fbpx

Securitatea online: care e e faza cu HTTP, HTTPS și certificatele digitale?

Anul trecut Google a anunțat că site-urile care folosesc protocolul HTTPS pentru transmiterea datelor vor beneficia de o poziție puțin mai bună în motorul de căutare, practic folosesc și protocolul de comunicare pentru ranking. Desigur, factorul nu e la fel de relevant ca adresa site-ului, structura acestuia, conținutul de pe site sau optimizarea onsite, dar e un plus. Pe la noi nu s-a agitat prea mult lumea, dar anul ăsta am avut câțiva clienți care ne-au întrebat dacă nu ar trebui să aibă și ei HTTPS din ăsta la site, și mi-am dat seama că lumea chiar nu știe care e diferența între ele.

HTTP (Hypertext Transfer Protocol) este metoda cea mai utilizată pentru accesarea informațiilor de pe internet, fiind protocolul implicit pe www, informațiile transmise sunt afișate în clar și pot fi interceptate. Cu alte cuvinte, dacă scrieți în bara de la browser www.mariussescu.ro sunteți redirecționati pe https://mariussescu.ro imediat. Majoritatea site-urilor de pe internet folosesc http, și e ok, cât timp nu vorbim de site-uri care stochează și afișează informații despre operațiuni cu bani, date personale, parole etc. Nu are sens pentru Hotnews.ro de exemplu să folosească HTTPS, și nici pentru bloguri.

HTTPS (HyperText Transfer Protocol/Secure) este protocolul de comunicație destinat transferului de informație criptată, practic toate informațiile pe care noi le introducem pe site-urile cu https și informațiile pe care ele ni le afișează sunt protejate de intruși. Dacă avem un site care realizează tranzacții monetare neapărat trebuie folosit https. De exemplu, în magazinele online, atunci când dați clic pe Efectuează plata veți remarca că mereu ajungeți pe site-ul procesatorului, care este cu https.

Certificatele digitale (Transport Layer Security – TLS și Secure Sockets Layer – SSL) sunt folosite pentru autentificarea serverelor web, practic sunt colecții de date pe care browserul nostru le cere serverelui pentru a începe transferul informațiilor criptate. Ele sunt emise și validate de autorități cunoscute în domeniu, ca Norton.

De exemplu, dacă sunteți jucători profesioniști și intrați pe site-uri de gambling dedicate și cunoscute, cum ar fi Casino.com România, care este un cazinou online unde puteți găsi multe jocuri, de la cele clasice, cum ar fi Black jack, Ruleta și slot-uri la cele mai puțin comune, cum sunt zarurile, veți remarca că afișează sigla Norton Secured în partea de jos a paginii, deci procesarea informațiilor din contul jucătorilor după conectare este securizată, tocmai pentru că vorbim de informații sensibile.

Discuția e mult mai complexă, asta e doar un 0,1% din volumul de informații, dar e suficient să știți diferențele și faptul că întreținerea unui site cu https costă mai mult decât a unui site cu http, deci nu are rost să vă bateți capul cu asta decât dacă procesați informații foarte importante, pentru care aveți nevoie de criptare.

Recomandă

2 Comentarii

  1. Actualizeaza articolul, am intrat din greseala pe blog-ul tau si am dat click pe acest articol sa vad ce ai scris.
    Intradevar nu conteaza la securitate, dar conteaza daca cumva vrei sa ai http/2 sau SPDY pe serverul tau web. http/2 e important deoarece fata de http/1 resursele sunt transmise deodata si daca creezi un scriptulet care sa blocheze conexiunile http/1 in cazul unui ddos dar sa lase conexiunile http/2 mai mult ca sigur vei bloca un atac destul de complicat gratuit, deci chiar si cu https site-ul se va incarca sesizabil mai rapid, ceea ce conteaza, deoarece Google suporta http/2 si toate browserele cu update la zi suporta http/2. Bine daca nu ai propriul tau server si nu ai cunostinte de linux ca sa ai cea mai recenta versiune de nginx/apache cu suport http/2 atunci beneficiezi doar de un bonus de securitate.
    O alta precizare a mea e ca daca ai o licenta ssl treaba unui hacker amator devine ceva mai complicata cand cauta un cross-site scripting (XSS) utilizabil pentru furt de informatii deoarece nu poate incarca continut de pe site-uri nesigure.
    Oamenii pot opta pentru un certificat gratuit gen letsencrypt (nu suporta Windows XP sau telefoane mai vechi de 4 ani, adica poti intra doar de pe firefox pe xp iar pe telefoane foarte vechi da eroare) sau startcom, care trebui reinnoit manual la 3 luni dar suporta Windows XP si telefoanele mobile mai vechi.
    Bafta

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *