Погляньте в адресний рядок свого браузера й зверніть увагу, чи є там невеликий замочок перед адресою сайту. Тут, де ви читаєте цю статтю, точно є. І він означає, що ви переглядаєте сайт, який використовує протокол HTTPS. Чим це для вас важливо, що означає, якщо такого символу немає, і що таке протокол HTTPS взагалі, з’ясуємо в статті.
Що потрібно знати про HTTPS
Перш ніж докладніше поговорити про протокол HTTPS, згадаємо про його «молодшого брата» – HTTP. HTTP — це дослівно протокол передачі гіпертексту, HyperText Transfer Protocol. Якщо доступніше – протокол, який використовують для передавання даних в інтернеті, а саме між вашим браузером та сервером сайту, який відвідуєте. Іншими словами – мова браузерів та вебсерверів. Протокол HTTP визначає, за якими правилами дані передаються в інтернеті, тобто це фактично основа сучасного інтернету.
Розшифруймо кожне слово:
- Hypertext – вказує на те, що сайт містить текст, зображення, графіку чи будь-які мультимедійні дані, а ще посилання на інші документи або файли;
- Transfer – засвідчує, що файли можна передавати в інтернеті з одного пристрою на інший;
- Protocol – означає, що він містить набір правил, які визначають, як пристрої можуть використовувати мережу інтернет.
URL-адреса сайту, що використовує HTTP протокол, починається з http:// і за замовчуванням має порт 80. В адресному рядку такого сайту ви побачите червоний знак оклику або напис «не захищений».
HTTPS – це Hypertext Transfer Protocol Secure, тобто до попереднього варіанту додається ще Secure – захищений. Візуально різниця ледь помітна, але фактично вона істотна. HTTPS протокол – це безпечна версія HTTP. URL-адреса сайту, що використовує протокол HTTPS, починається з https:// і за замовчуванням має порт 443. Ознакою того, що сайт має HTTPS протокол, є замочок на початку адресного рядка. Якщо клацнути на нього, можна прочитати, що він означає, та переглянути сертифікат безпеки сайту.
HTTP і HTTPS працюють на основі запитів, які формує браузер користувача, коли той взаємодіє з сайтом. Наприклад, коли ви гуглите «курс по frontend розробці», ваш запит спочатку відправляється на сервер, який відтак надсилає ще один запит – із результатами пошуку. Зрештою ви бачите сторінку результатів пошукової видачі. Як ви знаєте, все це відбувається швидко, значно швидше, ніж ми описували весь процес.
HTTP vs HTTPS, або Чому HTTPS важливий
HTTPS і HTTP є одним і тим самим протоколом. Різниця лише в тому, що HTTPS має додатковий рівень шифрування (SSL/TLS). Щоб перейти з HTTP на HTTPS, сайт має отримати сертифікат SSL/TLS. Це файл із даними, що захищає процес передачі даних між веббраузером і вебсервером і дає змогу користувачам безпечно надсилати конфіденційну інформацію.
Тобто протокол HTTPS – це ваш бодигард у мережі, який захищає вашу безпеку та конфіденційність. Якщо сайт, з яким взаємодієте, використовує HTTPS, то всі персональні дані, яки ви там залишаєте, шифруються. Відповідно шахраї не можуть їх перехопити й скористуватися ними.
Як відбувається сам процес? SSL-сертифікат шифрує отримані від користувача дані так, що вони стають нечитабельними для інших. А власник домену, де власне користувач залишає ці дані, відтак розшифровує ці дані, коли вони потрапляють на сервер. Наприклад, коли ви входите в інтернет-банкінг, HTTPS шифрує ваше ім’я користувача та пароль, коли купуєте онлайн – дані вашої картки тощо. Без HTTPS ваша конфіденційна інформація передається через інтернет як звичайний текст, а це означає, що будь-хто, хто перехопить дані, зможе їх прочитати й використати. Тож відстежуйте, щоб HTTPS протокол використовували сайти, де ви залишаєте таку інформацію:
- дані про платіжну картку;
- банківські реквізити, адреси та дані про замовлення;
- імена користувачів і паролі для входу в онлайн-сервіси;
- персональні дані, зокрема ім’я, адреса, дата народження;
- інформація про стан здоров’я та інші конфіденційні медичні дані;
- конфіденційна ділова інформація тощо.
На Фото 2 схематично зображено, як функціонують HTTP і HTTPS протоколи.
Джерело: Hostinger Tutorials
Як працює HTTPS протокол
Трьома китами, на яких стоїть HTTPS, є:
- сертифікат SSL/TLS (Secure Sockets Layer/Transport Layer Security). Саме він встановлює безпечне з’єднання між вашим браузером і сайтом, який ви відвідуєте;
- система перевірки сертифіката, що залучається в момент, коли браузер підключається до сайту за протоколом HTTPS, і перевіряє вірогідність сертифіката SSL/TLS та його відповідність доменному імені;
- процес встановлення безпечного з’єднання, так званий процес рукостискань.
Сертифікат SSL/TLS використовує комбінацію механізмів для шифрування даних, якими обмінюються браузер і сайт, який ви відвідуєте. Сертифікат містить цифровий підпис центру сертифікації, який підтверджує, що він виданий на вказане там доменне ім’я.
Коли ви відвідуєте сайт, який використовує протокол HTTPS, ваш браузер ініціює безпечне з’єднання з сервером сайту, а той надсилає свій сертифікат SSL/TLS вашому браузеру. Відтак браузер перевіряє сертифікат і встановлює безпечне з’єднання з сервером сайту.
На останньому етапі браузер і сайт обмінюються інформацією для встановлення безпечного з’єднання, зокрема узгоджують алгоритми шифрування, які будуть використовувати, та обмінюються спільним секретним ключем для шифрування даних, що передаються. Після завершення процесу рукостискання браузер і сайт можуть обмінюватися даними через протокол HTTPS.
Чому потрібно обрати HTTPS для сайту
Головну перевагу HTTPS – захищеність даних завдяки шифруванню, ми вже обговорили, тож згадаємо ще кілька важливих:
- довіра користувачів – HTTPS є ідентифікатором того, що сайт перевірений і безпечний, а якщо сайт дбає про свою безпеку, користувачі не боятимуться здійснювати там транзакції;
- нижчий ризик фішингових атак, адже є гарантією того, що сайт оригінальний;
- вищий рейтинг сайту, адже пошукові системи, зокрема Google, віддають перевагу безпечним сайтам і можуть підвищити їхній рейтинг на сторінці пошукової видачі.
Щоб бути чесними, назвемо й недоліки:
- вартість – вам потрібно купувати сертифікат SSL/TLS, а відтак здебільшого продовжувати його щороку;
- складне налаштування й конфігурація, що може ускладнити процес упровадження HTTPS протоколу на сайті, а також усунення помилок;
- довше завантаження, бо шифрування та розшифрування даних потребує додаткового часу, але це здебільшого непомітно користувачу.
Зауважимо, що технічно ви можете обрати HTTP для сайту, який не потребуватиме жодних даних від користувачів. Наприклад, сайту-портфоліо чи суто новинного сайту. Але радимо все ж повернутися до переваг HTTPS і зробити правильний вибір.
Цікаво, що у 2018 році серед мільйона найбільших сайтів у світі незахищеними були понад 500 000, зокрема китайський пошуковик Baidu й американський сервіс хостингу Wikia.com. Тоді експерт з кібербезпеки Трой Хант запустив сервіс WhyNoHTTPS.com, де зібрав 100 найбільших у світі сайтів, які все ще працюють на HTTP. Востаннє його оновлювали влітку 2021, але частина представлених там сайтів все ще не редиректять користувачів на HTTPS.
Маємо й актуальні дані. Як показує у своєму звіті Google станом на січень 2023 року 97 зі 100 найпопулярніших сайтів використовують HTTPS за замовчуванням. А 93% сторінок у Chrome на платформі Windows були завантажені саме через протокол HTTPS. Статистику за іншими платформами можете переглянути на фото нижче.
Джерело: звіт Google
Як перевірити, чи безпечний сайт: поради від Держспецзв’язку
Ділимося простими порадами, які рятують вас і ваші персональні дані. Перш ніж залишати на сайті свої персональні дані, Державна служба спеціального зв’язку та захисту інформації радить звернути увагу на такі моменти:
- упевніться, що сайт використовує безпечний протокол HTTPS – адреса починається з https:// і містить символ – закритий замок;
- перевірте правильність написання назви сайту, адже зловмисники можуть наслідувати назви та сторінки відомих компаній, інтернет-магазинів тощо;
- знайдіть на сайті розділ, що містить політику конфіденційності щодо використання даних користувачів і ознайомтеся з нею, надійним сайтам потрібно мати таку інформацію;
- не залишайте своїх персональних даних на сайтах, які здаються вам підозрілими, й не завантажуйте звідти жодних файлів.
Як перевести сайт на протокол HTTPS?
Щоб перенести свій сайт з HTTP на HTTPS, вам потрібно виконати кілька кроків:
- Придбайте SSL/TLS-сертифікат та встановіть його на ваш вебсервер.
- Увімкніть HTTPS на вашому сайті – за допомогою панелі керування вашого хостинг-акаунта.
- Оновіть сайт, щоб він міг використовувати HTTPS замість HTTP. Імовірно, вам доведеться оновити посилання та ресурси на сайті, щоб вони використовували оновлений протокол.
- Налаштуйте редирект з HTTP на HTTPS, щоб увесь трафік на сайт використовував HTTPS. Це можна зробити за допомогою правила перезапису в конфігурації вебсервера або плагіну чи скрипту.
- Протестуйте сайт, щоб переконатися, що все працює як слід. Для тестування можете скористатись онлайн-інструментами.
Отже, протокол HTTPS нині – це must have для відповідальних бізнесів, які, з одного боку, піклуються про своїх користувачів, а другого – використовують всі доступні інструменти для розширення своєї справи. А якщо ви цікавитеся темою вебсерверів, протоколів та розробки сайтів загалом, приходьте навчатися на курси факультету Development & Data Sciense у Projector.