HTTPS – protokół określający, że połączenie użytkownik-serwer jest szyfrowane protokołem SSL i w pełni bezpieczne.
Stosowanie protokołu HTTPS
Rodzaj protokołu HTTPS stosuje się głównie wszędzie tam, gdzie zbierane są dane od użytkownika czyli:
- w bankach internetowych,
- płatnościach online,
- sklepach internetowych,
- forach i portalach społecznościowych.
Protokół HTTPS tak samo jak HTTP występuje przed adresem strony www w oknie wyszukiwania. Jedyna różnica to widoczny znak kłódki przed adresem i protokołem oznaczający, że połączenie jest szyfrowane i bezpieczne.
Strony z protokołem HTTPS będą wyżej pozycjonowane niż HTTP.
Zabezpieczenia protokołu HTTPS
Dane przesyłane za pomocą protokołu HTTPS chroni protokół TLS, który ma 3 główne warstwy zabezpieczeń:
- Szyfrowanie – szyfruje przesyłane dane, co zapobiega ich odczytywaniu przez intruzów. Uniemożliwia to przechwytywanie rozmów prowadzonych przez użytkownika, śledzenie jego działań na różnych stronach i wykradanie jego informacji, gdy przegląda on witrynę.
- Integralność danych – pozwala na wykrywanie wszystkich celowych lub innych zmian i uszkodzeń danych podczas przesyłania.
- Uwierzytelnianie – potwierdza, że użytkownik komunikuje się z właściwą witryną.
Zasady wdrażania protokołu HTTPS
- Używanie tylko sprawdzonych certyfikatów bezpieczeństwa – podczas wprowadzanie protokół HTTPS w witrynie, należy uzyskać certyfikat bezpieczeństwa, który jest wystawiany przez urząd certyfikacji, a wcześniej weryfikowany czy dany adres internetowy należy do organizacji starającej się o certyfikat. Podczas konfigurowania certyfikatu należy wybrać klucz 2048-bitowy, aby maksymalnie zwiększyć bezpieczeństwo.
- Stosowanie tylko trwałych przekierowań po stronie serwera – w tym wypadku w celu przekierowania użytkownika na nowy serwer należy użyć przekierowania 301 lub 308.
- Sprawdzenie czy Googlebot może indeksować strony HTTPS – należy użyć narzędzia do sprawdzenia adresów URL, w celu weryfikacji czy Googlebot ma dostęp do strony z protokołem HTTPS, sprawdzić czy nie jest zablokowany dostęp za pomocą pliku robots.txt oraz czy nie zastosowano tagów noindex na tych stronach.
- Stosowanie mechanizmu HSTS – czyli informowanie przeglądarki, że ma ona automatycznie ładować strony używające protokołu HTTPS, nawet w wypadku, gdy w pasku adresu użytkownik wpisze http.