HTTPS: что это значит и почему это важно

Все мы пользуемся необычайным разнообразием веб-сайтов в Интернете. Развлечения, информация, вдохновение, услуги и многое другое доступны, казалось бы, в бесконечном количестве. К сожалению, не все сайты являются доброкачественными. Как и в реальном мире, существуют теневые бизнесмены, преступники и организованная преступность. Например, пользователей интернет-банков могут заманить на поддельный сайт, чтобы украсть информацию о доступе. Другой пример: кто-то может установить публичную точку доступа WLAN, чтобы тайно перехватывать происходящие коммуникации.

Изначально весь трафик данных во Всемирной паутине обрабатывался открытым текстом и мог быть легко взломан. Протокол HTTP обеспечивает связь между клиентом (т.е. веб-браузером) и веб-сервером без шифрования. Это облегчает преступную деятельность, такую как шпионаж за метаданными и атаки «человек посередине».

HTTPS был разработан, чтобы сделать веб более безопасным. Здесь вы узнаете, что такое HTTPS и как он работает.

HTTPS расшифровывается как «Hypertext Transfer Protocol Secure». Протокол передачи данных — это язык, на котором веб-клиент — обычно браузер — и веб-сервер общаются друг с другом. HTTPS — это версия протокола передачи данных, которая использует зашифрованную связь.

HTTPS выполняет две функции:

Он шифрует обмен данными между веб-клиентом и веб-сервером. Это делается для того, чтобы предотвратить перехват связи неавторизованной третьей стороной, например, при мониторинге трафика сети WLAN.

Веб-сервер аутентифицируется путем отправки сертификата веб-клиенту в начале обмена данными. Это удостоверяет, что домен заслуживает доверия. Эта мера помогает бороться с мошенничеством, исходящим от поддельных веб-сайтов.

Чем отличаются HTTP и HTTPS? Простой ответ заключается в том, что, с технической точки зрения, они вообще не отличаются. Сам протокол (т.е. синтаксис) у этих двух версий идентичен.

Разница заключается в том, что HTTPS использует особый транспортный протокол SSL/TLS. Защищен не сам протокол, а метод передачи данных. Это можно проиллюстрировать следующей аналогией:

• Два человека разговаривают друг с другом по телефону.
• Они используют общий язык для общения друг с другом, т.е. HTTP.
• Телефонное соединение для их разговора по HTTP не защищено. Если бы они общались с помощью HTTPS, это было бы более безопасно и не позволило бы никому прослушивать их разговор.

В следующей таблице приведены наиболее важные различия с точки зрения пользователя:

Все современные веб-браузеры предупреждают пользователя, если он пытается получить доступ к веб-сайту по протоколу HTTP.

Если вы щелкните на значках слева в адресной строке, вы получите дополнительную информацию:

В зависимости от используемого браузера и настроек безопасности программа может отказаться открывать незащищенный веб-сайт или отобразить вместо него предупреждение.

Сам HTTP не отвечает за безопасность. За это отвечает транспортный протокол. Так в чем же разница?

Протокол HTTP контролирует только то, как должно быть структурировано содержимое, которым обмениваются веб-клиенты и веб-серверы. Транспортный протокол, с другой стороны, контролирует, как потоки данных передаются между компьютерами. Например, он гарантирует, что пакеты данных не будут потеряны. Стандартный протокол передачи данных называется TCP (Transmission Control Protocol). Он используется в HTTP.

Существует расширение этого транспортного протокола, которое шифрует потоки данных. Это расширение называется TLS (ранее SSL). Любые сообщения, отправленные с использованием этого транспортного протокола, шифруются таким образом, что только фактический получатель (т.е. веб-браузер или веб-сервер) может прочитать переданное содержимое.

Если указанному URL-адресу предшествует https://, веб-браузер автоматически добавляет к нему номер порта 443. Этот номер сообщает принимающему компьютеру, что он должен взаимодействовать с использованием TLS/SSL.

Возможности хакеров шпионить за веб-сайтами и манипулировать ими постоянно растут. Поэтому важно шифровать потоки данных — особенно в общедоступных сетях, таких как публичные точки доступа Wi-Fi.

HTTPS — это новый стандарт. Сайты без HTTPS сейчас помечаются или даже блокируются современными веб-браузерами. Более того, HTTPS, вероятно, положительно влияет на рейтинг сайта в Google, хотя Google еще не подтвердил это однозначно.

Европейское общее положение о защите данных (GDPR) предусматривает, что веб-сайты должны соответствовать последнему стандарту безопасности, а это в настоящее время означает HTTPS.