Hva er HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) er en sikker versjon av HTTP-protokollen som bruker SSL /TLS protokollen for kryptering og autentisering. HTTPS er spesifisert av RFC 2818 (Mai 2000) og bruker port 443 som standard i stedet for HTTPs port 80.

HTTPS-protokollen gjør det mulig for brukere av nettstedet å overføre sensitive data som kredittkortnummer, bankinformasjon og innloggingsinformasjon på en sikker måte over internett. Av denne grunn er HTTPS spesielt viktig for å sikre online aktiviteter som shopping, bank og fjernarbeid. Imidlertid blir HTTPS raskt standardprotokollen for alle nettsteder, uansett om de utveksler sensitive data med brukere eller ikke.

Hvordan er HTTPS forskjellig fra HTTP?

HTTPS legger til kryptering, autentiseringog integritet til HTTP-protokollen:

kryptering: Fordi HTTP opprinnelig ble designet som en klar tekstprotokoll, er den sårbar for avlytting og mann i midten angrep. Ved å inkludere SSL /TLS kryptering, forhindrer HTTPS at data som sendes over internett blir snappet opp og lest av en tredjepart. Gjennom offentlig nøkkel kryptografi og SSL /TLS håndtrykk, kan en kryptert kommunikasjonsøkt settes opp sikkert mellom to parter som aldri har møttes personlig (f.eks. en webserver og nettleser) via opprettelsen av en delt hemmelig nøkkel.

Autentisering: I motsetning til HTTP inkluderer HTTPS robust autentisering via SSL /TLS protokoll. Et nettsteds SSL /TLS sertifikat inkluderer a offentlig nøkkel som en nettleser kan bruke for å bekrefte at dokumenter som er sendt av serveren (for eksempel HTML-sider) er blitt signert digitalt av noen som har tilhørende privat nøkkel. Hvis serverens sertifikat er signert av en offentlig klarert sertifikatmyndighet (CA), for eksempel SSL.com, vil nettleseren godta at all identifiserende informasjon som er inkludert i sertifikatet, er validert av en pålitelig tredjepart.

HTTPS nettsteder kan også konfigureres for gjensidig autentisering, der en nettleser presenterer et klientsertifikat som identifiserer brukeren. Gjensidig autentisering er nyttig i situasjoner som fjernarbeid, der det er ønskelig å inkludere multifaktor-autentisering, noe som reduserer risikoen for phishing eller andre angrep som involverer legitimasjonstyveri. For mer informasjon om konfigurering av klientsertifikater i nettlesere, les hvordan du gjør det.

Integritet: Hvert dokument (for eksempel en webside, bilde eller JavaScript-fil) sendt til en nettleser av en HTTPS webserver inkluderer en digital signatur som en nettleser kan bruke for å bestemme at dokumentet ikke har blitt endret av en tredjepart eller på annen måte ødelagt mens du er i transitt. Serveren beregner a kryptografisk hasj av dokumentets innhold, inkludert med det digitale sertifikatet, som nettleseren uavhengig kan beregne for å bevise at dokumentets integritet er intakt.

Disse garantiene for kryptering, autentisering og integritet gjør sammen HTTPS til mye tryggere protokoll for surfe og drive virksomhet på nettet enn HTTP.

Hvilken informasjon gir HTTPS brukere om eiere av nettsteder?

CA bruker tre grunnleggende valideringsmetoder når du utsteder digitale sertifikater. Valideringsmetoden som brukes bestemmer informasjonen som vil bli inkludert i et nettsteds SSL /TLS sertifikat:

Domain Validation (DV) bekrefter bare at domenenavnet som er dekket av sertifikatet er under kontroll av enheten som ba om sertifikatet.
Organisasjon / individuell validering (OV / IV) sertifikater inkluderer det validerte navnet på en virksomhet eller annen organisasjon (OV), eller en individuell person (IV).
Extended Validation (EV) sertifikater representerer den høyeste standarden innen Internett-tillit, og krever mest anstrengelse fra CA for å validere. EV-sertifikater utstedes bare til bedrifter og andre registrerte organisasjoner, ikke til enkeltpersoner, og inkluderer det validerte navnet på den organisasjonen.

For mer informasjon om visning av innholdet i nettsteds digitale sertifikat, vennligst les artikkelen vår, Hvordan kan jeg sjekke om et nettsted drives av en legitim virksomhet?

Hvorfor bruke HTTPS?

Det er flere gode grunner til å bruke HTTPS på nettstedet ditt, og å insistere på HTTPS når du surfer, handler og jobber på nettet som bruker:

Integritet og autentisering: Gjennom kryptering og autentisering beskytter HTTPS integriteten til kommunikasjonen mellom et nettsted og en brukers nettlesere. Brukerne dine vet at dataene som sendes fra webserveren din ikke er blitt oppfanget og / eller endret av en tredjepart under transport. Og hvis du har gjort den ekstra investeringen i EV- eller OV-sertifikater, vil de også kunne fortelle informasjonen kom virkelig fra din virksomhet eller organisasjon.

Personvern: Selvfølgelig er det ingen som vil ha inntrengere som samler inn kredittkortnummer og passord mens de handler eller banker på nettet, og HTTPS er utmerket for å forhindre det. Men ville du det virkelig vil at alt annet du ser og gjør på nettet skal være en åpen bok for alle som har lyst til å snuse (inkludert regjeringer, arbeidsgivere eller noen som bygger en profil for å de-Anonym dine aktiviteter på nettet)? HTTPS spiller en viktig rolle også her.

Brukererfaring: De siste endringene i nettlesergrensesnittet har resultert i at HTTP-nettsteder er flagget som usikker. Vil du at kundenes nettlesere skal fortelle dem at nettstedet ditt er “Ikke sikkert” eller vise dem en krysset lås når de besøker det? Selvfølgelig ikke!

Kompatibilitet: Gjeldende nettleserendringer skyver HTTP nærmere nær inkompatibilitet. Mozilla Firefox kunngjorde nylig et valgfritt HTTPS-bare modus, mens Google Chrome stadig flytter til blokkerer blandet innhold (HTTP-ressurser knyttet til HTTPS-sider). Når det vises sammen med nettleservarsler om "usikkerhet" for HTTP-nettsteder, er det lett å se at skriften er på veggen for HTTP. I 2020 støtter alle nåværende store nettlesere og mobile enheter HTTPS, slik at du ikke mister brukere ved å bytte fra HTTP.

SEO: Søkemotorer (inkludert Google) bruker HTTPS som en rangeringssignal når du genererer søkeresultater. Derfor kan eiere av nettsteder få et enkelt SEO-løft bare ved å konfigurere webserverne sine til å bruke HTTPS i stedet for HTTP.

Kort sagt er det ikke lenger noen gode grunner for at offentlige nettsteder fortsetter å støtte HTTP. Tilogmed USAs regjering er ombord!

Hvordan fungerer HTTPS?

HTTPS legger til kryptering til HTTP-protokollen ved å pakke inn HTTP i SSL /TLS protokoll (det er grunnen til at SSL kalles en tunnelprotokoll), slik at alle meldinger blir kryptert i begge retninger mellom to datamaskiner i nettverket (f.eks. en klient og en webserver). Selv om en avlytter kan fremdeles potensielt få tilgang til IP-adresser, portnumre, domenenavn, mengden utvekslet informasjon og varigheten av en økt, blir all utvekslet data sikkert kryptert med SSL /TLS, Inkludert:

Be om URL (hvilken webside ble forespurt av klienten)
Innhold på nettstedet
Spørringsparametere
Headers
Cookies

HTTPS bruker også SSL /TLS protokoll for autentisering. SSL /TLS bruker digitale dokumenter kjent som X.509 sertifikater å binde kryptografisk nøkkelpar til identitetene til enheter som nettsteder, enkeltpersoner og selskaper. Hvert nøkkelpar inkluderer en privat nøkkel, som holdes trygt, og offentlig nøkkel, som kan være vidt distribuert. Alle med den offentlige nøkkelen kan bruke den til å:

• Send en melding om at bare innehaveren av den private nøkkelen kan dekryptere.
• Bekreft at en melding er signert digitalt av den tilhørende private nøkkelen.


Hvis sertifikatet som er presentert av et HTTPS-nettsted, er signert av en offentlig klarert sertifikatmyndighet (CA), Eksempel SSL.comkan brukere være sikre på at identiteten til nettstedet er validert av en pålitelig og strengt revidert tredjepart.

Hva skjer hvis nettstedet mitt ikke bruker HTTPS?

I 2020 tjener nettsteder som ikke bruker HTTPS blandet innhold (servering av ressurser som bilder via HTTP fra HTTPS-sider) er underlagt sikkerhetsadvarsler og feil i nettleseren. Videre kompromitterer disse nettstedene brukernes privatliv og sikkerhet unødvendig, og foretrekkes ikke av søkemotoralgoritmer. Derfor kan HTTP og nettsteder med blandet innhold forvente flere nettleservarsler og feil, lavere brukertillit og dårligere SEO enn om de hadde aktivert HTTPS.

Hvordan vet jeg om et nettsted bruker HTTPS?

En HTTPS URL begynner med https:// istedenfor http://. Moderne nettlesere indikerer også at en bruker besøker et sikkert HTTPS-nettsted ved å vise et lukket hengelåssymbol til venstre for URLen:
adresselinjen
I moderne nettlesere som Chrome, Firefox og Safari kan brukere gjøre det klikk på låsen for å se om et HTTPS-nettsteds digitale sertifikat inkluderer identifiserende informasjon om sin eier.

Hvordan aktiverer jeg HTTPS på nettstedet mitt?

For å beskytte et offentlig vendt nettsted med HTTPS, er det nødvendig å installere et SSL /TLS sertifikat signert av en offentlig klarert sertifikatmyndighet (CA) på webserveren din. SSL.coms kunnskapsbase inneholder mange nyttige guider og hvordan du konfigurerer et bredt utvalg av webserverplattformer for å støtte HTTPS.

Hvis du vil ha mer generelle guider for konfigurering og feilsøking av HTTP-server, kan du lese SSL /TLS Beste praksis for 2020 og Feilsøking av SSL /TLS Nettleserfeil og advarsler.

Takk for at du besøkte SSL.com! Hvis du har spørsmål om bestilling og installasjon SSL /TLS sertifikater, vennligst kontakt vårt 24/7 supportteam via e-post på Support@SSL.com, på telefon kl 1-877-SSL-Secure, eller bare ved å klikke på chattelinken nederst til høyre på denne websiden.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.