Что такое протокол HTTPS и принципы его работы

    В статье мы расскажем, что означает HTTPS в адресе сайта (расшифровка HTTPS), как работает этот протокол и зачем вообще переходить на безопасное соединение.

    Что такое защищенное соединение HTTPS

    HTTPS (от англ. HyperText Transfer Protocol Secure) – это безопасный протокол передачи данных, который поддерживает шифрование посредством криптографических протоколов SSL и TLS, и является расширенной версией протокола HTTP. Чтобы лучше понять, что же значит HTTPS, разберемся со всем по порядку.

    Миллионы интернет-пользователей постоянно обмениваются информацией. Это могут быть как дружеские беседы, весёлые картинки, рабочие переписки, так и банковские и паспортные данные, номера договоров и другая конфиденциальная информация. Работа всей всемирной паутины основана на протоколе HTTP. Благодаря нему пользователи могут передавать данные.

    Сначала HTTP (HyperText Transfer Protocol) использовался только как протокол передачи гипертекста (текста с перекрёстными ссылками). Однако позже стало понятно, что он отлично подходит для передачи данных между пользователями. Протокол был доработан для новых задач и стал использоваться повсеместно.

    Несмотря на свою функциональность у HTTP есть один очень важный недостаток ― незащищённость. Данные между пользователями передаются в открытом виде, злоумышленник может вмешаться в передачу данных, перехватить их или изменить. Чтобы защитить данные пользователей, был создан протокол HTTPS.

    HTTPS работает благодаря SSL/TLS-сертификату. SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность. Перед тем как установить защищённое соединение, браузер запрашивает этот документ и обращается к центру сертификации, чтобы подтвердить легальность документа. Если он действителен, то браузер считает этот сайт безопасным и начинает обмен данными. Вот откуда взялась и что означает S в HTTPS.

    Чем отличается SSL от TLS
    Для защиты интернет-соединения в 90-х годах компания Netscape создала SSL-сертификат. У первых версий этого сертификата было много недостатков. За несколько лет вышло три версии SSL. Огромный скачок в его усовершенствовании произошел в 1999 году при совместной работе с компанией Consensus Development. Кроме серьёзных доработок, сертификат получил новое название — TLS (что значит — защита транспортного уровня). Несмотря на новое название, пользователи всё равно применяли привычное понятие SSL. Разработчики встали на сторону пользователей и не стали акцентировать внимание на наименовании, поэтому часто можно увидеть двойное название этого сертификата (SSL/TLS), или просто SSL. Однако в официальной документации всё равно используется аббревиатура TLS.

    Система HTTPS похожа на провод, который состоит из двух слоёв: медная сердцевина и оболочка. Медная сердцевина ― основная часть провода, по которой идёт ток. Оболочка защищает контакты от внешних воздействий. Так, медная сердцевина ― это HTTP-протокол, а защитная оболочка ― это SSL-сертификат. Такое сотрудничество создаёт безопасное HTTPS-соединение.

    Ключи шифрования

    Кроме подтверждения подлинности сайта, SSL-сертификат шифрует данные. После того как браузер убедился в подлинности сайта, начинается обмен шифрами. Шифрование HTTPS происходит при помощи симметричного и асимметричного ключа. Вот что это значит:

    • Асимметричный ключ — каждая сторона имеет два ключа: публичный и частный. Публичный ключ доступен любому. Частный известен только владельцу. Если браузер хочет отправить сообщение, то он находит публичный ключ сервера, шифрует сообщение и отправляет на сервер. Далее сервер расшифровывает полученное сообщение с помощью своего частного ключа. Чтобы ответить пользователю, сервер делает те же самые действия: поиск публичного ключа собеседника, шифрование, отправка.
    • Симметричный ключ — у обеих сторон есть один ключ, с помощью которого они передают данные. Между двумя сторонами уже должен быть установлен первичный контакт, чтобы браузер и сервер знали, на каком языке общаться.

    Чтобы установить HTTPS-соединение, браузеру и серверу надо договориться о симметричном ключе. Для этого сначала браузер и сервер обмениваются асимметрично зашифрованными сообщениями, где указывают секретный ключ и далее общаются при помощи симметричного шифрования. Рассмотрим этот процесс детально.

    Принцип работы HTTPS

    Работа HTTPS происходит следующим образом:

    • 1.

      SSL/TLS «рукопожатие» (handshake). Когда вы впервые заходите на HTTPS-сайт, ваш браузер и сервер проводят мгновенную безопасную «договоренность». В ходе этого процесса: — браузер проверяет SSL-сертификат сайта, подтверждающий его подлинность и выпущенный доверенным центром сертификации (CA); — стороны согласовывают параметры сессии и создают уникальные секретные ключи для шифрования, используя асимметричную криптографию. Эти ключи используются только для одной сессии.
    • 2.

      Симметричное шифрование трафика. После успешного «рукопожатия» дальнейший обмен данными происходит с помощью симметричного шифрования. Все передаваемые данные (логины, пароли, сообщения, номера карт) преобразуются в нечитаемый шифр, который может быть расшифрован только получателем, обладающим тем же сессионным ключом. Для стороннего наблюдателя этот трафик выглядит как беспорядочный набор символов.

    Таким образом, HTTPS создает защищенный «туннель» поверх обычного интернет-соединения. Даже если злоумышленник перехватит пакеты данных, он не сможет их расшифровать и получить конфиденциальную информацию.

    Также стоит упомянуть, какой порт используется протоколом HTTPS по умолчанию. HTTPS использует для подключения 443 порт — его не нужно дополнительно настраивать.

    Преимущества использования HTTPS

    Переход на HTTPS давно перестал быть опцией для сайтов, работающих с данными пользователей, и стал стандартом де-факто для всего интернета. Вот ключевые преимущества, которые он дает:

    — конфиденциальность и целостность данных. Это основная задача. Шифрование гарантирует, что информация между пользователем и сайтом остается приватной и не может быть прочитана или изменена при передаче (например, при использовании публичного Wi-Fi). Это защищает от кражи сессий, перехвата паролей и подмены контента;

    — аутентификация и доверие. SSL-сертификат подтверждает, что пользователь подключен именно к настоящему сайту компании, а не к его фишинговой копии. В браузерах это отображается значком замка и словом «Безопасно» в адресной строке, что напрямую повышает доверие посетителей;

    — SEO-ранжирование. Поисковые системы, в первую очередь Google, открыто заявляют, что используют наличие HTTPS как положительный ранжирующий сигнал. Безопасные сайты имеют преимущество в поисковой выдаче перед аналогичными HTTP-сайтами;

    — производительность и современные технологии. Современная версия протокола TLS 1.3 не только безопаснее, но и быстрее за счет оптимизированного «рукопожатия». Кроме того, многие новые функции веб-платформ (например, доступ к геолокации, Push-уведомления, работа с микрофоном) доступны только для HTTPS-сайтов;

    — соответствие требованиям и стандартам. Использование HTTPS является обязательным требованием для соблюдения регуляторных норм, а также стандарта безопасности индустрии платежных карт (PCI DSS) для сайтов, обрабатывающих платежи.

    В итоге, HTTPS — это не просто «замок», а базовая технология, обеспечивающая безопасность, доверие и техническую прогрессивность любого современного веб-ресурса.

    Схема работы HTTPS

    Итак, протокол HTTPS предназначен для безопасного соединения. Чтобы понять, как устанавливается это соединение и как работает HTTPS, рассмотрим механизм пошагово на примере.

    Возьмем ситуацию: пользователь хочет перейти на сайт Рег.ру, который работает по безопасному протоколу HTTPS.

    • 1.
      Браузер пользователя просит предоставить SSL-сертификат.
    • 2.
      Сайт на HTTPS отправляет сертификат.
    • 3.
      Браузер проверяет подлинность сертификата в центре сертификации.
    • 4.
      Браузер и сайт договариваются о симметричном ключе при помощи асимметричного шифрования.
    • 5.
      Браузер и сайт передают зашифрованную информацию.

    Что такое протокол HTTPS 1

    Как работает HTTPS протокол

    Зачем устанавливать HTTPS

    Ранее мы говорили, какова главная функция протокола HTTPS. Это обеспечение безопасности передачи данных. На данный момент Google и Яндекс хоть и позволяют пользователям открывать сайты по HTTP, но считают их небезопасными и предупреждают об этом в адресной строке браузера. Это может быть надпись «Не защищено» или красный восклицательный знак. Обозначение может отличаться в зависимости от браузера:

    Что такое протокол HTTPS 2

    Незащищённое соединение в Google Chrome

    Что такое протокол HTTPS 3

    Незащищённое соединение в Яндекс.Браузере

    Визуальное обозначение привлекает внимание пользователей и заставляет отказаться от посещения сайта, поэтому есть риск потерять потенциальных клиентов.

    Также, когда сайт работает по небезопасному соединению, в браузере может отображаться ошибка «Подключение не защищено». Если вы пользователь, и встретили такое сообщение на просторах интернета, лучше покиньте небезопасный ресурс. Как исправить ошибку «Ваше подключение не защищено», если вы владелец сайта? Не стоит пренебрегать безопасностью клиентов, которые доверяют организациям свои личные данные. Закажите SSL-сертификат и переведите сайт на безопасное соединение HTTPS. Если вы уже выполняли эти настройки ранее, но на сайте всё равно сообщение об ошибке, следуйте инструкции.

    Помогла ли вам статья?

    Спасибо за оценку. Рады помочь 😊

     👍
    Специальные предложения