkheid om de veilige versie van HTTP te gebruiken. Google gaat HTTPS toevoegen aan veel van hun API’s en de nieuwe Firefox komt met HSTS, waardoor het mogelijk is om automatisch de veilige verbinding te gebruiken, indien mogelijk.

Waarom dus niet standaard HTTPS gebruiken?
Eerste nadeel is dat het duurder is, om als website gebruik te kunnen maken van HTTPS, moet het over een secure certificate beschikken. En die zijn over het algemeen niet goedkoop.
Tweede nadeel is, en misschien wel het grootste minpunt, is dat sites met HTTPS geen gebruik meer kunnen maken van caching. Grote websites maken gebruik van caching om hun sites sneller te maken. Ook AfterDawn maakt hier sterk gebruik van.

Met andere woorden; zou het hele internet over gaan op HTTPS (een HTTPS-only web), dan wordt het met de huidige technologieën ook meteen een stuk trager.
En voor de normale websites waar je niet hoeft in te loggen, zou het ook geen enkele meerwaarde hebben.Permalink | Reacties

zJVvlOrMZuA


Bron: afterdawn.com
 
Een ander argument waarom HTTPS niet standaard wordt gebruikt is omdat de RSA encryptie enorm veel rekenkracht kost. Te bedenken dat elke request afzonderlijk gecodeerd moet worden is het een onmogelijke taak dit permanent te gebruiken.

Voor het certificaat is wel een oplossing, namelijk zelf een certificaat maken en ondertekenen alleen zijn de meeste browsers daar niet blij mee omdat er dan niet gegarandeerd kan worden dat de server ook echt degene is zoals hij zich voor doet

Dinux
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan