HTTP über Port 443 vs HTTPS über Port 80

21

Was ist der Unterschied zwischen

http://serverfault.com:443 und /server/:80

Welches ist theoretisch sicherer?

ssl  http  https 
mohsinulhaq
quelle
3
HTTPS über Port 80 kann vorkommen, jedoch nur innerhalb der Server-zu-Server-Kommunikation. Browser unterstützen dies nicht. Bei der Sicherheit geht es nicht um den Port, sondern um ein Protokoll.
Anatoly
4
@Anatoly-Browser unterstützen HTTPS über Port 80, es ist nur so, dass sie es nicht standardmäßig verwenden. Der Standardport für HTTPS in Browsern ist 443, aber Sie können diesen in praktisch jedem Browser überschreiben. Ich denke, das haben Sie gemeint, aber ich wollte das für andere klarstellen.
Hurricane Development
@HurricaneDevelopment Mein Kommentar war im Wesentlichen das, was die Nginx-Kerningenieure damals im Nginx-Forum sagten, nicht sicher, wie sich die Dinge im Laufe der Zeit verändert haben könnten.
Anatoly
@Anatoly Fari genug, nur noch ein paar Infos.
Hurricane Development

Antworten:

26

http und https beziehen sich auf das verwendete Protokoll.

http wird für unverschlüsselte Klartext-Kommunikation verwendet, was bedeutet, dass übertragene Daten von einem Menschen abgefangen und in Klartext gelesen werden können. Felder für Benutzername / Passwort können beispielsweise erfasst und gelesen werden.

https bezieht sich auf SSL / TLS-verschlüsselte Kommunikation. Es muss entschlüsselt werden, um gelesen zu werden. Normalerweise / idealerweise sind nur die Endpunkte in der Lage, die Daten zu verschlüsseln / entschlüsseln, obwohl dies eine Anweisung mit Vorbehalten ist ( siehe Bearbeitung unten ).

Daher kann https als sicherer als http angesehen werden.

: 80 und: 443 beziehen sich nur auf den verwendeten Server-Port (dh es ist "nur eine Nummer") und haben keinerlei Bedeutung für die Sicherheit.

Es gibt jedoch eine strenge Konvention, http über Port 80 und https über Port 443 zu senden, was die Kombinationen in dieser Frage mehr als unorthodox macht. Sie sind jedoch technisch einwandfrei verwendbar, sofern die Endpunkte übereinstimmen und keine zwischengeschalteten Filterobjekte vorhanden sind.

Zur Beantwortung: http://example.com:443 ist weniger sicher als https://example.com:80, und der Unterschied ist praktisch (obwohl er auf verschiedene Arten ausgeglichen werden kann) und nicht nur theoretisch.

Sie können die Gültigkeit dieser Anweisungen auf einfache Weise mit einem Webserver und einem Client testen, indem Sie den Serverport und den Verschlüsselungsstatus ändern und dabei jede Sitzung mit einem Protokolldecoder wie Wireshark erfassen und vergleichen.

[ BEARBEITEN - Vorbehalte bezüglich der Sicherheit des Client / Server-Pfades ]

Was im Wesentlichen einem https-Man-in-the-Middle-Angriff gleichkommt, kann zum Zwecke des Abhörens oder Identitätswechsels ausgeführt werden. Es kann als ein Akt der Böswilligkeit, des Wohlwollens oder, wie sich herausstellt, sogar aufgrund von Unwissenheit geschehen, abhängig von den Umständen.

Der Angriff kann entweder durch Ausnutzen einer Protokollschwäche wie des Heartbleed- Fehlers oder der Poodle-Sicherheitsanfälligkeit oder durch Instantiieren eines https-Proxys zwischen dem Client und dem Server im Netzwerkpfad oder direkt auf dem Client erfolgen .

Böswilliger Gebrauch braucht nicht viel Erklärung, denke ich. Eine wohlwollende Nutzung wäre beispielsweise eine Organisation, die eingehende https-Verbindungen zum Zwecke der Protokollierung / IDs oder ausgehende https-Verbindungen zum Filtern von zulässigen / abgelehnten Anwendungen als Proxy verwendet . Ein Beispiel für eine ignorante Verwendung wäre das oben verlinkte Lenovo Superfish-Beispiel oder die aktuelle Dell-Variante desselben Ausrutschers.

BEARBEITEN 2

Hast du jemals bemerkt, wie die Welt die Überraschungen hält? Ein Skandal brach gerade in Schweden aus, als drei Gesundheitsorganisationen der Bezirksregierung dieselbe Lieferkette für die Registrierung von Gesundheitsereignissen über Telefonanrufe von Patienten verwendeten.

Die Frage wird sozusagen im großen Stil beantwortet. Wenn es nur ein Scherz und kein tatsächliches Ereignis wäre ...

Ich werde einfach zwei Schnipsel einfügen, die aus dem Nachrichtentext in Computer Sweden übersetzt wurden :

„Computer Sweden kann heute eine der größten Katastrophen aufdecken, die es je in Bezug auf die Sicherheit von Patienten im Gesundheitswesen und die persönliche Integrität gegeben hat. Auf einem offenen Webserver ohne Kennwortschutz oder andere Sicherheitsmaßnahmen haben wir über die medizinische Beratungsnummer 1177 2,7 Millionen Anrufe von Patienten an das Gesundheitswesen registriert. Die Anrufe gehen auf das Jahr 2013 zurück und enthalten 170.000 Stunden sensibler Sprache Dateien aufrufen, die jeder herunterladen und anhören kann.

[...]

Die Anrufe wurden auf dem Voice Integrated Nordics-Speicherserver unter der IP-Adresse http://188.92.248.19:443/medicall/ gespeichert . TCP-Port 443 zeigt an, dass der Datenverkehr über https übertragen wurde, die Sitzung jedoch nicht verschlüsselt ist.

Ich kann mich nicht entscheiden, ob dies ein weiteres Beispiel für Ignoranz ist oder ob wir eine völlig neue Kategorie sehen. Bitte um Rat.

ErikE
quelle
Was meinten Sie damit, dass diese Aussage zum Ver- / Entschlüsseln der Daten Vorbehalte hat? Bitte erklären Sie
Oleg
@Curious Ich habe meine Antwort bearbeitet, um über Ihre Frage nachzudenken.
ErikE
1
Vielen Dank @ErikE. Vor ein paar Tagen habe ich festgestellt, dass die meisten von mir besuchten https-Websites (mit Ausnahme von Websites mit EV SSL) von avast! Web/Mail Shield Root(ich verwende Avast Antivirus) überprüft wurden , was mich ein wenig verwirrt hat. Jetzt ist alles klar, dank dir
Oleg
1
Möglicherweise verwendet Avast eigene Zertifikate, um SSL-Datenverkehr zu entschlüsseln. Abhängig von Ihrer Sicherheitseinstellung kann dies ein Problem für Sie sein. Siehe zB blog.avast.com/tag/man-in-the-middle
Dennis Nolte
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.