Obecne w każdym linku który komuś wysyłamy. Codzienność i rzeczywistość każdej wizyty w internecie. Wszyscy znają www, ale czy wiesz czym jest http, https i czym się od siebie różnią?

Czym jest HTTP i HTTPS

Oba są skrótami. Odpowiednio:

  • HTTP  - Hypertext Transfer Protocol
  • HTTPS - Hypertext Transfer Protocol Secure

Są to więc protokoły sieciowe, czym jest protokół?

Protokół jest to zbiór reguł, określających zasady komunikacji.
Źródło.

A po naszemu?

A krótko i po naszemu to po prostu sposób połączenia. Każdy protokół zawiera w swojej specyfikacji wiele zasad ustanawiania połączenia i komunikacji, co zapewnia standaryzację i spójność w komunikacji pomiędzy różnymi urządzeniami. 

Różnice pomiędzy HTTPS a HTTP

Jak już wyżej mogłeś zauważyć, HTTPS różni się od HTTP słowem “secure” (ang. bezpiecznie, bezpieczny). Jest to nic innego, jak szyfrowana wersja protokołu HTTP, w której wszystkie dane przesyłane pomiędzy serwerem a klientem są szyfrowane i niemożliwe do prostego odczytania przez nikogo na trasie połączenia, jak ma to miejsce w przypadku HTTP. 

Słowo ‘bezpieczna’ nie oznacza jednak, że strona używająca HTTPS jest w pełni bezpieczna. HTTPS oznacza, że dla strony zostały wygenerowane klucze kryptograficzne umożliwiające szyfrowanie i deszyfrowanie przesyłanych z i do niej danych. Taki zestaw kluczy nazywamy certyfikatem SSL. Istnieje kilka rodzajów takich certyfikatów.

Warto jednak mieć na uwadze, że samo posiadanie certyfikatu nie gwarantuje bezpieczeństwa strony, tzn. nic nie stoi na przeszkodzie, aby oszust wygenerował lub zakupił takowy certyfikat do swojej strony phishingowej. Czym jest phishing można przeczytać tutaj.

Czy moja strona powinna mieć HTTPS?

Teoretycznie, jeśli jest prosta i nie wymienia żadnych danych z użytkownikiem - nie musi.

Praktycznie? Od 2014 roku najważniejsza wyszukiwarka, jaką jest Google, preferuje strony zabezpieczone protokołem HTTPS. Oznacza to, że będzie on taką stronę pozycjonował teoretycznie wyżej niż w przypadku protokołu HTTP (O samym pozycjonowaniu możesz przeczytać tu). 

Jednak obowiązkowo należy taki certyfikat posiadać, jeżeli strona będzie zbierać jakiekolwiek dane od użytkowników.

Pierwsze wrażenie użytkownika

Dodatkowo, niektóre przeglądarki wyświetlają ostrzeżenia, w momencie, kiedy użytkownik wypełnia formularz na niezabezpieczonej stronie. A chyba nikt nie chce z tego powodu tracić klientów? Zresztą sam podpis 'Niezabezpieczona' w pasku adresu naszej strony np. w przeglądarce Chrome nie jest zachęcający.

Okno informujące o niezabezpieczonym połączeniu ze stroną WWW
W przeglądarce Chrome strony działające w oparciu o HTTP otrzymują wyraźną etykietę 'Niezabezpieczone' w pasku adresu.

Potwierdzenie tożsamości

Dzięki certyfikatowi SSL możemy także  potwierdzić swoją tożsamość (certyfikaty poziomu min. OV) i uwiarygodnić się przed użytkownikiem. 

Certyfikat SSL potwierdzający tożsamość podmiotu
Certyfikat na stronie gov.pl potwierdza, że właścicielem strony jest odpowiedni, zweryfikowany podmiot rządowy.

Jak wdrożyć HTTPS na swoją stronę? Czy to kosztuje?

Większość twórców stron domyślnie powinno zaproponować Ci wykorzystanie dołączenie certyfikatu SSL do Twojej strony.  Zwłaszcza, że prosty, podstawowy certyfikat można zdobyć całkowicie za darmo. Przykładem takiego certyfikatu jest Let’s Encrypt.

Jest to w darmowy certyfikat, który sponsoruje między innymi Mozilla, Google, Facebook czy Cisco (Aczkolwiek liczba sponsorów jest bardzo duża i w większości są to duże, znane marki). 

Darmowy certyfikat w zupełności wystarczy w przypadku prostych stron, które zbierają od użytkowników mało wrażliwe dane. W przypadku sklepów i innych bardziej skomplikowanych aplikacji warto zainwestować w komercyjny certyfikat SSL. Cena zależy od rodzaju certyfikatu i sumy gwarancyjnej. Warto bowiem wspomnieć o tym, że certyfikaty komercyjne posiadają pewnego rodzaju ubezpieczenie wypłacane w przypadku ich złamania (co się nie zdarza, więc takową gwarancję można traktować raczej jako zabieg marketingowy).

Podsumowanie

Podsumujmy zalety HTTPS nad HTTP:

  • Zwiększone bezpieczeństwo.
  • Podstawowy certyfikat możemy uzyskać za darmo.
  • Nie odstraszamy użytkowników informacją o niezabezpieczonej stronie.
  • Potencjalnie wyżej pozycjonujemy naszą stronę.

Wady? Szczerze mówiąc, nie jestem w stanie wymyślić nawet jednej wady, czy też przewagi HTTP nad HTTPS.

Mam nadzieję, że przybliżyłem Ci czym jest ten tajemniczy ciąg znaków w adresie strony internetowej. Jeżeli miałbyś jakieś pytania - napisz do nas śmiało, z chęcią pomożemy!


Materiały graficzne w miniaturce pochodzą z SVGRepo