it-swarm.com.de

Unterschied zwischen S-HTTP und HTTPS

Ich wurde gefragt, was der Unterschied zwischen S-HTTP und HTTPS ist, und ich frage mich, ob jemand eine Idee dazu hat.

Laut Wikipedia verschlüsselt S-HTTP nur die bereitgestellten Seitendaten und übermittelten Daten wie POST Felder, wobei das Initiierung des Protokolls unverändert bleibt. Aus diesem Grund S-HTTP könnte gleichzeitig mit HTTP (ungesichert) am selben Port verwendet werden, da der unverschlüsselte Header bestimmen würde, ob der Rest der Übertragung verschlüsselt ist. (Ich habe diesen Punkt nicht verstanden, kann jemand ein Beispiel geben)

Im Gegensatz dazu umfasst HTTP über TLS die gesamte Kommunikation in Transport Layer Security (TLS; ehemals SSL), sodass die Verschlüsselung beginnt, bevor Protokolldaten gesendet werden.

Ist HTTPS also sicherer als S-HTTP?

12
Petr

Die Grundidee von S-HTTP besteht darin, alles zu tun, was im binären SSL/TLS-Protokoll innerhalb des textbasierten HTTP-Protokolls ausgeführt wird. Dies allein macht es nicht weniger sicher.

Was es aus heutiger Sicht definitiv weniger sicher macht, ist die Auswahl der zulässigen Chiffren (siehe Abschnitt 3.2.4.7 von RFC 2660), die nur Chiffren enthält, die heute als schwach gelten. S-HTTP ist jedoch nicht nur ein altes Protokoll in Bezug auf Chiffren. Es ist zu erwarten, dass einige der Angriffe, die in der Zwischenzeit gegen SSL/TLS entwickelt und in späteren Versionen behoben wurden, auch gegen S-HTTP funktionieren. Angesichts der Zeit, als es entwickelt wurde, erwarte ich, dass S-HTTP ungefähr das schwache Sicherheitsniveau von SSL 2.0 erreicht, aber höchstens SSL 3.0.

16
Steffen Ullrich