O S-HTTP (Secure HTTP, que significa Protocolo HTTP protegido) é um método de segurança das transacções HTTP que assenta numa melhoria do protocolo HTTP criada em 1994 pelo EIT (Enterprise Integration Technologies). Permite fornecer uma seguração das trocas aquando de transacções de comércio electrónico, cifrando as mensagens a fim de garantir aos clientes a confidencialidade do seu número de cartão bancário ou qualquer outra informação pessoal. Uma aplicação de S-HTTP foi desenvolvida pela empresa Terisa Systems para incluir uma segurança a nível dos servidores web e dos navegadores.
Contrariamente ao SSL que trabalha a nível da camada de transporte, o S-HTTP oferece uma segurança baseada em mensagens acima do protocolo HTTP, marcando individualmente os documentos HTML com a ajuda de certificados. Enquanto que o SSL é independente da aplicação utilizada e calcula a integralidade da comunicação, o S-HTTP está muito fortemente ligado ao protocolo HTTP e codifica individualmente cada mensagem.
As mensagens S-HTTP baseiam-se em três componente :
Assim, para decifrar uma mensagem S-HTTP, o destinatário da mensagem analisa as rubricas da mensagem a fim de determinar o tipo de método que foi utilizado para cifrar a mensagem. Seguidamente, graças às suas preferências criptográficas actuais e precedentes, e às preferências criptográficas precedentes do remetente, é capaz de decifrar a mensagem.
Quando que SSL e S-HTTP eram concorrentes, um grande número de pessoas percebeu que os dois protocolos de segurança eram complementares, já que não trabalham ao mesmo nível. Desta maneira, o SSL permite proteger a conexão Internet enquanto o S-HTTP permite fornecer trocas HTTP protegidas.
Desta maneira, a companhia Terisa Systems, especializada na segurança das redes, formada por RSA Data Security e o EIT, criou um kit de desenvolvimento que permite aos criadores desenvolver servidores Web que aplicam SSL e S-HTTP (SecureWeb Server Toolkit), bem como clientes Web que suportam estes protocolos (SecureWeb Client Toolkit).