Jak działa HTTPS?

Zanim wyjaśnimy, jak działa HTTPS i jaką funkcję pełni we współczesnych aplikacjach i stronach internetowych, musimy cofnąć się do starszej wersji protokołu HTTPS. Protokół HTTP (ang. Hypertext Transfer Protocol), wykorzystywany powszechnie od lat 90. do komunikacji serwer-klient, to starsza i najprościej rzecz ujmując niezabezpieczona wersja HTTPS. Za jego pośrednictwem klient (np. przeglądarka internetowa) wysyła wpierw znormalizowane zapytanie do serwera, a następnie odbiera dane w postaci dokumentów hipertekstowych, które przeglądarki wyświetlają w formie stron www. Niezwykle istotną funkcję w procesie komunikacji pełni też modem sieciowy, ponieważ to właśnie do niego fizycznie musiały podpięte być komputery. Wraz z rozpowszechnieniem się technologii bezprzewodowych szybko zastąpiono go przy pomocy znanych nam współcześnie routerów i sieci WiFi. Zanim to jednak się stało, trzeba było załatać dosyć poważną dziurę w zabezpieczeniach i wykorzystano do tego właśnie HTTPS. Czym jest HTTPS i jak działa HTTPS? Dlaczego zabezpieczanie witryny za pomocą protokołu HTTPS to znacznie lepsze rozwiązanie od HTTP? Czym jest SSL? Czy darmowy SSL jest bezpieczny? Jak działa certyfikat SSL? Na wszystkie te i wiele innych pytań odpowiadamy poniżej.

Czym jest HTTPS?

Tytułowy protokół HTTPS (ang. Hypertext Transfer Protocol Secure) pełni dokładnie taką samą funkcję jak HTTP, ale w przeciwieństwie do niego szyfruje on całą komunikację pomiędzy klientem a serwerem. Konieczność szyfrowania komunikacji pomiędzy serwerem a klientem stała się znacznie poważniejszym problemem wraz z rozpowszechnieniem sieci WiFi. Pomijając zupełnie to, w jaki sposób zabezpieczona jest sama sieć (np. WPA2/PSK/TKIP/AES itp.), problemem jest to, iż wszystkie podpięte do niej urządzenia są w stanie przechwycić wychodzące i przychodzące żądania. Ze względu na to, że nieszyfrowaną komunikację za pośrednictwem protokołu HTTP można bez trudu przechwycić i zmodyfikować poprzez nasłuchiwanie portu 80, postanowiono nieco ten proces utrudnić. Protokół HTTPS przesyła dane za pośrednictwem portu 443 i protokołu TCP, ale w przeciwieństwie do HTTP są one jakkolwiek zaszyfrowane.

Czym jest TLS i jak działa certyfikat SSL?

Dane przysłane za pośrednictwem HTTPS były pierwotnie szyfrowane przy pomocy zaprojektowanego przez Netscape Communications protokołu SSL (ang. Secure Socket Layer). Z czasem zauważono jednak, że nie zabezpiecza on tak dobrze najwyżej warstwy modelu OSI (ang. Open Systems Interconnection). Z tego też powodu SSL trzeba było zastąpić przy pomocy wykorzystywanego współcześnie rozwinięcia TLS (ang. Transport Layer Security). Warto zwrócić uwagę, że zaimplementowane w ramach TLS mechaniki uwierzytelniania serwera chronią m.in. przed atakami typu MITM (ang. Man In The Middle), a ponadto oparte są na szyfrowaniu asymetrycznym. Z tego też powodu nawet jeśli komuś uda się przechwycić zaszyfrowaną komunikację, najprawdopodobniej w ciągu najbliższych lat jej nie odczyta.

Czy zabezpieczanie witryny za pomocą protokołu HTTPS poprawia jej widoczność?

Każda prowadząca działalność online firma lub osoba powinna jak najszybciej zabezpieczyć witryny za pomocą protokołu HTTPS. Nie robiąc tego, trzeba się liczyć z tym, iż każda zaktualizowana do najnowszej wersji przeglądarka internetowa poinformuje użytkownika o zagrożeniach związanych z wejściem na niezabezpieczoną stronę. Przypominamy też, iż operujące na przestarzałym protokole HTTP strony internetowe są znacznie gorzej pozycjonowane w wyszukiwarkach takich jak Google czy Bing. Ze względu na to, iż wszystkie dane przetwarzane na takiej stronie można łatwo podsłuchać, zdecydowanie nie powinno się tam podawać żadnych wrażliwych informacji. Na przykładzie sklepu internetowego łatwo zrozumieć można, dlaczego zaszyfrowane połączenie pomiędzy klientem a serwerem jest tak bardzo istotne. Jeśli strona nie jest zabezpieczona przy pomocy SSL lub TSL, robiąc zakupy z poziomu niezabezpieczonej sieci (np. w kawiarni, hotelu, pociągu itp.), trzeba się liczyć z tym, iż cyberprzestępcy są w stanie:

- przechwycić wrażliwe informacje (np. dane osobowe, numery kart wraz z CVV, hasła itp.),

- przekierować żądanie (np. zmienić adres odbiorcy) i zmodyfikować odpowiedź serwera,

- zainfekować system przy pomocy złośliwego oprogramowania (np. Ransomware)

Jak włączyć HTTPS w przeglądarce internetowej?

Nie warto zbyt długo zastanawiać się, jak włączyć HTTPS w przeglądarce internetowej, ponieważ z poziomu użytkownika niewiele da się tu zrobić. Większość współcześnie wykorzystywanych przeglądarek (np. Chrome, Edge, Firefox, Opera, Safari itp.) domyślnie komunikuje się za pośrednictwem HTTPS. Z tego właśnie powodu w ustawieniach da się z reguły najczęściej jedynie wyłączyć HTTPS lub wymusić próbę łączenia za pośrednictwem HTTP.

Czy darmowy SSL jest bezpieczny?

Ze względu na niższy poziom zabezpieczeń darmowy certyfikat SSL dobrze sprawdzi się jedynie w przypadku stron i aplikacji, które nie przetwarzają  wrażliwych danych. Zapewnia on oczywiście znacznie wyższe bezpieczeństwo niż niezabezpieczona witryna, ale na tle komercyjnych rozwiązań, które oparte są na bardziej zaawansowanym szyfrowaniu, wypada on dosyć słabo. Płatne certyfikaty SSL wyróżniają się także pod kątem gwarancji finansowej oraz zgodności z międzynarodowymi normami i standardami bezpieczeństwa. Wśród najczęściej wymienianych wad darmowej certyfikacji SSL najbardziej problematyczne są:

- często występujące problemy z odnowieniem certyfikacji,

- ograniczenia dotyczące większej liczby subdomen na jednym hostingu,

- stosunkowo słabe zabezpieczenia jednostronnej komunikacji uwierzytelniającej.

Podsumowanie

Niezabezpieczone protokołem HTTPS witryny są odfiltrowane nie tylko przez wyszukiwarki takie jak Google czy Bing, ale także i same przeglądarki. Komunikujące się za pośrednictwem protokołu HTTP serwery są zdecydowanie częściej atakowane przez cyberprzestępców, ponieważ przechwycone w ten sposób dane (np. numer karty kredytowej, pesel, telefon itp.) można natychmiast wykorzystać lub sprzedać. Ze względu na brak konieczności odszyfrowywania HTTP jest dużo mniej bezpiecznie od bezpłatnych certyfikatów SSL.