HTTPS zamiast HTTP – przełącz się na bezpieczniejszy kurs

Chyba nikogo nie dziwi fakt, że Google i wielu innych dużych graczy chce żeby sieć była bezpieczna i podejmuje rozmaite działania w tym kierunku. Przeprowadzają rozmaite kampanie promujące protokół HTTPS i nie raz wyraźnie dawali sygnał, że strony działające na tym protokole będą miały lepsze rankingi w ich wyszukiwarce, dzięki czemu będą wyżej plasowane w wynikach wyszukiwania. Google wydało nawet swój własny podręcznik pt. „Securing Your Website With HTTPS” – warto zerknąć.

Niestety pomimo tego typu zabiegów w Internecie bezpiecznych stron jest póki co jak na lekarstwo, bo raptem około 0,1%. Co ciekawe jest wiele usług oferujących bezpłatne certyfikaty jak Let’s Encrypt, a także wielu dostawców usług CDN oferuje u siebie możliwość korzystania z darmowych certyfikatów, ale efekt tylko 0,1%. Czy nie chcemy czuć się w sieci bezpieczniej?

Dlaczego warto korzystać z bezpiecznego protokołu HTTPS?

Przede wszystkim dane przesyłane za pośrednictwem HTTPS są zabezpieczone za pomocą protokołu TLS (Transport Layer Security), który dostarcza trzech warstwy ochrony:

  • Szyfrowanie (przesyłane dane, takie jak login i hasło podczas logowania czy inne z dowolnych formularzy są zaszyfrowane),
  • Integralność danych (przesyłane dane nie mogą być przechwycone, zmienione i puszczone dalej),
  • Poświadczenie (użytkownik wie z jaką stroną się komunikuje i że jest to dokładnie ta strona, na której chce być).
  • Jeśli na stronie przetwarzane są dane osobowe, GIODO rekomenduje użycie certyfikatu SSL. Dzięki kryptografii dane są lepiej chronione.

To najważniejsze elementy, ale nie można zapominać o wspomnianym wpływie na ranking w wynikach Google, co może bardziej motywować jak i wiele innych jak chociażby w sytuacji gdy mamy sklep i chcemy go połączyć z stroną na Facebooku. Nie wiem czy wiecie, ale Facebook nie zaakceptuje integracji ze sklepem, który nie ma certyfikatu SSL.

Czy HTTPS w 100% chroni moją stronę?

Gdyby tak było nie słyszelibyśmy o wyciekach danych z dużych portali czy stron rządowych. Chroniona jest transmisja danych, dzięki czemu nie można ich przechwycić i wykorzystać, co jest niezwykle ważne, ale trzeba mieć świadomość, że HTTPS nie jest lekarstwem na wszystko. Jeśli nie aktualizujemy oprogramowania naszej strony i napastnik wykorzysta lukę w niej wykrytą HTTPS na niewiele się zda. Nie ochroni nas też przez innymi zagrożeniami jak chociażby atakami DDOS czy Brute force i oczywiście przed dziurami w środowisku serwera.

Jest wiele rozmaitych zagrożeń, wiele znanych i wiele nadal nieznanych, jednak stosowanie na stronie protokołu HTTPS pozwala na wyeliminowanie przynajmniej jakiejś ich części. Dlatego warto to robić.

Mój blog też korzysta z protokołu HTTPS, a to przecież tylko blog. Nie pamiętam już nawet od kiedy, ale pewnie jakieś 2 lata już minęły. Rozpoznacie to po zielonej kłódce, która w przeglądarce Chrome czy Firefox pojawia się obok paska adresu strony.
Gdy robię projekty dla swoich Klientów im także uruchamiam strony w standardzie po HTTPS, no chyba że Klient z jakiegoś powodu stwierdziłby że nie chce, ale póki co nie było jeszcze takiego przypadku i nie wiem dlaczego miałby się pojawić. Dzięki temu Klient nawet jeśli nie do końca jest świadomy z czym to się je ma poczucie, że coś jest lepiej niż normalnie jest więc bardziej zadowolony, a ja cieszę się, że jest bezpieczniejszy niż większość innych i przy okazji mam odrobinę spokojniejszy sen 🙂

Jak możecie przepinajcie się na HTTPS. Jak nie wiecie jak zapytajcie dostawcy hostingu, powinien Wam pomóc. Dla tych którzy dopiero planują stronę oczywiście zapraszam do mojego „webowego warsztatu”, gdzie szyfrowana transmisja danych jest na wyjściu gwarantowana 🙂

HTTPS zamiast HTTP – przełącz się na bezpieczniejszy kurs
Oceń artykuł