Преимущества протокола HTTPS

Преимущества протокола HTTPS

Преимущества протокола HTTPS

Спешу поделиться новостью, что сегодня приобрел SSL - сертификат, и теперь мой бложик работает по HTTPS протоколу, а это значит, что теперь все страницы сайта начинаются с https:// (вы можете убедиться, глянув на адресную строку). Это хорошее нововведение о котором я хочу рассказать вам в трех словах.

Проткол HTTP легко прослушивается.

Когда вы открываете сайты по протоколу http:// он словно кричит: "Эээй, ты, да ты, с логином botan_forever и паролем qwerty, не хочешь поиграть в игру?"

Это услушат все, начиная от вашего браузера и ваших вирусов, которые качают вам порнушку на комп, заканчивая провайдером и какими-то промежуточными серверами между вами и сайтом, который работает по HTTP протоколу.

HTTPS - HyperText Transfer Protocol Secure

Преимущества HTTPS

Защищенное соединение

Первым и не единственным преимуществом HTTPS над HTTP - является зашифрованное соединение, это значит, что данные нельзя перехватить или прочитать.

HTTPS не гарантирует 100% безопасность.

Зашифрованное соединение подразумевает не только защиту личных данных: пароли, логины, номера кредитных карт, имена любовниц, но и контент, к которому вы получаете доступ.

Рисунок 1 - Картинка от яндекса, показывает пример защищенного канала

Очень часто, простые смертные задаются вопросом: "Если на моем сайте не происходит ни каких транзакций с кредитками, нет интернет магазина и вообще у меня не коммерческий проект, а обычный фотоблог и пользователь не вводит ни каких данных на мой сайт, то нужно ли мне это HTTPS соединение?"

Конечно же да. А почему "да" - я попробую объяснить на пальцах. Поэтому затягивайте ремни и продолжайте читать дальше :)

Идентификация сайта

Сертификат SSL дает гарантию, что вы просматриваете именно тот сайт, на который хотели зайти (а не его подмену), так же он гарантирует, что нужные данные будут отправлены именно на этот сайт и не попадут злоумышленникам

Рисунок 2 - Получить данные о сертефикате можно кликнув на зеленый значок

Целостность данных

Если данные передаются в незашифрованном виде, злоумышленник может их получить, прочитать и даже изменить. Безопасное HTTPS соединение делает такие атаки практически невозможными, а может быть и совсем невозможными.

Хочу привести вам аналогию работы HTTP и HTTPS.

Данные, которые передаются по HTTP - это словно открытка, на которой вы написали поздравление, указала адрес и имя получателя. Пока эта открытка доходит до адресата, все, кому попадает она в руки (почта, почтальоны, прочие службы), видят и просматривают эту информацию. Она не защищена.

HTTPS - это конверт для вашей открытки. Никто не знает что внутри. никто не может просмотреть информацию на открытке. А если кто-то его вскроет, то вы обязательно это увидите, т.к. конверт будет порван. Нет гарантии, что конверт не вскроют, поэтому никто не станет пересылать в конверте личные документы или деньги. Для этого вы будете использовать другие методы. Точно так же и в сети. Нужно использовать другие методы, где используются другие методы шифрования, другие безопасности и т.п.

HTTPS - это не панацея и он не гарантирует 100% безопасность.

SEO

Google старается отправлять своих пользователей на проверенные и безопасные сайты, поэтому он включил HTTPS протокол в алгоритм ранжирования. Другими словами, при поиске, если гугл получит примерно два одинаковых сайта, он отдаст предпочтение безопасному.

Доверие

Зеленый значок у адреса сайта говорит о том, что вы беспокоитесь о своих пользователях. Вы их уважаете. И конечно же, сайт с SSL - сертификатом выглядит престижнее :)

Недостатки HTTPS

Цена

Пожалуй главный недостаток - это его цена. Существует несколько типов сертификатов и сейчас их цены варьируются в диапазоне от 10$ до 1000$ в год.

Сложность установки

Необходимо пройти не самую очевидную валидацию сайта, получить ключ, сертификат, все это установить на сайт, настроить нужным образом и простой рядовой скорее всего хватится за голову.

Сложность настройки

После установки SSL - сертификата, необходимо настроить сайт, чтобы все страницы делали 301-й редирект на https, а это тоже не самая очевидная вещь для простого рядового.

Встраиваемый контент

Если ваш сайт настроен неправильно, то он будет загружать контент из небезопасных источников по HTTP протоколу, из-за этого пользователи будут получать уведомление о небезопасном содержимом, а пользователя это пугает и если человек не осведомлен, он может просто покинуть ваш сайт.

Даже изображения должны быть защищены и если вы загружаете изображение из небезопасных источников - вы получите предупреждение о небезопасном содержимом.

P.S. Хотел рассказать в трех словах, да похоже не вышло. Надеюсь кому-то эта статья была интересна. Если есть вопросы, замечание или исправления, отписывайтесь в комментариях.

P.P.S. Советую прочитать статью по HTTPS от yandexa: https://yandex.ru/blog/company/77455/

Оставить комментарий