SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS, w tym:
HTTPS (bezpieczny protokół przesyłania hipertekstu) to bezpieczna wersja protokołu HTTP korzystającego z SSL /TLS protokół do szyfrowania i uwierzytelniania. HTTPS jest określany przez RFC 2818 (Maj 2000) i domyślnie używa portu 443 zamiast portu HTTP 80.
Protokół HTTPS umożliwia użytkownikom witryny przesyłanie poufnych danych, takich jak numery kart kredytowych, informacje bankowe i dane logowania, w bezpieczny sposób przez Internet. Z tego powodu HTTPS jest szczególnie ważny do zabezpieczania działań online, takich jak zakupy, bankowość i praca zdalna. Jednak HTTPS szybko staje się standardowym protokołem dla cała kolekcja strony internetowe, niezależnie od tego, czy wymieniają one wrażliwe dane z użytkownikami.
HTTPS dodaje szyfrowanie, Uwierzytelnianie, integralność do protokołu HTTP:
Szyfrowanie: Ponieważ HTTP został pierwotnie zaprojektowany jako protokół czystego tekstu, jest podatny na podsłuch i człowiek w środku atakuje. Włączając SSL /TLS szyfrowanie, HTTPS zapobiega przechwytywaniu i odczytywaniu danych przesyłanych przez Internet przez osoby trzecie. Przez kryptografia z kluczem publicznym oraz SSL /TLS uścisk rękiszyfrowaną sesję komunikacyjną można bezpiecznie ustanowić między dwiema stronami, które nigdy nie spotkały się osobiście (np. serwerem WWW i przeglądarką), poprzez utworzenie wspólnego tajnego klucza.
Poświadczenie: W przeciwieństwie do HTTP, HTTPS obejmuje solidne uwierzytelnianie przez SSL /TLS protokół. SSL witryny /TLS świadectwo zawiera klucz publiczny których przeglądarka internetowa może użyć do potwierdzenia, że dokumenty wysłane przez serwer (takie jak strony HTML) zostały podpisane cyfrowo przez osobę będącą w posiadaniu odpowiedniego prywatny klucz. Jeśli certyfikat serwera został podpisany przez zaufanego publicznie urząd certyfikacji (CA), takich jak SSL.com, przeglądarka zaakceptuje, że wszelkie informacje identyfikujące zawarte w certyfikacie zostały zweryfikowane przez zaufaną stronę trzecią.
Dla witryn HTTPS można również skonfigurować wzajemne uwierzytelnianie, w którym przeglądarka internetowa prezentuje certyfikat klienta identyfikujący użytkownika. Wzajemne uwierzytelnianie jest przydatne w sytuacjach, takich jak praca zdalna, w których pożądane jest uwierzytelnianie wieloskładnikowe, zmniejszające ryzyko phishing lub inne ataki obejmujące kradzież danych uwierzytelniających. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów klienta w przeglądarkach internetowych, przeczytaj to instrukcje.
Integralność: Każdy dokument (taki jak strona internetowa, obraz lub plik JavaScript) wysyłany do przeglądarki przez serwer sieciowy HTTPS zawiera podpis cyfrowy, którego przeglądarka internetowa może użyć do ustalenia, że dokument nie został zmienione przez osobę trzecią lub w inny sposób uszkodzony podczas transportu. Serwer oblicza plik skrót kryptograficzny zawartości dokumentu, dołączonej do certyfikatu cyfrowego, który przeglądarka może samodzielnie obliczyć, aby udowodnić, że dokument jest nienaruszony.
Podsumowując, te gwarancje szyfrowania, uwierzytelniania i integralności sprawiają, że HTTPS jest dużo bezpieczniejszy protokół przeglądania i prowadzenia interesów w sieci WWW niż HTTP.
CA używają trzech podstawowych metody walidacji przy wydawaniu certyfikatów cyfrowych. Zastosowana metoda walidacji określa informacje, które zostaną zawarte w protokole SSL witryny /TLS certyfikat:
• Walidacja domen (DV) po prostu potwierdza, że nazwa domeny objęta certyfikatem jest pod kontrolą podmiotu, który wystąpił o certyfikat.
• Organizacja / walidacja indywidualna (OV / IV) certyfikaty zawierają potwierdzoną nazwę firmy lub innej organizacji (OV) lub osobę fizyczną (IV).
• Extended Validation (EV) certyfikaty reprezentują najwyższy standard zaufania w Internecie i wymagają największego wysiłku ze strony urzędu certyfikacji, aby je zweryfikować. Certyfikaty EV są wydawane tylko firmom i innym zarejestrowanym organizacjom, a nie osobom fizycznym i zawierają potwierdzoną nazwę tej organizacji.
Aby uzyskać więcej informacji na temat przeglądania zawartości cyfrowego certyfikatu witryny, przeczytaj nasz artykuł, Jak mogę sprawdzić, czy witryna jest prowadzona przez legalną firmę?
Istnieje wiele dobrych powodów, dla których warto używać protokołu HTTPS w swojej witrynie i nalegać na HTTPS podczas przeglądania, robienia zakupów i pracy w sieci jako użytkownik:
Integralność i uwierzytelnianie: Dzięki szyfrowaniu i uwierzytelnianiu HTTPS chroni integralność komunikacji między witryną a przeglądarkami użytkownika. Twoi użytkownicy będą wiedzieć, że dane wysłane z Twojego serwera internetowego nie zostały przechwycone i / lub zmienione przez osobę trzecią podczas przesyłania. A jeśli dokonałeś dodatkowej inwestycji w certyfikaty EV lub OV, będą również w stanie podać te informacje naprawdę pochodzi z Twojej firmy lub organizacji.
Privacy: Oczywiście nikt nie chce, aby intruzi zbierali numery kart kredytowych i hasła podczas zakupów lub bankowości online, a HTTPS jest świetnym sposobem zapobiegania temu. Ale czy ty naprawdę chcesz, aby wszystko, co widzisz i robisz w internecie, było otwartą książką dla każdego, kto ma ochotę szpiegować (w tym rządy, pracodawcy lub ktoś, kto tworzy profil de-anonimizacja Twoje działania online)? HTTPS również odgrywa tutaj ważną rolę.
Doświadczenie użytkownika: Niedawne zmiany w interfejsie przeglądarki spowodowały, że witryny HTTP zostały oznaczone jako niepewny. Czy chcesz, aby przeglądarki Twoich klientów informowały ich, że Twoja witryna jest „niezabezpieczona”, lub pokazywały przekreśloną blokadę, gdy ją odwiedzają? Oczywiście nie!
Kompatybilność: Obecne zmiany przeglądarki sprawiają, że HTTP jest coraz bardziej zbliżone do niezgodności. Niedawno Mozilla Firefox ogłosiła opcjonalne Tryb tylko HTTPS, podczas gdy Google Chrome stale przechodzi na blokować zawartość mieszaną (Zasoby HTTP połączone ze stronami HTTPS). Kiedy przegląda się je razem z ostrzeżeniami przeglądarki o „braku bezpieczeństwa” witryn HTTP, łatwo zauważyć, że napisy są na ścianie w przypadku HTTP. W 2020 roku wszystkie obecne główne przeglądarki i urządzenia mobilne obsługują HTTPS, więc nie stracisz użytkowników, przełączając się z HTTP.
SEO: Wyszukiwarki (w tym Google) używają HTTPS jako pliku sygnał rankingowy podczas generowania wyników wyszukiwania. Dlatego właściciele witryn mogą w łatwy sposób uzyskać poprawę SEO, konfigurując swoje serwery internetowe tak, aby korzystały z protokołu HTTPS zamiast HTTP.
Krótko mówiąc, nie ma już dobrych powodów, dla których publiczne witryny internetowe nadal obsługują protokół HTTP. Nawet Rząd Stanów Zjednoczonych jest na pokładzie!
HTTPS dodaje szyfrowanie do protokołu HTTP, zawijając HTTP wewnątrz SSL /TLS protokół (dlatego SSL nazywany jest protokołem tunelowania), dzięki czemu wszystkie wiadomości są szyfrowane w obu kierunkach między dwoma komputerami w sieci (np. klientem i serwerem WWW). Chociaż podsłuchiwacz nadal może potencjalnie uzyskać dostęp do adresów IP, numerów portów, nazw domen, ilości wymienianych informacji i czasu trwania sesji, wszystkie faktycznie wymieniane dane są bezpiecznie szyfrowane przez SSL /TLS, W tym:
• Poproś o adres URL (która strona internetowa została zamówiona przez klienta)
• Zawartość strony internetowej
• Parametry zapytania
• Nagłówki
• Pliki Cookies
HTTPS używa również SSL /TLS protokół dla Uwierzytelnianie. SSL /TLS wykorzystuje dokumenty cyfrowe znane jako Certyfikaty X.509 wiązać kryptograficzne pary kluczy do tożsamości podmiotów, takich jak strony internetowe, osoby fizyczne i firmy. Każda para kluczy zawiera prywatny klucz, który jest bezpieczny, oraz klucz publiczny, które mogą być szeroko rozpowszechniane. Każda osoba posiadająca klucz publiczny może go użyć do:
• Wyślij wiadomość, którą może odszyfrować tylko posiadacz klucza prywatnego.
• Potwierdź, że wiadomość została podpisana cyfrowo za pomocą odpowiedniego klucza prywatnego.
Jeśli certyfikat przedstawiony przez witrynę HTTPS został podpisany przez publicznie zaufany urząd certyfikacji (CA), Takie jak SSL.com, użytkownicy mogą mieć pewność, że tożsamość witryny została zweryfikowana przez zaufaną i rygorystycznie kontrolowaną stronę trzecią.
W 2020 roku strony, które nie używają HTTPS ani nie obsługują mieszana zawartość (udostępnianie zasobów, takich jak obrazy przez HTTP ze stron HTTPS) podlega ostrzeżeniom i błędom bezpieczeństwa przeglądarki. Co więcej, te strony internetowe niepotrzebnie zagrażają prywatności i bezpieczeństwu ich użytkowników i nie są preferowane przez algorytmy wyszukiwarek. Dlatego mogą się tego spodziewać witryny HTTP i witryny o mieszanej zawartości więcej ostrzeżeń i błędów przeglądarki, mniejsze zaufanie użytkowników i gorsze SEO niż gdyby włączyli HTTPS.
Adres URL HTTPS zaczyna się od https:// zamiast http://. Nowoczesne przeglądarki internetowe wskazują również, że użytkownik odwiedza bezpieczną stronę HTTPS, wyświetlając symbol zamkniętej kłódki po lewej stronie adresu URL:
W nowoczesnych przeglądarkach, takich jak Chrome, Firefox i Safari, użytkownicy mogą kliknij kłódkę aby sprawdzić, czy certyfikat cyfrowy witryny HTTPS zawiera informacje indentyfikacyjne o swoim właścicielu.
Aby chronić publiczną witrynę internetową za pomocą protokołu HTTPS, konieczne jest zainstalowanie pliku SSL /TLS świadectwo podpisane przez zaufaną osobę publiczną urząd certyfikacji (CA) na serwerze sieciowym. SSL.com's baza wiedzy zawiera wiele pomocnych przewodników i porad dotyczących konfigurowania wielu różnych platform serwerów WWW do obsługi protokołu HTTPS.
Aby uzyskać więcej ogólnych wskazówek dotyczących konfiguracji serwera HTTP i rozwiązywania problemów, przeczytaj SSL /TLS Najlepsze praktyki na rok 2020 i Rozwiązywanie problemów z SSL /TLS Błędy i ostrzeżenia przeglądarki.
