Diferencia entre S-HTTP y HTTPS

Navega tus respuestas
11

Me han preguntado cuál es la diferencia entre S-HTTP y HTTPS, y me pregunto si alguien tiene una idea sobre.

Wikipedia dice que S-HTTP encripta solo los datos de la página servida y los datos enviados como los campos POST, dejando la iniciación del protocolo sin cambios . Debido a esto, S-HTTP podría usarse simultáneamente con HTTP (sin garantía) en el mismo puerto, ya que el encabezado sin cifrar determinaría si el resto de la transmisión está cifrada. (No entendí este punto, ¿alguien puede dar un ejemplo)?

Por el contrario, HTTP sobre TLS envuelve toda la comunicación dentro de Transport Layer Security (TLS; anteriormente SSL), por lo que el cifrado comienza antes de enviar los datos del protocolo.

¿Entonces HTTPS es más seguro que S-HTTP?

    
pregunta Petr 18.12.2017 - 09:01
fuente

1 respuesta

15

La idea básica de S-HTTP es hacer todo lo que se hace en el protocolo binario SSL / TLS dentro del protocolo HTTP basado en texto. Esto por sí mismo no lo hace menos seguro.

Lo que lo hace definitivamente menos seguro para la vista de hoy es la elección de los cifrados permitidos (ver sección 3.2.4.7 de RFC 2660) que incluye solo cifrados que hoy se consideran débiles. Pero S-HTTP no es solo un protocolo antiguo con respecto a los cifrados. Se puede esperar que algunos de los ataques que se desarrollaron contra SSL / TLS mientras tanto y que se solucionaron en versiones posteriores también funcionen contra S-HTTP. Dado el momento en que se desarrolló, espero que S-HTTP se encuentre en el nivel de seguridad débil de SSL 2.0, pero a la mayor parte de SSL 3.0.

    
respondido por el Steffen Ullrich 18.12.2017 - 09:38
fuente

Lea otras preguntas en las etiquetas

¿Es posible exportar un componente público de una subclave GPG? Vulnerabilidad de restablecimiento de contraseña en texto sin formato