HTTPS протокол

HTTPS е защитеният начин, по който браузърът на твоето устройство и даден уебсайт обменят информация. Той използва TLS и цифров сертификат, за да криптира връзката, да ограничи възможността данните по връзката да бъдат прочетени или изменени и да помогне на браузъра да провери домейна на сайта. 


Всички тези дейности са важни, когато става въпрос за трансфер на чувствителни данни, какъвто е случаят при онлайн банкиране, плащания с карта и изпращане на лични данни. Важно е да се прави и уточнението, че наличието на https не доказва, че даден сайт е надежден и част от някаква измама. Затова всеки потребител трябва да проверява адреса, търговеца и платежната страница и да внимава при наличие на червени флагове.

stars
Най-важното
HTTPS е защитена версия на HTTP, при която обменът на информация между браузъра и уебсайта се криптира чрез TLS. Това ограничава риска данните да бъдат прочетени или променени по време на предаването им и позволява на браузъра да провери дали сертификатът съответства на посетения домейн.

Какво представлява HTTPS протоколът?

HTTPS е съкращение от Hypertext Transfer Protocol Secure. Най-точно HTTPS протоколът може да бъде описан като HTTP комуникация, защитена чрез TLS. Развитието му е свързано със SSL, или Secure Sockets Layer, създаден от екип на Netscape през 90-те години, в който участва и криптографът Тахер Елгамал. SSL по-късно служи като основа за стандартизирания TLS протокол (Transport Layer Security). TLS 1.0 е публикуван през 1999 г., а използването на HTTP върху TLS е документирано през 2000 г. 
Адресна лента с HTTPS, катинар и надпис SSL Certificate на компютърен екран.

Целта още от началото на развитието на SSL е да се изгради сигурна връзка между браузъра и уебсайта, за да могат по нея да се прехвърлят чувствителни данни. Тези данни могат да бъдат всякакви - лични данни, пароли, данни за карта и т.н. Това впоследствие се превръща в ключовата инфраструктура, върху която стъпват модерните финанси.

Онлайн банкирането, плащанията с карти и финансовите платформи разчитат на HTTPS за защита на банкови данни и информация за извършени трансакции по време на тяхното предаване. Протоколът има важна роля и за защита на данни от карта, когато те се изпращат към платежна страница. Той помага също за удостоверяване на сървъра на финансовия сайт и за запазване на целостта на предаваната информация.

В наши дни TLS се използва масово и е важна част от сигурността в интернет. Неговата надеждност е важна предпоставка за доверието в онлайн трансакциите и за развитието на модерните финанси.

Как работи HTTPS протоколът?

Когато посетиш страница, браузърът изпраща заявка към нейния сървър. След това сървърът връща съдържанието, което виждаш на екрана си, като текст, изображения, формули и др.

При HTTPS връзка информацията, която се обменя, е криптирана. Тя се преобразува във вид, който не може да бъде лесно разбран от външно лице, дори в случай, че бъде прихваната.

Първо сървърът на сайта представя цифров сертификат. Чрез него браузърът проверява дали сертификатът е валиден за конкретния домейн.

След успешната проверка, браузърът и сървърът създават криптиран канал за комуникация. От този момент нататък изпращането на информация по него е защитено.

По този начин HTTPS връзката има три основни функции: поверителност, цялост и удостоверяване. Първо, тя е поверителна, защото данните не могат да бъдат лесно прочетени от трето лице. Цялостта позволява да бъде открита неоторизирана промяна на информацията по време на нейното предаване. Удостоверяването е важна функция, която позволява на браузъра да провери дали комуникира със сървъра, свързан с конкретния домейн.

Има ли разлика между HTTP и HTTPS?

HTTP и HTTPS се използват за обмен на информация между браузър и уебсайт. Основната им разлика е една и тя е в защитата на връзката. При стандартна HTTP връзка информацията не е защитена чрез TLS протокол. Това означава, че при определени обстоятелства тя може по-лесно да бъде прихваната, прочетена или променена. 

Надпис HTTP, заменен с HTTPS върху лист хартия пред компютърна клавиатура.

При HTTPS данните се криптират. Адресът на страницата обикновено започва с https://, а браузърът не показва предупреждение, че връзката е незащитена. Тази разлика е особено важна, когато става дума за защита на личните данни: например при вход в профил, онлайн банкиране или плащане с карта.

Какво е TLS или SSL сертификат?

За да работи HTTPS, се използва TLS протокол. Това е технологията, която създава защитената и криптирана връзка между браузъра и сървъра.

Често може да срещнеш понятията TLS сертификат и SSL сертификат. SSL е по-старият протокол, който предхожда TLS. В ежедневната употреба обаче „SSL сертификат“ все още се използва като общо наименование за цифровите сертификати, използвани при защитени HTTPS връзки.

Цифровият сертификат съдържа информация за домейна и го свързва с определен криптографски ключ. Той помага на браузъра да провери дали сертификатът е издаден за сайта, който посещаваш.

Защо HTTPS е толкова важен при онлайн плащания?

При онлайн плащане могат да се обменят чувствителни финансови данни. Такива са например номерът на картата ти, срокът на валидност, името на картодържателя и още много други.

Катинар до адресна лента с HTTPS върху лаптоп, символизиращ защитена интернет връзка.

HTTPS е основна част от сигурността при онлайн плащане, защото значително намалява риска тези данни да бъдат прочетени или променени по време на тяхното предаване. Това е важно при плащане в онлайн магазини, онлайн банкиране или просто кандидатстване за финансов продукт.

Защитена връзка е нужна и когато сайтът те пренасочва към отделна платежна страница, което е масов способ в наши дни при плащането на множество продукти и услуги. Тази страница също трябва да се зарежда чрез HTTPS и да принадлежи на очаквания търговец, банка или платежен доставчик.

Едно от основните правила за сигурно онлайн пазаруване е да не въвеждаш данните на картата си при предупреждение за незащитена връзка, невалиден сертификат или подозрителен адрес. В подобен случай е по-разумно да затвориш страницата и да провериш внимателно адреса на сайта.

Друга важна технология, която се използва при плащане, е 3D Secure. При някои трансакции проверката преминава без допълнително действие, а при по-висок риск банката може да поиска потвърждение чрез еднократен код, биометрични данни или мобилното си приложение.

Известията за извършена трансакция са отделна допълнителна мярка за защита, която се използва масово в наши дни.

Как да провериш дали сайтът използва https?

Най-бързият и лесен начин е да погледнеш адреса на страницата в браузъра си. Той трябва да започва с https://, а браузърът не трябва да показва съобщение, че връзката е незащитена. До HTTPS адреса обикновено има икона с изображение на затворен катинар, който символизира защитена интернет връзка.

Може да кликнеш върху тази икона встрани от адресната лента. В зависимост от браузъра там може да видиш дали връзката е защитена, дали сертификатът е валиден, както и в някои случаи разрешения за ползване на информация и cookies от страницата.

Никога не пренебрегвай предупреждения от браузъра ти за страници с изтекъл сертификат, сертификат издаден за друг домейн, невъзможност за потвърждаване на самоличността на даден сайт или незащитена страница за въвеждане на чувствителни данни.

Какво не гарантира https?

Наличието на https не е 100% гаранция, че сайтът е автентичен, надежден и управляван от реален търговец. То показва, че връзката между браузъра и сървъра е криптирана.

Фалшив сайт също може да получи валиден цифров сертификат. В такъв случай данните се изпращат по защитена връзка, но попадат директно при измамника. Затова прави допълнителни проверки за автентичността на сайта, преди да плащаш: правилното изписване на адреса, името и адреса на търговеца, наличието на реални контакти, мнения за магазина, нормална платежна страница, условия на магазина за връщане на закупени стоки.

Изразът “защитен сайт” често се използва основно в технически смисъл, за страница, която използва криптирана връзка. Но това не може да гарантира, че търговецът е надежден.

Не, защото HTTPS защитава трансфера на информация, но не гарантира, че собственикът на сайта е надежден, нито изключва възможността страницата да е създадена с цел измама.
SSL е по-стара технология за защита на интернет комуникацията. TLS е нейният по-съвременен и сигурен наследник. Терминът “SSL сертификат” все още се използва масово.
Данните могат да бъдат прихванати като трафик, но при правилно работещо криптиране на данни съдържанието им не може да бъде лесно прочетено или променено. Сигурността зависи и от устройството, браузъра и настройките на сайта.