Давайте разбираться что такое HTTPS и SSL сертификат для Вашего сайта

HTTPS (также как и SSL сертификат) это часть нашей повседневной жизни на просторах интернета.

Сотни миллиардов долларов проходят ежегодно через протокол HTTPS. При этом каждый покупатель получает огромные преимущества от возможности безопасно проводить транзакции, делать покупки, просматривая веб-страницы сайтов и взаимодействуя с приложениями на смартфонах, планшетах или ПК. Обычное понимание на техническом языке — когда говорят про HTTPS, то это означает — безопасность. Что такое HTTPS и SSL сертификат?

С появлением бесплатных сервисов сертификации (получения) HTTPS, таких как например Let’s Encrypt, стало очень легко установить HTTPS-соединение без необходимости понимать основную механику его работы, глубоко не вникая в саму суть. Наверное это хорошо, потому что HTTPS-соединение устраняет целый ряд проблем кибербезопасности, с которыми ваше приложение или сайт может столкнуться! Тем не менее, нам важно понимать что такое этот протокол, так как сегодня он является основой безопасной интернет-связи. Надо понимать как он устроен и как работает, а также его минусы и угрозы, которые он несет в себе (а они также есть). Это не универсальная таблетка от киберпреступлений и взломов, этот протокол всего лишь один из инструментов для кибербезопасности и киберугроз.

Вводная информация о том что такое HTTPS

Проще говоря, HTTPS — это протокол HTTP, используемый с дополнительным уровнем безопасности передачи данных. С помощью HTTPS шифруются все данные между клиентом и сервером, что создает полную конфиденциальность информации пользователя, такую ​​как пароли или банковские реквизиты. Протокол для безопасной связи называется TLS, ранее известный как SSL. Переход между SSL и TLS произошел относительно недавно, и вы можете услышать, что многие ошибочно называют его SSL. Любая работа по внедрению кибербезопасности начинается с проверки (диагностики и аудита сайта) наличия и работоспособности установки HTTPS и SSL. 

HTTPS выполняет три основные функции в безопасности

• — подлинность:
  HTTPS позволяет клиенту (браузеру, мобильному телефону и т. Д.) Проверить, что вы общаетесь непосредственно с сервером, с которым, по вашему мнению, вы разговариваете.
• — конфиденциальность:
  если конфиденциальность не используется, злоумышленник может перехватить конфиденциальные данные в Интернете. Используя шифрование, мы гарантируем, что только предполагаемый получатель может прочитать данные, отправленные по сети. Это означает, что если кто-то получит доступ к вашим данным, это будет совершенно бесполезно!
• — целостность данных:
  HTTPS обеспечивает целостность данных, поэтому обещает, что наши данные не могут быть изменены третьей стороной. Представьте себе, что вы заказываете 1 пирог с пиццей онлайн, и кто-то может изменить это на 100 пирогов. Подождите, на самом деле это не звучит так ужасно?

Как работает протокол HTTPS

1. Клиент инициирует соединение HTTPS с сервером ? (обычный ввод домена в браузере, кстати)

Клиент и сервер договариваются о внедрении HTTPS и передачи данных именно через защитный канал.
HTTPS — это протокол и детали реализации его различаются. Клиент может сообщить серверу о своих предпочтениях, таких как алгоритмы шифрования и многое другое. Сервер ответит данными, информирующими клиента о типе SSL, который он поддерживает, и о том, какой тип алгоритмов шифрования будет использоваться для их связи.

2. Установление доверия с помощью сертификатов ?

3. После установления соединения между клиентом и сервером, сервер докажет подлинность своей личности клиенту. Это делается с помощью SSL-сертификата. Вы можете рассматривать SSL-сертификат как своего рода удостоверение личности с полезной информацией. Клиент изучит сертификат и решит, заслуживает ли он доверия.
   

3. Обмен ключами ?

Клиент и сервер обмениваются ключами . Этот ключ используется для шифрования всех данных, передаваемых между обеими сторонами. Один и тот же ключ используется как для шифрования, так и для дешифрования.

Почему не каждый сайт имеет HTTPS?

Что в этом сложного, если это так просто? HTTPS не только является синонимом безопасности, но и помогает SEO вашего сайта!  Он требует шифрования и дешифрования всех соединений с сервером на ходу. Это довольно обычно и просто для обычного сайта. Но для более крупных сайтов, таких как Netflix (на который приходится 34% мирового интернет-трафика), все время на процессы шифрования или дешифрования стоит больших денег. В некоторых случаях им нужно организовать большое количество серверов, чтобы удовлетворить этот спрос и дополнительное возможности обработки процессов. Имейте в виду, что при масштабировании соединений с сервером это может дорого стоить как для такого уровня безопасности.

Риски HTTPS

Как и большинство моделей безопасности, HTTPS не является таблеткой от всех кибератак и киберпреступлений, и пользователи и разработчики должны знать об этом. Вот несколько примеров атак и их деталей для реализации, которые могут сделать ваше соединения небезопасным:

Часто HTTPS устанавливается только на страницах оплаты и проведения платежей (Checkout). В это же время вход в админ-панель сайта проводится через обычный HTTP, а также многие другие страницы не подключены к HTTPS.
Это опасно, потому что большинство веб-сайтов хранят учетные данные пользователя на стороне клиента (например, файлы cookie, токены авторизации и т. д.). С помощью HTTP-соединения пользователь может легко взломать эти учетные данные и выдать себя за пользователя.

Фишинговые атаки. 
Злоумышленник может попытаться настроить фишинговую атаку с использованием HTTPS-сайта. То есть обменяться доверительными сертификатами и. наладить канал передачи данных, пытаясь настроить фишинговую атаку на защищенный сайт.