В чем разница между http и https?

Вы хотите создать свой сайт, но не знаете, какой протокол передачи данных выбрать - http или https? Или у Вас уже есть сайт, работающий на http, но Вы отовсюду слышите, что надо переходить на https? Сегодня мы разберемся в том, что же это за зверь такой «https», в чем заключается отличие этих двух протоколов и действительно ли стоит отдать предпочтение https перед http.

HTTP и HTTPS: сходства и отличия

Аббревиатура HTTP, общая для обоих понятий, образована от «Hyper Text Transfer Protocol», что переводится как «протокол передачи гипертекстовых документов». То есть оба протокола – как HTTP, так и HTTPS – применяются для передачи данных (веб-страниц, изображений, приложений и т. д.) в сети. Оба протокола относятся к прикладному уровню, обеспечивая непосредственное взаимодействие пользователя и сети, отвечая за то, каким образом пользователь видит конечную информацию.

Однако HTTPS-протокол, в отличие от своего собрата, также отвечает за то, как именно информация передается между конечными точками. А все потому, что буква «S» в аббревиатуре HTTPS означает «Secure» - «защищенный» – и именно это выводит HTTPS на принципиально новый уровень.

HTTPS – это по факту тот же HTTP, но использующий криптографический протокол Secure Sockets Layer во время обмена данными, в результате чего почти все его основные элементы шифруются: URL-запросы, включая путь и название ресурса (страницы), параметры запроса, заголовки и cookie, которые часто содержат идентификационные данные о пользователе. Такое шифрование гарантирует защиту от перехвата конфиденциальной информации по принципу «man-in-the-middle», иными словами «злоумышленник между веб-сервером и пользователем». HTTPS разработан для обеспечения аутентификации и шифрования коммуникаций и широко используется в том сетевом ПО, где важна безопасность, например, в платежных системах и корпоративных логинах.

Подытожим. В основном, HTTPS схож с HTTP, так как они оба используют базовый протокол HTTP. В обоих случаях клиент (браузер) для подключения к серверу использует стандартный порт. Однако в случае с HTTP это 80 TCP-порт, а для HTTPS TCP-портом по умолчанию является 443. Поэтому, говоря технически, HTTP и HTTPS представляют собой два различных типа коммуникации. HTTPS по сравнению с HTTP предлагает дополнительный уровень конфиденциальности и защищенности.

Ремарка: Понятия SSL и HTTPS часто воспринимаются как синонимические. Однако это не совсем корректно. HTTPS безопасен, поскольку он использует SSL-сертификат. Для того, чтобы перейти на безопасный протокол необходимо приобрести SSL-сертификат. Они выпускаются Центрами сертификации, однако обращаться напрямую в ЦС мы не рекомендуем – это сложно и, чаще сего, дороже. Наилучшим выбором станет посредник, работающий сразу с несколькими ЦС: цены у таких компаний низкие «оптовые», плюс они говорят на Вашем языке. Мы рекомендуем провайдера SSLcertificate.ru. Он работает с самыми именитыми мировыми ЦС, при этом предлагая одни из самых низких цен в России, круглосуточную техническую поддержку и всестороннюю помощь в оформлении и установке любых сертификатов – будь то SSL-сертификат для домена, субдоменов или для нескольких доменов, DV, OV или EV SSL. Все эти варианты, а также дополнительные бонусы, акции, скидки и огромная база знаний доступны на сайте компании. Переходите на HTTPS выгодно и удобно!

Отношение Google к HTTPS

В августе 2014 г. компания Google заявила, что сайты на HTTPS, получат незначительный бонус при определении позиции сайта в поисковой выдаче. Это объяснялось тем, что поскольку сам Google придерживается принципов безопасности пользователей при использовании их собственных ресурсов, то и сайты, на которые клиенты переходят из их поисковика тоже должны быть защищены. Вдобавок к этому, приобретение и установка SSL сопряжены с дополнительными временными, денежными затратами и некоторыми техническими сложностями. Все это и стало причиной повышения рейтинга HTTPS-сайтов.

Если ранее это правило касалось только сайтов, работающих с конфиденциальной информацией, и распространялось менее, чем на 1% всех запросов, то сейчас Google постепенно расширяет сферу охвата данного фактора и со временем может увеличить его вес. По последним данным ресурса MozCast, доля сайтов на HTTPS среди топ-10 сайтов в выдаче составляет 92,5%. Естественно, наличие SSL не является решающим для ранжирования, так как Google учитывает свыше 200 факторов для определения позиции сайта. Однако, при прочих равных, SSL реально способен улучшить позицию Вашей страницы. Именно поэтому переход на HTTPS принесет выгоду всем компаниям, вне зависимости от того используются конфиденциальные данные или нет, ведь основными преимуществами HTTPS являются шифрование, обеспечение целостности данных и бесперебойной аутентификации, а это актуально для всех.

Несколько рекомендаций

Если Вы все-таки решились перейти на HTTPS, то после приобретения SSL Вам следует:

1. Создать запрос CSR для получения сертификата.
2. Выбрать ПО сервера, применяемое для создания CSR.
3. Определиться с последовательностью хэширования.
4. Выбрать период действия сертификата.

Примечание: Количество серверов, на которых Вы можете использовать данный сертификат, не ограничено. Некоторые хостеры оказывают клиентам помощь в установке и настройке сертификатов. Узнайте у Вашего хостера, доступна ли Вам такая услуга.

А вот несколько рекомендаций Google касательно перемещения Вашего сайта на безопасный протокол:

• Применяйте 2048-битное шифрование;
• Используйте реферальные адреса для страниц, расположенных на том же защищенном домене;
• Не препятствуйте сканированию сайта в robots.txt;
• По максимуму разрешите ПС индексировать страницы веб-сайта. Избегайте метатега noindex.

Следите за своим перемещением на HTTPS через доступные инструменты Google Webmaster Tools.

В заключение приведем получившийся алгоритм: HTTPS поможет повысить позиции Вашего сайта, пользователи чаще и охотнее станут его посещать, безопасность сайта укрепит доверие к нему посетителей, и в конце концов все это косвенно увеличит популярность Вашего ресурса и Вашу прибыль.