Co to jest HTTPS?

Co to jest HTTPS

Jak sprawić, żeby poufne dane – karty kredytowej, numer telefonu czy adres e-mail – nie wpadły w ręce niepowołanych osób? Pierwszą linią obrony jest protokół HTTPS. O co chodzi z HTTPS, czy strony, które go używają rzeczywiście są bezpieczne, jakie gwarancje daje HTTPS i co ryzykujesz odwiedzając strony bez certyfikatu? Odpowiedzi na te i inne pytania znajdziesz poniżej.

Czym jest HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) to zabezpieczona wersja protokołu HTTP, która służy do szyfrowania informacji pomiędzy serwerem a użytkownikiem/przeglądarką internetową. Do szyfrowania połączenia służy protokół SSL (Secure Sockets Layer).

Dzięki HTTPS niepowołane osoby mają większy problem z przechwyceniem poufnych danych, które zostawiasz np. podczas zakupów w sklepie www.

Skąd mam wiedzieć, czy witryna korzysta z protokołu HTTPS? Łatwo to sprawdzić. Wystarczy, że spojrzysz na pasek adresowy – jeżeli widzisz przy nim ikonę zamkniętej kłódki, to witryna korzysta z protokołu HTTPS.

Nazwa używanego protokołu jest też umieszczona w adresie URL strony, np. https://ccit.pl.

Jak działa HTTPS

Protokół HTTPS szyfruje informacje poprzez certyfikat SSL lub jego ulepszoną wersję TSL. W tym celu wykorzystywana jest technika kryptografii klucza publicznego.

Certyfikat SSL to mały plik zawierający dane strony, która go otrzymała, m.in. nazwę domeny, urząd certyfikacji, algorytm klucza publicznego i algorytm podpisu certyfikatora.

Przykład. Chcesz wejść na stronę https://ccit.pl. Technicznie oznacza to, że przeglądarka wysyłasz żądanie dostępu do serwera. Ta witryna ma zainstalowany certyfikat więc nawiązany jest kontakt SSL.

Podczas kontaktu używane są klucze sesyjny, publiczny i prywatny.

  1. Serwer wysyła do przeglądarki (klienta) kopię certyfikatu SSL, która zawiera klucz publiczny.
  2. Klient sprawdza czy certyfikat SSL jest aktywny i zaufany. Jeżeli weryfikacja przebiegła pozytywnie, to odsyła symetryczny klucz sesji (przy użyciu klucza publicznego).
  3. Serwer identyfikuje klucz sesji używając klucza prywatnego, a po odesłaniu potwierdzenia rozpoczyna sesję (zaszyfrowaną).
  4. Dane pomiędzy serwerem i klientem przesyłane są za pomocą klucza sesji.

Skomplikowane? Na szczęście wszystko odbywa się błyskawicznie. Dla Internauty cała operacja jest niezauważalna.

Jak włączyć HTTPS?

Włączenie HTTPS to niezbyt precyzyjne określenie na użycie połączenia SSL/TSL.

Certyfikat SSL przyznają urzędy certyfikacji po zweryfikowaniu, kto jest właścicielem domeny.

Weryfikacji może być podstawowa (automatyczna, musisz tylko udowodnić, że masz prawo do używania domeny) lub zaawansowana (właściciel domeny jest dokładnie prześwietlany przez wystawcę).

Certyfikat można wykupić lub otrzymać bezpłatnie. Jego instalacja przeprowadzana jest najczęściej przez firmę hostingową – dostawcę certyfikatu – lub samodzielnie przez właściciela strony.

Zalety wykorzystania HTTPS

Dzięki protokołowi HTTPS niepowołane osoby nie mogą łatwo przechwycić komunikacji ze stroną internetową, a przede wszystkim pozostawionych na niej danych:

  • adresu e-mail,
  • numeru telefonu,
  • numeru karty kredytowej,
  • numeru CVV/CVC,
  • wszelkich informacji wpisanych w kwestionariuszach lub formularzach.

HTTPS uchroni Cię przed wścibskim dostawcą internetu lub administratorem czy też inną osobą, która chce podejrzeć Twoje dane. To również sposób, żeby upewnić się do kogo faktycznie należy strona – wystarczy kliknąć na kłódkę i sprawdzić nazwę podmiotu, który otrzymał certyfikat.

Czy strony HTTPS są bezpieczne?

Strony HTTPS są bezpieczniejsze niż witryny używające protokołu HTTP. Dzieje się tak ponieważ komunikacja między przeglądarką, a stroną www (serwerem) jest szyfrowana.

Dzięki HTTPS poufne dane udostępnianie podczas sesji nie są widoczne dla niepowołanych osób, które nie mają klucza do ich odszyfrowania.

Jakie gwarancje daje użycie protokołu HTTPS?

Użycie protokołu HTTPS sprawia, że połączenie jest bezpieczne. Kłódka przy adresie znaczy, że strona ma wystawiony certyfikat z wygenerowanym kluczem kryptograficznym.

Wystawca certyfikatu potwierdza, że zweryfikował przynajmniej podstawowe dane – czy osoba ubiegająca się o SSL jest faktycznie właścicielem domeny.

Dane wysyłane podczas sesji nie są widoczne dla osób postronnych np. dostawcy usług internetowych. 

Jednak musisz pamiętać HTTPS nie zastępuje antywirusa i nie oznacza pełnego bezpieczeństwa:

  • kłódka i HTTPS w pasku adresowym nie oznacza, że użytkownik jest chroniony przed phishingiem. Przestępcy używają certyfikatów SSL DV do uwiarygodnienia swojej podrobionej strony (już w 2017 roku ponad 20 proc. stron phishingowych miała certyfikat),
  • HTTPS nie ukryje Twojego adresu IP (do tego służy sieć TOR lub sieć prywatna VPN) czy też adresów stron, które odwiedzasz lub fraz wpisywanych w wyszukiwarkę,
  • szyfrowanie HTTPS nie jest również ochroną przed działaniem wirusów komputerowych, robaków komputerowych czy też innych rodzajów złośliwego oprogramowania.

Zawsze musisz pamiętać, że certyfikat SSL/TLS nie mówi nic o stronie, na którą wchodzisz. To może być np. podrobiona strona banku służąca do phishingu czyli wyłudzenia Twojego loginu i hasła do konta. HTTPS nie uchroni Cię przed przestępcami, którzy w ten sposób poznają informacje o ofiarach.

Co się stanie, jeśli moja witryna nie korzysta z protokołu HTTPS?

Im większa świadomość użytkowników, tym większa rola protokołu HTTPS. Internauci coraz niechętniej będą wchodzić na witryny, które nie są bezpieczne. Komunikat “wchodzisz na stronę, która zawiera niebezpieczne adresy URL” nie budzi zaufania do witryny choć ta może być wolna od złośliwego oprogramowania.

Korzystanie z połączenie SSL to jasny sygnał, że jako administrator strony dbasz o bezpieczeństwo danych, które pozostawiają na niej odwiedzający.

Bez certyfikatu SSL Twoja strona może też osiągać gorsze wyniki w wyszukiwarkach. Google oficjalnie zaleca korzystanie z protokołu HTTPS.

Czym jest http – pytania i odpowiedzi (Q&A)

Co to jest HTTP i czym się różni od HTTPS?

HTTP i HTTPS to protokoły umożliwiające, mówiąc w skrócie, komunikację między komputerami. Czym jest HTTPS? To Hyper Text Transfer Protocol, którego potrzebujesz, żeby korzystać z Internetu. HTTPS (Hyper Text Transfer Protocol Secure) to zabezpieczony wariant HTTP, który m.in. identyfikuje stronę www poświadczając własność domeny. To podstawowa linia obrony przed cyberprzestępcami.

Co to znaczy, że strona jest niezabezpieczona?

Informacje, że strona jest niezabezpieczona oznacza, że nie używa protokołu HTTPS – nie ma certyfikatu SSL przyznanego przez urząd certyfikacji.

HTTPS a Google – czy szyfrowanie wpływa na pozycjonowanie?

Tak, szyfrowanie wpływa na pozycję strony w wynikach wyszukiwania Google. Stosowanie certyfikatu SSL wpływa na wiarygodność witryny i jest jednym z czynników, które bierze pod uwagę wyszukiwarka. Inaczej mówiąc, strony korzystające tylko z protokołu HTTP mogą być umieszczone niżej w wynikach wyszukiwania (warto pamiętać, że brak certyfikatu nie jest kluczowy w przypadku oceny strony przez Google). Możliwy jest inny mechanizm. Na witryny bez bezpiecznego połączenia będzie zaglądało mniej osób, a to oznacza gorsze wyniki w wyszukiwarkach.

Co oznacza kłódka w internecie?

Kłódka obok adresu strony oznacza, że strona korzysta z bezpiecznego połączenia umożliwionego przez certyfikat SSL. Po kliknięciu w kłódkę dowiesz się m.in. dla kogo został wystawiony certyfikat, jakie pliki cookie są w użyciu oraz jakie uprawnienia ma witryna, na której jesteś. O szyfrowaniu połączenia między serwerem a przeglądarką świadczy również https:// w pasku adresowym.

Dlaczego HTTPS jest przekreślone?

HTTPS i kłódka jest przekreślona jeżeli strona ma certyfikat, który nie został zweryfikowany lub jest przeterminowany. Wchodząc na taką witrynę nie masz pewności do kogo ona faktycznie należy.

Co to jest certyfikat SSL?

SSL to protokół sieciowy używany do bezpiecznych połączeń internetowych przy pomocy certyfikatu. SSL szyfruje połączenie między serwerem, a przeglądarką internetową. Służy też do uwierzytelnienia serwera podczas udostępniania wrażliwych danych, np. numer ukarty kredytowej. Nazwa SSL wciąż jest w obiegu, choć teraz stosuje się bardziej zaawansowany certyfikat TLS.

Ile kosztuje certyfikat SSL?

Na rynku dostępne są certyfikaty SSL/TLS płatne i darmowe. Jeżeli chcesz mieć komercyjny certyfikat SSL dla domeny to ceny wynoszą 79 – 578 zł brutto za rok. Cena zależy od rodzaju (DV, OV lub EV dla dużych firm gwarantujący najwyższy poziom zabezpieczenia) i typu certyfikatu – najczęściej spotkasz się z nazwą Standard SSL czy też  Wildcard SSL. Czy SSL jest darmowy? Tak, możesz zdecydować się na Free SSL (np. Let’s Encrypt).

 

Przewiń do góry