HTTPS

HTTPS

Spis treści - HTTPS

HTTPS – protokół określający, że połączenie użytkownik-serwer jest szyfrowane protokołem SSL i w pełni bezpieczne.

Stosowanie protokołu HTTPS

Rodzaj protokołu HTTPS stosuje się głównie wszędzie tam, gdzie zbierane są dane od użytkownika czyli:

  • w bankach internetowych,
  • płatnościach online,
  • sklepach internetowych,
  • forach i portalach społecznościowych.

Protokół HTTPS tak samo jak HTTP występuje przed adresem strony www w oknie wyszukiwania. Jedyna różnica to widoczny znak kłódki przed adresem i protokołem oznaczający, że połączenie jest szyfrowane i bezpieczne.

Strony z protokołem HTTPS będą wyżej pozycjonowane niż HTTP. 

Zabezpieczenia protokołu HTTPS

Dane przesyłane za pomocą protokołu HTTPS chroni protokół TLS, który ma 3 główne warstwy zabezpieczeń:

  • Szyfrowanie – szyfruje przesyłane dane, co zapobiega ich odczytywaniu przez intruzów. Uniemożliwia to przechwytywanie rozmów prowadzonych przez użytkownika, śledzenie jego działań na różnych stronach i wykradanie jego informacji, gdy przegląda on witrynę.
  • Integralność danych – pozwala na wykrywanie wszystkich celowych lub innych zmian i uszkodzeń danych podczas przesyłania.
  • Uwierzytelnianie – potwierdza, że użytkownik komunikuje się z właściwą witryną.

Zasady wdrażania protokołu HTTPS

  • Używanie tylko sprawdzonych certyfikatów bezpieczeństwa – podczas wprowadzanie protokół HTTPS w witrynie, należy uzyskać certyfikat bezpieczeństwa, który jest wystawiany przez urząd certyfikacji, a wcześniej weryfikowany czy dany adres internetowy należy do organizacji starającej się o certyfikat. Podczas konfigurowania certyfikatu należy wybrać klucz 2048-bitowy, aby maksymalnie zwiększyć bezpieczeństwo.
  • Stosowanie tylko trwałych przekierowań po stronie serwera – w tym wypadku w celu przekierowania użytkownika na nowy serwer należy użyć przekierowania 301 lub 308.
  • Sprawdzenie czy Googlebot może indeksować strony HTTPS – należy użyć narzędzia do sprawdzenia adresów URL, w celu weryfikacji czy Googlebot ma dostęp do strony z protokołem HTTPS, sprawdzić czy nie jest zablokowany dostęp za pomocą pliku robots.txt oraz czy nie zastosowano tagów noindex na tych stronach.
  • Stosowanie mechanizmu HSTS – czyli informowanie przeglądarki, że ma ona automatycznie ładować strony używające protokołu HTTPS, nawet w wypadku, gdy w pasku adresu użytkownik wpisze http.