HTTPS to oznaczenie, z którym spotkał się każdy użytkownik internetu. Jednak nie każdy zastanawia się nad jego znaczeniem. Wpisując adres strony internetowej zwykle przed adresem widać albo http, lub https. Dowiedz się, co to za oznaczenie i czy jest bezpieczne.
Spis treści
Co to jest HTTPS? Znaczenie skrótu
HTTPS to protokół komunikacji między przeglądarką a serwerem strony. Przeglądarka niejako zleca dostarczenie strony, a serwer realizuje to żądanie. HTTPS to skrót od HyperText Transfer Protocol Secure, co po polsku oznacza Protokół przesyłania hipertekstu. HyperText oznacza stronę z linkami, transfer to przesyłanie, a protocol to zasady rozmowy. Kiedy użytkownik wpisuje adres strony, którą chce odwiedzić, HTTPS określa kolejność działań, aby do niej dotrzeć. Natomiast litera S na końcu (Secure) oznacza dodanie szyfrowania TLS, które chroni dane przed podsłuchem i zmianami.
Jak działa HTTPS?
Teraz przyjrzymy się bliżej procesowi komunikacji poprzez protokół HTTPS. Najpierw klient, czyli przeglądarka łączy się z serwerem poprzez port 443. Stanowi on w pewnym sensie „drzwi”. Następnie serwer wysyła certyfikat cyfrowy. To z kolei stanowi dowód tożsamości serwera. Przeglądarka weryfikuje ten certyfikat w bazie CA, aby sprawdzić wiarygodność. W kolejnym kroku następuje wymiana kluczy szyfrujących, które matematycznie szyfrują dane i zapewniają bezpieczeństwo transmisji.
HTTP a HTTPS
Protokół HTTP i HTTPS to dwa sposoby ładowania stron internetowych. Różnią się jednak poziomem bezpieczeństwa. W pasku adresu zwykły protokół HTTP pokazuje http:/, a bezpieczny HTTPS https:// z kłódką. Przy adresach URL z HTTPS dane (hasła, karty) są szyfrowane, podczas gdy HTTP przesyła je jawnie. Dlatego w wynikach wyszukiwania Google faworyzuje strony z HTTPS. Używaj HTTP do czytania zwykłych treści, a HTTPS zawsze przy logowaniu i zakupach online.
- Jeśli widzisz HTTP w pasku adresu, miej na uwadze, że haker w WiFi może zobaczyć Twoje hasło lub numer karty.
- HTTPS szyfruje dane, więc oszuści widzą tylko bezsensowny kod, a Ty kupujesz i logujesz się bez stresu.
- Dzięki promowaniu przez Google w wynikach wyszukiwania stron internetowych z HTTPS, szybciej trafisz do zaufanych sklepów i banków.
Jak włączyć HTTPS?
Aktywacja HTTPS na stronie www jest znacznie prostsza, niż się wydaje. Zwłaszcza gdy korzystasz z WordPressa. Najłatwiej zainstalować wtyczkę typu Really Simple SSL. Po kliknięciu „Aktywuj” automatycznie skonfiguruje ona stronę z certyfikatem SSL włączonym w panelu hostingu.
By włączyć HTTPS, musisz mieć certyfikat. Certyfikat można wygenerować za darmo w panelu hostingu. Czyli u usługodawcy, który udostępniania miejsce na serwerze dla plików Twojej strony internetowej. Bez WordPressa dodajesz w pliku .htaccess. (główny katalog strony) regułę przekierowania 301, która wymusi na pasku adresu przeglądarki https://.
Większość hostingów (home.pl, nazwa.pl, cyberFolks) ma przycisk „Włącz SSL” w panelu. Instalacja trwa 2 minuty. Po zmianie trzeba sprawdzić stronę w Google Search Console (URL Inspection), przeindeksować mapę witryny i unikać blokowania HTTPS w robots.txt. Google widzi zmianę z HTTP na HTTPS jako nową stronę, więc należy zaktualizować ustawienia w Analytics i Search Console.
Czy HTTPS jest bezpieczne?
HTTPS jest bardzo bezpieczne, znacznie bardziej niż witryny http, które przesyłają żądania http bez szyfrowania. Dzięki HTTP Secure (HTTPS) dane logowania, hasła i numery kart są chronione za pomocą protokołu SSL/TLS, więc hakerzy nie mogą ich odczytać ani przechwycić. Gdy witryna korzysta z HTTPS (kłódka w pasku), wszystkie dane podczas logowania stają się niezrozumiałym kodem, który tylko serwer może odszyfrować.
Należy wdrożyć HTTPS z ważnym certyfikatem SSL. Bez niego przeglądarka ostrzega użytkownika. Dlatego witryny http są niebezpieczne do danych logowania, a HTTPS daje gwarancję prywatności i ochronę przed kradzieżą tożsamości.
