В чем разница между HTTP и HTTPS? Что нужно знать, чтобы оставаться в безопасности в Интернете
Пользователи Mozilla Firefox могли наткнуться на случаи, когда они пытаются ввести какой-либо текст в онлайн-форму, и они видят окно с надписью: «Соединение небезопасно. Вход в систему может быть скомпрометирован. «Когда пользователи Google Chrome заходят на эти веб-сайты, они видят сообщение «Не безопасно» в адресной строке. О чем все это?
Более наблюдательные из вас, вероятно, знают, что некоторые URL-адреса начинаются с «http://», а другие - с «https://». Возможно, вы также заметили, что когда сайт загружается по протоколу HTTPS, рядом с адресом сайта вы видите зеленый символ замка. Этот зеленый замок действительно важен, и теперь мы объясним, почему.
Table of Contents
Что такое HTTP?
HTTP означает протокол передачи гипертекста, и без него вы бы этого не читали. HTTP облегчает передачу текста, изображений и других медиафайлов между вашим компьютером и сервером, на котором размещается посещаемый вами веб-сайт. Просмотр интернета без этого протокола был бы совсем другим опытом.
Когда Тим Бернерс-Ли создал HTTP в 1989 году, Интернет не был вездесущим. Мало кто имел доступ к нему, и пионеры онлайн не понимали, почему кто-то захочет украсть информацию, которая путешествует между компьютерами. Вещи, как вы, наверное, знаете, с тех пор совсем немного изменились.
HTTPS и его важность
По мере роста интернета все больше и больше плохих людей стали интересоваться постоянно растущим объемом информации, и так родилась так называемая атака «человек посередине» (MITM). Как следует из названия, во время атаки MITM человек вставляет себя между компьютером пользователя и сервером сайта и перехватывает текущие данные. Таким образом, мошенник может украсть пароли и вмешиваться в то, что пользователь отправляет и получает.
Вскоре стало очевидно, что подход к отправке конфиденциальной информации через Интернет должен измениться, и именно так родился HTTPS, или HTTP Secure. HTTPS - это расширение HTTP, а не другой протокол. Он служит нескольким основным целям:
- Шифрование ваших данных. Шифрование лежит в основе HTTPS. Первоначально он опирался на криптографический протокол Secure Socket Layer (SSL), но позже переключился на более безопасный преемник SSL, Transport Layer Security (TLS). Вот как это работает в простых терминах. Как только вы устанавливаете HTTPS-соединение, ваш браузер и сервер, на котором размещен веб-сайт, сначала выполняют так называемое «рукопожатие», во время которого, используя асимметричный шифр, они надежно обмениваются специфичными для сеанса данными и криптографический ключ, который будет использоваться для шифрования информации. С тех пор каждый бит данных, отправляемых на ваш компьютер и с него, становится нечитаемым никому, кроме вас и сервера. В результате, хотя хакер теоретически может перехватить ваши учетные данные для входа в онлайн-банкинг, они не будут знать, какие у вас имя пользователя и пароли выглядят так. Точно так же они не смогут собирать и изменять любые данные, которые банк отправляет на ваш компьютер.
- Уверяю вас, что вы находитесь в нужном месте. Цель HTTPS не просто превратить ваши данные в нечитаемый беспорядок символов. Чтобы обслуживать ваш веб-сайт по HTTPS-соединению, вам необходимо иметь сертификат SSL (даже если SSL был отключен некоторое время назад, название застряло). Эти сертификаты выдаются так называемыми центрами сертификации (или центрами сертификации), и идея заключается в том, что они предоставляются только законным веб-сайтам. Некоторые признанные онлайн-порталы, такие как PayPal, получили сертификаты расширенной проверки (EV), в которых будет отображаться имя владельца веб-сайта. Хотя эксперты по безопасности считают, что они не приносят никакой дополнительной ценности, перед выдачей сертификата EV, CA предпринимают дополнительные шаги, чтобы гарантировать, что сертифицированный объект заслуживает доверия. Идея регулярных сертификатов и сертификатов EV состоит в том, чтобы пользователь знал, что веб-сайт, который он посещает не является вредоносным
Когда вы путешествуете по сети, вы хотите быть уверенным, что вы всегда на правильном веб-сайте, что в наше время не так просто, как может показаться. С таким большим количеством любопытных хакеров, скрывающихся за каждым углом, вы также хотите быть уверены, что отправляемые вами данные не видны злонамеренным людям. Теоретически HTTPS отвечает на оба вопроса. В действительности нам все еще нужно быть бдительными.
Принятие HTTPS и связанные с этим проблемы
В течение многих лет эксперты по безопасности убеждали операторов веб-сайтов перейти на HTTPS, но их звонки были глухими, и причина была проста - деньги. SSL-сертификаты были довольно дорогими и в основном покупались веб-сайтами электронной коммерции. Ситуация изменилась два с небольшим года назад, когда появился новый центр сертификации Let's Encrypt. В отличие от остальных центров сертификации, Let's Encrypt предлагает SSL-сертификаты бесплатно, и этот процесс также полностью автоматизирован, что означает, что принятие HTTPS занимает всего несколько минут и ровно 0 долларов.
Проблема в том, что обслуживание веб-сайтов через безопасное соединение теперь стало проще как для легальных онлайн-компаний, так и для преступников. В результате эксперты видят все больше фишинговых страниц с SSL-сертификатами. А это значит, что зеленый замок больше не может считаться надежным индикатором надежной и безопасной веб-страницы. Тем не менее, тот факт, что количество сайтов HTTPS увеличилось, - это хорошо. А еще лучше, вероятно, будет продолжать расти.
Говорят, что SEO-производительность веб-сайтов, обслуживаемых по небезопасному соединению, ниже, и вскоре Google Chrome пометит все HTTP-сайты как «Незащищенные», а не только те, на которых есть форма входа. Другими словами, HTTPS становится нормой, а не исключением. Если мы хотим более безопасной всемирной паутины, это очень важный шаг.