|
|
@@ -0,0 +1,96 @@
|
|
|
+# HTTPS и SSL
|
|
|
+## Что такое защищенное соединение HTTPS?
|
|
|
+HTTPS (от англ. HyperText Transfer Protocol Secure) – это безопасный протокол передачи данных, который поддерживает шифрование посредством криптографических протоколов SSL и TLS, и является расширенной версией протокола HTTP. Чтобы лучше понять, что же значит HTTPS, разберемся со всем по порядку.
|
|
|
+
|
|
|
+Миллионы интернет-пользователей постоянно обмениваются информацией. Это могут быть как дружеские беседы, весёлые картинки, рабочие переписки, так и банковские и паспортные данные, номера договоров и другая конфиденциальная информация. Работа всей всемирной паутины основана на протоколе HTTP. Благодаря нему пользователи могут передавать данные.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Сначала HTTP (HyperText Transfer Protocol) использовался только как протокол передачи гипертекста (текста с перекрёстными ссылками). Однако позже стало понятно, что он отлично подходит для передачи данных между пользователями. Протокол был доработан для новых задач и стал использоваться повсеместно.
|
|
|
+
|
|
|
+Несмотря на свою функциональность у HTTP есть один очень важный недостаток ― незащищённость. Данные между пользователями передаются в открытом виде, злоумышленник может вмешаться в передачу данных, перехватить их или изменить. Чтобы защитить данные пользователей, был создан протокол HTTPS.
|
|
|
+## Ключи шифрования
|
|
|
+Кроме подтверждения подлинности сайта, SSL-сертификат шифрует данные. После того как браузер убедился в подлинности сайта, начинается обмен шифрами. Шифрование HTTPS происходит при помощи симметричного и асимметричного ключа. Вот что это значит:
|
|
|
+- Асимметричный ключ — каждая сторона имеет два ключа: публичный и частный. Публичный ключ доступен любому. Частный известен только владельцу. Если браузер хочет отправить сообщение, то он находит публичный ключ сервера, шифрует сообщение и отправляет на сервер. Далее сервер расшифровывает полученное сообщение с помощью своего частного ключа. Чтобы ответить пользователю, сервер делает те же самые действия: поиск публичного ключа собеседника, шифрование, отправка.
|
|
|
+- Симметричный ключ — у обеих сторон есть один ключ, с помощью которого они передают данные. Между двумя сторонами уже должен быть установлен первичный контакт, чтобы браузер и сервер знали, на каком языке общаться.
|
|
|
+Чтобы установить HTTPS-соединение, браузеру и серверу надо договориться о симметричном ключе. Для этого сначала браузер и сервер обмениваются асимметрично зашифрованными сообщениями, где указывают секретный ключ и далее общаются при помощи симметричного шифрования.
|
|
|
+## Схема работы HTTPS
|
|
|
+Итак, протокол HTTPS предназначен для безопасного соединения. Чтобы понять, как устанавливается это соединение и как работает HTTPS, рассмотрим механизм пошагово.
|
|
|
+
|
|
|
+1. Браузер пользователя просит предоставить SSL-сертификат.
|
|
|
+2. Сайт на HTTPS отправляет сертификат.
|
|
|
+3. Браузер проверяет подлинность сертификата в центре сертификации.
|
|
|
+4. Браузер и сайт договариваются о симметричном ключе при помощи асимметричного шифрования.
|
|
|
+5. Браузер и сайт передают зашифрованную информацию.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Использование HTTPS
|
|
|
+Обеспечение безопасной передачи данных необходимо на сайтах, где вводится и передается конфиденциальная информация (личные данные пользователей, детали доступа, реквизиты платежных карт) — на любых сайтах с авторизацией, взаимодействием с платежными системами, почтовыми сервисами. Шифрование таких данных позволит предотвратить их получение и использование третьими лицами.
|
|
|
+
|
|
|
+Для реализации передачи данных посредством HTTPS на веб-сервере, обрабатывающем запросы от клиентов, должен быть установлен специальный SSL-сертификат. Есть сертификаты, защищающие только один домен. А есть сертификаты, которые обеспечивают защиту информации на всех поддоменах.
|
|
|
+
|
|
|
+Наличие SSL-сертификата является одним из факторов ранжирования Google, поэтому переход на протокол HTTPS повышает позиции в поисковой выдаче Google. Хотя на текущий момент этот фактор не имеет основополагающего значения, его влияние на поисковой результат может увеличиваться в будущем.
|
|
|
+
|
|
|
+## Что такое SSL-сертификат?
|
|
|
+SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.
|
|
|
+
|
|
|
+Компаниям и организациям необходимо добавлять SSL-сертификаты на веб-сайты для защиты онлайн-транзакций и обеспечения конфиденциальности и безопасности клиентских данных.
|
|
|
+
|
|
|
+SSL обеспечивает безопасность интернет-соединений и не позволяет злоумышленникам считывать или изменять информацию, передаваемую между двумя системами. Если в адресной строке рядом с веб-адресом отображается значок замка, значит этот веб-сайт защищен с помощью SSL.
|
|
|
+
|
|
|
+С момента создания протокола SSL около 25 лет назад, он был доступен в нескольких версиях. При использовании каждой из этих версий в определенный момент возникали проблемы безопасности. Затем появилась обновленная переименованная версия протокола – TLS (Transport Layer Security), которая используется до сих пор. Однако аббревиатура SSL прижилась, поэтому новая версия протокола по-прежнему часто называется старым именем.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Как работают SSL-сертификаты?
|
|
|
+Использование SSL гарантирует, что данные, передаваемые между пользователями и веб-сайтами или между двумя системами, невозможно прочитать сторонним лицам или системам. SSL использует алгоритмы для шифрования передаваемых данных, что не позволяет злоумышленникам считать их при передаче через зашифрованное соединение.
|
|
|
+
|
|
|
+Так же, SSL-сертификат нужен для того, чтобы мошенники не могли перехватить личные данные, которые пользователи вводят у вас на сайте. Личные данные — это логины и пароли от аккаунтов, номера банковских карт, адреса электронной почты и т.д. Это значит, что SSL-сертификат пригодится на сайтах банков, платёжных систем, корпораций, интернет-магазинов, социальных сетей, государственных предприятий, онлайн-форумов и др.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Процесс работает следующим образом:
|
|
|
+1. Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL.
|
|
|
+2. Браузер или сервер запрашивает идентификацию у веб-сервера.
|
|
|
+3. В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата.
|
|
|
+4. Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу.
|
|
|
+5. Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.
|
|
|
+6. Зашифрованные данные используются совместно браузером или сервером и веб-сервером.
|
|
|
+
|
|
|
+SSL-сертификат выгоден для владельца сайта: так вы подтвердите, что на сайте безопасно вводить личные данные и проявите заботу о клиентах. Если человек переживает, что конфиденциальная информация попадёт не в те руки, он получит дополнительные гарантии. Меньше риска для пользователей, выше репутация компании.
|
|
|
+
|
|
|
+
|
|
|
+## Зачем устанавливать HTTPS
|
|
|
+Как мы говорили ранее, главная задача HTTPS — обеспечение безопасности передачи данных.
|
|
|
+
|
|
|
+Однако существует ещё несколько причин перейти на защищённое соединение:
|
|
|
+
|
|
|
+- Отметка о небезопасности сайта. На данный момент Google и Яндекс хоть и позволяют пользователям открывать сайты по HTTP, но считают их небезопасными и предупреждают об этом в адресной строке браузера. Это может быть надпись «Не защищено» или красный восклицательный знак. Обозначение может отличатся в зависимости от браузера:
|
|
|
+
|
|
|
+
|
|
|
+Google
|
|
|
+
|
|
|
+
|
|
|
+Yandex
|
|
|
+
|
|
|
+Визуальное обозначение привлекает внимание пользователей и заставляет отказаться от посещения сайта, поэтому есть риск потерять потенциальных клиентов.
|
|
|
+
|
|
|
+- Доверие. Сайты, которые заботятся о данных пользователей, вызывают доверие со стороны клиентов. Это добавляет лояльности аудитории.
|
|
|
+
|
|
|
+- SEO-оптимизация. Поисковые системы с недоверием относятся к сайтам, работающим по HTTP-протоколу. Даже при грамотной SEO-оптимизации можно не достичь желаемых показателей.
|
|
|
+
|
|
|
+Сайты не обязаны работать исключительно по HTTPS-протоколу. Однако защита данных ― это важный элемент современной интернет-коммуникации. Когда сайт работает по небезопасному соединению, в браузере может отображаться ошибка «Подключение не защищено». Если вы пользователь, и встретили такое сообщение на просторах интернета, лучше покиньте небезопасный ресурс Не стоит пренебрегать безопасностью клиентов, которые доверяют организациям свои личные данные.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
