Какво е HTTPS?

HTTPS (HyperText Transfer Protocol Secure) е сигурната версия на HTTP протокола за пренос на данни в уеб.

Когато връзката ни с даден сайт е през HTTPS (както в момента е с https://help.superhosting.bg), данните, които въвеждаме или виждаме в страницата, са защитени от прихващане и промяна.

Използването на HTTPS, TLS и TLS/SSL сертификат е възможно за всички хостинг услуги, предлагани от СуперХостинг.БГ – споделен хостинг, WordPress хостинг, Managed VPS, VPS и нает сървър.

Защо има нужда от HTTPS (сигурна версия на HTTP)?

HTTP връзка между браузър и сървър
Несигурна HTTP връзка между браузър и сървър.

Когато зареждаме даден уеб сайт, между нашия браузър и уеб сървъра се установява мрежова връзка. По тази комуникационна линия браузърът и сървърът си „говорят“ на „езика“ HTTP – обменят си съобщения, форматирани по правилата на HTTP протокола.

HTTP съобщенията не са криптирани

По подразбиране информацията в HTTP съобщенията е явен текст (plain text).

Този текст може да се види с просто око от всеки, който наблюдава разговора между браузъра и сървъра (трета страна, „човек по средата“, злонамерено лице).

Това прави възможно прихващането на всякакви чувствителни данни – пароли, номера на кредитни карти, лична информация и др.

HTTP не може да удостовери автентичността на сървъра

HTTP не може да гарантира, че браузърът се е свързал с истинския сървър, на който се намира уеб сайта.

Тази слабост в сигурността се използва за злонамерени атаки, наречени Man-in-the-Middle (човек-по-средата).

  • Злонамереното лице прихваща връзката между браузър и сървър и започва да променя и препредава съобщенията. Представя се за сървъра пред браузъра и за браузъра пред сървъра.
  • Освен че прихваща чувствителни данни, злонамереното лице вече може и да извършва действия в сайта от името на клиента, като например да промени паролата за акаунта му, да извърши паричен превод и др. Обратното също е възможно – да покаже на клиента някакво съобщение и да го накара да направи нещо, например да му покаже рекламни съобщения, злонамерени препратки и др.
  • Голям риск за сигурността на данните ни в интернет е въвеждането им в HTTP сайт при използването на публични (отворени, без парола) Wi-Fi точки за достъп.

Как HTTPS защитава разговора между браузъра и сървъра?

HTTPS връзка между браузър и сървър
Сигурна HTTPS връзка между браузър и сървър.

За да може HTTPS да защити данните, на сървъра, на който се намира сайтът, трябва да са налични TLS протоколът и TLS/SSL сертификат.

На всички сървъри при СуперХостинг.БГ е налична най-новата и сигурна версия 1.3 на TLS протокола.

Криптиране на HTTP съобщенията с TLS протокола

Криптирането е процес, в който явният текст се преобразува в неразбираем низ от символи. 

Например текстът:

Това е текст, който се показва в страницата.

след криптиране ще изглежда по подобен начин:

eyJpdiI6IlJjR214N28vZks4NnxC4gKd824BDgar8Q0VWYxUU5VOFE9PSIsCiJ2IjoxLAoiaXRlciI6MTAwMZzNpMjVqTlJqU0FTMmdpdnZKdz0ifQ==

За криптирането на HTTP съобщенията се използва криптиращият протокол TLS. Той е наличен и на сървъра, и в браузъра.

Преди някоя от страните да изпрати съобщение, тя го криптира, като използва криптиращ ключ*. Получаващата страна разполага с този ключ и декриптира съобщението.

*Самият криптиращ/декриптиращ ключ не се предава в разговора между браузъра и сървъра. Този секретен ключ се генерира (изчислява) поотделно от двете страни (с помощта на публично предавани параметри и частните им ключове, двете страни стигат до един и същ резултат). За целта се използва математически метод (наречен Дифи-Хелман протокол за обмен на ключове). При него трета страна не може да изчисли секретния ключ, дори и да разполага с публично разменените (предадени през несигурна и некриптирана връзка) параметри за генерирането му. Този метод (ECDH) за генериране на общ секретен ключ се използва в процедурата по установяване на сигурната връзка с TLS 1.3.

Само браузърът и сървърът разполагат с ключа за криптиране и декриптиране. По този начин дори някой да „наблюдава“ разговора между двете страни, той не може да разбере какво си казват.

Удостоверяване на автентичността на сървъра с TLS/SSL сертификат

За да установи сигурна връзка със сървъра, браузърът първо проверява автентичността му. За целта сървърът изпраща TLS/SSL сертификат към браузъра.

Ако сертификатът е валиден и издаден от признат доставчик на сертификати (например VeriSign, GeoTrust, Sectigo), браузърът инициира създаването на сигурна HTTPS връзка със сървъра.

Ако сертификатът не е валиден, браузърът отказва да направи връзка със сървъра и показва предупреждения на потребителя (като your connection is not private или thiswebsite.com uses an invalid security certificate).

Чрез TLS/SSL сертификата самоличността на сървъра може да се потвърди. Така се предотвратява отвличането на връзката от човек-по-средата, представящ се за сървъра.

Как да разбера дали връзката с моя сайт е сигурна?

Погледнете уеб адреса на сайта в адресната лента

Най-лесният начин да проверите дали при зареждането на сайта е използвана сигурна HTTPS връзка, е като погледнете адресната лента на браузъра.

HTTPS адрес на сайт в адресната лента на браузъра
Индикаторите за сигурна връзка със сайта – заключено катинарче и протокол https.

Кликнете в адресната лента, за да се покаже протоколът. Ако пред домейна е изписан протоколът https://, тогава връзката е сигурна.

Може да кликнете и на катинарчето, преди адреса.

Иконката с катинарче в адресната лента на браузъра

Ако връзката е сигурна, ще покаже текст Connection secure.

Кликнете върху текста и ще се отвори допълнителна информация.

Допълнителна информация за HTTPS връзката

Отворете DevTools инструментите в браузъра

По-детайлна информация за сигурната връзка със сайта и използвания TLS/SSL сертификат може да се види в инструментите за разработчици (DevTools) в браузъра.

За да отворите DevTools в браузъри Chrome и Firefox, натиснете от клавиатурата F12.

Отворете таб Security и презаредете страницата (F5).

Информация за сигурната HTTPS връзка в DevTools на браузъра

Как да активирам сигурната HTTPS връзка за моя сайт?

След като разполагате с TLS/SSL сертификат и сте го инсталирали на сървъра, можете да го активирате за сайта:

  1. Активирайте HTTPS връзката за сайта (през настройките му);
  2. Направете пренасочване на адресите от HTTP към HTTPS;
  3. Проверете дали има ресурси, които се зареждат по HTTP.

Вижте повече: Наръчник за преминаване от HTTP към HTTPS | Help

Когато правите поръчка за TLS/SSL сертификат през superhosting.bg, изберете допълнителната услуга Managed SSL (към услугите: хостинг, WordPress хостинг и Managed VPS). Ние ще извършим всички нужни действия за конфигурирането и издаването на сертификата и след това за активирането на HTTPS връзката за Вашия сайт.


Обновена: 07.12.2022
Беше ли Ви полезна тази статия?

Вижте още