Co je HTTPS?

HTTPS (Secure Hypertext Transfer Protocol Secure) je bezpečná verze protokolu HTTP, který používá protokol SSL /TLS protokol pro šifrování a autentizaci. HTTPS je specifikováno RFC 2818 (Květen 2000) a ve výchozím nastavení používá port 443 místo portu 80 HTTP.

Protokol HTTPS umožňuje uživatelům webových stránek bezpečně přenášet citlivá data, jako jsou čísla kreditních karet, bankovní informace a přihlašovací údaje, přes internet. Z tohoto důvodu je HTTPS zvláště důležitý pro zabezpečení online aktivit, jako je nakupování, bankovnictví a práce na dálku. HTTPS se však rychle stává standardním protokolem pro všechno webové stránky bez ohledu na to, zda si vyměňují citlivá data s uživateli.

Jak se HTTPS liší od HTTP?

HTTPS dodává šifrování, ověření pravosti, a integrita k protokolu HTTP:

Šifrování: Protože HTTP byl původně navržen jako protokol s čistým textem, je náchylný k odposlouchávání a muž uprostřed útoků. Zahrnutím SSL /TLS šifrování, HTTPS zabraňuje zachycení a čtení dat odeslaných přes internet třetí stranou. Přes kryptografie veřejného klíče a SSL /TLS stisk ruky , šifrovanou komunikační relaci lze bezpečně nastavit mezi dvěma stranami, které se nikdy osobně nesetkaly (např. webovým serverem a prohlížečem) vytvořením sdíleného tajného klíče.

Ověření: Na rozdíl od HTTP zahrnuje HTTPS robustní autentizaci přes SSL /TLS protokol. SSL / webové stránkyTLS certifikát obsahuje veřejný klíč že webový prohlížeč může použít k potvrzení, že dokumenty zaslané serverem (například HTML stránky) byly digitálně podepsány někým, kdo vlastní odpovídající soukromý klíč. Pokud byl certifikát serveru podepsán veřejně důvěryhodným certifikační autorita (CA), jako je SSL.com, prohlížeč přijme, že všechny identifikační údaje obsažené v certifikátu byly ověřeny důvěryhodnou třetí stranou.

Webové stránky HTTPS lze také nakonfigurovat vzájemné ověřování, ve kterém webový prohlížeč představuje klientský certifikát identifikující uživatele. Vzájemné ověřování je užitečné v situacích, jako je práce na dálku, kde je žádoucí zahrnout vícefaktorové ověřování, což snižuje riziko Phishing nebo jiné útoky zahrnující krádež pověření. Další informace o konfiguraci klientských certifikátů ve webových prohlížečích naleznete v článku to jak na to.

Integrita: Každý dokument (například webovou stránku, obrázek nebo soubor JavaScript) odeslaný do prohlížeče webovým serverem HTTPS obsahuje digitální podpis, který webový prohlížeč může použít k určení, že dokument nebyl změněna třetí stranou nebo jinak poškozeno během přepravy. Server vypočítá a kryptografický hash obsahu dokumentu, který je součástí jeho digitálního certifikátu, který může prohlížeč samostatně vypočítat, aby dokázal, že je integrita dokumentu neporušená.

Dohromady tyto záruky šifrování, autentizace a integrity činí HTTPS a hodně bezpečnější protokol pro procházení a podnikání na webu než HTTP.

Jaké informace poskytuje HTTPS uživatelům o majitelích webových stránek?

CA používají tři základní validační metody při vydávání digitálních certifikátů. Použitá metoda ověření určuje informace, které budou zahrnuty do SSL / webové stránkyTLS osvědčení:

Validace domény (DV) jednoduše potvrzuje, že název domény, na který se certifikát vztahuje, je pod kontrolou subjektu, který certifikát požadoval.
Organizace / individuální ověření (OV / IV) certifikáty obsahují ověřené jméno firmy nebo jiné organizace (OV) nebo jednotlivé osoby (IV).
Rozšířená validace (EV) certifikáty představují nejvyšší standard v důvěryhodnosti internetu a vyžadují nejvyšší úsilí CA k ověření. Certifikáty EV jsou vydávány pouze podnikům a jiným registrovaným organizacím, nikoli jednotlivcům, a obsahují ověřený název této organizace.

Další informace o prohlížení obsahu digitálního certifikátu webové stránky najdete v našem článku Jak mohu zkontrolovat, zda web provozuje legitimní firma?

Proč používat HTTPS?

Existuje několik dobrých důvodů, proč používat HTTPS na svém webu, a trvat na HTTPS při prohlížení, nakupování a práci na webu jako uživatel:

Integrita a autentizace: Prostřednictvím šifrování a ověřování chrání HTTPS integritu komunikace mezi webem a prohlížeči uživatele. Vaši uživatelé budou vědět, že data odeslaná z vašeho webového serveru nebyla zachycena a / nebo pozměněna při přenosu třetí stranou. A pokud jste investovali navíc do certifikátů EV nebo OV, budou také schopni tuto informaci zjistit skutečně přišlo z vaší firmy nebo organizace.

Ochrana osobních údajů Nikdo samozřejmě nechce, aby vetřelci nashromáždili svá čísla kreditních karet a hesla, zatímco nakupují nebo bankují online, a HTTPS je skvělý pro to, aby tomu zabránil. Ale mohl bys opravdu chci, aby všechno ostatní, co vidíte a děláte na webu, bylo otevřenou knihou pro každého, kdo se cítí jako snooping (včetně vlád, zaměstnavatelů nebo někoho, kdo si vytvoří profil zrušte anonymizaci vaše online aktivity)? Důležitou roli zde hraje také HTTPS.

Uživatelská zkušenost: Nedávné změny uživatelského rozhraní prohlížeče vedly k tomu, že weby HTTP byly označeny jako nejistý. Chcete, aby jim prohlížeče vašich zákazníků řekly, že váš web není „zabezpečený“, nebo jim při návštěvě zobrazte přeškrtnutý zámek? Samozřejmě že ne!

Kompatibilita: Aktuální změny prohlížeče tlačí HTTP stále blíže k nekompatibilitě. Mozilla Firefox nedávno oznámil volitelné Režim pouze HTTPS, zatímco Google Chrome se neustále pohybuje blokovat smíšený obsah (Prostředky HTTP spojené se stránkami HTTPS). Při prohlížení společně s upozorněním prohlížeče na „nejistotu“ pro webové stránky HTTP je snadné vidět, že pro HTTP je psaní na zdi. V roce 2020 budou všechny hlavní hlavní prohlížeče a mobilní zařízení podporovat protokol HTTPS, takže při přechodu z protokolu HTTP nepřijdete o uživatele.

POKUD: Vyhledávače (včetně Google) používají HTTPS jako signál pořadí při generování výsledků vyhledávání. Majitelé webových stránek proto mohou snadno získat podporu SEO pouhým nakonfigurováním svých webových serverů, aby používaly spíše HTTPS než HTTP.

Stručně řečeno, již neexistují žádné dobré důvody pro to, aby veřejné webové stránky nadále podporovaly HTTP. Dokonce Vláda Spojených států je na palubě!

Jak funguje HTTPS?

HTTPS dodává šifrování do protokolu HTTP obalením HTTP uvnitř SSL /TLS protokol (což je důvod, proč se SSL nazývá tunelovací protokol), takže všechny zprávy jsou šifrovány v obou směrech mezi dvěma počítači v síti (např. klientem a webovým serverem). Ačkoli může odposlouchávač potenciálně stále přistupovat k IP adresám, číslům portů, doménovým jménům, množství vyměňovaných informací a délce trvání relace, všechna vyměňovaná data jsou bezpečně šifrována pomocí SSL /TLS, Včetně:

Adresa URL požadavku (která webová stránka byla vyžádána klientem)
Obsah webových stránek
Parametry dotazu
Záhlaví
Cookies

HTTPS také používá SSL /TLS protokol pro ověření pravosti. SSL /TLS používá digitální dokumenty známé jako X. 509 certifikátů vázat kryptografii klíčové páry k totožnosti subjektů, jako jsou webové stránky, jednotlivci a společnosti. Každý pár klíčů obsahuje a soukromý klíč, která je udržována v bezpečí, a veřejný klíč, které lze široce distribuovat. Kdokoli s veřejným klíčem ho může použít k:

• Odeslat zprávu, kterou může dešifrovat pouze vlastník soukromého klíče.
• Potvrďte, že zpráva byla digitálně podepsána odpovídajícím soukromým klíčem.


Pokud byl certifikát předložený webem HTTPS podepsán veřejně důvěryhodným certifikační autorita (CA), Jako SSL.com, uživatelé si mohou být jisti, že identita webu byla ověřena důvěryhodnou a přísně kontrolovanou třetí stranou.

Co se stane, když můj web nepoužívá HTTPS?

V roce 2020 weby, které nepoužívají HTTPS ani neslouží smíšený obsah (poskytování zdrojů, jako jsou obrázky přes HTTP ze stránek HTTPS), podléhají bezpečnostním varováním a chybám prohlížeče. Tyto webové stránky navíc zbytečně ohrožují soukromí a zabezpečení jejich uživatelů a algoritmy vyhledávacích strojů jim nedávají přednost. Proto lze očekávat, že HTTP a weby se smíšeným obsahem další varování a chyby prohlížeče, nižší důvěra uživatelů a chudší SEO než kdyby povolili HTTPS.

Jak zjistím, zda web používá protokol HTTPS?

HTTPS URL začíná https:// místo http://. Moderní webové prohlížeče také naznačují, že uživatel navštěvuje zabezpečený web HTTPS zobrazením symbolu zavřeného zámku vlevo od adresy URL:
adresní řádek
V moderních prohlížečích jako Chrome, Firefox a Safari mohou uživatelé klepněte na zámek zjistit, zda digitální certifikát webu HTTPS obsahuje identifikační informace o jeho majiteli.

Jak na svém webu povolím HTTPS?

Chcete-li chránit veřejně orientovaný web pomocí protokolu HTTPS, je nutné nainstalovat SSL /TLS certifikát podepsán veřejně důvěryhodným certifikační autorita (CA) na vašem webovém serveru. SSL.com Databáze znalostí obsahuje mnoho užitečných průvodců a návodů pro konfiguraci široké škály platforem webových serverů pro podporu HTTPS.

Obecnější pokyny ke konfiguraci serveru HTTP a řešení problémů si prosím přečtěte SSL /TLS Doporučené postupy pro rok 2020 a Odstraňování problémů s SSL /TLS Chyby a varování prohlížeče.

Děkujeme vám za návštěvu SSL.com! Máte-li jakékoli dotazy týkající se objednání a instalace SSL /TLS certifikáty, kontaktujte náš tým podpory 24/7 e-mailem na adrese Support@SSL.com, telefonicky na 1-877-SSL-Secure, nebo jednoduše kliknutím na odkaz chatu v pravém dolním rohu této webové stránky.

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.