HTTPS (HyperText Transfer Protocol Secure) е сигурната версия на HTTP протокола за пренос на данни в уеб.
Когато връзката ни с даден сайт е през HTTPS (както в момента е с https://help.superhosting.bg
), данните, които въвеждаме или виждаме в страницата, са защитени от прихващане и промяна.
Използването на HTTPS, TLS и TLS/SSL сертификат е възможно за всички хостинг услуги, предлагани от СуперХостинг.БГ – споделен хостинг, WordPress хостинг, Managed VPS, VPS и нает сървър.
Защо има нужда от HTTPS (сигурна версия на HTTP)?
Когато зареждаме даден уеб сайт, между нашия браузър и уеб сървъра се установява мрежова връзка. По тази комуникационна линия браузърът и сървърът си „говорят“ на „езика“ HTTP – обменят си съобщения, форматирани по правилата на HTTP протокола.
HTTP съобщенията не са криптирани
По подразбиране информацията в HTTP съобщенията е явен текст (plain text).
Този текст може да се види с просто око от всеки, който наблюдава разговора между браузъра и сървъра (трета страна, „човек по средата“, злонамерено лице).
Това прави възможно прихващането на всякакви чувствителни данни – пароли, номера на кредитни карти, лична информация и др.
HTTP не може да удостовери автентичността на сървъра
HTTP не може да гарантира, че браузърът се е свързал с истинския сървър, на който се намира уеб сайта.
Тази слабост в сигурността се използва за злонамерени атаки, наречени Man-in-the-Middle (човек-по-средата).
- Злонамереното лице прихваща връзката между браузър и сървър и започва да променя и препредава съобщенията. Представя се за сървъра пред браузъра и за браузъра пред сървъра.
- Освен че прихваща чувствителни данни, злонамереното лице вече може и да извършва действия в сайта от името на клиента, като например да промени паролата за акаунта му, да извърши паричен превод и др. Обратното също е възможно – да покаже на клиента някакво съобщение и да го накара да направи нещо, например да му покаже рекламни съобщения, злонамерени препратки и др.
- Голям риск за сигурността на данните ни в интернет е въвеждането им в HTTP сайт при използването на публични (отворени, без парола) Wi-Fi точки за достъп.
Как HTTPS защитава разговора между браузъра и сървъра?
За да може HTTPS да защити данните, на сървъра, на който се намира сайтът, трябва да са налични TLS протоколът и TLS/SSL сертификат.
На всички сървъри при СуперХостинг.БГ е налична най-новата и сигурна версия 1.3 на TLS протокола.
Криптиране на HTTP съобщенията с TLS протокола
Криптирането е процес, в който явният текст се преобразува в неразбираем низ от символи.
Например текстът:
Това е текст, който се показва в страницата.
след криптиране ще изглежда по подобен начин:
eyJpdiI6IlJjR214N28vZks4NnxC4gKd824BDgar8Q0VWYxUU5VOFE9PSIsCiJ2IjoxLAoiaXRlciI6MTAwMZzNpMjVqTlJqU0FTMmdpdnZKdz0ifQ==
За криптирането на HTTP съобщенията се използва криптиращият протокол TLS. Той е наличен и на сървъра, и в браузъра.
Преди някоя от страните да изпрати съобщение, тя го криптира, като използва криптиращ ключ*. Получаващата страна разполага с този ключ и декриптира съобщението.
*Самият криптиращ/декриптиращ ключ не се предава в разговора между браузъра и сървъра. Този секретен ключ се генерира (изчислява) поотделно от двете страни (с помощта на публично предавани параметри и частните им ключове, двете страни стигат до един и същ резултат). За целта се използва математически метод (наречен Дифи-Хелман протокол за обмен на ключове). При него трета страна не може да изчисли секретния ключ, дори и да разполага с публично разменените (предадени през несигурна и некриптирана връзка) параметри за генерирането му. Този метод (ECDH) за генериране на общ секретен ключ се използва в процедурата по установяване на сигурната връзка с TLS 1.3.
Само браузърът и сървърът разполагат с ключа за криптиране и декриптиране. По този начин дори някой да „наблюдава“ разговора между двете страни, той не може да разбере какво си казват.
Удостоверяване на автентичността на сървъра с TLS/SSL сертификат
За да установи сигурна връзка със сървъра, браузърът първо проверява автентичността му. За целта сървърът изпраща TLS/SSL сертификат към браузъра.
Ако сертификатът е валиден и издаден от признат доставчик на сертификати (например VeriSign, GeoTrust, Sectigo), браузърът инициира създаването на сигурна HTTPS връзка със сървъра.
Ако сертификатът не е валиден, браузърът отказва да направи връзка със сървъра и показва предупреждения на потребителя (като your connection is not private или thiswebsite.com uses an invalid security certificate).
Чрез TLS/SSL сертификата самоличността на сървъра може да се потвърди. Така се предотвратява отвличането на връзката от човек-по-средата, представящ се за сървъра.
Как да разбера дали връзката с моя сайт е сигурна?
Погледнете уеб адреса на сайта в адресната лента
Най-лесният начин да проверите дали при зареждането на сайта е използвана сигурна HTTPS връзка, е като погледнете адресната лента на браузъра.
Кликнете в адресната лента, за да се покаже протоколът. Ако пред домейна е изписан протоколът https://
, тогава връзката е сигурна.
Може да кликнете и на катинарчето, преди адреса.
Ако връзката е сигурна, ще покаже текст Connection secure.
Кликнете върху текста и ще се отвори допълнителна информация.
Отворете DevTools инструментите в браузъра
По-детайлна информация за сигурната връзка със сайта и използвания TLS/SSL сертификат може да се види в инструментите за разработчици (DevTools) в браузъра.
За да отворите DevTools в браузъри Chrome и Firefox, натиснете от клавиатурата F12
.
Отворете таб Security и презаредете страницата (F5
).
Как да активирам сигурната HTTPS връзка за моя сайт?
След като разполагате с TLS/SSL сертификат и сте го инсталирали на сървъра, можете да го активирате за сайта:
- Активирайте HTTPS връзката за сайта (през настройките му);
- Направете пренасочване на адресите от HTTP към HTTPS;
- Проверете дали има ресурси, които се зареждат по HTTP.
Вижте повече: Наръчник за преминаване от HTTP към HTTPS | Help
Когато правите поръчка за TLS/SSL сертификат през superhosting.bg, изберете допълнителната услуга Managed SSL (към услугите: хостинг, WordPress хостинг и Managed VPS). Ние ще извършим всички нужни действия за конфигурирането и издаването на сертификата и след това за активирането на HTTPS връзката за Вашия сайт.