http dan https merujuk pada protokol yang digunakan.
http digunakan untuk komunikasi cleartext tidak terenkripsi, yang berarti data yang ditransfer dapat dicegat dan dibaca secara langsung oleh manusia. Bidang nama pengguna / kata sandi misalnya dapat diambil dan dibaca.
https mengacu pada komunikasi terenkripsi SSL / TLS. Itu harus didekripsi untuk dibaca. Biasanya / idealnya hanya titik akhir yang mampu mengenkripsi / mendekripsi data, meskipun ini adalah pernyataan dengan peringatan ( lihat edit di bawah ).
Karena itu https dapat dianggap lebih aman daripada http.
: 80 dan: 443 merujuk hanya ke port server yang digunakan (yaitu "hanya angka") dan tidak membawa signifikansi sama sekali berkaitan dengan keamanan.
Namun, ada konvensi yang kuat untuk mengirim http over port 80 dan https over port 443, yang membuat kombinasi dalam pertanyaan lebih dari sekadar ortodoks. Mereka secara teknis dapat digunakan dengan sempurna, selama titik akhir sesuai dan tidak ada objek filter perantara.
Jadi untuk menjawab, http://example.com:443 kurang aman daripada https://example.com:80 dan perbedaannya praktis (meskipun dapat diimbangi dalam beberapa cara) dan tidak hanya teoretis.
Anda dapat dengan mudah menguji validitas pernyataan ini menggunakan server web dan klien di mana Anda memanipulasi serverport dan status enkripsi, sambil menangkap dan membandingkan setiap sesi dengan dekoder protokol seperti wireshark.
[ EDIT - peringatan tentang keamanan jalur klien / server ]
Apa yang pada dasarnya sama dengan serangan https man-in-the-middle dapat dilakukan untuk tujuan menguping atau peniruan. Ini dapat dilakukan sebagai tindakan kedengkian, kebajikan atau bahkan karena ketidaktahuan, tergantung pada keadaan.
Serangan dapat dilakukan baik dengan mengeksploitasi kelemahan protokol seperti bug heartbleed atau kerentanan Poodle , atau melalui instantiating proxy https antara klien dan server di jalur jaringan atau langsung pada klien .
Penggunaan jahat tidak perlu banyak penjelasan, saya pikir. Penggunaan yang baik akan misalnya organisasi proksi koneksi https masuk untuk keperluan logging / id , atau koneksi https keluar untuk menyaring aplikasi yang diizinkan / ditolak . Contoh penggunaan bodoh adalah contoh Lenovo Superfish yang ditautkan di atas atau variasi Dell terbaru dari slip-up yang sama.
EDIT 2
Pernah memperhatikan bagaimana dunia membuat kejutan datang? Sebuah skandal baru saja meletus di Swedia, di mana tiga organisasi kesehatan dewan kabupaten telah menggunakan rantai pasokan yang sama untuk mendaftarkan acara perawatan kesehatan melalui panggilan telepon pasien.
Seolah-olah, pertanyaan dengan demikian mendapat jawaban pada skala besar hal. Kalau saja itu adalah lelucon praktis dan bukan peristiwa yang sebenarnya ...
Saya hanya akan menempelkan dua cuplikan yang diterjemahkan dari teks berita di Computer Sweden :
”Komputer Swedia hari ini dapat mengungkap salah satu bencana terbesar yang pernah terjadi terkait keamanan pasien kesehatan dan integritas pribadi. Pada server web terbuka tanpa segala bentuk perlindungan kata sandi atau metode keamanan lainnya, kami telah menemukan 2,7 juta panggilan yang direkam dari pasien ke layanan kesehatan melalui nomor penasihat medis 1177. Panggilan kembali ke 2013 dan berisi 170.000 jam suara sensitif memanggil file yang dapat diunduh dan didengarkan siapa saja.
[...]
Panggilan telah disimpan di server penyimpanan Voice Integrated Nordics di alamat ip http://188.92.248.19:443/medicall/ . Tcp-port 443 menunjukkan lalu lintas telah melewati https, tetapi sesi tidak dienkripsi.
Saya tidak bisa memutuskan apakah ini contoh lain dari ketidaktahuan, atau jika kita melihat kategori yang sama sekali baru. Tolong saran.