HTTPS (z angielskiego: Hypertext Transfer Protocol Secure) to wersja protokołu przesyłania informacji pomiędzy Klientem, a serwerem. W przeciwieństwie do wersji http, protokół https jest szyfrowany, przez co przesyłane dane są bardziej zabezpieczone przed przechwyceniem, niepowołanym odczytaniem i zmianą.
O czym piszemy?
- Jak działa https?
- Czym różnią się protokoły http i https?
- Jak włączyć protokół https?
- Czy https wpływa na pozycjonowanie strony?
- Jakie są korzyści z wdrożenia https?
Jak działa HTTPS?
Zasada działania protokołu THHPS jest prosta. W pierwszym etapie działania Klient inicjuje połączenie z serwerem, a serwer przesyła odpowiedni certyfikat, który zawiera klucz publiczny. Ten klucz publiczny będzie użyty do szyfrowania przesyłanych danych. Oprogramowania klienta sprawdza autentyczność otrzymanego certyfikatu serwera. Po dokonanej autoryzacji klient i serwer uzgadniają klucz sesji. Klucz ten będzie używany do szyfrowania i deszyfrowania danych w trakcie sesji. Od tego momentu wszelkie dane przesyłane między klientem a serwerem są szyfrowane, co zapewnia poufność komunikacji.
W trakcie działania sesji HTTPS dane przesyła się w sposób zabezpieczony i nieczytelny dla osób trzecich. Dzięki szyfrowaniu TLS (Transport Layer Security) lub SSL (Secure Sockets Layer), możliwe jest zapewnienie integralności przesyłanych danych, uniknięcie przechwycenia lub modyfikacji danych przez potencjalnych atakujących oraz zapewnienie autentyczności serwera i klienta. Dzięki temu, gdy użytkownik przegląda stronę internetową lub przesyła dane do serwera, może mieć pewność, że jego informacje są bezpieczne i prywatne. Protokół HTTPS stał się obecnie standardem w Internecie. W szczególności przy przekazywaniu wrażliwych informacji, takich jak dane logowania, informacje finansowe i inne poufne dane.
Czym różnią się protokoły HTTPS i HTTP?
HTTP i HTTPS – pomimo podobnych nazw, to dwa różne protokoły. HTTP jest protokołem nieszyfrowanym. To oznacza, że dane przesyłane między przeglądarką a serwerem są wysyłane w formie otwartej i mogą być przechwycone przez osoby trzecie. Czyli jest możliwe, że informacje takie jak hasła, dane logowania, numery kart kredytowych i inne wrażliwe dane, będą narażone na ryzyko kradzieży lub manipulacji przez potencjalnych hakerów. Dlatego strony internetowe działające na protokole HTTP nie nie uważa się za bezpieczne, szczególnie w przypadku przesyłania poufnych informacji.
Natomiast protokół HTTPS jest protokołem bezpiecznym. Wykorzystuje zabezpieczenie TLS (Transport Layer Security) lub SSL (Secure Sockets Layer), do szyfrowania danych między przeglądarką a serwerem. Dzięki temu zabezpieczeniu dane przesyłane pomiędzy klientem a serwerem uznaje się za bezpieczne. Są nieczytelne dla osób trzecich, co zapewnia poufność komunikacji. Ponadto, serwery HTTPS muszą posiadać certyfikaty cyfrowe, które potwierdzają ich autentyczność. To oznacza, że użytkownicy mogą być pewni, że łączą się z prawdziwą stroną internetową, a nie z fałszywą. W skrócie różnice można podsumować w kilku punktach:
Protokół HTTP
- Adres strony www poprzedza przedrostek http://
- Numer domyślnego portu: 80
- Nie ma możliwości szyfrowania przesyłanych danych
Protokół HTTPS
- Adres strony www poprzedza przedrostek https://
- Numer domyślnego portu: 443
- Szyfruje przesyłane dane i zabezpiecza przed nieuprawnionym przechwyceniem za pośrednictwem certyfikatu SSL lub TLS.
Jak włączyć protokół HTTPS?
W pierwszej kolejności należy u rejestratora swojej domeny lub u dostawcy usługi hostingowej wykupić odpowiedni certyfikat SSL/TLS. Ceny certyfikatów są różne, w zależności od tego, czy chcemy zabezpieczyć jeden adres URL, czy wiele. Zakupiony certyfikat należy zainstalować i aktywować. Tu również dostawcy usług powinni pomóc, jeśli zajdzie taka potrzeba. Najbardziej efektywną i uniwersalną opcją przekierowania domeny na protokół HTTPS jest dopisanie dodatkowej dyrektywy w pliku .htaccess. Aby to zrobić należy połączyć się ze swoim serwerem FTP za pomocą dowolnego klienta FTP (np. FileZilla). Następnie w katalogu z plikami strony www znaleźć plik .htaccess. Jeśli takiego pliku nie ma – należy go stworzyć w dowolnym programie do tworzenia i edycji plików .txt (np: Notepad++). W pliku tym wystarczy umieść następujący zapis:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Po zapisaniu pliku (i wysłaniu go na serwer w przypadku jego utworzenia) strona wyświetli się w wariancie zabezpieczonym certyfikatem. Będziemy mogli zweryfikować poprawność przekierowania poprzez przeglądarkę internetową, gdzie na pasku adresu strony przed nazwą domeny pojawi się ikonka kłódki oraz przedrostek https://.
W przypadku powszechnie stosowanych CMSów, na przykład WordPress należy jeszcze dokonać zmiany ustawień w samym CMS’ie. W sekcji „Ustawienia” przechodzimy do zakładki „Ogólne” i w pozycjach „Adres WordPressa (URL)” i „Adres witryny (URL)” wpisujemy adres witryny z przedrostkiem https://. Włączając protokół https:// należy również zadbać o to, aby Google prawidłowo zaindeksował stronę www. Należy pamiętać, że roboty indeksujące zmianę przedrostka traktują jako zupełnie nowy adres zasobu. Dlatego warto korzystając z narzędzia Google Search Console dokonać odpowiednich modyfikacji. Warto również wspomnieć, że nie jest wskazane blokowanie dostępu do starych zasobów poprzez wpis w pliku robots.txt tagów noindex.
Czy HTTPS wpływa na pozycjonowanie strony?
Na pozycjonowanie strony internetowej wpływa bardzo wiele różnych czynników. Prawdą jest, że jednym z nich jest korzystanie z szyfrowanego protokołu HTTPS. Należy jednak wziąć pod uwagę, że nie jest to czynnik strategiczny, który sam z siebie spowiduje, że wrsja zabezpieczona naszej strony nagle uzyska czołowe miejsca w naturalnych wynikach wyszukiwania. Należy tu wziąć pod uwagę fakt, że niektóre przeglądarki internetowe utrudniają nawiązanie połączenia z witryną niezabezpieczoną certyfikatem. Pojewie się wówczas komunikat o potencjalnym zagrożeniu przy wejściu na taką stronę. Naturalnym efektem w takim przypadku będzie ucieczka uzytkownika i spadek konwersji na stronie. W dłuższej perspektywie odbije się to spadkiem zaufania do strony. Dlatego warto zadbać o wrożenie protokołu HTTPS do swojej strony internetowej.
Jakie są korzyści z wdrożenia HTTPS?
Każdy właściciel strony internetowej chciałby, aby na jego stronę wchodziło jak najwięcej użytkowników. Aby osiągnąć ten cel wielu podejmuje różne działania. Jednym z nich jest właśnie wdrożenie bezpiecznego protokołu HTTPS. Jakie zatem będą wymierne korzyści dla strony www?
- Bezpieczeństwo danych: Najważniejszą korzyścią jest zapewnienie bezpieczeństwa danych przesyłanych między przeglądarką a serwerem. Szyfrowanie danych za pomocą protokołu TLS lub SSL sprawia, że poufne informacje, będą chronione przed potencjalnymi atakami hakerów, ich przechwyceniem lub manipulacją.
- Wiarygodność i zaufanie: Strony www działające na protokole HTTPS posiadają certyfikat potwierdzający ich autentyczność. To oznacza, że użytkownicy mogą mieć pewność, że łączą się z prawdziwą stroną internetową, a nie z fałszywą. To zwiększa zaufanie użytkowników i chroni przed tzw. phishingiem, czyli próbami oszustwa.
- Lepsze pozycjonowanie w wynikach wyszukiwania: Wdrożenie HTTPS może wpłynąć na pozycjonowanie strony internetowej w wynikach wyszukiwania Google. W 2014 roku Google ogłosiło, że strony działające na HTTPS mogą otrzymywać korzystniejsze pozycje w wynikach wyszukiwania. To powinno zachęcić właścicieli stron do migracji na ten protokół.
- Ochrona prywatności użytkowników: Protokół https:// chroni prywatność użytkowników, zapewniając, że ich dane nie będą dostępne dla osób trzecich. To zwiększa zaufanie użytkowników do strony internetowej. To zaś może wpłynąć na zwiększenie konwersji i lojalności użytkowników.
