Hvad er HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) er en sikker version af HTTP-protokollen, der bruger SSL /TLS protokol til kryptering og godkendelse. HTTPS er specificeret af RFC 2818 (Maj 2000) og bruger port 443 som standard i stedet for HTTP's port 80.

HTTPS-protokollen gør det muligt for webstedets brugere at overføre følsomme data såsom kreditkortnumre, bankoplysninger og loginoplysninger sikkert over internettet. Af denne grund er HTTPS især vigtigt for at sikre online-aktiviteter såsom shopping, bank og fjernarbejde. Imidlertid er HTTPS hurtigt ved at blive standardprotokollen for alle uanset om de udveksler følsomme data med brugerne eller ej.

Hvordan adskiller HTTPS sig fra HTTP?

HTTPS tilføjer kryptering, autentificeringog integritet til HTTP-protokollen:

Kryptering: Da HTTP oprindeligt blev designet som en klar tekstprotokol, er den sårbar over for aflytning og mand i midten angreb. Ved at inkludere SSL /TLS kryptering, forhindrer HTTPS, at data, der sendes over internettet, bliver opfanget og læst af en tredjepart. igennem kryptografi med offentlig nøgle og SSL /TLS håndtryk, kan en krypteret kommunikationssession oprettes sikkert mellem to parter, der aldrig har mødt personligt (f.eks. en webserver og browser) via oprettelsen af ​​en delt hemmelig nøgle.

Godkendelse: I modsætning til HTTP inkluderer HTTPS robust godkendelse via SSL /TLS protokol. Et websteds SSL /TLS certifikat omfatter a offentlig nøgle som en webbrowser kan bruge til at bekræfte, at dokumenter, der er sendt af serveren (f.eks. HTML-sider), er blevet underskrevet digitalt af nogen, der har den tilsvarende privat nøgle. Hvis serverens certifikat er underskrevet af en offentligt betroet certifikatmyndighed (CA), såsom SSL.com, accepterer browseren, at alle identificerende oplysninger, der er inkluderet i certifikatet, er valideret af en betroet tredjepart.

HTTPS-websteder kan også konfigureres til gensidig godkendelse, hvor en webbrowser præsenterer et klientcertifikat, der identificerer brugeren. Gensidig autentificering er nyttig i situationer som fjernarbejde, hvor det er ønskeligt at inkludere multifaktor-godkendelse, hvilket reducerer risikoen for Phishing eller andre angreb, der involverer legitimationsstyveri. For mere information om konfiguration af klientcertifikater i webbrowsere, bedes du læse denne vej.

Integritet: Hvert dokument (f.eks. En webside, billede eller JavaScript-fil) sendt til en browser af en HTTPS-webserver inkluderer en digital signatur, som en webbrowser kan bruge til at bestemme, at dokumentet ikke er blevet ændret af en tredjepart eller på anden måde ødelagt under transit. Serveren beregner a kryptografisk hash af dokumentets indhold, der følger med dets digitale certifikat, som browseren uafhængigt kan beregne for at bevise, at dokumentets integritet er intakt.

Tilsammen gør disse garantier for kryptering, autentificering og integritet HTTPS til meget sikrere protokol til browsing og forretning på nettet end HTTP.

Hvilke oplysninger giver HTTPS brugere om webstedsejere?

CA'er bruger tre grundlæggende valideringsmetoder ved udstedelse af digitale certifikater. Den anvendte valideringsmetode bestemmer de oplysninger, der vil blive inkluderet i et websteds SSL /TLS certifikat:

Domain Validation (DV) bekræfter blot, at det domænenavn, der er dækket af certifikatet, er under kontrol af den enhed, der anmodede om certifikatet.
Organisation / individuel validering (OV / IV) certifikater inkluderer det validerede navn på en virksomhed eller en anden organisation (OV) eller en individuel person (IV).
Extended Validation (EV) certifikater repræsenterer den højeste standard inden for internet-tillid og kræver CA's største indsats for at validere. EV-certifikater udstedes kun til virksomheder og andre registrerede organisationer, ikke til enkeltpersoner, og inkluderer det validerede navn på den organisation.

For mere information om visning af indholdet af et websteds digitale certifikat, kan du læse vores artikel, Hvordan kan jeg kontrollere, om et websted drives af en legitim virksomhed?

Hvorfor bruge HTTPS?

Der er flere gode grunde til at bruge HTTPS på dit websted og til at insistere på HTTPS, når du gennemser, handler og arbejder på nettet som bruger:

Integritet og godkendelse: Gennem kryptering og godkendelse beskytter HTTPS integriteten af ​​kommunikationen mellem et websted og en brugers browsere. Dine brugere vil vide, at de data, der sendes fra din webserver, ikke er blevet opfanget og / eller ændret af en tredjepart i transit. Og hvis du har foretaget den ekstra investering i EV- eller OV-certifikater, vil de også være i stand til at fortælle, at oplysningerne kom virkelig fra din virksomhed eller organisation.

Privacy: Naturligvis ønsker ingen, at indtrængende søger deres kreditkortnumre og adgangskoder, mens de handler eller banker online, og HTTPS er fantastisk til at forhindre det. Men ville du virkelig ønsker, at alt andet, du ser og gør på nettet, skal være en åben bog for enhver, der har lyst til at snuppe (inklusive regeringer, arbejdsgivere eller nogen, der bygger en profil til afanonymisere dine online aktiviteter)? HTTPS spiller også en vigtig rolle her.

Brugererfaring: Seneste ændringer i browser-brugergrænsefladen har resulteret i, at HTTP-websteder er markeret som usikker. Vil du have, at dine kunders browsere fortæller dem, at dit websted er "Ikke sikkert" eller viser dem en overstreget lås, når de besøger det? Selvfølgelig ikke!

Kompatibilitet: Aktuelle browserændringer skubber HTTP tættere på inkompatibilitet. Mozilla Firefox annoncerede for nylig et valgfrit HTTPS-kun-tilstand, mens Google Chrome konstant flytter til blokerer blandet indhold (HTTP-ressourcer linket til HTTPS-sider). Når man ser det sammen med browseradvarsler om “usikkerhed” for HTTP-websteder, er det let at se, at teksten er på væggen for HTTP. I 2020 understøtter alle nuværende større browsere og mobile enheder HTTPS, så du mister ikke brugere ved at skifte fra HTTP.

SEO: Søgemaskiner (inklusive Google) bruger HTTPS som en rangeringssignal når der genereres søgeresultater. Derfor kan webstedsejere få et let SEO-boost bare ved at konfigurere deres webservere til at bruge HTTPS snarere end HTTP.

Kort sagt er der ikke længere nogen gode grunde til, at offentlige websteder fortsat understøtter HTTP. Selv den Amerikanske regering er ombord!

Hvordan fungerer HTTPS?

HTTPS tilføjer kryptering til HTTP-protokollen ved at indpakke HTTP inde i SSL /TLS protokol (hvorfor SSL kaldes en tunnelprotokol), så alle beskeder krypteres i begge retninger mellem to netværkscomputere (f.eks. en klient og en webserver). Selvom en aflytter stadig potentielt kan få adgang til IP-adresser, portnumre, domænenavne, mængden af ​​udvekslet information og varigheden af ​​en session, er alle de faktiske data, der udveksles, krypteret sikkert med SSL /TLS, Herunder:

Anmod om URL (hvilken webside blev anmodet om af klienten)
Indhold på webstedet
Forespørgselsparametre
Headers
Cookies

HTTPS bruger også SSL /TLS protokol til autentificering. SSL /TLS bruger digitale dokumenter kendt som X.509-certifikater at binde kryptografisk nøglepar til identiteter på enheder som websteder, enkeltpersoner og virksomheder. Hvert nøglepar inkluderer en privat nøgle, der holdes sikkert, og a offentlig nøgle, som kan distribueres bredt. Enhver med den offentlige nøgle kan bruge den til:

• Send en meddelelse om, at kun indehaveren af ​​den private nøgle kan dekryptere.
• Bekræft, at en meddelelse er signeret digitalt af den tilsvarende private nøgle.


Hvis certifikatet præsenteret af et HTTPS-websted er underskrevet af en offentligt betroet certifikatmyndighed (CA), Såsom SSL.com, kan brugere være sikre på, at webstedets identitet er valideret af en betroet og nøje revideret revision.

Hvad sker der, hvis mit websted ikke bruger HTTPS?

I 2020 fungerer websteder, der ikke bruger HTTPS blandet indhold (servering af ressourcer som billeder via HTTP fra HTTPS-sider) er underlagt browsersikkerhedsadvarsler og -fejl. Desuden kompromitterer disse websteder unødigt deres brugeres privatliv og sikkerhed og foretrækkes ikke af søgemaskinealgoritmer. Derfor kan HTTP og websteder med blandet indhold forvente flere browseradvarsler og fejl, lavere brugertillid og dårligere SEO end hvis de havde aktiveret HTTPS.

Hvordan ved jeg, om et websted bruger HTTPS?

En HTTPS URL begynder med https:// i stedet for http://. Moderne webbrowsere viser også, at en bruger besøger et sikkert HTTPS-websted ved at vise et lukket hængelåssymbol til venstre for URL:
adresselinje
I moderne browsere som Chrome, Firefox og Safari kan brugerne gøre det Klik på låsen for at se om et HTTPS-websteds digitale certifikat inkluderer identificering af oplysninger om dens ejer.

Hvordan aktiverer jeg HTTPS på mit websted?

For at beskytte et websted, der vender mod offentligheden med HTTPS, er det nødvendigt at installere et SSL /TLS certifikat underskrevet af en offentligt betroet certifikatmyndighed (CA) på din webserver. SSL.com's vidensbase indeholder mange nyttige guider og how-tos til konfiguration af en lang række webserverplatforme til understøttelse af HTTPS.

For mere generelle guider til HTTP-serverkonfiguration og fejlfinding, bedes du læse SSL /TLS Bedste praksis for 2020 og Fejlfinding af SSL /TLS Browserfejl og advarsler.

Tak, fordi du besøgte SSL.com! Hvis du har spørgsmål til bestilling og installation SSL /TLS certifikater, bedes du kontakte vores 24/7 supportteam via e-mail på Support@SSL.com, telefonisk på 1-877-SSL-Secureeller blot ved at klikke på chatlinket nederst til højre på denne webside.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.