Główna, Poradnik bezpieczeństwa IT

HTTP a HTTPS – czym się różnią oba protokoły i jak działają? -Netcomplex

Czas czytania: 4 min

Adres każdej strony internetowej poprzedza odpowiedni protokół http lub https. Jest on nieodłączną częścią adresu URL. Nawet gdy wpisujemy samą nazwę strony w pasku przeglądarki, protokół uzupełnia się automatycznie.
Z punktu widzenia pozycjonowania i wyszukiwania to także bardzo istotny element. Już w 2014 roku Google zaleciło zmiany protokołów z http na https obiecując wzrost w rankingu witryn.

HTTP i HTTPS – różnice

Http (Hypertext Transfer Protocol) wykorzystuje się już od lat 90 XX wieku w celu komunikacji pomiędzy klientem a serwerem. Na początku możliwe było wysyłanie tylko jednego żądania i otrzymywanie danych w ramach jednego połączenia. Rozbudowa, zgodnie z formatem MMA, umożliwiła wysyłanie znacznie większej ilości danych  z różnymi parametrami.

Protokoły HTTP i HTTPS – jak działają?

Komunikacja w ramach http opiera się na wysyłaniu danych klient-serwer. Klient wysyła zapytanie, serwer odpowiada przesłaniem danych. Protokół ten jest bezstanowy, czyli nie przechowuje danych, dzięki czemu nie obciąża znacząco serwera. Robi się to jednak problematyczne w momencie kilkukrotnego korzystania ze strony. Strony www oparte na tym protokole wspiera system ciasteczek, dzięki czemu można zbierać dane na temat osób odwiedzających witrynę.

Https (Hypertext Transfer Protocol Secure) to wersja szyfrowana powyższego protokołu. W odróżnieniu od poprzednika protokół https szyfruje dane. Początkowo odbywało się to przy pomocy protokołu SSL. Obecnie w użyciu jest protokół TLS. Ich wykorzystanie pozwala unikać sytuacji przechwycenia danych oraz ich ewentualnego zmieniania.

Oznaczenie protokołu https znajduje się w polu wyszukiwania przed adresem internetowym strony. Protokół ten stosuje się do witryn, w przypadku których wymagane jest większe zaufanie co do serwera. Będzie on zatem zawsze  przy adresach URL sklepów internetowych, stron bankowości,  witryn, w których jest możliwość płatności kartą. Co Wykorzystuje go również wyszukiwarka Google. Https stosuje się także do zabezpieczenia forów internetowych, portali społecznościowych i wszędzie tam, gdzie mamy możliwość komentowania treści.

Http a https czym jeszcze się różnią?

Różnica między http a https może mieć  wpływ na nasze bezpieczeństwo w sieci. Szyfrowane https jest trudniejsze do przechwycenia, nie ma możliwości zmiany w trakcie transferowania. Natomiast przy wykorzystaniu połączenia nieszyfrowanego, istnieje prawdopodobieństwo, że nasze dane przechwycą niepowołane osoby. Z tego powodu specjaliści zalecają użytkownikom sprawdzanie, czy połączenie wykorzystywane w szczególności do płacenia zawiera skrót https i symbol zielonej kłódki. Strony, które wymagają hasła/ loginu/ płatności powinny być zabezpieczone.

Oznacza to, że wszelkie strony internetowe, które wymagają od nas podania hasła lub loginu, zostają zabezpieczone. Ochrona danych klientów jest z kolei jednym z podstawowych warunków, które musi spełnić właściciel strony lub sklepu internetowego.

Różnicę pomiędzy protokołami http a https stanowi wykorzystywany przez nie port domyślny. W przypadku protokołu http to port 80. Dla szyfrowanego https portem właściwym jest 443.

Jak włączyć na swojej stronie HTTPS?

Migracja z http na https polega głównie na sprawdzeniu wszystkich linków wewnętrznych i zewnętrznych. Jest to niestety czasochłonne przy rozbudowanych witrynach, jednak warto to zrobić.

  1. Wybierz typ certyfikatu SSL – Google zaleca korzystanie z 2048-bitowych certyfikatów. Certyfikat SSL można zakupić w firmie hostingowej. Najczęściej taka firma pomaga z instalacją. Warto jednak wykonać backup.
  2. Utwórz mapę URL – przejrzyj witrynę, przekieruj wszystkie linki z http na https.
  3. Zaktualizuj grafiki.
  4. Zaktualizuj linki wewnętrzne – nie zapomnij o linkach o narzędziach służących do automatyzacji marketingu.
  5. Zaktualizuj linki zewnętrzne – pamiętaj o aktualizacji linków w SM i reklamach.
  6. Upewnij się, że narzędzia analizujące posiadają właściwe linki.
  7. Zaktualizuj przekierowania.
  8. Dodaj stronę ponownie w Google Search Console.
  9. Przygotuj plik: robots.txt.
  10. Monitoruj pozycję strony.
  11. Przetestuj stronę – obserwuj przez kilka dni, jak wygląda ruch  po zmianach, zweryfikuj, czy coś nie zostało pominięte.
Co to jest certyfikat SSL?

Certyfikat SSL (Secure Socket Layer) umożliwia bezpieczne wymienianie danych pomiędzy klientem a serwerem. Przy jego pomocy dokonywana jest zmiana protokołu z http na https. W tym samym celu używany jest TLS, jednak jest on nowszą wersją SSL, a pojęcia używane są zamiennie.

Jak działa certyfikat SSL?

To dość złożona i zaawansowana technicznie procedura ze względu na operacje kryptograficzne wykonywane w ramach bezpiecznego przesyłania danych. W bardzo dużym uproszczeniu: podstawą działania jest szyfrowanie asymetryczne, które polega na wygenerowaniu paru kluczy (publiczny – prywatny). Klucz publiczny jest widoczny dla wszystkich, którzy chcą zostawić wiadomość. Nie można go jednak użyć do odszyfrowania wiadomości. Klucz prywatny natomiast, dostępny jest tylko dla odbiorcy. Zadaniem SSL/TLS jest potwierdzenie zgodności certyfikatów, czyli czy zostały użyte klucze publiczne odbiorcy i nadawcy w momencie wymiany danych. Brak tego mechanizmu umożliwia przeprowadzenie np. ataku Man in the middle (trzecia osoba podmienia klucze w procesie komunikacji).

Jak zdobyć certyfikat SSL?

Który z nich wybrać? Najlepiej skonsultować się ze swoim specjalistą do spraw pozycjonowania i/dostawcą hostingu lub developerem.

Rodzaje SSL według klasy:

  • DV (Domain Validation)
  • OV (Organization Validation)
  • EV (Extended Validation)

Według typu:

  • Certyfikat typu Single Domain
  • Certyfikat typu Wildcard
  • Certyfikat typu Multidomain

Certyfikat SSL możemy zdobyć w wersji płatnej lub bezpłatnej. Wszystko zależy od tego czy strona wymaga poufnych informacji od użytkownika. Dlaczego jednak warto zapłacić? Darmowe certyfikaty nie posiadają gwarancji finansowej w razie popełnienia cyberprzestępstwa. Ograniczają się  do certyfikatów DV, czyli weryfikacji domeny, a nie właściciela strony/ organizacji. Kolejna kwestia to czas ważności. Darmowy certyfikat można zdobyć na czas nie dłuższy niż 3 miesiące. W przypadku płatnych certyfikatów jest to rok lub 2 lata.

Podsumowanie

Https to obecnie standardowy protokół. Coraz mniej stron korzysta z http. Jeżeli Twoja strona www pobiera jakiekolwiek dane od użytkowników, warto przejść na protokół https. Bezpieczeństwo klientów jest tu kluczową sprawą.

Zapraszamy na naszą stronę, gdzie sprawdzisz najnowsze rozwiązania dla cyberbezpeczeństwa Twojego biznesu https://www.netcomplex.pl/

Źródło: https://www.widzialni.pl/blog/protokol-http-https-podstawowe-roznice/
https://poradnikprzedsiebiorcy.pl/-roznice-miedzy-http-a-https-i-ich-wplyw-na-pozycje-strony
https://smartbees.pl/blog/protokol-http-https
https://cyrekdigital.com/pl/baza-wiedzy/certyfikat-ssl-czy-mozna-go-zdobyc-za-darmo/
Grafika: freepik





Dodaj komentarz