Jaka jest różnica między HTTP a HTTPS? Rzeczy, które musisz wiedzieć, aby zachować bezpieczeństwo w Internecie

HTTPS vs HTTP

Użytkownicy przeglądarki Mozilla Firefox mogli natknąć się na przypadki, gdy próbowali wprowadzić tekst do formularza online i zobaczyli okno z komunikatem: „Połączenie nie jest bezpieczne. Podane tutaj dane logowania mogą zostać naruszone.„ Użytkownicy Google Chrome odwiedzający te witryny widzą komunikat „Niezabezpieczony” na pasku adresu. O co w tym wszystkim chodzi?

Bardziej spostrzegawczy wśród was prawdopodobnie wie, że niektóre adresy URL zaczynają się od „http://”, a inne od „https://”. Być może zauważyłeś również, że gdy strona ładuje się pod HTTPS, obok adresu strony internetowej widzisz zielony symbol kłódki. Ta zielona kłódka jest naprawdę ważna, a my wyjaśnimy teraz, dlaczego.

Co to jest HTTP?

HTTP oznacza Hypertext Transfer Protocol i bez niego nie czytałbyś tego. HTTP ułatwia przesyłanie tekstu, obrazów i innych multimediów między komputerem a serwerem obsługującym witrynę, którą odwiedzasz. Przeglądanie Internetu bez tego protokołu byłoby zupełnie innym doświadczeniem.

Kiedy Tim Berners-Lee stworzył HTTP w 1989 roku, Internet nie był wszechobecny. Mało osób miało do niego dostęp, a pionierzy online nie rozumieli, dlaczego ktoś chciałby kraść informacje podróżujące między komputerami. Od tego czasu rzeczy, jak zapewne wiesz, uległy znacznej zmianie.

HTTPS i jego znaczenie

Wraz z rozwojem Internetu coraz więcej złych ludzi zaczęło interesować się coraz większą ilością latających wokół informacji i narodził się tak zwany atak Man-In-The-Middle (MITM). Jak sama nazwa wskazuje, podczas ataku MITM osoba umieszcza się między komputerem użytkownika a serwerem witryny i węszy przez przepływające dane. W ten sposób oszust może ukraść hasła i manipulować tym, co użytkownik wysyła i odbiera.

Wkrótce stało się jasne, że podejście do wysyłania poufnych informacji przez Internet powinno się zmienić i tak narodził się HTTPS lub HTTP Secure. HTTPS jest rozszerzeniem HTTP, a nie innym protokołem. Służy kilku głównym celom:

  • Szyfrowanie danych. Szyfrowanie jest sercem HTTPS. Początkowo opierał się na protokole kryptograficznym Secure Socket Layer (SSL), ale później przeszedł na bezpieczniejszego następcę SSL, Transport Layer Security (TLS). Oto, jak to działa w prostych słowach: po ustanowieniu połączenia HTTPS przeglądarka i serwer hostujący stronę internetową najpierw wykonują tak zwany „handshake”, podczas którego za pomocą asymetrycznego szyfru bezpiecznie wymieniają dane dotyczące sesji i klucz kryptograficzny, który będzie używany do szyfrowania informacji. Odtąd każda część danych wysyłanych do iz twojego komputera jest nieczytelna dla nikogo oprócz ciebie i serwera, w wyniku czego haker może teoretycznie przechwycić dane logowania do bankowości internetowej, ale nie będzie wiedział, jakie są twoje wygląda nazwa użytkownika i hasło. Podobnie nie będą w stanie przechwytywać ani modyfikować żadnych danych wysyłanych przez bank na komputer.
  • Zapewniając cię, że jesteś we właściwym miejscu. Celem HTTPS jest nie tylko przekształcenie danych w nieczytelny bałagan znaków. Aby móc obsługiwać witrynę internetową za pośrednictwem połączenia HTTPS, musisz mieć certyfikat SSL (chociaż SSL został porzucony jakiś czas temu, nazwa utknęła). Certyfikaty te są wydawane przez tak zwane urzędy certyfikacji (CA), a ich idea polega na tym, że są one wydawane tylko legalnym stronom internetowym. Niektóre uznane portale internetowe, takie jak PayPal, wybrały certyfikaty Extended Validation (EV), w których będzie wyświetlana nazwa właściciela witryny. Chociaż eksperci ds. Bezpieczeństwa uważają, że nie przynoszą one żadnej dodatkowej wartości, przed wydaniem certyfikatu EV urzędy certyfikacji podejmują dodatkowe kroki w celu zapewnienia wiarygodności certyfikowanej jednostki. Ideą certyfikatów zwykłych i EV jest poinformowanie użytkownika, że odwiedzana witryna internetowa nie jest złośliwy.

Podczas surfowania w sieci chcesz mieć pewność, że zawsze znajdziesz się na właściwej stronie, która w dzisiejszych czasach nie jest tak łatwa, jak może się wydawać. Przy tak wielu wścibskich hakerach czających się za każdym rogiem, chcesz mieć pewność, że dane, które wysyłasz, nie są widoczne dla osób o złych zamiarach. Teoretycznie HTTPS odpowiada na oba pytania. W rzeczywistości nadal musimy być czujni.

Adaptacja HTTPS i związane z tym problemy

Przez lata eksperci ds. Bezpieczeństwa namawiali operatorów witryn internetowych do przejścia na HTTPS, ale ich rozmowy nie pozwalały usłyszeć, a powód był prosty - pieniądze. Certyfikaty SSL były dość drogie i kupowane głównie przez strony e-commerce. Sytuacja zmieniła się dwa i nieco lata temu, kiedy pojawił się nowy urząd certyfikacji o nazwie Let's Encrypt. W przeciwieństwie do pozostałych urzędów certyfikacji Let's Encrypt oferuje certyfikaty SSL za darmo, a proces ten jest również całkowicie zautomatyzowany, co oznacza, że przyjęcie HTTPS zajmuje tylko kilka minut i dokładnie 0 USD.

Problem polega na tym, że obsługa stron internetowych za pośrednictwem bezpiecznego połączenia jest teraz prostsza zarówno dla legalnych firm internetowych, jak i przestępców. W rezultacie eksperci widzą coraz więcej stron phishingowych z certyfikatami SSL. A to oznacza, że zielonej kłódki nie można już uważać za wiarygodny wskaźnik wiarygodnej, bezpiecznej strony internetowej. Niemniej jednak fakt, że wzrosła liczba stron HTTPS, jest dobrą rzeczą. Co więcej, prawdopodobnie będzie nadal rosło.

Mówi się, że wydajność SEO witryn obsługiwanych przez niepewne połączenie jest niższa, a wkrótce Google Chrome oznaczy wszystkie strony HTTP jako „Niezabezpieczone”, nie tylko te, które mają na nich formularz logowania. Innymi słowy, HTTPS staje się normą, a nie wyjątkiem. Jeśli chcemy bezpieczniejszej sieci WWW, jest to bardzo ważny krok.

January 22, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.