HTTPS — своеобразная оболочка для обычного протокола HTTP, которая позволяет зашифровать всю информацию, передаваемую от пользователя к серверу и обратно, и тем самым не допустить ее утечки к злоумышленникам. Сами данные при этом шифруются по криптографическим протоколам.
Россияне следят за безопасностью в Интернете не меньше американцев
От чего защищает безопасное соединение?
Чтобы это понять, нужно принять к сведению два положения:
- Все, что вы делаете в интернете, с технической точки зрения сводится к обмену данными. Переход на сайт, загрузка картинки или видео, переписка в социальных сетях, платежи в интернет-магазинах — во время всех этих действий компьютер отправляет запрос к соответствующему серверу и принимает ответный сигнал.
- Обмен данных — многоступенчатый процесс. Запрос никогда не идет напрямую от компьютера к серверу. На его пути возникает множество «посредников»: провайдеры (в том числе промежуточные), роутеры, другие компьютеры, сети и десятки других элементов.
Тут мы и переходим к протоколам передачи данных. HTTP (англ. HyperText Transfer Protocol) — протокол открытый. Когда информация передается посредством HTTP, в открытом, незащищенном виде выводятся и запрос компьютера, и ответ сервера.
Что это означает? На любом из множества этапов передачи данных (от одного компьютера к другому, от основного провайдера к промежуточному и т.д.) опытный и снабженный соответствующими ресурсами злоумышленник может их перехватить.
Источник: digitspark.com
Если он узнает, что какой комментарий вы оставили к фотографии котиков, это не страшно. А если речь идет о паролях от личных аккаунтов, паспортных и платежных сведениях? Простор для мошеннических действий поистине велик: можно «отобрать» у вас сайт, украсть конфиденциальную информацию о клиентах, наконец, просто ограбить и вас, и ваших покупателей (узнав номера и коды безопасности карт).
Чтобы исключить возможность утечки, еще в далеком 1994 был создан протокол HTTPS. Он использует криптографическую систему SSL/TSL, шифрующую все запросы с помощью специального секретного ключа.
Для лучшего понимания принципа действия HTTPS авторы официального блога Яндекса приводят простой пример. Вы отправляете ценную вещь своему другу — кладете ее в кейс, запираете его и передаете курьеру. Тот доставляет кейс адресату, но ваш друг не может открыть его, ведь ключ вы не отправили. Тогда друг вешает на кейс собственный замок и отправляет посылку обратно. Вы получаете ее, убираете свой замок и вновь высылаете посылку другу. В результате он получает чемоданчик, закрытый только на его собственный замок, и может открыть его, будучи уверенным в сохранности всего, что находится внутри.
Источник: plushka.by
Коммерческая тайна. Как защитить?
Зачем нужен HTTPS?
Использование HTTPS на сайте — это большой плюс к доверию со стороны пользователей и клиентов. Да, не все разбираются в том, какой смысл в букве «s» в URL страницы, но того, кто «в теме», использование защищенного протокола расположит в вашу пользу.
Хотя защита от утечки информации и хакерских атак — само по себе преимущество, есть и еще один положительный момент. Сайты, использующие защищенное соединение, лучше ранжируются поисковиками (по крайней мере, Гуглом — с Яндексом пока не все так гладко).
Впрочем, без минусов тоже не обойтись:
- из-за дополнительной траты ресурсов на шифрование данных сервер будет работать медленнее, следовательно, сайт при загрузке станет слегка подтормаживать;
- придется регулярно платить за обновление сертификатов безопасности.
Однако эти минусы все-таки компенсируются плюсами. Если вы собираетесь принимать на своем сайте платежи и обрабатывать конфиденциальную информацию — смысл в переходе на HTTPS точно есть.
Модуль безопасности LPgenerator — ваши данные под защитой
Получаем сертификат для перехода на HTTPS
Начать «шифроваться» следует с покупки цифрового сертификата — это первый элемент, который проверяется при установке безопасного соединения. Сертификат подтверждает, что лицо, которому он выдан, действительно существует и действительно управляет сервером.
Получить его можно в центрах сертификации, как правило, за определенную плату (хотя если постараться, можно найти и бесплатные варианты).
Источник: plushka.by
Если у вас один сайт, достаточно приобрести одиночный сертификат. Если же вы владеете сайтами на разных доменах или с несколькими поддоменами, придется приобретать многодоменные сертификаты. Полученное «удостоверение» нужно будет скопировать на фронтенд-сервера. Важный момент: покупайте только сертификаты с 2048-разрядными ключами. Они обеспечивают наивысший уровень защиты.
Однако этим дело не ограничивается: сертификаты нужно настроить. Делается это в веб-сервере отдельно для каждого хоста и поддомена. Конечная цель — переадресовать все запросы к HTTP на HTTPS. И помните, что сертификаты не вечны. Время от времени их придется обновлять, поэтому сразу уточните срок их действия.
Как выбрать решения в области аналитики киберугроз
Работаем с внутренними ссылками
Все полные ссылки внутри вашего сайта придется заменить на относительные при помощи скриптов. Зачем? Дело в том, что после применения сертификата HTTP не заменяется автоматически на HTTPS — возникает ситуация с загрузкой смешанного контента. Будут действовать оба протокола, а это плохо: во-первых, защита не будет полноценной (часть контента шифруется, а часть — нет), во-вторых, страница может вообще перестать работать.
После замены ссылок установите на всех страницах редирект. Переадресация окончательно наладится, и путаница с протоколами исчезнет. При этом следует использовать код 301.
Последний шаг
Завершающий этап — включение HTTPS Strict-Transport-Security. Универсальных рекомендаций здесь нет: на каждом сервере этот процесс проходит по-своему. Либо поищите инструкцию для настройки данного параметра именно для своего сервера, либо обратитесь к специалистам, которые трудились над разработкой вашего веб-ресурса. И не забудьте убедиться, что ваш сертификат актуален, иначе доступ к сайту будет заблокирован.
В качестве финального аккорда включите Secure Cookies. Все, теперь ваши данные надежно защищены. Написать, конечно, проще, чем сделать, но проявив достаточно усердия, вы справитесь с этой задачей.
Чтобы не экспериментировать с малопонятными настройками, можно сразу обратиться к своему хостинг-провайдеру — особенности установки параметров для перехода на HTTPS во многом зависят от него.
Как защитить контент на сайте: подробная инструкция
Что еще нужно знать о защищенном соединении?
Как уже говорилось выше, при использовании HTTPS-соединения сервер передает дополнительный объем данных и дольше обрабатывает запросы, что может привести к замедлению загрузки страницы.
Поскольку скорость загрузки — важный фактор для любого коммерческого ресурса, такой «побочный» эффект хорошо бы нивелировать. Сделать это можно при помощи механизма HSTS, который ускоряет обработку запросов. При HSTS браузер автоматически запрашивает данные через шифрованное соединение, даже если пользователь вручную вводит адрес без http / https (например, «site.ru»).
Сами криптографические протоколы SSL (TSL), которые применяются при HTTPS, нельзя назвать неуязвимыми для любых угроз и атак. Они постоянно совершенствуются, но особо хитрые злоумышленники иногда находят в них новые уязвимости и «дыры». Эти уязвимости устраняют, а протоколы регулярно обновляют.
Источник: plushka.by
HTTPS-протокол сегодня поддерживают все браузеры, поэтому при правильной настройке ваш сайт будет нормально открываться и загружаться у любого пользователя. Экстремалов, принципиально не обновляющих браузеры, осталось немного — их можно в расчет не брать.
Warning! Угрозы, о которых вы даже не подозреваете
И все же: переходить или не переходить?
Переход на защищенное соединение — это не панацея или острая необходимость. Да, если вы работаете с платежными данными клиентов, HTTPS безусловно должен стать протоколом «по умолчанию». Во всех остальных случаях подумайте, нужно ли вам это. Делать что-то просто для того, чтобы было — решение не из лучших.
Однако необходимо признать, что защищенные соединения становятся нормой. Тенденция позитивная, и в недалеком будущем установка протокола HTTPS наверняка станет обязательным этапом создания сайта. Ну а пока вам предоставляется свобода выбора.
