Что такое HTTPS и почему вас это должно волновать

Опубликовано: 2020-09-20

Примерно до 2017 года подавляющее большинство веб-сайтов в Интернете использовали строго гипертекстовый протокол передачи (HTTP) для передачи данных веб-сайта в веб-браузер посетителя.

До этого большинство браузеров были полностью способны получать защищенный HTTP-контент, но лишь немногие владельцы сайтов удосужились настроить свои веб-сайты с использованием HTTPS.

Оглавление

    Что такое HTTPS? Это означает безопасный протокол передачи гипертекста. И сегодня эта безопасная версия HTTP — это то, как большинство веб-сайтов в Интернете передают свой контент в браузеры.

    Что такое HTTPS?

    Когда веб-сайт использует HTTPS, это означает, что все данные, передаваемые между этим веб-сайтом и вашим браузером, зашифрованы.

    До HTTPS хакер мог легко перехватить передачу между веб-хостом и браузером пользователя и прочитать передаваемый контент. Это связано с тем, что содержимое было передано в формате HTML или в виде обычного текста. Во многих случаях из этих передач было легко извлечь даже идентификаторы и пароли.

    Что отличает HTTPS? HTTPS использует так называемую безопасность транспортного уровня (TLS), ранее известную как Secure Socket Layer (SSL).

    TLS использует два «ключа» безопасности для полного шифрования данных, передаваемых между веб-хостом и вашим браузером.

    • Закрытый ключ : это ключ, хранящийся на исходном веб-сервере. Он недоступен для общественности, поэтому только этот закрытый ключ, хранящийся на реальном веб-сервере, может расшифровать передачу.
    • Открытый ключ : открытый ключ используется любым браузером, который хочет взаимодействовать с веб-сервером, на котором находится веб-сайт.

    Как работает HTTPS-связь

    Процесс общения работает следующим образом.

    1. Пользователь открывает браузер и подключается к веб-странице.
    2. Веб-сайт отправляет браузеру пользователя SSL-сертификат, содержащий открытый ключ. Этот открытый ключ нужен браузеру, чтобы открыть начальное соединение с сайтом.
    3. Это инициирует так называемое «рукопожатие TLS», когда клиент (браузер) и сервер (веб-сайт) «договариваются» об использовании шифра, проверяют цифровую подпись SSL сайта и генерируют новые ключи сеанса для текущего сеанса.

    Как только этот «сеанс» установлен, никто между браузером и веб-сервером не сможет легко идентифицировать передаваемую информацию или данные.

    Это связано с тем, что все, даже HTML, передаваемый в браузер, шифруется (по сути, зашифровывается в бессмысленный текст и символы). Расшифровать информацию может только тот браузер, который установил первоначальное соединение с сайтом, и наоборот. Только веб-сайт может получать такие вещи, как идентификаторы и пароли, и расшифровывать их для использования.

    Таким образом, всякий раз, когда вы видите, что сайт защищен, вы можете быть уверены, что связь между вашим браузером и удаленным сайтом конфиденциальна и защищена от посторонних глаз.

    Как узнать, использует ли сайт HTTPS

    Начиная с 2017 года Google оказывает давление на владельцев веб-сайтов, чтобы они включали SSL-сертификаты на свои веб-сайты. Они сделали это, интегрировав новую функцию в последнюю версию Chrome, которая отображала предупреждение «Небезопасно» для пользователей всякий раз, когда они посещали сайт, который не использует HTTPS.

    Если вы используете последнюю версию браузера Chrome и посещаете безопасный сайт, использующий HTTPS, вы увидите маленький значок замка слева от URL-адреса.

    Вскоре после этого другие браузеры последовали их примеру, включая Firefox, Safari и другие. Все они будут отображать значок блокировки, как это делает Chrome.

    Если вы посещаете веб-сайт, и сайт не использует HTTPS для связи, вы увидите ошибку « Не защищено » слева от URL-адреса.

    Как будто этого недостаточно, чтобы отпугивать посетителей от веб-сайта, Google также установил политику, согласно которой использование SSL-сертификатов помогает веб-сайтам занимать более высокие позиции в результатах поиска.

    Именно по этим двум причинам большинство владельцев веб-сайтов, наконец, начали переводить свои сайты на использование SSL-сертификатов и общаться с браузерами посетителей через HTTPS.

    Почему вы должны заботиться о HTTPS?

    Как пользователь Интернета, вы должны очень заботиться о том, использует ли сайт HTTPS. Вы можете подумать, что никому нет дела до того, какие веб-сайты вы посещаете или что вы делаете в Интернете, но существуют очень большие сообщества хакеров, которым это очень интересно.

    Перехватывая связь вашего браузера с веб-сайтами, хакеры постоянно ищут следующую информацию:

    • Ваш адрес электронной почты, чтобы они могли продать его спамерам по электронной почте.
    • Ваш номер телефона и физический адрес, чтобы они могли продать его маркетологам.
    • Идентификаторы и пароли, которые вы используете для входа в свои банковские счета, чтобы они могли получить доступ к вашим средствам.
    • Любые смущающие сайты, которые вы посещаете, чтобы они могли отправлять вам электронные письма с угрозами поделиться этой активностью с друзьями и семьей, если вы не заплатите.
    • Прямой IP-адрес вашего компьютера, чтобы они могли попытаться взломать вашу систему.

    На самом деле, посещение только тех сайтов, которые используют HTTPS, является мощным способом защиты вашей конфиденциальности и безопасности в Интернете по многим причинам.

    Если у вас есть веб-сайт, есть еще больше причин, по которым вам следует позаботиться об установке SSL-сертификатов и включении HTTPS.

    • Вы получите больше поискового трафика Google.
    • Посетители будут чувствовать себя в безопасности, посещая ваш сайт чаще.
    • Клиенты будут чувствовать себя в большей безопасности, покупая товары у вас.
    • Хакеры с меньшей вероятностью получат идентификаторы или пароли, которые облегчат им взлом вашего сайта.

    В наши дни у любого, кто пользуется Интернетом, больше нет веских причин не использовать только HTTPS для всех веб-транзакций.

    Как использовать HTTPS на вашем сайте

    Если у вас есть веб-сайт и вы хотите избавиться от этого страшного сообщения «Небезопасно», когда люди посещают ваш сайт, установить SSL-сертификаты для вашего веб-сайта несложно.

    На самом деле, мы опубликовали полное руководство о том, как получить собственный SSL-сертификат для вашего веб-сайта и как его установить.

    Простые шаги заключаются в следующем:

    1. Определите выделенный IP-адрес, который ваш веб-хост предоставил вашему веб-сайту.
    2. Установите SSL-сертификат, предоставленный вашим веб-сайтом, или тот, который вы приобрели в службе сертификатов SSL.
    3. Заставьте все браузеры использовать SSL при посещении вашего сайта, отредактировав файл .htaccess с помощью команды «переписать», которая изменяет все соединения на использование HTTPS.
    4. Обязательно предоставьте свой частный SSL-сертификат всем службам CDN, которые вы установили на своем сайте.

    В последнее время этот процесс становится еще проще, поскольку многие службы веб-хостинга предоставляют владельцам веб-сайтов решения одним щелчком мыши для установки SSL-сертификатов для их веб-сайтов.