HTTP (ang. Hypertext Transfer Protocol ) i HTTPS (ang. Hypertext Transfer Protocol Secure) to skróty protokołów internetowych, które pojawiają się w wierszu adresu przeglądarki internetowej, kiedy korzystasz z zasobów Internetu i klikniesz pole z adresem strony. Towarzyszą nazwie domeny na stronie www, z którą się łączysz.
Skróty określające nazwy protokołów sieciowych oraz symbole statusu zabezpieczeń (np. kłódka), definiują w dużym stopniu poziom Twojego cyfrowego bezpieczeństwa w trakcie surfowania w sieci. Warto zatem te skróty odczarować w tym artykule.
W jakim celu istnieją protokoły sieci www?
Usługa www (ang. World Wide Web, zwana czasami ogólnoświatową pajęczyną), jest niezwykle popularna. Dzięki niej przeglądasz strony internetowe, zdobywasz wiedzę, robisz zakupy, płacisz rachunki, załatwiasz sprawy urzędowe itp.
Do wyświetlania stron internetowych w Twojej przeglądarce jest używany protokół HTTP. Obsługuje on żądania klienta w przeglądarce i odpowiedzi serwera ze stroną internetową.
HTTP a HTTPS — czym są i czym się różnią?
HTTP to protokół stworzony dość dawno, kiedy powstawały fundamenty dzisiejszych technologii internetowych. Zaprojektował go na przełomie lat 1989-1991, brytyjski fizyk i programista Tim Berners-Lee, aby zapewnić komunikację między klientem a serwerem www. HTTP jest podstawowym protokołem używanym do przesyłania danych przy obsłudze stron www. W swojej pierwotnej postaci mógł być wykorzystywany tylko do prezentacji publicznych treści.
Fundamentalnie ważną modyfikacją HTTP było wprowadzenie szyfrowania komunikacji — protokołu HTTPS. W 1994 roku firma Netscape stworzyła protokół do bezpiecznej transmisji tzw. zaszyfrowanego strumienia danych SSL (ang. Secure Socket Layer), który jest doskonalony w kolejnych wersjach od 1999 roku pod nazwą TLS (ang. Transport Layer Security). Nazwa SSL nadal jest używana również do certyfikatów, przy pomocy których jest szyfrowany ruch w sieci. Więcej o certyfikatach SSL poczytasz na stronie Certyfikaty SSL i w artykule: Wybór certyfikatu SSL i jego weryfikacja.
Protokół HTTPS a certyfikat SSL
Dzięki technologii wykorzystującej certyfikaty SSL ruch HTTP jest szyfrowany. Szyfrowane połączenie zidentyfikujesz przy pomocy:
- litery „s” (ang. security) w nazwie protokołu HTTPS (przed adresem strony, z którą się łączysz),
- symbolu kłódki (przed adresem strony).
Okazuje się, że symbol kłódki nie do końca wytrzymuje próbę czasu, ale o tym w dalszej części artykułu, na temat zmian w oznaczaniu statusu zabezpieczeń HTTPS.
Według serwisu technologicznego W3techs.com, w maju 2023, ponad 80% stron używa protokołu szyfrowanego HTTPS. Czy to oznacza, że wszystkie te strony są bezpieczne i wiarygodne? Na pewno, kiedy strona www używa adresu z HTTPS (z symbolem kłódki), bezpieczne jest połączenie Twojej przeglądarki z serwisem (serwerem www). Jednak pamiętaj, żeby zweryfikować czy serwis, z którego korzystasz, na pewno jest tym, za który się podaje. Więcej na ten temat dowiesz się z artykułu: „Nie daj się zhackować. Jak rozpoznać phishing?”
Dlaczego należy szyfrować dane między serwerem a przeglądarką?
Ruch do stron zarządzany protokołem HTTP w prosty sposób może zostać podsłuchany w trakcie transmisji sieciowej. Używa się do tego specjalnego oprogramowania tzw. sniferów sieciowych np. Wireshark.org, Tcpdump.org . Dane, które zostaną wpisane na stronie, bez wdrożonego HTTP mogą w łatwy sposób zostać przejęte.
Protokół HTTP czy protokół HTTPS — który wybrać dla swojej strony?
Zalecana jest obsługa ruchu do każdej strony www wyłącznie protokołem szyfrowanym HTTPS. Szyfrowanie staje się bezwzględnym wymogiem nie tylko do obsługi logowania użytkowników, czy formularzy z danymi osobowymi np. w sklepie internetowym. Również komunikacja najprostszego formularza kontaktowego powinna być chroniona protokołem HTTPS. Dane wpisywane w takim formularzu są wówczas chronione przed podsłuchaniem podczas transmisji sieciowej.
Ważnym elementem bezpieczeństwa, ale również wizerunkowym jest symbol stanu zabezpieczeń używany przez przeglądarki internetowe. Na Rysunku 3 widoczne są statusy stosowane w przeglądarkach korzystających z technologii firmy Google. Strona korzystająca z HTTPS jest oznaczana jako bezpieczna. Strona z HTTP jest przedstawiana w przeglądarce jako „niezabezpieczona”. Językowo po polsku od „niezabezpieczonej” do „niebezpiecznej” jest dość blisko. Użytkownik może mieć wątpliwości co do wiarygodności takiej strony. Szczególnie jeśli kliknie symbol „!” i przeczyta komunikat jak na Rysunku 4.
Protokoły HTTP i HTTPS oraz ich wpływ na pozycje strony w Google
HTTPS jest używany również przez wyszukiwarkę Google jako sygnał rankingowy i wpływa pozytywnie na widoczność strony www w sieci (wyniki pozycjonowania strony SEO).
Zmiany w oznaczaniu statusu zabezpieczeń HTTPS
W maju 2023 Google ogłosiło na stronie blog.chromium.org, że od września 2023 zmienia sposób identyfikacji szyfrowanej komunikacji HTTPS przeglądarki z serwerem www. Zastępuje ikonę kłódki, symbolem „strojenia” (ang. tune) widocznym na Rysunku 5. Dotyczy to przeglądarek korzystających z technologii Chromium, między innymi: Google Chrome, Microsoft Edge, Opera, Vivaldi, Brave.
Na blogu projektu Chromium Google opisuje, że wynika to z badań branżowych (przeprowadzonych przez Chrome i inne firmy) oraz powszechnego stosowania protokołu HTTPS. Chce podkreślić, że bezpieczeństwo transmisji sieciowej (szyfrowanie komunikacji) powinno być domyślnym stanem.
Od początku lat 90 XX wieku, przeglądarki wyświetlają ikonę kłódki, gdy strona ładowana jest przez protokół HTTPS. Jeszcze w 2013 roku tylko 14% najpopularniejszych stron (ranking Alexa Top milion najpopularniejszych stron www, według serwisu Amazona Alexa.com) na świecie obsługiwało protokół HTTPS. Obecnie, według danych Google, ponad 95% ładowanych stron w Chrome na systemie Windows korzysta z HTTPS.
Ikona kłódki nie jest dowodem wiarygodności strony. Wiele fałszywych stron phishingowych korzysta z protokołu HTTPS i posiada ikonę kłódki. Więcej na temat oszustw, również z użyciem szyfrowanej komunikacji, przeczytasz w artykule: Nie daj się zhackować. Jak rozpoznać phishing?
Znaczna część użytkowników Internetu kojarzy ikonę kłódki z wiarygodnością. Według Google, nieporozumienia są tak powszechne, że wiele organizacji, w tym FBI, stara się edukować użytkowników, że kłódka nie jest wskaźnikiem zaufania do strony www.
Nowa informacja o szyfrowanej komunikacji w przeglądarkach opartych na technologii Chromium, będzie wyglądać podobnie jak na Rysunku 6.
Bezpieczna strona z HTTPS bez dodatkowych kosztów
Bez względu na Twoje potrzeby dotyczące strony internetowej — czy to firmowego serwisu, sklepu internetowego czy bloga hobbystycznego — poprawnie zainstalowany i wdrożony certyfikat SSL jest zalecanym standardem.
Wybierając hosting swojej strony www, najwygodniej zdecydować się na taką ofertę, która ma usługę AutoSSL w cenie. Brak dodatkowych kosztów i wygoda w konfiguracji to najważniejsze korzyści. Więcej na temat korzyści płynących z posiadania darmowych certyfikatów SSL dowiesz się z artykułu: Darmowe certyfikaty SSL od Sectigo i Let’s Encrypt w ramach AutoSSL. Które lepsze?. Skorzystaj z oferty hostingu Ultra MSERWIS i zapewnij sobie darmowe i automatycznie wdrażane bezpieczeństwo dla Twoich stron www.
Pingback: Różnice między certyfikatami OV i EV - dlaczego warto wybrać EV? - Blog MSERWIS