Содержание
Использование протокола HTTPS указывает на надежность и защищенность сайта. Без него злоумышленники могут получить доступ к важным данным и заразить компьютер пользователя вирусом.
В этой статье мы рассмотрим, что представляет собой протокол HTTPS: зачем он нужен, как работает и чем отличается от HTTP.
Что такое HTTPS и принцип его работы
HTTPS – это расширение протокола HTTP (от англ. Hyper Text Transfer Protocol), который отвечает за передачу гипертекстовой разметки. Она используется для передачи данных в интернете – с ее помощью пользователь может просматривать содержимое сайта.
Чтобы понять, как именно работает HTTPS, давайте немного разберемся с протоколом HTTP. Принцип его действия следующий: когда пользователь переходит на определенный ресурс, браузер в это время отправляет запрос на веб-сервер, где хранится вся необходимая информация. Например, это могут быть картинки, CSS-стили для красивого оформления страницы, JavaScript для работы различных функций и многое другое. После этого веб-сервер должен обработать запрос, определить, какие данные нужно отобразить, и отдать их в ответ. В результате перед пользователем появляется страница с нужной информацией.
Вот небольшая иллюстрация по работе HTTP протокола:
Когда веб-сервер отправляет браузеру ответ, в нем содержится информация об HTTP. Выглядеть он может так:
Расшифруем, что здесь написано:
- версия протокола HTTP 1.1 с ответом 200 – это означает, что все хорошо, страница доступна к просмотру;
- дата ответа;
- информация о веб-сервере – в данном случае это Apache/1.3.26;
- далее идет язык, длина контента и информация о том, как именно нужно отобразить страницу – в данном случае нужно использовать кодировку UTF-8.
Дополнительно мы также получаем HTML-файл со всеми необходимыми данными – это и есть гипертекстовая разметка. Вот как, например, она выглядит для главной страницы Timeweb:
Таким образом работает HTTP – он помогает передавать данные. Его недостаток в том, что нет никакой защиты: когда пользователь открывает сайт, перед ним отображается надпись «Незащищенное соединение», которое прямо намекает, что все данные могут быть украдены. На таких страницах крайне не рекомендуется оставлять информацию о паспорте или банковских карточках.
Пример:
Почему HTTP не защищен? Потому что данные передаются в открытом виде – злоумышленник может их легко перехватить и получить. Например, если оплатить покупку товара на незащищенном сайте, то номер банковской карты может попасть в третьи руки. Чтобы таких ситуаций не происходило, была придумана улучшенная версия протокола – HTTPS. Это совокупность HTTP и SSL (от англ. Secure Socket Layer) или HTTP и TLS (от англ. Transport Layer Security).
SSL и TSL – это криптографические протоколы, которые шифруют данные, передаваемые между сервером и браузером. Расшифровать их могут только сервер и браузер, поэтому на сайтах с HTTPS можно спокойно оплачивать покупки и вводить свои данные – они будут под надежной защитой.
Как именно функционирует безопасное соединение, мы поговорим немного позднее. А пока давайте рассмотрим, где чаще всего оно используется.
Применение HTTPS
Сейчас практически невозможно встретить веб-ресурс современной компании без протокола HTTPS. Любой бренд, который вам только придет на ум, будет использовать защищенное соединение, потому что без него не будет клиентов как в офлайне, так и онлайне.
Например, человек ищет, где распечатать документы, находит веб-портал и хочет посмотреть, где территориально находится компания. При переходе на онлайн-ресурс браузер его уведомляет, что соединение не защищено, то есть нет протокола HTTPS. С большой вероятностью пользователь уйдет искать дальше и через пару минут уже забудет об этой компании. В результате организация потеряет клиента и прибыль. Именно поэтому HTTPS-соединение есть на всех веб-ресурсах, а особенно на сайтах, где используется онлайн-оплата или вводятся паспортные данные для верификации.
Как работает безопасное соединение
Перейдем к самому интересному – как же именно работает HTTPS? Первое – это SSL/TLS-сертификат. Он выдается специальной организацией – центром сертификации, информацию о которой можно посмотреть прямо в браузере. Увидеть, что на онлайн-ресурсе есть защищенное соединение, вы можете с помощью замочка слева от строки запроса. Например, на Timeweb это выглядит следующим образом:
Если нажать на кнопку «Действительный сертификат», то можно посмотреть, кем и кому был выдан сертификат.
HTTPS работает следующим образом: перед его запуском браузер обращается к серверу, чтобы установить защищенное подключение. В ответ веб-сервер отправляет копию сертификата безопасности. После этого браузер проверяет сертификат на соответствие по спискам доверенных центров: убеждается в совпадении CN с доменом, смотрит на дату выпуска и срок окончания сертификата, изучает CRL – список аннулированных сертификатов, а также анализирует издателя в списке доверенных корневых сертификатов и в списке доверенных издателей. Если во всем этом нет никаких проблем, то HTTPS-соединение проходит успешно.
Иными словами, работа HTTPS заключается в проверке сертификата. Что он собой представляет и как где его можно получить, мы еще поговорим. Сейчас давайте рассмотрим еще один важный элемент в защищенном соединении – TLS.
Transport Layer Security (TLS)
Протокол TLS – о нем мы упоминали, когда писали о SSL/TLS-сертификате. На первый взгляд эта надпись может вводить в заблуждение: SSL и TLS – это одинаково или нет? Давайте разбираться.
Начнем с небольшой предыстории: в 1995 году был введен протокол SSL, который обеспечивал безопасную связь между пользователем и сервером. Благодаря ему можно было конфиденциально обмениваться различными данными. Но так было до 2014 года – в то время была найдена уязвимость, из-за чего разработчики начали думать над чем-то новым. Так появился другой криптографический протокол TLS – новый стандарт, который постоянно обновляется. Его ключевые особенности кроются в следующем:
- отвечает за конфиденциальность передаваемых данных;
- проводит аутентификацию;
- следит за целостностью передаваемой информации.
Сегодня, когда вы слышите о работе SSL-протокола, речь, скорее всего, идет о TLS. Дело в том, что аббревиатура SSL всегда на слуху, поэтому ее чаще применяют, чем TLS.
Почему HTTPS безопасен
Когда вы вводите личную информацию, такую как пароль или данные кредитной карты, на сайте с HTTPS, эта информация зашифровывается и передается только на тот сервер, который может ее расшифровать. Это означает, что злоумышленники, перехватывающие вашу информацию, не смогут ее прочитать.
HTTPS также защищает от подделки веб-ресурсов. Когда вы заходите на надежный сайт, ваш браузер проверяет, что вы подключаетесь к настоящему серверу, а не к поддельному. Это позволяет защищаться от фишинговых атак.
Таким образом, HTTPS обеспечивает безопасность в интернете, защищая личную информацию и обеспечивая подлинность онлайн-ресурсов, которые вы посещаете.
Ограничения и недостатки протоколов HTTP и HTTPS
Один из очевидных недостатков HTTP – это незащищенность. На этом, кажется, можно и не спрашивать о преимуществах, но они есть. Рассмотрим некоторые из них:
- протокол HTTP может отлично подойти при работе в локальных сетях;
- страницы с HTTP занимают немного места и хранятся в кэше, поэтому открываются быстро;
- HTTP можно открыть в любом браузере.
HTTPS, как мы уже выяснили, – это расширенная версия протокола HTTP. Однако не все преимущества второго переходят к первому. Например, страницы с защищенным соединением открываются дольше, так как тратят время на обработку запроса из-за шифрования. Также HTTPS-соединение может вызывать локальные проблемы с антивирусом или браузером. Но, как правило, решить все это можно простым обновлением ПО, а ускорение обработки запроса возлагается на центр сертификации.
Ключевая разница HTTP и HTTPS
Главный минус HTTP-соединения в том, что его легко перехватить. Злоумышленник может получить фотографии, сообщения, данные банковской карты и прочую информацию без особых усилий. В случае с HTTPS все иначе – данные получить можно, но они будут в зашифрованном виде. Узнать, что же именно передавал пользователь, не получится, так как для этого нужен специальный ключ. А в защищенном соединении доступ к нему надежно ограничен.
Получается, что HTTP ни для чего не подходит? Не совсем, с его помощью, например, можно тестировать сайт или запускать страницы, где не собираются никакие данные. Либо, как мы уже говорили выше, его можно использовать в локальных сетях. В них на защиту будет выходить файрвол.
Почему стоит установить SSL/TLS-сертификат
Здесь стоит обратиться к статистике – она говорит, что более 250 миллионов веб-ресурсов используют соединение с SSL/TLS-сертификатом. Число очень заманчиво и вполне ожидаемо, так как сегодня без HTTPS не может функционировать ни один бизнес.
Также важно понимать, что популярные поисковые системы с настороженностью относятся к сайтам, у которых не установлено защищенное соединение. Такие онлайн-ресурсы редко попадают в топ выдачи, следовательно, к ним реже проявляют доверие.
Реагируют на отсутствие HTTPS-соединения и сами браузеры. В современных приложениях устанавливается HSTS (от англ. HTTP Strict Transport Security) – эта функция позволяет обрывать соединение с незащищенным веб-порталом. Если открыть подобный онлайн-ресурс, то отобразится красное окно с надписью «Небезопасный сайт». Попасть на такой портал можно будет только если нажать на кнопку «Перейти на небезопасный сайт (не рекомендуется)», расположенную внизу страницы. Таким образом, даже если пользователь захочет открыть вашу страницу, он может попросту не увидеть кнопку для перехода.
Обратите внимание, что появляться окно, как на скриншоте ниже, может даже на веб-ресурсе с HTTPS-соединением, если на нем присутствуют переходы на HTTP-ссылки.
Типы SSL/TLS-сертификатов и кто их выдает
Рассмотрим основные виды сертификатов, они разделяются на:
- Самоподписанные SSL-сертификаты – создаются и подписываются владельцами веб-ресурсов без участия центров сертификации. Это значит, что такой сертификат не прошел проверки на безопасность со стороны независимой организации, его целостность и подлинность не гарантируются. Такие сертификаты в основном используются в локальных сетях или для тестирования и разработки.
- Групповой SSL-сертификат –позволяет защитить сразу несколько доменных имен. Будет полезен для компаний, которым нужно защитить несколько онлайн-порталов с помощью SSL-сертификата. Такой тип сертификата может быть выдан на основе общего доменного имени (Common Name) или SAN-записей (Subject Alternative Name). В первом случае групповой SSL-сертификат будет защищать только домен, указанный в Common Name. Во втором случае можно добавлять до 100 дополнительных доменных имен в SAN-записях.
- SSL-сертификаты, подписанные доверенным центром сертификации (CA) – обеспечивают дополнительный уровень доверия и безопасности. Доверенный центр сертификации – это надежная третья сторона, которая проверяет подлинность веб-сайта и выдает SSL-сертификаты для подтверждения его идентификации. Например, в Timeweb использовался центр сертификации GlobalSign.
Также SSL/TLS-сертификаты могут разделяться в зависимости от уровня проверки и подтверждения личности владельца сертификата:
- Доменные сертификаты – самый простой тип сертификатов, подтверждающий право владения доменным именем. Выдается удостоверяющим центром (УЦ).
- Организационные сертификаты – подтверждают право владения доменом и соответствие компании, которой принадлежит веб-ресурс. Также выдается УЦ.
- Расширенные проверенные сертификаты – представляют собой самый высокий уровень проверки и подтверждения личности владельца сертификата. Для получения такого сертификата необходимо проходить тщательную процедуру, которая может занять несколько недель.
Наиболее популярные центры выдачи сертификатов для защищенного соединения: Comodo, GeoTrust, Symantec, GlobalSign и другие.
Зачем нужны цифровые сертификаты
Цифровые сертификаты – это электронные документы, которые используются для шифрования информации на сайте. Их основная цель – защита конфиденциальности и целостности данных, передаваемых через интернет. Цифровые сертификаты помогают убедиться, что информация отправляется именно к тому, кому она предназначена, и что она не была изменена в процессе передачи. Например, если пользователь покупает товар в интернет-магазине, то важно, чтобы все данные проходили только между ним и компанией. Если не использовать цифровые сертификаты, то к обмену данными может подключиться третье лицо, которое получит конфиденциальную информацию.
Также сертификат идентифицирует лицо, которому он был выдан, и указывает на то, что оно действительно существует. Проверка подлинности сертификата – первое, что делает браузер при установке безопасного HTTPS-соединения. И, как мы уже говорили выше, обмен данными начинается только в том случае, если проверка прошла успешно.
Распространение HTTPS
Популярность HTTPS обусловлена тремя причинами:
- Поисковые системы, такие как Google и Яндекс дают преимущество веб-сайтам, использующим HTTPS. Если ваш ресурс использует защищенное соединение, то он может быть более высок в результатах поиска.
- Пользователи стали более осторожными в интернете. Они понимают, что передача конфиденциальной информации через незащищенные соединения может быть опасной. HTTPS дает большую уверенность, что данные защищены.
- HTTPS стал более доступным для любых сайтов. Раньше использование шифрования было достаточно сложным и дорогостоящим. Сегодня существует множество сертифицированных организаций, которые предоставляют бесплатные сертификаты SSL, что делает HTTPS-соединением доступным для всех.
Где еще применяется шифрование
Шифрование применяется везде, где происходит обмен данными. Помимо HTTPS-протокола, например, есть криптографический протокол MTProto. Он используется в системе обмена сообщениями Telegram для шифрования переписки пользователей.
Также шифрование используется для защиты различных типов данных, включая:
- Персональные данные пользователей – логины, пароли и номера кредитных карт во время онлайн-платежей и других транзакций.
- Конфиденциальная корпоративная информация – финансовые данные, интеллектуальная собственность и прочие параметры, передаваемые между компьютерами внутри организации.
- Контент, который должен быть защищен от изменений или подмены – информация на онлайн-ресурсах правительственных учреждений, банков и других организаций.
Заключение
Протокол HTTPS – это одна из важнейших частей любого веб-ресурса, будь то лендинга или крупного интернет-магазина. Без защищенного соединения браузер будет ограничивать вход на сайт, а поисковые системы станут снижать позиции в поиске.
Запомните, что для использования HTTPS потребуется SSL/TLS-сертификат, который выдается специальным центром. Это обязательно требование, которое должно быть соблюдено – без него данные не будут зашифрованы и станут открыты для третьих лиц.