Всего 10 лет назад в сети было огромное количество сайтов и веб-ресурсов — даже крупных и солидных компаний — работающих по протоколу HTTP. При этом сам HTTPS начал внедряться еще с начала 2000 годов, но использование не было массовым, скорее — единичным. Сегодня ситуация в корне изменилась и найти ресурс, передающий данные по HTTP, очень сложно.
В этом материале немного пройдемся по истории развития протокола, расскажем о том, что способствовало массовому переходу, и, конечно, укажем причины, по которым владельцам сайтов необходимо перейти на HTTPS.
Немного истории
Поскольку HTTPS — это в какой-то мере дальнейшее развитие HTTP, то и начинать нужно с него. Итак, HTTP (Hypertext Transfer Protocol или по-русски «Протокол передачи гипертекста») относится к семейству TCP/IP, был разработан на рубеже
1980/90-х годов и изначально предназначался для передачи гипертекстовых документов в формате HTML.
Примерно в это же время зародилось явление, в последующем получившее название Всемирной паутины или интернета — места, где можно обмениваться данными. Для текстового интернета — да, вначале был только текст — превосходно подходил простой и надежный HTTP, обеспечивающий работу с гипертекстом. Далее, долгие годы, они будут развиваться вместе.
Так, в 1997 году появилась редакция HTTP/1.1, ставшая стандартом для интернета на много лет, до 2015 года, когда появился HTTP/2. А где же HTTPS? — спросит читатель. А HTTPS — это не отдельный протокол, а просто надстройка над HTTP, обеспечивающая шифрование данных. Ниже — о том, что она делает.
Отличия HTTP от HTTPS
Как уже писали выше, HTTPS — не отдельный протокол, а просто надстройка над HTTP, но она обеспечивает определенные преимущества, а именно: шифрование трафика с помощью TLS или уже устаревшего SSL.
В основе принципа работы SSL/TLS лежат сертификаты, выдаваемые специальными Центрами сертификации — таких организаций довольно много и они разные. Некоторые дают финансовые гарантии, если компания понесет убытки по вине отказа сертификата, но стоят они дорого, а другие, например, Let’s Encrypt — выдают их бесплатно, но на короткий срок, — в целом такой сертификат вызывает гораздо меньше доверия. Полученный SSL/TLS-сертификат устанавливается на сайт.
Что происходит дальше:
- Пользователь обращается к сайту в сети.
- Браузер сразу запрашивает у сайта сертификат.
- Сайт отправляет браузеру копию сертификата.
- Браузер проверяет сертификат по множеству параметров.
- Если все в порядке — запускает защищенное соединение.
Если все еще непонятно, почему HTTPS безопаснее, то защиту обеспечивают 2 условия.
Первое — зашифрованное соединение: любая информация зашифровывается браузером и передается серверу с сертификатом, соединение с которым установлено. Только он сможет ее расшифровать. Например, данные кредитной карты: если кто-то перехватит трафик, то для него он будет выглядеть как набор нечитаемых символов, сбережения останутся в безопасности.
Второе — защита от мошеннических сайтов. Серьезные компании используют SSL/TLS-сертификаты с расширенной проверкой (EV). Они выдаются только после того, как Центр сертификации проведет детальную проверку, включающую физический, юридический и рабочий статус претендента.
Зачем переходить на HTTPS
Первая и самая важная причина — это безопасность. А если сайт не передает и не хранит никакой конфиденциальной информации, то получается, что и переходить не нужно? Нужно, потому что есть и вторая причина, и именно она запустила в 2014 году массовый переход сайтов на HTTPS.
Распространение HTTPS стартовало с 2000 года, но активно им пользовались только различные банковские организации и веб-ресурсы, проводящие платежи. Основной же сегмент интернета продолжал спокойно жить на HTTP.
Но потом произошло вот что: Google — позже и «Яндекс» — объявил, что сайты с HTTP больше не могут считаться безопасными, а значит, они будут ранжироваться в поисковой выдаче ниже, чем условно такой же, но на HTTPS. Причина перехода появилась буквально у любого сайта, который хотел, чтобы у него было больше посетителей из поиска.
Затем браузеры и вовсе стали маркировать сайты без сертификата как небезопасные, что приводило уже не просто к снижению выдачи в поиске, но и глобальному оттоку пользователей, которые целенаправленно искали ресурс. Среднестатистический покупатель или простой посетитель, не сильно разбирается в технологиях и постарается как можно скорее покинуть сайт, если браузер заявит о его небезопасности.
Какие есть типы SSL/TLS-сертификатов
Причину для перехода мы нашли, осталось выбрать нужный сертификат и установить. SSL/TLS-сертификаты разделяются по уровню доверия и типу.
По типу:
- Самоподписанные — часто используются разработчиками для тестирования, выпускаются без участия Центров сертификации, браузер будет помечать сайт с таким сертификатом как небезопасный.
- Многодоменные — (SAN SSL) — обеспечивают защиту сразу для нескольких доменов, можно добавить до 100 доменных имен, подходит компаниям с несколькими брендами.
- Поддоменные (WC SSL) — могут защитить один домен, а также все поддомены, подойдет для организаций, с несколькими направлениями в рамках одного бренда.
- Однодоменные — тот самый сертификат для одного домена, который используют большинство небольших сайтов в интернете.
По уровню доверия/проверки:
- Domain Validation (DV) — базовый тип сертификата, есть как платные, так и бесплатные, выдаются на основании факта владения доменом, подойдет для личных некоммерческих сайтов.
- Organization Validation (OV) — более серьезный сертификат, выдается только после проверки существования организации и информации о ней.
- Extended Validation (EV) — обеспечивает максимальный уровень доверия, выдается после тщательной проверки деятельности компании.
Теперь вы знаете, почему владельцу сайта необходимо перейти на HTTPS и какой сертификат выбрать.
