Vad är HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) är en säker version av HTTP-protokollet som använder SSL /TLS protokoll för kryptering och autentisering. HTTPS specificeras av RFC 2818 (Maj 2000) och använder port 443 som standard istället för HTTPs port 80.

HTTPS-protokollet gör det möjligt för webbplatsanvändare att överföra känsliga uppgifter som kreditkortsnummer, bankinformation och inloggningsuppgifter säkert över internet. Av denna anledning är HTTPS särskilt viktigt för att säkra onlineaktiviteter som shopping, bank och fjärrarbete. HTTPS blir dock snabbt standardprotokollet för alla webbplatser, oavsett om de utbyter känslig information med användare eller inte.

Hur skiljer sig HTTPS från HTTP?

HTTPS lägger till kryptering, autentiseringoch integritet till HTTP-protokollet:

kryptering: Eftersom HTTP ursprungligen utformades som ett tydligt textprotokoll är det sårbart för avlyssning och man i mitten attacker. Genom att inkludera SSL /TLS kryptering, förhindrar HTTPS att data som skickas över internet fångas upp och läses av en tredje part. Genom offentlig nyckelkryptografi och SSL /TLS handskakning, kan en krypterad kommunikationssession säkert ställas in mellan två parter som aldrig har träffats personligen (t.ex. en webbserver och webbläsare) via skapandet av en delad hemlig nyckel.

Authentication: Till skillnad från HTTP inkluderar HTTPS robust autentisering via SSL /TLS protokoll. En webbplats SSL /TLS certifikat innehåller a offentlig nyckel som en webbläsare kan använda för att bekräfta att dokument som skickats av servern (t.ex. HTML-sidor) har signerats digitalt av någon som har motsvarande privat nyckel. Om serverns certifikat har undertecknats av en offentligt betrodd certifikatutfärdare (CA), såsom SSL.com, kommer webbläsaren att acceptera att all identifierande information som ingår i certifikatet har validerats av en betrodd tredje part.

HTTPS-webbplatser kan också konfigureras för ömsesidig autentisering, där en webbläsare presenterar ett klientcertifikat som identifierar användaren. Ömsesidig autentisering är användbar i situationer som fjärrarbete, där det är önskvärt att inkludera multifaktorautentisering, vilket minskar risken för Nätfiske eller andra attacker som involverar referensstöld. Läs mer om hur du konfigurerar klientcertifikat i webbläsare det här.

Integritet: Varje dokument (till exempel en webbsida, bild eller JavaScript-fil) som skickas till en webbläsare av en HTTPS-webbserver innehåller en digital signatur som en webbläsare kan använda för att fastställa att dokumentet inte har ändras av en tredje part eller på annat sätt skadad under transport. Servern beräknar en kryptografisk hash av dokumentets innehåll, som ingår i dess digitala certifikat, som webbläsaren självständigt kan beräkna för att bevisa att dokumentets integritet är intakt.

Sammantaget gör dessa garantier för kryptering, autentisering och integritet HTTPS till mycket säkrare protokoll för surfning och affärsverksamhet på nätet än HTTP.

Vilken information ger HTTPS användare om webbplatsägare?

CA använder tre grundläggande valideringsmetoder vid utfärdande av digitala certifikat. Valideringsmetoden som används avgör vilken information som kommer att ingå i en webbplats SSL /TLS certifikat:

Domain Validation (DV) bekräftar helt enkelt att domännamnet som omfattas av certifikatet är under kontroll av den enhet som begärde certifikatet.
Organisation / individuell validering (OV / IV) certifikaten inkluderar det validerade namnet på ett företag eller en annan organisation (OV) eller en enskild person (IV).
Extended Validation (EV) certifikat representerar den högsta standarden inom internetförtroende och kräver mest ansträngning från CA för att validera. EV-certifikat utfärdas endast till företag och andra registrerade organisationer, inte till privatpersoner, och inkluderar det validerade namnet på den organisationen.

För mer information om hur du visar innehållet på en webbplats digitala certifikat, läs vår artikel, Hur kan jag kontrollera om en webbplats drivs av ett legitimt företag?

Varför använda HTTPS?

Det finns flera bra skäl att använda HTTPS på din webbplats och att insistera på HTTPS när du surfar, shoppar och arbetar på webben som användare:

Integritet och autentisering: Genom kryptering och autentisering skyddar HTTPS integriteten i kommunikationen mellan en webbplats och en användares webbläsare. Dina användare kommer att veta att data som skickas från din webbserver inte har fångats upp och / eller ändrats av en tredje part under transport. Och om du har gjort den extra investeringen i EV- eller OV-certifikat kommer de också att kunna berätta att informationen verkligen kom från ditt företag eller din organisation.

Sekretess: Naturligtvis vill ingen inkräktare skaffa upp sina kreditkortsnummer och lösenord medan de handlar eller bankar online, och HTTPS är bra för att förhindra det. Men skulle du verkligen vill att allt annat du ser och gör på webben ska vara en öppen bok för alla som känner för att snoka (inklusive regeringar, arbetsgivare eller någon som bygger en profil för att avanonyma dina onlineaktiviteter)? HTTPS spelar också en viktig roll här.

Användarupplevelse: Senaste ändringar av webbläsargränssnittet har resulterat i att HTTP-webbplatser har flaggats som osäkra. Vill du att dina kunders webbläsare ska berätta för dem att din webbplats är "Inte säker" eller visa dem ett överkorsat lås när de besöker den? Självklart inte!

Kompatibilitet: Nuvarande webbläsarändringar driver HTTP allt närmare inkompatibilitet. Mozilla Firefox tillkännagav nyligen en valfri HTTPS-läge, medan Google Chrome stadigt flyttar till blockera blandat innehåll (HTTP-resurser länkade till HTTPS-sidor). När man ser tillsammans med webbläsarvarningar om ”osäkerhet” för HTTP-webbplatser är det lätt att se att texten är på väggen för HTTP. 2020 stöder alla nuvarande större webbläsare och mobila enheter HTTPS, så du kommer inte att förlora användare genom att byta från HTTP.

SEO: Sökmotorer (inklusive Google) använder HTTPS som en rangordningssignal när du genererar sökresultat. Därför kan webbplatsägare få en lätt SEO-boost bara genom att konfigurera sina webbservrar för att använda HTTPS snarare än HTTP.

Kort sagt, det finns inte längre några goda skäl för offentliga webbplatser att fortsätta stödja HTTP. Även Förenta staternas regering är ombord!

Hur fungerar HTTPS?

HTTPS lägger till kryptering till HTTP-protokollet genom att slå in HTTP inuti SSL /TLS protokoll (vilket är anledningen till att SSL kallas ett tunnelprotokoll), så att alla meddelanden krypteras i båda riktningar mellan två nätverksdatorer (t.ex. en klient och en webbserver). Även om en avlyssnare fortfarande kan komma åt IP-adresser, portnummer, domännamn, mängden information som utbyts och varaktigheten av en session, så krypteras alla faktiska data säkert med SSL /TLS, Inklusive:

Begär URL (vilken webbsida begärdes av klienten)
Webbplatsinnehåll
Fråga parametrar
Headers
Cookies

HTTPS använder också SSL /TLS protokoll för autentisering. SSL /TLS använder digitala dokument som kallas X.509 certifikat att binda kryptografiska nyckelpar till identitet hos enheter som webbplatser, individer och företag. Varje nyckelpar innehåller en privat nyckel, som hålls säkert, och offentlig nyckel, som kan distribueras brett. Alla med den offentliga nyckeln kan använda den för att:

• Skicka ett meddelande som bara innehavaren av den privata nyckeln kan dekryptera.
• Bekräfta att ett meddelande har signerats digitalt med motsvarande privata nyckel.


Om certifikatet som presenteras av en HTTPS-webbplats har undertecknats av en offentligt betrodd certifikatutfärdare (CA), Såsom SSL.comkan användare vara säkra på att webbplatsens identitet har validerats av en betrodd och noggrant granskad tredje part.

Vad händer om min webbplats inte använder HTTPS?

2020, webbplatser som inte använder HTTPS eller tjänar blandat innehåll (betjäna resurser som bilder via HTTP från HTTPS-sidor) är föremål för webbläsares säkerhetsvarningar och fel. Dessutom äventyrar dessa webbplatser onödigt deras användares integritet och säkerhet och föredras inte av sökmotoralgoritmer. Därför kan HTTP och webbplatser med blandat innehåll förvänta sig fler webbläsarvarningar och fel, lägre användarnas förtroende och sämre SEO än om de hade aktiverat HTTPS.

Hur vet jag om en webbplats använder HTTPS?

En HTTPS-URL börjar med https:// istället för http://. Moderna webbläsare visar också att en användare besöker en säker HTTPS-webbplats genom att visa en stängd hänglåssymbol till vänster om URL:
adressfältet
I moderna webbläsare som Chrome, Firefox och Safari kan användare göra det klicka på låset för att se om en HTTPS-webbplats digitala certifikat innehåller identifierande information om dess ägare.

Hur aktiverar jag HTTPS på min webbplats?

För att skydda en allmän webbplats med HTTPS är det nödvändigt att installera en SSL /TLS certifikat undertecknat av en offentligt betrodd certifikatutfärdare (CA) på din webbserver. SSL.coms kunskapsbas innehåller många användbara guider och anvisningar för att konfigurera ett brett utbud av webbserverplattformar för att stödja HTTPS.

För mer allmänna guider till HTTP-serverkonfiguration och felsökning, läs SSL /TLS Bästa metoder för 2020 och Felsökning av SSL /TLS Webbläsarfel och varningar.

Tack för att du besöker SSL.com! Om du har några frågor om beställning och installation SSL /TLS certifikat, vänligen kontakta vårt 24/7 supportteam via e-post på Support@SSL.com, per telefon på 1-877-SSL-Secure, eller helt enkelt genom att klicka på chattlänken längst ned till höger på denna webbsida.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.