Veiledning i HTTPS

Publisert: 01.10.2016

NSM anbefaler at mest mulig webtrafikk autentiseres, integritets- og konfidensialitetsbeskyttes. Formålet med denne veiledningen er å gi anbefalinger om hvordan man kan etablere sikker overføring av webtrafikk ved å bruke HTTPS. Ved å implementere anbefalingene vil man øke tilliten til at webtrafikken overføres sikkert.

Hypertext Transfer Protocol (HTTP) er kommunikasjonsprotokollen til webtrafikk, og Hypertext Transfer Protocol Secure (HTTPS) er HTTP over en sikker forbindelse. HTTPS er altså ingen egen protokoll, men normal HTTP-trafikk over Transport Layer Security (TLS). HTTPS tilbyr autentisering av serveren, samt konfidensialitets- og integritetsbeskyttelse av innholdet som overføres. Dersom man i tillegg ønsker autentisering av klienten kan man benytte klient-sertifikat for to-veis-autentisering.

Nettsteder som benytter HTTPS har en URL som begynner med «https://» i stedet for «http://», og som standard benyttes TCP port 443 i stedet for 80.

NSM anbefaler at mest mulig webtrafikk autentiseres, integritets- og konfidensialitetsbeskyttes. Dette vil sikre enorme mengder data over Internett, hvor fortsatt under halvparten av webtrafikken er sikret.

En webserver (eventuelt TLS-akselerator, lastbalanserer, mv) som skal støtte HTTPS-forbindelser må konfigureres med et sertifikat som blant annet inneholder informasjon om tilbyderen av webtjenesten og hvor lenge sertifikatet er gyldig. Sertifikatet må være signert av en sertifikatutsteder som nettlesere har tiltro til.

Veiledningen kan lastes ned her.

comments powered by Disqus