507 392 548 lub 531 111 181 kontakt@studioa7.pl

HTTPS

HTTPS – protokół określający, że połączenie użytkownik-serwer jest szyfrowane protokołem SSL i w pełni bezpieczne. Ten rodzaj protokołu stosuje się głównie wszędzie tam, gdzie zbierane są dane od użytkownika czyli w bankach internetowych, płatnościach online, sklepach internetowych, forach i portalach społecznościowych. Protokół HTTPS tak samo jak HTTP występuje przed adresem strony www w oknie wyszukiwania. Jedyna różnica to widoczny znak kłódki przed adresem i protokołem oznaczający, że połączenie jest szyfrowane i bezpieczne.
Strony z protokołem HTTPS będą wyżej pozycjonowane niż HTTP. 

Zabezpieczenia protokołu HTTPS

Dane przesyłane za pomocą protokołu HTTPS chroni protokół TLS, który ma 3 główne warstwy zabezpieczeń:

  • Szyfrowanie – szyfruje przesyłane dane, co zapobiega ich odczytywaniu przez intruzów. Uniemożliwia to przechwytywanie rozmów prowadzonych przez użytkownika, śledzenie jego działań na różnych stronach i wykradanie jego informacji, gdy przegląda on witrynę.
  • Integralność danych – pozwala na wykrywanie wszystkich celowych lub innych zmian i uszkodzeń danych podczas przesyłania.
  • Uwierzytelnianie – potwierdza, że użytkownik komunikuje się z właściwą witryną.

Zasady wdrażania protokołu HTTPS

  • Używanie tylko sprawdzonych certyfikatów bezpieczeństwa – podczas wprowadzanie protokół HTTPS w witrynie, należy uzyskać certyfikat bezpieczeństwa, który jest wystawiany przez urząd certyfikacji, a wcześniej weryfikowany czy dany adres internetowy należy do organizacji starającej się o certyfikat. Podczas konfigurowania certyfikatu należy wybrać klucz 2048-bitowy, aby maksymalnie zwiększyć bezpieczeństwo.
  • Stosowanie tylko trwałych przekierowań po stronie serwera – w tym wypadku w celu przekierowania użytkownika na nowy serwer należy użyć przekierowania 301 lub 308.
  • Sprawdzenie czy Googlebot może indeksować strony HTTPS – należy użyć narzędzia do sprawdzenia adresów URL, w celu weryfikacji czy Googlebot ma dostęp do strony z protokołem HTTPS, sprawdzić czy nie jest zablokowany dostęp za pomocą pliku robots.txt oraz czy nie zastosowano tagów noindex na tych stronach.
  • Stosowanie mechanizmu HSTS – czyli informowanie przeglądarki, że ma ona automatycznie ładować strony używające protokołu HTTPS, nawet w wypadku, gdy w pasku adresu użytkownik wpisze http.