Существует два типа распространенных протоколов, отображаемых веб-страницы: HTTP и HTTPS. В адресной строке перед доменом отображается актуальный для сайта. На то, что передача данных защищена, указывает маленький замочек перед доменами и «https://». В русскоязычном сегменте Интернета принято устанавливать защищенные протоколы, а обычные протоколы ушли далеко в прошлое. Однако не всегда.
Как работает HTTP
Протоколы для передачи данных формируются таким образом, чтобы их легко и безопасно можно было как передавать, так и получать. Протокол HTTP (расшифровывается HyperText Transfer Protocol) использовался изначально для текстовой информации. Данные в этом случае не зашифровываются, и их легко перехватить. Для сайта, который не передает личную информацию, это не критично, но, например, для интернет-магазина или ресурса, где актуальна передач личных данных, эта ситуация может быть критичной.
Сайт становится уязвим. Например, большие риски могли бы быть на портале Госуслуги, где все пользователи загружают личную информацию. Но и обычные интернет-магазины получают данные карт, с номером, датой окончания, CVV-кодом. Эта информация может быть использована для кражи денег, и пользователи серьезно рискуют.
Многие сайты имеют личные кабинеты зарегистрированных пользователей, модераторов, администраторов, покупателей. Злоумышленники могут не только украсть данные, но и внести на сайт вредоносный код, воспользоваться любой информацией в корыстных целях.
Такая уязвимость снижает репутацию сайта, а значит, и компании владельца. Чтобы не терять поток клиентов, о безопасности необходимо заботиться всегда.
Что дает протокол HTTPS
Расширенная версия протокола HTTP — HTTPS (HyperText Transfer Protocol Secure), представляет собой возможность передавать информацию в зашифрованном виде. Помогают в этом механизмы SSL и TLS.
Через этот протокол тоже можно перехватить данные, но злоумышленники получат их в зашифрованном виде и не смогут воспользоваться. Набор символов обретает смысл только при наличии ключа. Правила шифрования регламентирует процесс SSL (Secure Sockets Layer), а TLS (Transport Layer Security) создает более продвинутый протокол.
Для получения возможности шифрования необходимо установить SSL-сертификат, обеспечивающий сайту https-соединение. В сущности, это своеобразная цифровая подпись сайта, уникальная для каждого ресурса. Сертификат имеет ключи шифрования и описание версии, с указанием серийного номера, издателя, срока действия.
В самом запросе уже присутствует публичный ключ. А браузер клиента на его основании расшифровывает информацию.
Каждый символ имеет свое назначение:
- Публичный ключ – в запросе.
- Приватный ключ – содержится на сервере и используется для кодирования информации.
- Браузеры проверяют валидность ключа по информации об издателе и сервере.
Если истек срок ключа, браузер предупреждает об опасности и может выдать страничку с предупреждением, что сайтом пользоваться небезопасно. Также браузер предупреждает пользователя при подмене сертификата.
Какие бывают SSL-сертификаты
Существуют несколько вариаций сертификатов, разделяемых по способу подписания.
- Самоподписанный. Это бесплатный сертификат, с оставленной возможностью браузеру указывать на это пользователям. Бывают случаи, когда злоумышленники подменяют сертификаты, и пользователи могут видеть сигнал браузера: страницу – заглушку. Самоподписанные сертификаты не дают никакой особой пользы для безопасности, а если это для вас неактуально, в простейших сайтах-визитках можно вообще не переходить с HTTP.
- Domain Validated — валидированный по домену сертификат, образует начальный уровень доверия. Стоимость 800-3000 рублей в год, быстро устанавливается, подходит большинству стандартных сайтов.
- Сертификат повышенной надежности (Organization Validation) – доступен только юридическим лицам по предоставлению документации, стоит достаточно дорого. Его цена за год может достигать десятков тысяч рублей.
- Сертификат с расширенной валидацией (Extended Validation), только для крупных организаций, стоит уже до 150 000 рублей в год.
Сайты с большим количеством поддоменов могут размещать сертификаты Wildcard, для защиты информации на всех поддоменах сразу.
Таким образом, переход на HTTPS делает перехват данных злоумышленниками абсолютно бессмысленным, так как они становятся непригодными к использованию. Репутация компании остается на высоком уровне. В поисковой выдаче систем сайт будет высоко котироваться, как безопасный, так как подтвержденный протокол является фактором, повышающим позиции. Например, популярный браузер Chrome даже отмечает специальной пометкой небезопасные сайты, а на Яндекс Видео ролики с сайтов с незащищенным соединением уже даже не показывают.