Czym jest https, czyli hypertext transfer protocol secure? To protokół, który potwierdza wiarygodność witryny i bezpieczeństwo danych użytkowników. W dobie, w której z każdej strony słyszymy o przechwytywaniu poufnych informacji, jest to szczególnie ważne. Właśnie dlatego, bez względu na to czy prowadzisz niewielki rodzinny biznes, czy prężnie działające przedsiębiorstwo, Twoja witryna powinna być zabezpieczona przez https. Poniżej wyjaśniamy dlaczego oraz omówimy, jak wygląda proces implementacji.
Co to jest https?
Https, z ang. Hypertext Transfer Protocol Secure, czyli bezpieczny protokół przesyłania hipertekstu, to rozszerzona wersja protokołu HTTP. HTTPS umożliwia bezpieczną komunikację w sieci, a mówiąc dokładniej, przesyłanie danych między serwerem a użytkownikiem. Omawiana technologia wykorzystuje skuteczne szyfrowanie SSL/TLS, czyli Secure Sockets Layer / Transport Layer Security.
Zastosowanie https to minimalizacja ryzyka przechwycenia danych przez osoby trzecie. Dzięki temu użytkownicy mają pewność, że dane wrażliwe, na przykład hasła, numery kart kredytowych i inne informacje poufne są bezpieczne.
Protokół https sprawia, że witryna traktowana jest jako bezpieczna – przy adresie url widoczna jest ikonka zamkniętej kłódki. Strony internetowe i sklepy e-commerce bez protokołu https traktowane są jako potencjalnie niebezpieczne.
Działanie protokołu https
Protokół HTTPS skupia się wokół trzech obszarów, są to szyfrowanie, uwierzytelnianie, integralność danych.
- Szyfrowanie – wszystkie dane przesyłane między serwerem a użytkownikiem są zakodowane, ich odczytanie wymaga przeprowadzenia dekodowania i użycia funkcji matematycznych. W znacznym stopniu minimalizuje to ryzyko odczytania i przechwycenia danych przez osoby niepowołane.
- Uwierzytelnianie – za pomocą certyfikatu SSL potwierdzana jest tożsamość serwera, zmniejsza to ryzyko oszustw, takich jak ataki typu man-in-the-middle – człowiek po środku (między dwiema stronami, między serwerem a użytkownikiem).
- Integralność danych – protokół uniemożliwia manipulację danymi, co oznacza, że przesyłane dane nie mogą zostać zmodyfikowane lub uszkodzone.
HTTPS w praktyce
Przyjrzyjmy się, jak ssl i https działają w praktyce.
Kiedy użytkownik wchodzi w interakcję ze stroną www, na której zaimplementowany został protokół HTTPS, przeglądarka internetowa łączy się z serwerem witryny i prosi o certyfikat bezpieczeństwa. Rozpoczyna się weryfikacja wiarygodności certyfikatu – czy stoi za nim zaufana organizacja, czy dokument należy do serwera, z którym użytkownik chce się połączyć.
Informacje przesyłane między przeglądarką a serwerem np. dane logowania, numery kart, zostają zaszyfrowane przy użyciu klucza publicznego. W przypadku przechwycenia przez osoby trzecie, dane nie będą mogły zostać odczytane. Odszyfrowanie danych następuje na serwerze, przy użyciu klucza prywatnego.
Różnice między protokołem https a protokołem http
Oprócz protokołu https, mamy także protokół http – jak wspominałam powyżej https to ulepszona wersja http. ale jakie dokładnie różnice występują między omawianymi rozwiązaniami?
Cecha | HTTP | HTTPS |
---|---|---|
Szyfrowanie | Brak szyfrowania danych | Dane szyfrowane za pomocą SSL/TLS |
Bezpieczeństwo | Brak ochrony przed przechwyceniem | Dane zabezpieczone przed przechwyceniem i próbami manipulacji |
Port | Domyślnym portem jest port 80 | Domyślnie stosowany jest port 443 |
Certyfikat SSL/TLS | Nie wymaga certyfikatu | Wymaga certyfikatu SSL/TLS |
Integralność danych | Dane mogą być modyfikowane | Gwarancja integralności danych |
Wydajność | Szybszy, brak procesów szyfrowania/dekodowania | Minimalnie wolniejszy ze względu proces szyfrowania |
Widoczność w adresie URL | Przed adresem url widzimy http:// | W pasku adresowym widzimy https:// |
Zaufanie użytkowników | Strona potencjalnie niebezpieczne, mniejsze zaufanie użytkowników | Gwarancja ochrony, większa wiarygodność i zaufanie użytkowników |
Ochrona przed atakami | Większe ryzyko ataku typu man-in-the-middle | Ochrona przed atakami man-in-the-middle |
Zastosowanie | Rzadko zalecany, ponieważ nie zapewnia szyfrowania | Zalecany dla wszystkich stron www i sklepów e-commerce |
Wdrożenie protokołu https
Wiesz już, czym jest protokół https i dlaczego jest lepszy od http. Przejdźmy teraz do kolejnej kwestii, a mówiąc dokładniej, do wdrożenia omawianego dziś protokołu. Konieczne jest tutaj przeprowadzenie kilku czynności.
Certyfikat ssl
Pierwszy krok to zakup certyfikatu SSL. Ważne, by ów certyfikat zakupić u zaufanego dostawcy – dobry wybór to bezpieczne połączenie i ochrona danych użytkownika. Zanim sfinalizujesz transakcję, sprawdź takie kwestie, jak ważność certyfikatu, cena, opinie na temat dostawcy. Część agencji seo, na przykład 1stplace.pl, zajmuje się zakupem i wdrożeniem certyfikatu ssl w ramach obsługi pozycjonowania.
Implementacja certyfikatu ssl
Kolejne działanie to implementacja zakupionego certyfikatu. Zaloguj się panelu administracyjnego serwera, na którym hostowana jest Twoja strona www. A następnie pobierz pliki od dostawcy. Dostawca powinien udostępnić Ci następujące pliki:
- Certyfikat SSL (plik z rozszerzeniem .crt lub .pem),
- Klucz prywatny (plik .key),
- Czasem jest to także dodatkowy plik o nazwie CA Bundle.
W panelu administracyjnym serwera (np. cPanel, Plesk) znajdź sekcję SSL/TLS lub Certyfikaty SSL. Następnie wgraj plik certyfikatu oraz prywatny klucz – jeśli nie został on wygenerowany automatycznie. Pamiętaj o zapisaniu zmian.
Konfiguracja serwera do obsługi HTTPS
Kolejny krok to ustawienie przekierowania. W panelu administracyjnym lub bezpośrednio w pliku .htaccess (dla Apache), dodaj reguły przekierowania ruchu z http na https.Po wdrożeniu protokołu https upewnij się, że serwer wykorzystuje HTTPS, a użytkownicy trafiają na zabezpieczoną wersję strony. Sprawdź, czy przy pasku adresowym pojawia się zamknięta kłódka, a przy samym adresie widnieje https (nie http).
Proces implementacji certyfikatu ssl i protokołu https może różnić się w zależności od serwera, dostawcy certyfikatu czy systemu zarządzania treścią (cms).
Widoczność w organicznych wynikach wyszukiwania a https
Protokół https to wyznacznik bezpieczeństwa witryny, a co za tym idzie, użytkownika i przesyłanych przez niego danych. Google chce dostarczać odbiorcom wartościowe wyniki i wyświetlać wiarygodne, bezpieczne źródła. Właśnie dlatego, każda z firm powinna zadbać o omawianą dziś kwestię.
W procesie pozycjonowania istotne są czynniki behawioralne. Problemy z zapewnieniem bezpiecznego połączenia, widok niezabezpieczonego http sprawiają, że większość użytkowników rezygnuje z eksploracji witryny. Zwiększa to współczynnik odrzuceń, skutkuje spadkiem konwersji oraz mniejszą wiarygodnością.
W dobie internetu i cyberataków odpowiednia ochrona jest niezmiernie ważna. Dotyczy to każdej witryny, a szczególne znaczenie zyskuje w przypadku:
- sklepów e-commerce
- banków i instytucji finansowych
- usług prawnych i doradczych
- portali medycznych
oraz innych witryn, za pomocą których użytkownicy dokonują transakcji finansowych, udostępniają swoje dane i poufne informacje.
Choć protokół https nie przełoży się bezpośrednio na widoczność konkretnej frazy kluczowej w Internecie, to jest istotny.
Dlaczego jeszcze takie zabezpieczenie jest ważne?
Dlaczego jeszcze ważne jest, by Twoja strona www, nawet jeśli nie zawiera poufnych danych i nie wymaga od użytkowników ich dostarczania, powinna być chroniona? Brak ochrony to:
- ryzyko ujawnienia tożsamości użytkowników oraz ich aktywności na stronie,
- większa podatność witryny na działania hakerów,
- większe zagrożenie atakiem złośliwego oprogramowania,
- większe zagrożenie biernym podsłuchiwaniem,
- ryzyko, że osoby trzecie przejmą zasoby strony, np. pliki, grafiki itp.,
- wprowadzenie przez osoby trzecie niechcianych, niebezpiecznych zasobów.
Jak sprawdzić czy strona www korzysta z protokołu https?
Weryfikacja, czy na stronie, którą odwiedzasz, został zaimplementowany https, jest bardzo prosta. Wystarczy, że spojrzysz na adres url i klikniesz znajdującą się obok niego ikonkę. Wyświetlą się informacje na temat witryny – jeśli zobaczysz zamkniętą kłódkę i informacje: połączenie jest bezpieczne, oznacza to, że witryna wykorzystuje protokół https.
Bezpieczeństwo przesyłanych danych – statystyki
-
Ponad 95% stron w Google Chrome korzysta z protokołu https.
-
Od 2015 roku Let’s Encrypt wydało ponad miliard bezpłatnych certyfikatów SSL. Przełożyło się to na wzrost liczby stron chronionych przez protokół HTTPS.
-
Google skupia się na bezpieczeństwie i satysfakcji użytkowników. Bezpieczne witryny uznawane są za bardziej wiarygodne i przyjazne.
-
Ponad 80% użytkowników przyznaje, że obawia się korzystania z witryn, które nie mają wdrożonego certyfikatu ssl i protokołu https.
Protokół https – podsumowanie
Protokół https, z angielskiego Hypertext Transfer Protocol Secure, to rozszerzona wersja protokołu http. Za pomocą protokołu https szyfrowane są dane przesyłane między serwerem a użytkownikiem. Jak działa https? To przede wszystkim kodowanie danych, potwierdzanie tożsamości serwera i integralność informacji. Dzięki temu wrażliwe dane nie są chronione, a odbiorcy mogą spokojnie eksplorować witrynę.