Protocole HTTP utilisant SSL et proposé par Netscape. Ce standard est libre d'usage.
Sous HTTPS sont chiffrables de manière transparente :

• les login et password,
• les pages Web envoyées au client,
• les cookies,
• les données de réponse du client saisies dans un formulaire.

Deux niveaux de sécurité

• au client de vérifier que le serveur est bien "de confiance".
• au client et au serveur de vérifier que son interlocuteur est bien "de confiance".

Pour ce deuxième niveau, le serveur HTTPS exigera que chaque client soit muni d'un certificat reconnu par lui.

Exemple d'installation SSL sur Microsoft IIS

Pour créer un serveur Web HTTPS avec IIS, il faut :

• une autorité de certification (CA - Root CA, pour Microsoft),
  • pour rendre le serveur "de confiance" auprès de tiers non connus (public), il convient de faire appel à un organisme privé spécialisé et reconnu.
  • lorsque l'on s'adresse à des utilisateurs connus, Certificat Server permet de créer sa propre autorité de certification.
• un serveur Web IIS paramétré HTTPS
• mettre en route le cryptage SSL 40 bits (compris par tous les navigateurs) ou 128 bits (vérifier dans "A propos d'Internet Explorer" pour chaque client) en cochant l'option "Exiger un canal sécurisé (SSL).
• si l'on souhaite le contrôle des clients, il faut cocher l'option "Exiger les certificats clients".
• des clients Internet Explorer ou Netscape Navigator paramétrés
  • installer le certificat du serveur pour l'identifier ultérieurement comme serveur "de confiance".
  • installer un certificat client si le serveur doit l'exiger.
  • cocher dans les options Internet "Verifier la révocation des certificats...", pour que Internet Explorer lise les CRL automatiquement.

Par l'installation des certificats, les clés publiques sont échangées et les liaisons cryptées sont possibles.
Nota : cet exemple n'est destiné qu'à donner une idée du travail à entreprendre. Pour les autres systèmes du marché, les manipulations sont similaires.
Un serveur HTTPS possède une URL commençant par https://