HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе (обычно в формате html, css и других) HTTPS передаются поверх криптографических протоколов TLS или устаревшего в 2015 году SSL. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.
Протокол HTTPS (HyperText Transfer Protocol Secure) был разработан компанией Netscape Communications в 1994 году с целью обеспечить безопасную передачу данных по интернету. Он является защищенной версией протокола HTTP, который используется для обмена информацией между компьютерами.
HTTPS использует шифрование данных с помощью протокола SSL/TLS (Secure Sockets Layer/Transport Layer Security), чтобы защитить информацию от несанкционированного доступа и атак. Поэтому он широко используется для защиты конфиденциальных данных, таких как пароли, платежные данные и другая чувствительная информация.
HTTPS стал стандартом для большинства веб-сайтов в связи с увеличением случаев кибератак и утечек данных. Сегодня браузеры уже отмечают сайты без поддержки протокола HTTPS как небезопасные, что побуждает владельцев интернет-ресурсов использовать этот протокол для обеспечения безопасности и доверия пользователей.
Таким образом, история протокола HTTPS связана с необходимостью увеличения безопасности в сети интернет и защиты чувствительных данных пользователей. Его разработка и внедрение способствовали повышению уровня безопасности в онлайн-среде и обеспечили защиту конфиденциальной информации.
Все сайты, работающие по протоколу https имеют сертификат, обычно совместимый с PKI и X.509, выданный центром сертификации.
Существует теоретическая возможность создать такой сертификат, не обращаясь в ЦС. Подписываются такие сертификаты этим же сертификатом и называются самоподписанными (self-signed). Без проверки сертификата каким-то другим способом (например, звонок владельцу и проверка контрольной суммы сертификата) такое использование HTTPS подвержено атаке man-in-the-middle.
Эта система также может использоваться для аутентификации клиента в сети интернет , чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя. Также будут приниматься все сертификаты, подписанные организациями, которым доверяет сервер. Такой сертификат обычно содержит имя и адрес электронной почты авторизованного пользователя, которые проверяются при каждом соединении, чтобы проверить личность пользователя без ввода пароля.
В HTTPS для шифрования используется длина ключа 40, 56, 128 или 256 бит. Некоторые старые версии браузеров используют длину ключа 40 бит (пример тому — IE версий до 4.0), что связано с экспортными ограничениями в США. Длина ключа 40 бит не является сколько-нибудь надёжной. Многие современные сайты требуют использования новых версий браузеров, поддерживающих шифрование с длиной ключа 128 бит, с целью обеспечить достаточный уровень безопасности. Такое шифрование значительно затрудняет злоумышленнику поиск паролей и другой личной информации.
Традиционно на одном IP-адресе может работать только один HTTPS-сайт. Для работы нескольких HTTPS-сайтов с различными сертификатами применяется расширение TLS под названием Server Name Indication (SNI).
В последнее время появилась следующая тенденция: промышленная автоматика и системы АСУТП и АСУП всё чаще используют интернет – страницы в качестве HMI.