Що таке HTTPS?
Щодня ви використовуєте веб-сайти, щоб робити покупки та оплачувати рахунки онлайн. Але як дізнатися, чи веб-сайт, який ви використовуєте, безпечний? Якщо ви схожі на більшість користувачів, ви шукаєте маленький значок замка в адресному рядку та думаєте, що використовуєте безпечний веб-сайт. Але що, якщо це лише частина рівняння — що, якщо цей значок не розповість вам усієї історії? Кіберзлочинці люблять використовувати необізнаність щодо того, що насправді означає цей маленький значок замка та HTTPS.
Що означає HTTPS? Просте визначення та пояснення того, що таке HTTPS
HTTPS розшифровується як «захищений протокол передачі гіпертексту». По суті, це набір правил, які дозволяють двом особам, наприклад, користувачам і веб-сайтам, безпечно обмінюватися конфіденційними даними онлайн. Цей протокол дозволяє вашому клієнту, тобто вашому браузеру і серверу, до якого він підключається, створювати безпечне зашифроване з’єднання за допомогою протоколу безпеки транспортного рівня (TLS). Ось чому його також іноді називають HTTP через TLS.
HTTPS — це безпечна версія традиційного протоколу HTTP. Без нього інформація передавалась би у відкритому текстовому форматі, дозволяючи кіберзлочинцям читати, красти та змінювати дані під час передачі. Це все про використання автентифікованої цифрової ідентифікації та шифрування для встановлення безпечних з’єднань.
Яку роль відіграє шифрування в HTTPS?
HTTPS використовує шифрування, щоб захистити дані, наприклад, кредитні картки, паролі тощо, від читання неавторизованими сторонами під час їх переміщення в Інтернеті. Шифрування — це криптографічний процес отримання відкритих текстових даних і кодування їх у випадкові символи для маскування повідомлення за допомогою криптографічних алгоритмів і ключів. Як власник веб-сайту ви використовуєте з’єднання TLS (раніше – рівень захищених сокетів або з’єднання SSL) для шифрування каналу зв’язку між веб-клієнтами користувачів і вашим сервером. Коли ви використовуєте шифрування, ви перешкоджаєте зловмисникам отримати доступ до ваших конфіденційних даних шляхом їх кодування. Єдиний спосіб отримати доступ до інформації, яку ви надсилаєте, — мати ваш ключ розшифровки. Поки ви вживаєте належних заходів для ретельного керування своїми ключами та захисту їх за допомогою рішення для керування ключами , вам нема про що турбуватися.
Автентифікація допомагає переконатися, що ви підключаєтеся до потрібного об’єкта
Як користувач, автентифікація – це те, що допомагає переконатися, що ви підключаєтесь до законного веб-сайту, а не до фішингового сайту-шахрая. Ваш веб-переглядач перевірить інформацію сертифіката SSL/TLS веб-сайту (тобто сертифікат безпеки веб-сайту ), який підтверджено довіреною третьою стороною, відомою як центр сертифікації (CA). Якщо все в порядку, то ваш браузер продовжить процес встановлення безпечного з'єднання з сервером. Якщо ні, ваш клієнт розірве з’єднання та відобразить потворне повідомлення «Ваше з’єднання не є приватним» (або інше подібне попередження).
Терміни безпечний і надійний не є синонімами? Це тому, що ви можете мати безпечне (зашифроване) з’єднання, але якщо ви не знаєте, хто сидить на іншому кінці з’єднання, щоб отримати вашу зашифровану конфіденційну інформацію, це небезпечно. Чому Тому що ви передаєте свої конфіденційні дані невідомій особі. Навіть якщо ваші дані надсилаються через зашифроване з’єднання, на іншому кінці може бути поганий хлопець із секретним ключем. Після того, як вони розшифрують ваші конфіденційні дані, вони можуть продати їх або використати для інших мерзенних цілей. Ось чому шифрування та автентифікація використовуються для встановлення з’єднань HTTPS. Усі сертифікати SSL/TLS автентифікують доменне ім’я веб-сайту, але лише сертифікати високого рівня гарантії автентифікують, хто (наприклад, яка організація) керує веб-сайтом.
Як працює HTTPS під час підключення до веб-сайту
- Коли користувач підключається до безпечного веб-сайту, його веб-клієнт (браузер) намагається перевірити цифрову ідентичність веб-сайту . Ідея полягає в тому, що клієнт користувача зв’яжеться з веб-сервером. Сервер відповість своїм сертифікатом SSL/TLS (разом з іншою важливою інформацією), правдивість якого перевірить клієнт, а потім обидві сторони зможуть продовжити процес підключення.
- Клієнт користувача спочатку підключається через асиметричне з’єднання. Асиметричне шифрування означає, що використовуються два криптографічні ключі — один, який шифрує дані (відкритий ключ), і інший, який розшифровує їх (приватний ключ). Це дає змогу веб-переглядачу та серверу веб-сайту визначити, як вони хочуть підключитися та обмінюватися інформацією, пов’язаною з ключами.
- Коли обидві сторони використають цю інформацію для створення симетричного (тобто однакового/ідентичного) ключа, вони зможуть підключитися за допомогою симетрично зашифрованого з’єднання. Як тільки це станеться, будь-хто за межами безпечного з’єднання, який перехопить дані, побачить тарабарщину, якщо у нього немає необхідного секретного ключа.
як визначити, чи веб-сайт використовує HTTPS?
Як користувач веб-сайту, дуже важливо, щоб ви використовували безпечні веб-сайти під час обміну або передачі будь-якої конфіденційної інформації (включно з вашим ім’ям користувача та паролем під час входу). Але як визначити, чи використовуєте ви безпечний веб-сайт? Є кілька яскравих ознак:
- У рядку веб-адреси ви побачите «https://». Якщо URL-адреса веб-сайту, який ви відвідуєте, починається з https:// замість http:// , це означає, що ви використовуєте безпечний (зашифрований) веб-сайт.
- У веб-переглядачі ви побачите значок замка. Цей маленький значок безпеки означає, що сервер, на якому знаходиться веб-сайт, має сертифікат SSL/TLS. Якщо ви також бачите перевірену інформацію про компанію у веб-переглядачі, вони використовують сертифікат SSL/TLS високої надійності. Це означає, що загальнодовірений центр сертифікації видав сертифікат після перевірки організації чи бізнесу на законність за допомогою офіційних ресурсів.
Завжди доцільно перевірити сертифікат веб-сайту (як вище), щоб перевірити, чи була автентифікована організація, яка керує веб-сайтом. Це дає вам ще один рівень захисту, щоб переконатися, що ви надсилаєте свою інформацію в організацію, яку ви збираєтеся.
Навіщо потрібен HTTPS?
Інтернет — відкрита незахищена мережа — за своєю суттю є незахищеним місцем. Коли дані передаються через Інтернет без шифрування та інших криптографічних заходів безпеки, вони вразливі до атак типу "людина посередині" (MitM). Це означає, що хтось може перехопити ваші дані, коли вони переміщуються між вашим комп’ютером і веб-сайтом, до якого вони підключені, і змінити ключову інформацію. Це означає, що коли ви входите у свій банк, якщо ви не використовуєте безпечне з’єднання, хтось може перехопити ваші дані під час передавання та викрасти або змінити їх, щоб сказати щось неправдиве. Наприклад, ви можете встановити фінансовий переказ у розмірі 500 доларів другу, але зловмисник MitM може змінити цю суму на 2500 доларів і замінити інформацію про банківський рахунок друга на ваш без вашого відома.
Використовуючи безпечне з’єднання HTTPS, ви використовуєте комбінацію асиметричного та симетричного шифрування, щоб запобігти зловмисникам перегляду ваших відкритих текстових даних під час передавання. Але безпека — не єдина причина використання HTTPS: він також вважається фактором рейтингу в пошуку Google . Якщо ви хочете, щоб ваш веб-сайт мав високі позиції в провідній пошуковій системі світу, тоді ви захочете використовувати HTTPS.
Як увімкнути HTTPS на вашому веб-сайті
Щоб увімкнути HTTPS на своєму веб-сайті, ви захочете отримати сертифікат SSL/TLS і встановити його на сервері свого веб-сайту. Звичайно, ми пропонуємо чудові ціни на сертифікати від надійних сторонніх центрів сертифікації (CA), таких як DigiCert . Вам потрібно буде заповнити запит на підписання сертифіката (CSR) , а потім дочекатися, поки центр сертифікації підтвердить вас. Залежно від вибраного вами рівня перевірки це може зайняти кілька хвилин або кілька днів. Після завершення цього процесу й ЦС випустить сертифікат, вам потрібно буде зібрати його разом із проміжним сертифікатом ЦС та інсталювати обидва на своєму веб-сервері. Залежно від вашого сервера або платформи хостингу вам може знадобитися ввімкнути сертифікат і налаштувати веб-сайт на використання HTTPS. Обов’язково ознайомтеся з нашою базою знань , щоб отримати інструкції щодо встановлення сертифіката SSL/TLS у різних серверних середовищах. Нарешті, скористайтеся нашим зручним інструментом перевірки SSL , щоб переконатися, що все правильно налаштовано.