Https port je varen komunikacijski protokol v računalniškem omrežju, ki se pogosto uporablja na internetu. Https sestoji iz protokola prenosa hiperteksta (http) v povezavi, ki je šifrirana z varnostno zaščito prenosnega sloja (ali Plast zaščitenih vtičnic). Glavni namen portala https je preverjanje pristnosti obiskanega spletnega mesta in varovanje zaupnosti in celovitosti izmenjanih podatkov.
HTTP omogoča preverjanje pristnosti spletne strani in povezanega spletnega strežnika, s katerim komunicira. Ta protokol zagotavlja tudi dvosmerno šifriranje sporočil med odjemalcem in strežnikom, ki je zaščiteno pred prisluškovanjem in spreminjanjem vsebine sporočila. V praksi to zagotavlja jamstvo, da uporabnik komunicira z želeno stranjo (ne z lažnim mestom) in je izmenjava podatkov med uporabnikom in virom zaupna.
Https je ustvaril Netscape Communications leta 1994 za spletni brskalnik Netscape Navigator. Prvotno je bil uporabljen https Protokol SSL. Ker je SSL postal varnostni sistem za transportni nivo (TLS), je bil https uradno opredeljen v RFC 2818 maja 2000.
V preteklosti so se povezave https večinoma uporabljale za plačilne transakcije na svetovnem spletu. (Svetovni splet), elektronsko pošto in zaupne transakcije v informacijskih sistemih podjetja. V poznih 2000 in na začetku leta 2010. Protokol https se je začel široko uporabljati za zaščito avtentikacije strani na vseh vrstah spletnih strani, zagotavljanje varnosti uporabniških računov in zasebnosti uporabnikov, osebnih podatkov in zasebnega brskanja po spletnih straneh.
Od junija 2017 21,7% spletnih strani z več kot 1.000.000 uporabniki privzeto uporablja https. 43,1% najbolj priljubljenih spletnih strani na internetu ima 141.387 uporabnikov, ki imajo varno implementacijo https. V skladu s poročilom o Telemetriji Firefox 45% obremenitev strani uporablja https beleženje.
Po Mozilla poročilih se od januarja 2017 več kot polovica spletnega prometa prenaša v šifrirani obliki.
Večina brskalnikov prikaže opozorilo, če prejme neveljavno potrdilo. Starejši brskalniki, ki se povezujejo s spletnim mestom z neveljavnim potrdilom, naj uporabniku zagotovijo pogovorno okno z vprašanjem, ali želijo nadaljevati prehod na vir. Novi brskalniki prikažejo opozorilo v celotnem oknu.
Novejši brskalniki vidijo tudi informacije o varnosti spletnega mesta v naslovni vrstici. Razširjena potrdila o potrditvi označujejo naslovno vrstico zeleno v novih brskalnikih. Večina brskalnikov prikaže uporabniku tudi opozorilo, ko obiščejo spletno mesto, ki vsebuje mešano šifrirano in nešifrirano vsebino.
Https varnost je osnovni TLS, ki običajno uporablja dolgoročne javne in zasebne ključe za generiranje kratkoročnega ključa seje, ki se nato uporablja za šifriranje pretoka podatkov med odjemalcem in strežnikom. Certifikati X.509 se uporabljajo za overjanje strežnika (in včasih odjemalca). Zato so ti certifikati in certifikati javnih ključev potrebni za preverjanje povezave med certifikatom in njegovim lastnikom ter za ustvarjanje, podpisovanje in upravljanje veljavnosti certifikatov.
Pomembna značilnost v tem kontekstu je neposredna tajnost, ki zagotavlja, da šifriranih sporočil, zabeleženih v preteklosti, ni mogoče obnoviti in dešifrirati, če so v prihodnosti ogroženi dolgoročni tajni ključi ali gesla. Vsi spletni strežniki ne zagotavljajo neposredne zasebnosti - odvisno od tega, katera vrata za povezavo https se uporabljajo.
Https pristanišče je občutljivo na številne prometne napade. Ta vrsta napada se pojavi na strani kanala, odvisno od sprememb v času in velikosti prometa ter diskreditira lastnosti šifrirane vsebine. Analiza prometa je mogoča, ker šifriranje SSL / TLS spreminja vsebino prometa, vendar ima minimalen vpliv na njeno velikost in čas.
Maja 2010 so raziskovalci na Microsoft Research in Univerzi v Indiani odkrili, da lahko podrobne, zaupne uporabniške podatke pridobimo iz stranskih kanalov, kot so velikosti paketov. Strokovnjaki so ugotovili, da lahko prisluškovalna naprava prejme občutljive uporabniške podatke.
Junija 2014 je skupina raziskovalcev iz UC Berkeley in Intel, ki jo je vodil Brad Miller, pokazala splošen pristop k analizi pristaniškega prometa https, ki temelji na strojnem učenju. Raziskovalci so pokazali, da je bil napad uporabljen na različnih spletnih straneh, vključno s tako priljubljenim virom, kot je YouTube. Pokaže se, da lahko napadalec obišče iste spletne strani kot žrtev, da zbere omrežni promet, ki služi kot izobraževalni podatki.
Napadalec nato identificira podobnosti v velikostih paketov in naročilih med prometom žrtev in prometom podatkov o usposabljanju - to omogoča napadalcu, da prikaže točno stran, ki jo žrtev obišče. Ugotovljeno je bilo tudi, da napada ni mogoče uporabiti za zaznavanje uporabniških vrednosti, vdelanih v spletno stran. Številne banke na primer ponujajo spletne vmesnike, ki uporabnikom omogočajo ogled stanja na računih. Napadalec lahko ugotovi, da je uporabnik gledal stran o stanju računa, vendar ni mogel najti natančnega stanja uporabnika ali številke računa.