Что означает https: «Чем отличается протокол HTTP от HTTPS?» – Яндекс.Кью – HTTP и HTTPS: в чем разница между протоколами

Что такое HTTPS протокол, его использование и принцип работы

Все мы привыкли при вводе названия сайта видеть впереди HTTP– стандартный протокол передачи данных от сервера, на котором находится сайт, к пользователю. Однако, не смотря на всю его популярность, все больше сайтов предпочитают использовать более продвинутый протокол – HTTPS, так как он защищает передаваемые данные от перехвата злоумышленниками путем их шифрования. Рассмотрим этот протокол более подробно: как он работает, кому рекомендуется использовать и что нужно, чтобы подключить HTTPS к сайту.

HTTPS (Hypertext Transport Protocol Secure) – это протокол, который обеспечивает конфиденциальность обмена данными между сайтом и пользовательским устройством. Безопасность информации обеспечивается за счет использования криптографических протоколов SSL/TLS, имеющих 3 уровня защиты:

1. Шифрование данных. Позволяет избежать их перехвата.
2. Сохранность данных. Любое изменение данных фиксируется.
3. Аутентификация. Защищает от перенаправления пользователя.

 

В каких случаях необходим сертификат HTTPS?

Обязательное использование защищенного протокола передачи данных требует вся информация, касающаяся проведения платежей в интернете: оплата товаров в интернет-магазинах любым способом (индивидуальная платежная карта, онлайн системы платежей и пр.), оплата услуг через интернет-банкинг, совершение платежей в онлайн сервисах (казино, online-курсы и т.п.) и многое другое.

Использовать протокол HTTPS рекомендуется также на сайтах, которые для доступа к определенному контенту запрашивают личные данные пользователей, например, номер паспорта – такие данные необходимо защищать от перехвата злоумышленниками.

Если на вашем сайте используется что-либо похожее, то вам стоит серьезно задуматься над переходом на HTTPS. Поэтому далее мы рассмотрим, что для этого необходимо.

Что нужно для перехода сайта на HTTPS?

Работа протокола HTTPS основана на том, что компьютер пользователя и сервер выбирают общий секретный ключ, с помощью которого и происходит шифрование передаваемой информации. Это ключ уникальный и генерируется для каждого сеанса. Считается, что его подделать невозможно, так как в нем содержится более 100 символов. Во избежание перехвата данных третьим лицом используется цифровой сертификат – это электронный документ, который идентифицирует сервер. Каждый владелец сайта (сервера) для установки защищенного соединения с пользователем должен иметь такой сертификат.

В этом электронном документе указываются данные владельца и подпись. С помощью сертификата вы подтверждаете, что:

• Лицо, которому он выдан, действительно существует,
• Оно является владельцем сервера (сайта), который указан в сертификате.

Первое, что делает браузер при установке соединения по протоколу HTTPS, это проверку подлинности сертификата, и только в случае успешного ответа начинается обмен данными.

 

Сертификатов существует несколько видов в зависимости от:

• того, какой уровень безопасности вам необходим,
• количества доменных имен и поддоменов,
• количества владельцев.

Но это уже тема отдельной статьи. Выдают их специализированные центры сертификации на возмездной основе и на определенный период, поэтому важно не забывать продлевать действие сертификата, иначе вместо вашего сайта пользователь получит сообщение в браузере следующего содержания:

 

Не так давно поисковая система Google заявила о том, что для нее наличие протокола HTTPS является одним из важных факторов ранжирования сайта. Не исключено, что такого же мнения и Яндекс (либо скоро будет). Поэтому в следующей статье нашего блога мы рассмотрим, как корректно перевести сайт на протокол HTTPS, чтобы это имело минимальные потери для текущих позиций сайта в поиске.

Вернуться назад

Статьи по теме:

Что такое HTTPS?

HTTPS (HyperText Transfer Protocol Secure) — это более безопасная версия базового протокола HTTP, который используется вашим стандартным веб-сайтом при общении через различные веб-сайты. Когда пользователь подключается к веб-сайту, использующему HTTP, браузер просматривает IP-адрес узла-источника, который соответствует непосредственно веб-сайту, позволяющему пользователю подключиться к этому IP-адресу. Затем система предполагает, что теперь она подключена к правильному веб-серверу. В этом случае передаваемые данные передаются в виде текста. Именно поэтому сторонние пользователи могут легко перехватывать данные через различные сети, такие как сети Wi-Fi, провайдеров услуг Интернет и государственные учреждения.

Поскольку HTTP доказал, что вредит безопасности веб-сайтов, а также любой форме конфиденциальной личной информации и данных, которые могут быть перехвачены, необходимо разработать способ противодействия этим нарушениям безопасности. Большинство людей также полагают, что они подключены к нужному сайту, но в действительности их можно легко перенаправить на сайт самозванца. В этом случае личные данные могут быть легко утеряны.

Одним из решений этой проблемы является шифрование данных перед их передачей. HTTPS шифрует эти данные перед их передачей, чтобы они не попали в чужие руки. В большинстве случаев это можно увидеть, когда вы заходите на сайт банка. Ваш браузер сначала проверит, содержит ли этот сайт сертификат безопасности, а также проверит, был ли он выдан законным центром сертификации. После этого вы увидите https:// в адресной строке вашего браузера. Это лучший способ узнать, что вы подключены к защищенной сети и что теперь вы подключены к легитимному веб-сайту.

Cодержание

1. Различие между HTTP и HTTPS
   1. Резюме технических различий между HTTP и HTTPS:

Различие между HTTP и HTTPS

Большинство людей не знают о различиях между http:// и https://, поскольку оба они почти визуально схожи. Знание различий между ними имеет первостепенное значение для поддержания безопасного и эффективного сайта, способного защитить информацию и данные. Браузеры были разработаны таким образом, что строка URL-адреса будет выделять буквы S в HTTPS другим цветом, чтобы пользователи могли их заметить.

Вот некоторые очевидные различия между ними:

1. HTTP — В настоящее время шифрование данных не осуществляется.
   1. Каждая URL-ссылка использует HTTP в качестве основного типа протокола передачи гипертекста. Учитывая это, HTTP уподобляется системе, которая не принадлежит ни одному государству. Это позволяет включить любое соединение по требованию.
   2. По сути, этот протокол является протоколом прикладного уровня. Это означает, что он больше фокусируется на информации, которая предоставляется пользователю, но не на том, как эти данные передаются от узла-источника к получателю. Это может нанести ущерб, так как это средство доставки может быть легко перехвачено и отслежено злоумышленниками сторонних пользователей (обычно известными как хакеры).
2. HTTPS — Данные зашифрованы.
   1. По сравнению с HTTP, информация о пользователе, такая как номера кредитных карт и другие формы важной личной информации, зашифрована. Это предотвращает доступ вредоносных пользователей третьих сторон к этим формам конфиденциальных данных в любой форме.
   2. При более безопасной сети пользователи будут иметь более высокий уровень доверия при использовании сайта, поскольку их данные зашифрованы, а пользователям со злым умыслом будет трудно взломать свои данные.
3. Статистика показывает, что 84% покупателей покидают веб-сайты после того, как узнают, что веб-сайт передает данные по незащищенному каналу.
4. 29% пользователей осознают разницу между HTTP и HTTPS и активно ищут эту разницу в адресной строке.
   3. Являясь новой формой технологии, HTTPS все еще имеет несколько особенностей, которые до сих пор считаются экспериментальными. В связи с этим более старые типы браузеров будут испытывать трудности с адаптацией к этим веб-сайтам.
   4. По сравнению с простой настройкой сайта с HTTP, переход на HTTPS требует от пользователя прохождения нескольких юридических процедур для получения SSL-сертификата. Это означает, что владельцы страниц и сайтов вынуждены тратить деньги. Получение SSL-сертификатов является платной услугой от центра сертификации.
   5. Благодаря процессу кодирования сервер направляет энергию и время обработки на кодирование информации до того, как она будет передана.

Резюме технических различий между HTTP и HTTPS:

• HTTP небезопасен, в то время как HTTPS является безопасным протоколом.
• HTTP использует TCP порт 80, в то время как HTTPS использует TCP порт 4433.
• HTTP работает на прикладном уровне, в то время как HTTPS работает на транспортном уровне безопасности (TLS).
• Для HTTP не требуется сертификат SSL, но HTTPS требует, чтобы сертификат SSL был подписан и внедрен центром сертификации (ЦС).
• HTTP не обязательно требует подтверждения домена, в то время как HTTPS в обязательном порядке требует подтверждения

HTTPS — Википедия. Что такое HTTPS

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.

[1]

Протокол был разработан компанией Netscape Communications для браузера Netscape Navigator в 1994 году^[2].

Принцип работы

HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS.^[3] Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.^[4]

По умолчанию HTTPS URL использует 443 TCP-порт (для незащищённого HTTP — 80).^[5] Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат открытого ключа для этого веб-сервера. В TLS используется как асимметричная схема шифрования (для выработки общего секретного ключа), так и симметричная (для обмена данными, зашифрованными общим ключом). Сертификат открытого ключа подтверждает принадлежность данного открытого ключа владельцу сайта. Сертификат открытого ключа и сам открытый ключ посылаются клиенту при установлении соединения; закрытый ключ используется для расшифровки сообщений от клиента.

[6]

Существует возможность создать такой сертификат, не обращаясь в ЦС. Подписываются такие сертификаты этим же сертификатом и называются самоподписанными (self-signed). Без проверки сертификата каким-то другим способом (например, звонок владельцу и проверка контрольной суммы сертификата) такое использование HTTPS подвержено атаке man-in-the-middle.^[7]

Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя. Также будут приниматься все сертификаты, подписанные организациями, которым доверяет сервер. Такой сертификат обычно содержит имя и адрес электронной почты авторизованного пользователя, которые проверяются при каждом соединении, чтобы проверить личность пользователя без ввода пароля.

[8]

В HTTPS для шифрования используется длина ключа 40, 56, 128 или 256 бит. Некоторые старые версии браузеров используют длину ключа 40 бит (пример тому — IE версий до 4.0), что связано с экспортными ограничениями в США. Длина ключа 40 бит не является сколько-нибудь надёжной. Многие современные сайты требуют использования новых версий браузеров, поддерживающих шифрование с длиной ключа 128 бит, с целью обеспечить достаточный уровень безопасности. Такое шифрование значительно затрудняет злоумышленнику поиск паролей и другой личной информации.^[9]

Традиционно на одном IP-адресе может работать только один HTTPS-сайт. Для работы нескольких HTTPS-сайтов с различными сертификатами применяется расширение TLS под названием Server Name Indication (SNI).^[10]

На 17 июля 2017 года, 22,67 % сайтов из списка «Alexa top 1,000,000» используют протокол HTTPS по умолчанию^[11]. HTTPS используется на 4,04 % от общего числа зарегистрированных российских доменов^[12].

Идентификация в HTTPS

Идентификация сервера

HTTP/TLS запросы генерируются путём разыменования URI, в следствие чего имя хоста становится известно клиенту. В начале общения, сервер посылает клиенту свой сертификат, чтобы клиент идентифицировал его. Это позволяет предотвратить атаку человек посередине. В сертификате указывается URI сервера. Согласование имени хоста и данных, указанных в сертификате, происходит в соответствии с протоколом RFC2459^[13].

Если имя сервера не совпадает с указанным в сертификате, то пользовательские программы, например браузеры, сообщают об этом пользователю. В основном, браузеры предоставляют пользователю выбор: продолжить незащищённое соединение или прервать его.^[14]

Идентификация клиента

Обычно, сервер не располагает достаточной информацией о клиенте, для его идентификации. Однако, для обеспечения повышенной защищённости соединения используется так называемая two-way authentication. При этом сервер, после подтверждения его сертификата клиентом, также запрашивает сертификат. Таким образом, схема подтверждения клиента аналогична идентификации сервера.^[15]

Уязвимости HTTPS

Совместное использование HTTP и HTTPS

Когда сайты используют смешанный функционал HTTP и HTTPS, это потенциально приводит к информационной угрозе для пользователя. Например, если основные страницы некоторого сайта загружаются, используя HTTPS, а CSS и JavaScript загружаются по HTTP, то злоумышленник в момент загрузки последних может подгрузить свой код и получить данные HTML-страницы. Многие сайты, несмотря на такие уязвимости, загружают контент через сторонние сервисы, которые не поддерживают HTTPS. Механизм HSTS позволяет предотвратить подобные уязвимости, заставляя принудительно использовать HTTPS соединение даже там, где по умолчанию используется HTTP.^[16]

Атаки с использованием анализа трафика

В HTTPS были обнаружены уязвимости, связанные с анализом трафика. Атака с анализом трафика — это тип атаки, при которой выводятся свойства защищённых данных канала путём измерения размера трафика и времени передачи сообщений в нём. Анализ трафика возможен, поскольку шифрование SSL/TLS изменяет содержимое трафика, но оказывает минимальное влияние на размер и время прохождения трафика. В мае 2010 года исследователи из Microsoft Research и Университета Индианы обнаружили, что подробные конфиденциальные пользовательские данные могут быть получены из второстепенных данных, таких например, как размеры пакетов. Анализатор трафика смог заполучить историю болезней, данные об использовавшихся медикаментах и проведённых операциях пользователя, данные о семейном доходе и пр. Всё это было произведено несмотря на использование HTTPS в нескольких современных веб-приложениях в сфере здравоохранения, налогообложения и других.^[17]

Человек посередине. HTTPS

Рис.1 Стандартная конфигурация сети. Пользователь на хосте клиента (CH) хочет осуществить безопасную транзакцию, но уязвим для атаки «человек в середине».

При атаке «человек посередине» используется то, что сервер HTTPS отправляет сертификат с открытым ключом в браузер. Если этот сертификат не заслуживает доверия, то канал передачи будет уязвимым к атаке злоумышленника. Такая атака заменяет оригинальный сертификат, удостоверяющий HTTPS-сервер, модифицированным сертификатом. Атака проходит успешно, если пользователь пренебрегает двойной проверкой сертификата, когда браузер отправляет предупреждение. Это особенно распространено среди пользователей, которые часто сталкиваются с самозаверенными сертификатами при доступе к сайтам внутри сети частных организаций. ^[18]

На рис. 1 представлена ситуация, когда злоумышленник является шлюзом между клиентом, осуществляющим безопасную транзакцию, и сервером. Таким образом через злоумышленника проходит весь трафик клиента и он может перенаправить его по своему усмотрению. Здесь делаются следующие шаги:

1. Злоумышленник встраивается между клиентом и сервером
2. Пересылает все сообщения от клиента серверу без изменений
3. Перехват сообщений от сервера, посланных по шлюзу по умолчанию
4. Создание самозаверенного сертификата и подмена им сертификата сервера
5. Отправление ложного сертификата клиенту
6. Когда клиент подтвердит сертификат, будут установлены защищённые соединения: между злоумышленником и сервером и другое — между злоумышленником и клиентом.

В итоге такой атаки клиент и сервер думают, что осуществляют безопасное соединение, однако злоумышленник теперь также имеет закрытый ключ и может расшифровать любое сообщение в канале.^[18]

См. также

Примечания

1. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 25 декабря 2017.
2. ↑ Walls, Colin. Embedded software. — Newnes, 2005. — P. 344. — ISBN 0-7506-7954-9.
3. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 25 декабря 2017.
4. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 25 декабря 2017.
5. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 25 декабря 2017.
6. ↑ Tim Dierks [email protected]>. The Transport Layer Security (TLS) Protocol Version 1.2 (англ.). tools.ietf.org. Проверено 25 декабря 2017.
7. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 25 декабря 2017.
8. ↑ Aboba, Bernard, Simon, Dan. PPP EAP TLS Authentication Protocol (англ.). buildbot.tools.ietf.org. Проверено 25 декабря 2017.
9. ↑ Tim Dierks [email protected]>. The Transport Layer Security (TLS) Protocol Version 1.2 (англ.). tools.ietf.org. Проверено 25 декабря 2017.
10. ↑ W. M. Shbair, T. Cholez, A. Goichot, I. Chrisment. Efficiently bypassing SNI-based HTTPS filtering // 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM). — May 2015. — С. 990–995. — DOI:10.1109/INM.2015.7140423.
11. ↑ HTTPS usage statistics on top websites. statoperator.com. Проверено 28 июня 2016.
12. ↑ Статистика российского интернета runfo.ru (рус.). www.runfo.ru. Проверено 16 февраля 2017.
13. ↑ Solo, David, Housley, Russell, Ford, Warwick. Certificate and CRL Profile (англ.). tools.ietf.org. Проверено 22 декабря 2017.
14. ↑ E. Rescorla. HTTP Over TLS (англ.). tools.ietf.org. Проверено 22 декабря 2017.
15. ↑ Tim Dierks [email protected]>. The Transport Layer Security (TLS) Protocol Version 1.2 (англ.). tools.ietf.org. Проверено 22 декабря 2017.
16. ↑ How to Deploy HTTPS Correctly (англ.), Electronic Frontier Foundation (15 November 2010). Проверено 23 декабря 2017.
17. ↑ Shuo Chen, Rui Wang, XiaoFeng Wang, Kehuan Zhang. Side-Channel Leaks in Web Applications: a Reality Today, a Challenge Tomorrow (англ.) // Microsoft Research. — 2010-05-01.
18. ↑ ^{1 2} Callegati et al, 2009, с. 78.

Литература

Что значит HTTP и HTTPS в ваших ссылках?И чем они отличаются

Для начала нам нужно разобраться что же такое HTTP и HTTPS

HTTP (HyperText Transfer Protocol — протокол передачи гипертекста) — это протокол передачи данных в сети на текущий момент используется для получения информации с веб-сайтов. Протокол HTTP основан на использовании технологии «клиент-сервер». Клиент отправляет запрос, сервер принимает его, обрабатывает и отправляет результат обратно.

HTTPS (HyperText Transfer Protocol Secure — безопасный протокол передачи гипертекста) — это расширение протокола HTTP, поддерживающее шифрование посредством криптографических протоколов SSL и TLS.То есть HTTPS это тот же самый протокол, только зашифрованный.  Сама буква S означает Secure (Защита)

 

Чем отличаются HTTP от HTTPS

• HTTPS не является отдельным протоколом передачи данных, а представляет собой расширение протокола HTTP с надстройкой шифрования;
• передаваемые по протоколу HTTP данные не защищены, HTTPS обеспечивает конфиденциальность информации путем ее шифрования;
• HTTPS использует 443 порт, в отличие от привычного 80 порта HTTP

Использование HTTPS

Обеспечение безопасной передачи данных необходимо на сайтах, где передается конфиденциальная информация (личные данные пользователей, детали доступа, реквизиты платежных карт) — на любых сайтах с авторизацией, взаимодействием с почтовыми сервисами, платежными системами. Шифрование таких данных позволит предотвратить их получение и использование третьими лицами.

Для реализации передачи данных посредством HTTPS на веб-сервере, обрабатывающем запросы от клиентов, должен быть установлен специальный SSL-сертификат. Есть сертификаты, защищающие только один домен. А есть сертификаты, которые обеспечивают защиту информации на всех поддоменах.  Шифрование происходит в обе стороны — как данных, полученных клиентом, так и данных, отправленных на сервер.

Наличие SSL-сертификата является одним из факторов ранжирования Google и Яндекс, поэтому переход на протокол HTTPS повышает позиции в ранжирование поисковых систем. Хотя на текущий момент этот фактор не имеет основополагающего значения, его влияние на поисковой результат может увеличиваться в будущем.

 

Нужно ли устанавливать SSL сертификат на ваш веб-сайт? 

-Однозначно ДА, это нужно сделать минимум по трем причинам 

• Конфиденциальность
  В открытой среде, такой как Интернет, он защищает коммуникации между двумя сторонами. Например, в отсутствие HTTPS владелец точки доступа WiFi может видеть приватные данные, такие как кредитные карты, если пользователь этой точки доступа совершает покупки в онлайне.
• Целостность
  Он гарантирует, что информация достигнет адресата в полном и нетронутом виде. Например, наш друг с точкой доступа WiFi может добавить дополнительную рекламу на наш сайт, снизить качество изображений для экономии трафика или изменить содержимое статей, которые мы читаем. HTTPS гарантирует, что веб-сайт не может быть изменён.
• Подлинность
  Он гарантирует, что веб-сайт в реальности является тем, за кого себя выдаёт. Например, тот же самый владелец точки доступа WiFi мог бы отправлять браузеры на поддельный сайт. HTTPS гарантирует, что веб-сайт, который представляется как example.com, действительно является example.com. Некоторые сертификаты даже проверяют правовую идентичность владельца веб-сайта.

 

Что такое HTTPS и почему вам должно быть до этого дело? |

Привет друзья! В предыдущей статьи мы говорили о Ботнетах, помните? Обязательно почитайте, ссылка на статью здесь. HTTPS, иконка замка в адресной строке, зашифрованное подключение к сайту — оно известно под многими именами. Знание того, что это такое очень важно, поскольку оно применяется в онлайн-банкинге, интернет-магазинах и для защиты от фишинга.

[contents h2 h3 h4 h5]

Когда вы подключаетесь к большинству сайтов, браузер использует стандартный протокол HTTP. HTTPS — это зашифрованный защищённый аналог HTTP. Он буквально называется «безопасный HTTP» или «защищённый протокол передачи гипертекста».

Когда вы подключаетесь к сайту при помощи HTTP, ваш браузер ищет IP-адрес, который соответствует сайту, подключается к этому IP-адресу и полагает, что подключился к верному веб-серверу. Данные отправляются по этому соединению в виде открытого текста, поэтому кто-нибудь, прослушивающий Wi-Fi сеть, ваш провайдер или государственные агентства вроде NSA видят какие страницы вы просматриваете, и какие данные передаются туда и обратно. Человек, прослушивающий сеть, может видеть любые пароли, номера кредитных карт или другие данные, отправляемые через HTTP.

И это большая проблема. Во-первых, вы не можете определить, что подключились к правильному сайту. Может быть, вы думаете, что заходите на сайт своего банка, но на самом деле вас перенаправило на поддельный сайт. Конечно, вы захотите, чтобы пароли и номера кредитных карт были зашифрованы, чтобы никто не мог украсть ваши персональные данные. Кроме этого, люди могут следить за тем, какие сайты вы посещаете, и какие запросы в поисковых системах вводите.

Короче говоря, у HTTP есть проблемы, поскольку HTTP подключения не зашифрованы. HTTPS, в попытке решить все эти проблемы, добавляет шифрование.

Как HTTPS решает эту проблему

HTTPS не идеален, но он точно гораздо более безопасен, чем HTTP. Когда вы подключаетесь к защищённому серверу HTTPS (защищённые сайты, вроде представительств банков автоматически перенаправляют вас на HTTPS при попытке входа), ваш браузер проверяет сертификат безопасности сайта и подтверждает, что он был выдан действующим центром сертификации. Это помогает вам убедиться в том, что если вы видите «https://bank.com» в адресной строке браузера, то подключились к настоящему сайту банка — за это ручается центр сертификации. К сожалению, центры сертификации иногда выдают плохие сертификаты, и система перестаёт работать. Хотя система не идеальна, HTTPS всё равно помогает.

Когда приходит время авторизоваться или отправить личные данные вроде номера кредитной карты и деталей платежа, эту информацию нужно передавать через зашифрованное соединение с HTTPS. Это не позволит другим людям украсть ваши данные.

Кроме этого HTTPS обеспечивает дополнительную конфиденциальность. Например, поисковая система Google теперь по умолчанию использует HTTPS подключение. Это означает, что люди не видят, что вы ищете на Google.com. Ранее любой человек в той же Wi-Fi сети мог при желании видеть ваши поисковые запросы. Если соединение с сайтом Википедия зашифровано при помощи HTTPS, люди не смогут узнать, какие статьи вы там читаете. Они только видят, что вы подключились к Википедии.

Определение сайтов с HTTPS

Вы можете понять, что подключились к сайту по HTTPS протоколу, если его адрес в адресной строке браузера начинается с https://. Вы так же заметите иконку замка, на которую можно нажать, чтобы узнать подробности о безопасности сайта. В каждом браузере это выглядит по-разному, но всех их объединяет иконка замка и https:// в начале.

Когда вам должно быть до этого дело

HTTPS необходим, каждый раз, когда вы проходите авторизацию или передаёте платёжные данные. Если вы собираетесь ввести пароль или другую личную информацию, проверьте адресную строку и убедитесь, что находитесь на сайте с HTTPS. Если нет, вводить такие конфиденциальные данные небезопасно. Большинство сайтов сейчас должны справляться с этим правильно, но плохо написанный сайт всё равно может отправить вашу конфиденциальную информацию в виде обычного текста, если он настроен на подключение по HTTP.

HTTPS ценен тем, что обеспечивает проверку подлинности сайта. Если вы пользуетесь незнакомой сетью и подключаетесь к сайту своего банка, убедитесь что видите в адресной строке HTTPS и верный адрес сайта. Это поможет вам понять, что вы на самом деле открыли сайт банка, хотя это решение не всегда защищает на 100%. Если на странице входа не видно индикатора HTTPS, возможно вы подключились к поддельному сайту через скомпрометированную сеть.

Как избежать фишинговых трюков

Некоторые умные фишеры поняли, что люди ищут индикатор HTTPS, а так же иконку замка и нашил новые способы маскировки своих сайтов. Вам не стоит переходить по ссылкам в фишинговых письмах, но если вы всё же это сделали, то можете оказаться на хорошо замаскированной странице. Мошенникам ничто не мешает получить сертификат для своего сервера, поэтому они тоже могут использовать HTTPS. В теории им нельзя лишь выдавать свои сайты за ресурсы, которыми они не владеют. Вы  можете увидеть адрес вроде https://bankofamerica.com.3526347346435.com. В это случае подключение осуществляется через HTTPS, но на самом деле вы заходите на поддомен сайта 3526347346435.com, а не Банка Америки.

Другие мошенники могут имитировать иконку замка, изменив фавикон своего сайта, отображающийся в адресной строке, на изображение замка, в попытке обмануть вас.

Имейте в виду, что само по себе присутствие HTTPS ещё не гарантирует подлинность сайта. Оно лишь подтверждает, что вы используете зашифрованное соединение и даёт вам некоторое душевное спокойствие. Вы с облегчением думаете, что подключены к верному сайту, хотя это не всегда так.

Немного приятного, после прочтение статьи. Приятного просмотра.

[youtube width=»450″ height=»350″]https://www.youtube.com/watch?v=NENo5uLB1Z4[/youtube]

Что такое HTTP?

HTTP (HyperText Transfer Protocol) — это набор правил, которым сервер должен следовать, когда дело доходит до передачи файлов (изображений, видео, аудио и других форм файлов) через Всемирную паутину (WWW). Когда пользователь открывает браузер, он уже использует HTTP. По сути, это протокол приложения, который проходит через верхнюю часть набора протоколов TCP/IP.

Функциональность

Механизм и концепция HTTP включает в себя то, что файлы связаны с другими файлами через ряд ссылок. Этот выбор вызовет дополнительные запросы на передачу. Любое устройство веб-сервера на самом деле содержит программу, которая называется HTTP-демоном, которая предназначена для прогнозирования HTTP-запросов и обработки их по их получении. Типичный веб-браузер — это HTTP-клиент, который постоянно посылает запросы на серверные устройства. Пользователь вводит запросы в файл, проходя через веб-файл, который в данном случае обычно является URL-адресом, или нажимает на ссылку; браузер формирует HTTP-запрос, а затем отправляет его на IP-адрес, указанный через URL.

HTTP следует заданному циклу всякий раз, когда посылает запрос:

1. Браузер запросит HTML-страницу. Затем сервер возвращает HTML-файл с хоста.1
2. Браузер запросит таблицу стилей. Затем сервер возвращает файл CSS.
3. Браузер запрашивает изображение в формате JPG. Сервер возвращает файл JPG.
4. Браузер запросит код JavaScript (язык программирования). После этого сервер возвращает JS-файл.
5. Браузер запрашивает различные формы данных. Сервер возвращает данные в виде XML или JSON файлов.

Различие между HTTP и HTTPS

Большинство людей не знают о различиях между http:// и https://, поскольку оба они почти визуально схожи. Знание различий между ними имеет первостепенное значение для поддержания безопасного и эффективного сайта, способного защитить информацию и данные. Браузеры были разработаны таким образом, что строка URL-адреса будет выделять буквы S в HTTPS другим цветом, чтобы пользователи могли их заметить.

Вот некоторые очевидные различия между ними:

1. HTTP — В настоящее время шифрование данных не осуществляется.
   1. Каждая URL-ссылка использует HTTP в качестве основного типа протокола передачи гипертекста. Учитывая это, HTTP уподобляется системе, которая не принадлежит ни одному государству. Это позволяет включить любое соединение по требованию.
   2. По сути, этот протокол является протоколом прикладного уровня. Это означает, что он больше фокусируется на информации, которая предоставляется пользователю, но не на том, как эти данные передаются от узла-источника к получателю. Это может нанести ущерб, так как это средство доставки может быть легко перехвачено и отслежено злоумышленниками сторонних пользователей (обычно известными как хакеры).
2. HTTPS — Данные зашифрованы.
   1. По сравнению с HTTP, информация о пользователе, такая как номера кредитных карт и другие формы важной личной информации, зашифрована. Это предотвращает доступ вредоносных пользователей третьих сторон к этим формам конфиденциальных данных в любой форме.
   2. При более безопасной сети пользователи будут иметь

HTTPS не означает, что сайт безопасный

Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!

Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.

Безопасное соединение не значит безопасный сайт

Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».

Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.

Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.

Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.

Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.

А что, если замочек не зеленый?

В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.

Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.

Что нужно помнить, чтобы не попасться на удочку

Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.

Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.

• Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам.
• Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно.
• Не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.