Многие люди учатся делать сайты самостоятельно. Кажется, что это довольно просто: собрать страницу из готовых шаблонов в конструкторе, опубликовать и ждать результатов. Но в процессе работы приходится сталкиваться с вопросами, о которых ранее как пользователь никогда не задумывался.
В этой статье мы ответили на частый вопрос молодых веб-мастеров: “Протокол HTTPS — что это?”. Ниже вы узнаете, зачем его использовать, как браузеры и поисковые сети заботятся о его наличии и что будет, если им пренебречь.
Защищенное соединение https — что это такое?
Аббревиатура HTTPS скрывает за собой английское «Hyper Text Transfer Protocol Secure» или «Безопасный протокол передачи гипертекста» по-русски. Это расширение стандартного протокола HTTP, которое обеспечивает безопасный обмен данными между браузером пользователя и веб-сервером. Благодаря дополнительному уровню безопасности SSL (Secure Sockets Layer) или TLS (Transport Layer Security), вы становитесь более защищенными от разного рода слежки, прослушки и других неприятных инсинуаций.
Безопасное соединение пример ART FACTORY
Небезопасное соединение
Зачем устанавливать HTTPS
- Без HTTPS кибермошенникам проще захватить ваши пароли от социальных сетей, данные банковских карточек или личные фотоснимки.
- С защищенным соединением вы будете уверены, что данные, которые вы отправили, не будут кем-либо изменены по пути следования.
- Сертификаты, используемые в HTTPS, подтверждают идентичность сайта. Это уменьшает риск того, что пользователь попадет на фишинговый сайт.
- Некоторые современные веб-технологии и функции, например, Service Workers для Progressive Web Apps, требуют, чтобы сайт использовал HTTPS.
- Во многих отраслях, особенно в финансах и здравоохранении, требуются строгие стандарты безопасности, которые часто включают в себя использование HTTPS.
Установка HTTPS может потребовать некоторых начальных затрат времени и денег (например, на покупку и обновление SSL-сертификатов), но полученные преимущества с лихвой окупят эти расходы.
Почему HTTPS — это про безопасность
HTTPS считается безопасным благодаря комбинации протоколов и методов шифрования, которые применяются для обеспечения безопасности данных при их передаче между браузером пользователя и веб-сервером.
- При использовании HTTPS данные, передаваемые между браузером и сервером, шифруются. Это значит, что даже если кто-то их перехватит, они не смогут быть прочитаны без соответствующего ключа дешифрования.
- Даже если у преступников будет доступ к одному из секретных ключей, они не смогут расшифровать все прошлые сессии. Каждая сессия имеет свой уникальный ключ шифрования.
- Сертификаты SSL/TLS, используемые в HTTPS, предоставляют аутентификацию веб-сайта. Это помогает удостовериться, что браузер общается именно с тем сервером, который он ожидает, а не с мошенническим
- Технология HSTS (HTTP Strict Transport Security) — это мера безопасности, которая заставляет браузеры обращаться к веб-сайтам только через HTTPS, предотвращая таким образом попытки перехвата и атаки “человек посередине” (Man-in-the-Middle).
- Браузеры предупреждают пользователей о незащищенном содержимом на страницах, что уменьшает риск загрузки вредоносного или мошеннического содержимого.
Схема работы HTTPS
HTTPS основан на протоколах SSL (Secure Sockets Layer) или его преемнике TLS (Transport Layer Security). Пример работы таков:
- Запрос соединения
Когда ваш браузер (клиент) пытается посетить веб-сайт, использующий HTTPS, он отправляет запрос на установку защищенного соединения к серверу.
- Представление сертификата
Веб-сервер предоставляет свой публичный сертификат, который содержит публичный ключ сервера и информацию о владельце сертификата.
- Проверка сертификата
Браузер проверяет действительность сертификата (выдан ли он доверенным центром сертификации, актуален ли он, и соответствует ли доменное имя в сертификате доменному имени сайта).
- Создание сеансового ключа
Если сертификат проверен, браузер создает уникальный сеансовый ключ шифрования и шифрует его с использованием публичного ключа из сертификата сервера. Затем зашифрованный сеансовый ключ отправляется обратно на сервер.
- Дешифрование сеансового ключа
Сервер использует свой приватный ключ для дешифрования сеансового ключа, полученного от браузера.
- Установка защищенного соединения
Теперь и сервер, и браузер имеют один и тот же сеансовый ключ, и они могут использовать его для шифрования и дешифрования передаваемой информации. Это гарантирует конфиденциальность и целостность данных.
- Обмен данными
Сервер и браузер теперь обмениваются информацией, шифруя ее с помощью установленного сеансового ключа. Этот ключ действителен только для данной сессии и не используется в других сессиях.
- Завершение соединения
После завершения обмена данными соединение может быть закрыто. Если пользователь вернется на веб-сайт, процесс установления соединения начнется снова.
Эта схема обеспечивает безопасность данных на нескольких уровнях: аутентификацию (подтверждение идентичности сервера), конфиденциальность (шифрование данных) и целостность (гарантия того, что данные не были изменены в процессе передачи).
Разница между HTTP и HTTPS
HTTP |
Основной протокол передачи данных в интернете. |
Передает данные в открытом виде, что делает их уязвимыми для перехвата или изменения третьими лицами. |
Обычно использует порт 80 для соединения. |
HTTPS |
Расширение HTTP, обеспечивающее шифрование данных при передаче. |
Основан на протоколах SSL или TLS, которые добавляют слой шифрования. |
Обычно использует порт 443 для соединения. |
Требует сертификат SSL/TLS, который подтверждает идентичность сайта. |
Ограничения и недостатки
HTTP |
Данные передаются в открытом виде, что делает их уязвимыми для перехвата. |
Невозможно удостовериться, что сайт действительно принадлежит тому, кем он представляется. |
Такие атаки, как “человек посередине” (Man-in-the-Middle), могут происходить без особых препятствий. |
Поскольку HTTP не является безопасным, пользователи могут быть менее склонны предоставлять личную информацию. |
HTTPS |
Приобретение и обновление SSL/TLS-сертификатов часто стоит денег. |
Требует дополнительных вычислительных ресурсов. |
Настройка и поддержание HTTPS может потребовать технической экспертизы. |
Старые устройства или браузеры могут не поддерживать современные версии протоколов шифрования, что может вызвать проблемы с доступностью сайта. |
Преимущества HTTPS с лихвой перевешивают его недостатки, особенно когда речь идет о безопасности пользовательских данных и доверии к веб-сайту.
Отношение поисковых систем и браузеров к HTTPS
Использование HTTPS важно для корректного SEO-продвижения. Многие веб-обозреватели и поисковики активно продвигают и поощряют наличие этого протокола. Примеры:
– Google сделал HTTPS одним из важных факторов ранжирования.
– В браузере Google Chrome сайты, не использующие HTTPS, отмечаются как небезопасные, что может отпугнуть пользователей от посещения таких сайтов.
- Mozilla (Firefox)
– Также отмечает незащищенные сайты как “Небезопасно” и предоставляет предупреждения для сайтов с проблемами в сертификатах.
– Активно поддерживает новейшие версии TLS для улучшения безопасности и производительности.
- Safari (Apple)
– Safari также уведомляет пользователей о незащищенных соединениях и проблемах с сертификатами, предоставляя необходимые предупреждения.
– Это поддержка касается и других платформ, таких как магазины приложений. Например, Apple требует, чтобы приложения, представленные в App Store, использовали HTTPS для соединений.
4. Яндекс
– Браузер от компании Яндекс также рекомендует устанавливать HTTPS. Причем если на странице, использующей этот протокол, все-таки окажутся незашифрованные элементы, они будут заблокированы и посетитель страницы их не увидит. А если вы вовсе решите оставить свой сайт на HTTP, Яндекс браузер будет показывать предупреждение пользователям в адресной строке.
Алгоритм выбора сертификата безопасности
Определите тип, который вам нужен
– DV (Domain Validated) сертификаты — базовый тип, который подтверждает владение доменом. Процесс выпуска автоматизирован, занимает мало времени. Подходит физическим лицам.
– OV (Organization Validated) сертификаты подтверждают не только владение доменом, но и информацию о организации. Выпуск такого сертификата занимает больше времени, так как требует дополнительной проверки. Подходит юридическим лицам.
– EV (Extended Validation) сертификаты предоставляют наивысший уровень доверия, так как процесс выпуска включает в себя глубокую проверку бизнеса. В ряде браузеров адресная строка для сайтов с EV-сертификатом окрашивается в зеленый цвет, что увеличивает уровень доверия со стороны посетителей.
Определите количество доменов, которые нужно защитить
– Однодоменные сертификаты защищают один домен.
– Многодоменные (SAN/UCC) сертификаты подходят для защиты нескольких доменов одним сертификатом.
– Wildcard сертификаты предназначены для защиты одного домена и неограниченного числа его поддоменов.
Учтите стоимость и длительность действия
Некоторые поставщики предлагают бесплатные сертификаты, но они обычно действуют короткое время и могут не подходить для всех сценариев использования. Платные сертификаты могут предоставлять дополнительные функции или гарантии.
Выберите надежного поставщика
Работайте с уважаемыми и известными центрами сертификации (Certificate Authorities, CA), такими как DigiCert, Comodo, GlobalSign, GeoTrust и др.
Учтите дополнительные функции
Некоторые сертификаты могут предлагать дополнительные функции, такие как повышенные гарантии, быстрый перевыпуск, защита от отмены и т. д.
Обратите внимание на техническую поддержку
Хороший поставщик сертификатов должен предоставлять качественную техническую поддержку, чтобы помочь вам в случае проблем или вопросов.
HTTPS — это стандарт безопасности для интернета, который не только обеспечивает шифрование данных и аутентификацию веб-сайтов, но также получает активную поддержку от поисковых систем и браузеров из-за его значимости для пользовательской безопасности. Однако стоит помнить, что безопасность — это сложный процесс, и только использование HTTPS не гарантирует абсолютность. Всегда важно следить за новыми угрозами и во время обновлять системы безопасности.
