HTTPS (Hypertext Transfer Protocol Secure) és la capçalera d'URI utilitzada per a indicar una connexió seguraHTTP. És sintàcticament idèntica a la capçalera[enllaç sense format] http:// normalment utilitzada en l'accés de recursos fent servir HTTP. Utilitzar unaURI[enllaç sense format] https:// indica que s'utilitzarà HTTP, però amb un portTCP per defecte diferent (el 443) i una capa d'encriptació/autenticació entre HTTP i TCP. Aquest sistema va ser dissenyat perNetscape Communications Corporation per a oferir autenticació i comunicació encriptada i és àmpliament utilitzat a laWorld Wide Web per a comunicacions en què la seguretat és important com ara transaccions de pagaments i accés asistemes informàtics corporatius.
Cal fer advertir que l'accés a una pàgina HTTPS (segura) no impedeix que aquesta pàgina contingui elements HTTP (no segurs). En aquests casos, el nostrenavegador web ens ho notificarà mitjançant un missatge d'avís. És utilitzat principalment per entitats bancàries, botigues en línia, i qualsevol mena de servei que requereixi l'enviament de dades personals ocontrasenyes.
Per a saber si la pàgina web que estem visitant fa servir el protocol HTTPS i és, per tant, segura quant a la transmissió de les dades que estem transmetent, hem d'observar si al començament de la barra d'adreça del nostre navegador web es mostren les lletreshttps en comptes dehttp.
Parlant estrictament, HTTPS no és un protocol separat, sinó que fa referència a la combinació d'una interaccióHTTP normal sobre una connexióSecure Sockets Layer oTransport Layer Security. Això assegura protecció raonable davant d'escoltes indesitjades i atacs deman-in-the-middle.
Un URL[enllaç sense format] https: pot especificar un port TCP; si no ho fa, la connexió fa servir el port 443 (HTTP insegur fa servir el port 80 habitualment).
Per a preparar unservidor web perquè accepti connexions https, l'administrador ha de crear uncertificat de clau pública per al servidor web. Aquests certificats poden ser creats per servidors basats enUnix amb eines com arassl-ca d'OpenSSL[1] ogensslcert deSuSE. Aquest certificar ha d'estar signat per unaautoritat certificadora d'una forma o una altra, per tal de certificar que el posseïdor del certificat és realment l'entitat que diu ser. Els navegadors web estan normalment venen amb els certificats de signatura de les autoritats certificadores principals, per a poder verificar els certificats signats per aquestes.
Les organitzacions també poden ser la seva pròpia autoritat certificadora, particularment si són responsables de configurar navegadors per a accedir als seus llocs (per exemple, llocs en unaintranet d'empresa), ja que d'una forma molt senzilla poden afegir el seu propi certificat de signatura a aquells que ja venen amb el navegador.
Alguns cops, especialment en aquells operats per aficionats, es fan servir certificats autosignats en llocs públics. Fer servir aquests ofereix protecció contra escoltes indesitjades simples, però a diferència del que ocorre amb un certificat ben-conegut, la prevenció de l'atac de man-in-the-middle amb un certificat autosignat requereix que el lloc faci disponible algun altre mètode segur per a la verificació del certificat.
El sistema també pot ser utilitzat perautenticació de client, per tal de restringir l'accés a un servidor web a només usuaris autoritzats. Per a això, habitualment l'administrador del lloc crea certificats per a cada usuari i aquests certificats són carregats al navegador de l'usuari corresponent. Aquests normalment contenen el nom i l'adreça d'e-mail de l'usuari autoritzat, i són automàticament comprovats pel servidor a cada reconnexió per a verificar la identitat de l'usuari, potencialment sense haver d'introduir mai la contrasenya.
El nivell de protecció depèn de la correctesa de laimplementació per part delnavegador web, el software de servidor i l'algorisme de xifratge fet servir realment.
HTTPS només protegeix les dades en trànsit d'escoltes no desitjades i d'atacs de man-in-the-middle. Un cop les dades arriben a la seva destinació, només són tan segures com els ordinadors en les quals estan.
Atès que SSL opera sota http i no té coneixement de protocols superiors, els servidors SSL només poden presentar una certificació per a una combinació particular d'IP/port. Això vol dir que en molts casos no és factible fer servirvirtual hosts basats en noms ambhttps.
