Давайте розглянемо що таке HTTPS і SSL сертифікат для Вашого сайту 

HTTPS (також як і SSL сертифікат) це частина нашого повсякденного життя на просторах інтернету. 

Сотні мільярдів доларів проходять щорічно через протокол HTTPS. При цьому кожен покупець отримує величезні переваги від можливості безпечно проводити транзакції, робити покупки, переглядаючи веб-сторінки сайтів і взаємодіючи з додатками на смартфонах, планшетах або ПК. Звичайне розуміння технічною мовою – коли говорять про HTTPS, то це означає – безпека. Що таке HTTPS і SSL сертифікат?

З появою безкоштовних сервісів сертифікації (отримання) HTTPS, таких як наприклад Let’s Encrypt, стало дуже легко встановити HTTPS-з’єднання без необхідності розуміти основну механіку його роботи, не вникаючи глибоко в саму суть. Напевно це добре, тому що HTTPS-з’єднання усуває цілий ряд проблем кібербезпеки, з якими ваш додаток або сайт може зіткнутися! Тим не менш, нам важливо розуміти що таке цей протокол, так як сьогодні він є основою безпечного інтернет-зв’язку. Треба розуміти як він влаштований і як працює, а також його мінуси і загрози, які він несе в собі (а вони також є). Це не універсальна таблетка від кіберзлочинів і зломів, цей протокол всього лише один з інструментів для кібербезпеки і кіберзагроз. 

Вступна інформація про те що таке HTTPS 

Простіше кажучи, HTTPS – це протокол HTTP, який використовується з додатковим рівнем безпеки передачі даних. За допомогою HTTPS шифруються всі дані між клієнтом і сервером, що створює повну конфіденційність інформації користувача, наприклад паролі або банківські реквізити. Протокол для безпечного зв’язку називається TLS, раніше відомий як SSL. Перехід між SSL і TLS стався відносно недавно, і ви можете почути, що багато хто помилково називають його SSL. Будь-яка робота по впровадженню кібербезпеки починається з перевірки (діагностики і аудиту сайту) наявності і працездатності установки HTTPS і SSL. 

HTTPS виконує три основні функції в безпеці

 

• автентичність: 

 

HTTPS дозволяє клієнту (браузеру, мобільному телефону і т. д.) перевірити, що ви спілкуєтеся безпосередньо з сервером, з яким, на вашу думку, ви розмовляєте.

 

• конфіденційність: 

 

якщо конфіденційність не використовується, зловмисник може перехопити конфіденційні дані в Інтернеті. Використовуючи шифрування, ми гарантуємо, що тільки передбачуваний одержувач може прочитати дані, відправлені по мережі. Це означає, що якщо хтось отримає доступ до ваших даних, це буде абсолютно марно!

 

• цілісність даних: 

 

HTTPS забезпечує цілісність даних, тобто обіцяє, що наші дані не можуть бути змінені третьою стороною. Уявіть собі, що ви замовляєте 1 пиріг з піцою онлайн, і хтось може змінити це на 100 пирогів. Зачекайте, насправді звучить не так вже й жахливо? 

Як працює протокол HTTPS 

Клієнт ініціює з’єднання HTTPS з сервером ? (до речі, традиційне введення домену в браузері).

Клієнт і сервер домовляються про впровадження HTTPS і передачу даних саме через захисний канал. 

HTTPS – це протокол і деталі його реалізації розрізняються. Клієнт може повідомити сервер про свої уподобання, таких як алгоритми шифрування і багато іншого. Сервер відповість даними, інформуючи клієнта про тип SSL, який він підтримує, і про те, який тип алгоритмів шифрування буде використовуватися для їх зв’язку. 

Встановлення довіри за допомогою сертифікатів ? 

Після встановлення з’єднання між клієнтом і сервером, сервер доведе справжність своєї особистості клієнту. Це робиться за допомогою SSL-сертифіката. Ви можете розглядати SSL-сертифікат як свого роду посвідчення особи з корисною інформацією. Клієнт вивчить сертифікат і вирішить, чи заслуговує він довіри. 

Обмін ключами ? 

Клієнт і сервер обмінюються ключами. Цей ключ використовується для шифрування всіх даних, що передаються між обома сторонами. Один і той же ключ використовується як для шифрування, так і для дешифрування.

Чому не кожен сайт має HTTPS? 

Що в цьому складного, якщо це так просто? HTTPS не тільки є синонімом безпеки, а й допомагає SEO вашого сайту! Він вимагає шифрування і дешифрування всіх з’єднань з сервером на ходу. Це досить звично і просто для звичайного сайту. Але для більш великих сайтів, таких як Netflix (на який припадає 34% світового інтернет-трафіку), весь час на процеси шифрування або дешифрування коштує великих грошей. У деяких випадках їм потрібно організувати велику кількість серверів, щоб задовольнити цей попит і додаткові можливості обробки процесів. Майте на увазі, що при масштабуванні з’єднань з сервером, це може дорого коштувати як для такого рівня безпеки. 

Ризики HTTPS 

Як і більшість моделей безпеки, HTTPS не є таблеткою від усіх кібератак і кіберзлочинів, і користувачі і розробники повинні знати про це. Ось кілька прикладів атак і їх деталей для реалізації, які можуть зробити ваше з’єднання небезпечним: 

Часто HTTPS встановлюється тільки на сторінках оплати і проведення платежів (Checkout). В цей же час вхід в адмін-панель сайту проводиться через звичайний HTTP, а також багато інших сторінок не підключених до HTTPS. 

Це небезпечно, тому що більшість веб-сайтів зберігають облікові дані користувача на стороні клієнта (наприклад, файли cookie, токени авторизації і т. Д.). За допомогою HTTP-з’єднання користувач може легко зламати ці облікові дані і видати себе за користувача. 

Фішингові атаки. 

Зловмисник може спробувати налаштувати фішингову атаку з використанням HTTPS-сайту. Тобто обмінятися довірчими сертифікатами і налагодити канал передачі даних, намагаючись налаштувати фішингову атаку на захищений сайт.