Hypertext Transfer Protocol Secure (HTTPS) to bezpieczna wersja protokołu HTTP, który jest podstawowym protokołem używanym do przesyłania danych między przeglądarką internetową użytkownika a witryną internetową.
Protokół HTTPS zabezpiecza komunikację i przesyłanie danych między nimi oraz chroni użytkowników przed wykradaniem danych i atakami typu man-in-the-middle (MitM).
HTTPS odgrywa znaczącą rolę w zabezpieczaniu witryn internetowych, które obsługują lub przesyłają dane wrażliwe, w tym dane obsługiwane przez usługi bankowości internetowej, dostawców poczty e-mail, sprzedawców internetowych, cały system opieki medycznej itd.
Protokół HTTPS jest szyfrowany w celu zwiększenia bezpieczeństwa przesyłania danych. Jest to szczególnie ważne, gdy użytkownicy przesyłają poufne dane, na przykład logując się do instytucji rządowych, na konto bankowe, pocztę e-mail a tak naprawdę to wszędzie gdzie podają swoje dane osobiste.
Mówiąc najprościej, każda witryna, która wymaga danych logowania lub obejmuje transakcje finansowe, powinna używać protokołu HTTPS, aby zapewnić bezpieczeństwo użytkowników, transakcji i danych.
W najpopularniejszych przeglądarkach internetowych, takich jak na przykład Chrome, witryny, które nie korzystają z protokołu HTTPS, są oznaczane charakterystycznymi znakami, zazwyczaj w kolorze czerwonym lub z przekreśloną kłódką aby zwrócić uwagę użytkownika na brak protokołu HTTPS na danej witrynie internetowej.
Jak sprawdzić czy strona jest bezpieczna ?
Kłódka na początku paska adresu URL sygnalizuje, że strona jest bezpieczna. Przeglądarki internetowe poważnie traktują HTTPS i dlatego oznaczają wszystkie witryny nieobsługujące protokołu HTTPS jako niezabezpieczone.
Adres witryny, która korzysta z protokołu HTTPS zaczyna się od https:// zamiast http://.
W niektórych przeglądarkach użytkownicy mogą kliknąć ikonę kłódki, aby sprawdzić, czy certyfikat cyfrowy witryny obsługującej protokół HTTPS zawiera informacje identyfikujące właściciela witryny, takie jak jego imię i nazwisko lub nazwa firmy.
Jak działa HTTPS?
HTTPS używa protokołu szyfrowania komunikacji. Nazywa się on Transport Layer Security (TLS), chociaż wcześniej był znany jako Secure Sockets Layer (SSL). Protokół ten zabezpiecza komunikację przy użyciu tak zwanej asymetrycznej infrastruktury klucza publicznego. Ten typ zabezpieczenia używa dwóch różnych kluczy do szyfrowania komunikacji między dwiema stronami:
Klucz prywatny – klucz ten jest kontrolowany przez właściciela strony internetowej i jest przechowywany, jako prywatny. Ten klucz znajduje się na serwerze i służy do odszyfrowywania informacji zaszyfrowanych kluczem publicznym.
Klucz publiczny — ten klucz jest dostępny dla każdego, kto chce komunikować się z serwerem w bezpieczny sposób. Informacje zaszyfrowane kluczem publicznym można odszyfrować tylko za pomocą klucza prywatnego.
HTTPS działa z pomocą SSL/TLS do szyfrowania i uwierzytelniania danych. Używa domyślnie portu 443, podczas gdy HTTP używa portu 80. Wszystkie bezpieczne połączenia wymagają portu 443, chociaż ten sam port obsługuje również połączenia HTTP.
Przed rozpoczęciem przesyłania danych w HTTPS przeglądarka i serwer decydują o parametrach połączenia wykonując uzgadnianie SSL/TLS.
Jak wygląda komunikacja przeglądarki z witryną internetową z protokołem HTTPS ?
- Przeglądarka klienta i serwer wymieniają wysyłają do siebie komunikaty – siemanko- siemanko
- Obie strony wysyłają do siebie informację o swoich standardach szyfrowania.
- Serwer udostępnia swój certyfikat przeglądarce.
- Przeglądarka weryfikuje ważność certyfikatu.
- Przeglądarka używa klucza publicznego do wygenerowania specjalnego klucza wstępnego.
- Klucz jest szyfrowany przy użyciu klucza publicznego i udostępniany serwerowi.
- Przeglądarka i serwer wykonują specjalne operacje a następnie obie strony potwierdzają prawidłowość odszyfrowania klucza.
Zalety HTTPS
- Ochrona danych i użytkowników.
- Zapobiega podsłuchiwaniu między przeglądarkami internetowymi a serwerami internetowymi i zapewnia bezpieczną komunikację.
- Chroni prywatność użytkownika i chroni poufne informacje przed hakerami.
- Lepsze wrażenia użytkownika. Gdy klienci wiedzą, że strona internetowa jest bezpieczna i chroni ich dane to użytkownicy mają większe zaufanie a w przypadku niebezpiecznej strony natychmiastowo ją opuszczą.
- HTTPS zwiększa szybkość przesyłania danych, zmniejszając rozmiar danych.
- Optymalizacja pod kątem wyszukiwarek (SEO). Witryny z początkiem adresu https:// zwykle zajmują wyższą pozycję w organicznych wynikach wyszukiwania.
Chociaż protokół HTTPS jest bezpieczniejszy niż HTTP, żaden z nich nie jest w 100% odporny na cyberataki. Połączenia HTTPS mogą być również podatne na złośliwe oprogramowanie aczkolwiek w pewnym stopniu zmniejszają ryzyko niektórych ataków. Zawsze warto mieć go na swojej stronie www i obecnie jest to już standard a nie dodatkowa funkcjonalność.