Τι είναι το HTTPS;

HTTPS (Πρωτόκολλο μεταφοράς υπερκειμένου ασφαλές) είναι μια ασφαλής έκδοση του πρωτοκόλλου HTTP που χρησιμοποιεί το SSL /TLS πρωτόκολλο για κρυπτογράφηση και έλεγχο ταυτότητας. Το HTTPS καθορίζεται από RFC 2818 (Μάιος 2000) και χρησιμοποιεί τη θύρα 443 από προεπιλογή αντί της θύρας 80 του HTTP.

Το πρωτόκολλο HTTPS επιτρέπει στους χρήστες του ιστότοπου να μεταδίδουν ευαίσθητα δεδομένα, όπως αριθμούς πιστωτικών καρτών, τραπεζικές πληροφορίες και διαπιστευτήρια σύνδεσης με ασφάλεια μέσω του Διαδικτύου. Για αυτόν τον λόγο, το HTTPS είναι ιδιαίτερα σημαντικό για την εξασφάλιση διαδικτυακών δραστηριοτήτων όπως αγορές, τραπεζικές εργασίες και απομακρυσμένες εργασίες. Ωστόσο, το HTTPS γίνεται γρήγορα το βασικό πρωτόκολλο για όλοι ιστότοπους, είτε ανταλλάσσουν ευαίσθητα δεδομένα είτε όχι.

Το HTTPS προσθέτει κρυπτογράφηση, πιστοποίηση, να ακεραιότητα στο πρωτόκολλο HTTP:

Κρυπτογράφηση: Επειδή το HTTP σχεδιάστηκε αρχικά ως πρωτόκολλο καθαρού κειμένου, είναι ευάλωτο σε υποκλοπές και άντρας στη μέση επιθέσεις. Συμπεριλαμβανομένου του SSL /TLS κρυπτογράφηση, το HTTPS αποτρέπει την υποκλοπή και ανάγνωση δεδομένων που αποστέλλονται μέσω του Διαδικτύου από τρίτους. Διά μέσου κρυπτογραφία δημόσιου κλειδιού και την SSL /TLS χειραψία, μια κρυπτογραφημένη συνεδρία επικοινωνίας μπορεί να ρυθμιστεί με ασφάλεια μεταξύ δύο μερών που δεν έχουν συναντηθεί ποτέ αυτοπροσώπως (π.χ. διακομιστής ιστού και πρόγραμμα περιήγησης) μέσω της δημιουργίας ενός κοινόχρηστου μυστικού κλειδιού.

Αυθεντικοποίηση: Σε αντίθεση με το HTTP, το HTTPS περιλαμβάνει ισχυρό έλεγχο ταυτότητας μέσω του SSL /TLS πρωτόκολλο. SSL ενός ιστότοπου /TLS πιστοποιητικό περιλαμβάνει ένα Δημόσιο κλειδί που μπορεί να χρησιμοποιήσει ένα πρόγραμμα περιήγησης ιστού για να επιβεβαιώσει ότι τα έγγραφα που αποστέλλονται από τον διακομιστή (όπως σελίδες HTML) έχουν υπογραφεί ψηφιακά από κάποιον που κατέχει το αντίστοιχο ιδιωτικό κλειδί. Εάν το πιστοποιητικό του διακομιστή έχει υπογραφεί από αξιόπιστο κοινό αρχή έκδοσης πιστοποιητικών (CA), όπως το SSL.com, το πρόγραμμα περιήγησης θα αποδεχτεί ότι όλες οι πληροφορίες αναγνώρισης που περιλαμβάνονται στο πιστοποιητικό έχουν επικυρωθεί από αξιόπιστο τρίτο μέρος.

Οι ιστότοποι HTTPS μπορούν επίσης να διαμορφωθούν για αμοιβαίος έλεγχος ταυτότητας, στο οποίο ένα πρόγραμμα περιήγησης ιστού παρουσιάζει ένα πιστοποιητικό πελάτη που προσδιορίζει τον χρήστη. Ο αμοιβαίος έλεγχος ταυτότητας είναι χρήσιμος για καταστάσεις όπως η απομακρυσμένη εργασία, όπου είναι επιθυμητό να συμπεριληφθεί έλεγχος ταυτότητας πολλών παραγόντων, μειώνοντας τον κίνδυνο Phishing ή άλλες επιθέσεις που περιλαμβάνουν κλοπή διαπιστευτηρίων. Για περισσότερες πληροφορίες σχετικά με τη διαμόρφωση πιστοποιητικών πελάτη σε προγράμματα περιήγησης ιστού, διαβάστε αυτό το πώς.

Ακεραιότητα: Κάθε έγγραφο (όπως μια ιστοσελίδα, μια εικόνα ή ένα αρχείο JavaScript) που αποστέλλεται σε ένα πρόγραμμα περιήγησης από έναν διακομιστή ιστού HTTPS περιλαμβάνει μια ψηφιακή υπογραφή που μπορεί να χρησιμοποιήσει ένα πρόγραμμα περιήγησης ιστού για να προσδιορίσει ότι το έγγραφο δεν έχει τροποποιήθηκε από τρίτο μέρος ή αλλιώς κατεστραμμένο κατά τη μεταφορά. Ο διακομιστής υπολογίζει a κρυπτογραφικό κατακερματισμό του περιεχομένου του εγγράφου, που περιλαμβάνεται στο ψηφιακό του πιστοποιητικό, το οποίο το πρόγραμμα περιήγησης μπορεί να υπολογίσει ανεξάρτητα για να αποδείξει ότι η ακεραιότητα του εγγράφου είναι ανέπαφη.

Συνολικά, αυτές οι εγγυήσεις κρυπτογράφησης, ελέγχου ταυτότητας και ακεραιότητας καθιστούν το HTTPS α πολύ ασφαλέστερο πρωτόκολλο για περιήγηση και διεξαγωγή επιχειρήσεων στον Ιστό από το HTTP.

Οι ΑΠ χρησιμοποιούν τρία βασικά μεθόδους επικύρωσης κατά την έκδοση ψηφιακών πιστοποιητικών. Η μέθοδος επικύρωσης που χρησιμοποιείται καθορίζει τις πληροφορίες που θα περιλαμβάνονται στο SSL ενός ιστότοπου /TLS πιστοποιητικό:

• Επικύρωση τομέα (DV) απλώς επιβεβαιώνει ότι το όνομα τομέα που καλύπτεται από το πιστοποιητικό βρίσκεται υπό τον έλεγχο της οντότητας που ζήτησε το πιστοποιητικό.
• Οργάνωση / Ατομική Επικύρωση (OV / IV) Τα πιστοποιητικά περιλαμβάνουν το επικυρωμένο όνομα μιας επιχείρησης ή άλλου οργανισμού (OV) ή ενός μεμονωμένου ατόμου (IV).
• Εκτεταμένη επικύρωση (EV) Τα πιστοποιητικά αντιπροσωπεύουν το υψηλότερο επίπεδο εμπιστοσύνης στο Διαδίκτυο και απαιτούν την μεγαλύτερη προσπάθεια από την ΑΠ για την επικύρωση. Τα πιστοποιητικά EV εκδίδονται μόνο σε επιχειρήσεις και άλλους εγγεγραμμένους οργανισμούς, όχι σε ιδιώτες και περιλαμβάνουν το επικυρωμένο όνομα αυτού του οργανισμού.

Για περισσότερες πληροφορίες σχετικά με την προβολή του περιεχομένου του ψηφιακού πιστοποιητικού ενός ιστότοπου, διαβάστε το άρθρο μας, Πώς μπορώ να ελέγξω εάν ένας ιστότοπος διευθύνεται από νόμιμη επιχείρηση;

Υπάρχουν πολλοί καλοί λόγοι για να χρησιμοποιήσετε το HTTPS στον ιστότοπό σας και να επιμείνετε στο HTTPS κατά την περιήγηση, τις αγορές και την εργασία στον ιστό ως χρήστης:

Ακεραιότητα και έλεγχος ταυτότητας: Μέσω κρυπτογράφησης και ελέγχου ταυτότητας, το HTTPS προστατεύει την ακεραιότητα της επικοινωνίας μεταξύ ενός ιστότοπου και των προγραμμάτων περιήγησης ενός χρήστη. Οι χρήστες σας θα γνωρίζουν ότι τα δεδομένα που αποστέλλονται από τον διακομιστή ιστού σας δεν έχουν υποκλαπεί ή / και τροποποιηθεί από τρίτο μέρος κατά τη μεταφορά. Και, εάν έχετε πραγματοποιήσει την επιπλέον επένδυση σε πιστοποιητικά EV ή OV, θα μπορούν επίσης να πουν τις πληροφορίες προήλθε πραγματικά από την επιχείρηση ή τον οργανισμό σας.

Προστασία Προσωπικών Δεδομένων: Φυσικά κανείς δεν θέλει τους εισβολείς να μαζέψουν τους αριθμούς και τους κωδικούς πρόσβασης της πιστωτικής τους κάρτας ενώ ψωνίζουν ή κάνουν τραπεζικές συναλλαγές στο διαδίκτυο και το HTTPS είναι ιδανικό για να το αποτρέψει. Μα εσύ πραγματικά Θέλετε όλα τα άλλα που βλέπετε και να κάνετε στον Ιστό να είναι ένα ανοιχτό βιβλίο για όσους θέλουν να κατασκοπεύσουν (συμπεριλαμβανομένων κυβερνήσεων, εργοδοτών ή κάποιον που δημιουργεί προφίλ για να de-ανώνυμα τις διαδικτυακές σας δραστηριότητες); Το HTTPS παίζει επίσης σημαντικό ρόλο εδώ.

Εμπειρία χρήστη: Οι πρόσφατες αλλαγές στη διεπαφή χρήστη του προγράμματος περιήγησης είχαν ως αποτέλεσμα την επισήμανση ιστοτόπων HTTP ως ανασφαλής. Θέλετε τα προγράμματα περιήγησης των πελατών σας να τους λένε ότι ο ιστότοπός σας είναι "Μη ασφαλής" ή να τους δείξετε ένα κλειδωμένο κλείδωμα όταν τον επισκέπτονται; Φυσικά και όχι!

Συμβατότητα: Οι τρέχουσες αλλαγές στο πρόγραμμα περιήγησης ωθούν το HTTP όλο και πιο κοντά στην ασυμβατότητα. Ο Mozilla Firefox ανακοίνωσε πρόσφατα ένα προαιρετικό Λειτουργία μόνο HTTPS, ενώ το Google Chrome κινείται σταθερά αποκλεισμός μικτού περιεχομένου (Πόροι HTTP συνδεδεμένοι με σελίδες HTTPS). Όταν προβάλλεται μαζί με προειδοποιήσεις του προγράμματος περιήγησης για "ανασφάλεια" για ιστότοπους HTTP, είναι εύκολο να δείτε ότι η γραφή είναι στον τοίχο για HTTP. Το 2020, όλα τα τρέχοντα μεγάλα προγράμματα περιήγησης και κινητές συσκευές υποστηρίζουν HTTPS, οπότε δεν θα χάσετε χρήστες αλλάζοντας από HTTP.

SEO: Οι μηχανές αναζήτησης (συμπεριλαμβανομένης της Google) χρησιμοποιούν HTTPS ως σήμα κατάταξης κατά τη δημιουργία αποτελεσμάτων αναζήτησης. Επομένως, οι κάτοχοι ιστότοπων μπορούν να λάβουν μια εύκολη ώθηση SEO μόνο ρυθμίζοντας τους διακομιστές ιστού τους ώστε να χρησιμοποιούν HTTPS και όχι HTTP.

Εν ολίγοις, δεν υπάρχουν πλέον καλοί λόγοι για τους δημόσιους ιστότοπους να συνεχίσουν να υποστηρίζουν το HTTP. Ακόμα και το Κυβέρνηση των Ηνωμένων Πολιτειών είναι επί του σκάφους!

Το HTTPS προσθέτει κρυπτογράφηση στο πρωτόκολλο HTTP τυλίγοντας το HTTP μέσα στο SSL /TLS πρωτόκολλο (για αυτό το λόγο το SSL ονομάζεται πρωτόκολλο σήραγγας), έτσι ώστε όλα τα μηνύματα να κρυπτογραφούνται και προς τις δύο κατευθύνσεις μεταξύ δύο υπολογιστών δικτύου (π.χ. πελάτης και διακομιστής ιστού). Παρόλο που ένας υποκλοπής μπορεί να έχει δυνητικά πρόσβαση σε διευθύνσεις IP, αριθμούς θύρας, ονόματα τομέα, τον αριθμό των πληροφοριών που ανταλλάσσονται και τη διάρκεια μιας περιόδου σύνδεσης, όλα τα πραγματικά δεδομένα που ανταλλάσσονται κρυπτογραφούνται με ασφάλεια από το SSL /TLS, Μεταξύ των οποίων:

• Αίτημα διεύθυνσης URL (ποια ιστοσελίδα ζητήθηκε από τον πελάτη)
• Περιεχόμενο ιστότοπου
• Παράμετροι ερωτήματος
• Κεφαλίδες
• ΜΠΙΣΚΟΤΑ

Το HTTPS χρησιμοποιεί επίσης το SSL /TLS πρωτόκολλο για πιστοποίηση. SSL /TLS χρησιμοποιεί ψηφιακά έγγραφα γνωστά ως Πιστοποιητικά X.509 για να δεσμεύσετε κρυπτογραφικά ζεύγη κλειδιών στις ταυτότητες οντοτήτων όπως ιστότοποι, άτομα και εταιρείες. Κάθε ζεύγος κλειδιών περιλαμβάνει ένα ιδιωτικό κλειδί, το οποίο διατηρείται ασφαλές, και Δημόσιο κλειδί, τα οποία μπορούν να διανεμηθούν ευρέως. Όποιος έχει το δημόσιο κλειδί μπορεί να το χρησιμοποιήσει για:

• Στείλτε ένα μήνυμα ότι μόνο ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει.
• Επιβεβαιώστε ότι ένα μήνυμα έχει υπογραφεί ψηφιακά από το αντίστοιχο ιδιωτικό κλειδί του.

Εάν το πιστοποιητικό που παρουσιάζεται από έναν ιστότοπο HTTPS έχει υπογραφεί από αξιόπιστο από το κοινό αρχή έκδοσης πιστοποιητικών (CA), Όπως SSL.com, οι χρήστες μπορούν να είναι σίγουροι ότι η ταυτότητα του ιστότοπου έχει επικυρωθεί από ένα αξιόπιστο και αυστηρά ελεγχόμενο τρίτο μέρος.

Το 2020, ιστότοποι που δεν χρησιμοποιούν HTTPS ή δεν προβάλλονται μεικτό περιεχόμενο (οι πόροι προβολής, όπως εικόνες μέσω HTTP από σελίδες HTTPS) υπόκεινται σε προειδοποιήσεις και σφάλματα ασφαλείας του προγράμματος περιήγησης. Επιπλέον, αυτοί οι ιστότοποι θέτουν σε κίνδυνο το απόρρητο και την ασφάλεια των χρηστών τους και δεν προτιμούνται από τους αλγόριθμους μηχανών αναζήτησης. Επομένως, οι ιστότοποι HTTP και μικτού περιεχομένου μπορούν να περιμένουν περισσότερες προειδοποιήσεις και σφάλματα προγράμματος περιήγησης, χαμηλότερη εμπιστοσύνη χρήστη και φτωχότερο SEO παρά εάν είχαν ενεργοποιήσει το HTTPS.

Ένα URL HTTPS ξεκινά με https:// αντί του http://. Τα σύγχρονα προγράμματα περιήγησης ιστού δείχνουν επίσης ότι ένας χρήστης επισκέπτεται έναν ασφαλή ιστότοπο HTTPS εμφανίζοντας ένα κλειστό σύμβολο λουκέτου στα αριστερά της διεύθυνσης URL:

Σε μοντέρνα προγράμματα περιήγησης όπως το Chrome, το Firefox και το Safari, οι χρήστες μπορούν κάντε κλικ στο κλείδωμα για να δείτε εάν περιλαμβάνεται το ψηφιακό πιστοποιητικό ενός ιστότοπου HTTPS αναγνώριση πληροφοριών για τον ιδιοκτήτη του.

Για την προστασία ενός δημόσιου ιστότοπου με HTTPS, είναι απαραίτητο να εγκαταστήσετε ένα SSL /TLS πιστοποιητικό υπογεγραμμένο από αξιόπιστο από το κοινό αρχή έκδοσης πιστοποιητικών (CA) στον διακομιστή ιστού σας. SSL.com's βάση γνώσεων περιλαμβάνει πολλούς χρήσιμους οδηγούς και οδηγίες για τη διαμόρφωση μιας ευρείας ποικιλίας πλατφορμών διακομιστή ιστού για την υποστήριξη HTTPS.

Για πιο γενικούς οδηγούς για τη διαμόρφωση διακομιστή HTTP και την αντιμετώπιση προβλημάτων, διαβάστε SSL /TLS Βέλτιστες πρακτικές για το 2020 και Αντιμετώπιση προβλημάτων SSL /TLS Σφάλματα και προειδοποιήσεις προγράμματος περιήγησης.