Co to jest HTTPS?

HTTPS (and. Hypertext Transfer Protocol Secure) jest szyfrowaną odmianą protokołu HTTP. Komunikacja nie odbywa się tutaj na zasadzie klient-serwer (spotykana np. w serwerach poczty elektronicznej), a na zasadzie szyfrowanego protokołu SSL, dzięki któremu nie ma możliwości przejęcia czy zmiany danych przesyłanych w ramach tego połączenia. Sam protokół SSL został stworzony w 1994 roku przez firmę Netscape i wykorzystywany jest obecnie do uwierzytelniania serwera i klienta. Rozwinięciem SSL jest TLS (ang. Transport Layer Security), który nie tylko służy zapewnieniu bezpieczeństwa i poufności w sieci, ale i uwierzytelnieniu serwera (podobnie jak SSL). Wspomniane wyżej zapewnienie bezpieczeństwa polega na wykorzystaniu szyfrowanego, publicznego klucza do wymiany klucza pochodzącego z krótkiej sesji, aby odszyfrować dane przesyłane między klientem a serwerem.

Domyślnym portem dla protokołu HTTPS jest port 443 (HTTP korzysta z domyślnego portu nr 80), działający w protokole TCP (strumieniowym protokole komunikacyjnym, który odpowiada za przesył danych między procesami działającymi na kilku maszynach). W przypadku wywołania dwóch protokołów: HTTP i HTTPS, to ten drugi realizowany jest jako pierwszy, gdyż znajduje się o warstwę wyżej niż zwykły protokół HTTP. Dzięki temu pojedynczy adres zdolny jest do serwowania jedynie jednej domeny/subdomeny.

Początkowo protokół HTTPS używany był przy stronach, na których zachodziła autoryzacja płatności, na serwerach pocztowych (logowanie na konto e-mail). Na początku 2010 to się zmieniło i protokół HTTPS zaczął być wykorzystywany także w innych sytuacjach, umożliwiając uwierzytelnianie serwerów oraz ochronę kont użytkowników Internetu wraz z zapewnieniem bezpieczeństwa sposobu ich komunikacji.

Aby dana strona WWW była bezpieczna, powinna w całości korzystać z protokołu HTTPS. W momencie, kiedy część jej zawartości korzysta z protokołu HTTP, całość czyni stronę podatną na ataki z zewnątrz. Bezpieczną stronę rozpoznamy po symbolu kłódki z lewej strony paska adresu.

Zastosowanie protokołu HTTPS (a zatem – SSL) na własnej stronie WWW jest proste:

• należy uzyskać certyfikat protokołu SSL, który służy weryfikacji tożsamości np. firmy i umożliwia nawiązanie zabezpieczonego połączenia z przeglądarką odwiedzającego naszą stronę użytkownika. Certyfikat taki otrzymamy albo u naszego dostawcy Internetu (jeśli takowy oferuje), albo u dostawcy certyfikatów SSL,
• otrzymany certyfikat należy zainstalować na naszym serwerze,
• należy wybrać konkretne strony, które chcemy zabezpieczyć w naszym serwisie,
• linki, które mają być objęte certyfikatem, należy edytować, czyli powinny rozpoczynać się od https://

Na koniec pozostaje sprawdzić, czy został poprawnie zainstalowany certyfikat wchodząc na naszą stronę z co najmniej dwóch rodzajów przeglądarek. Po wyświetleniu symbolu kłódki należy na niego kliknąć i wyświetlić dodatkowe informacje na temat zabezpieczonego połączenia.