Het protocol HTTPS staat voor HyperText Transfer Protocol Secure en is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden.
Een HTTPS-verbinding is een normale HTTP-verbinding bovenop een SSL-Verbinding. De SSL-verbinding versleutelt hierbij het HTTP-verkeer, waardoor het verkeer, als het onderschept wordt, niet uit te lezen valt zonder het encryptie-algoritme te kraken. Dit in tegenstelling tot normaal HTTP-verkeer. Dit wordt namelijk als onversleutelde tekst over de verbinding verstuurd.
Sniffing-tools als FireSheep maken het gebruik van HTTPS al helemaal een verplicht nummertje. Met dergelijke tools is het voor iedereen mogelijk om eenvoudig jouw inloggevens te bemachtigen wanneer je bijv. gebruik maakt van een openbare hotspot of WiFi verbinding in de trein.
Sinds kort bieden Twitter en Facebook ook eindelijk de mogelijkheid om de veilige versie van HTTP te gebruiken. Google gaat HTTPS toevoegen aan veel van hun API’s en de nieuwe Firefox komt met HSTS, waardoor het mogelijk is om automatisch de veilige verbinding te gebruiken, indien mogelijk.
Waarom dus niet standaard HTTPS gebruiken?
Eerste nadeel is dat het duurder is, om als website gebruik te kunnen maken van HTTPS, moet het over een secure certificate beschikken. En die zijn over het algemeen niet goedkoop.
Tweede nadeel is, en misschien wel het grootste minpunt, is dat sites met HTTPS geen gebruik meer kunnen maken van caching. Grote websites maken gebruik van caching om hun sites sneller te maken. Ook AfterDawn maakt hier sterk gebruik van.
Met andere woorden; zou het hele internet over gaan op HTTPS (een HTTPS-only web), dan wordt het met de huidige technologieën ook meteen een stuk trager.
En voor de normale websites waar je niet hoeft in te loggen, zou het ook geen enkele meerwaarde hebben.
Geschreven door Marco Korthout @ 21 mrt. 2011 3:27