Кількість сайтів використовують зашифроване HTTPS з'єднання стрімко збільшується.
Чому такий переполох?
А все просто, політика пошукових систем змушує вебмайстрів мігрувати на захищений протокол.
Як багато блогерів, в тому числі і я, запідозрили що під це потраплять і інші сайти.
Зауважу, що такий перехід створює безліч технічних складнощів і проблем для блогерів і для всіх учасників всесвітньої павутини.
Скажіть, ну що там таке, переходите. Однак це варто грошенят і після переходу втратиш позиції сайту в пошуковій видачі.
Пошуковики вважатимуть такий сайт новим, звичайно, з часом все відновиться але геморой з усім цим переходом той исчо.
Я вважаю що перехід на зашифроване HTTPS не для підвищення безпеки в мережі, хоча має місце, а в цілях підвищення власних доходів продають цей сертифікат.
У будь-якому випадку, процес уже пішов.
Так, Друзі, і я купився на загрози! Кому потрібні репресії! Напевно помітили, цей сайт використовує зашифроване HTTPS. А все тому, що зовсім не охота втрачати свої напрацювання і задумки на майбутнє через примхи купки людей-які так вирішили.
Цей сайт з народження має сертифікат HTTPS і у видачі видно що має зелений ключик. У цьому випадку все було досить зрозуміло без обдурення мізків сумнівами, але що робити з рештою сайтами навіть не знаю.
Подивимося як підуть справи, якщо почнуть сідає у видачі, сайти без HTTPS, доведеться їх згортати або заглушити жабу ощадливого підходу до хобі і деякі з них все ж перевести на HTTPS.
Зауважу, я на цьому сайті не маю приватну інформацію, проте, як уже писав проект на майбутнє. Думаю що має сенс поговорити про сутність цих слів-зашифроване HTTPS.
Як все відбувається в мережі без HTTPS?
І так, маєте увазі що ваш браузер не встановлює з'єднання з сервером безпосередньо, а з'єднання відбувається через безліч проміжних вузлів.
У цьому бере участь ваша локальна мережа, потім мережу вашого провайдера, і всякі недруги, навіть зацікавлені організації можуть брати участь в цьому процесі. І нарешті, тільки потім в результаті, ваше з'єднання потрапить на потрібний сервер.
Звідси можна зробити висновок, що якщо до одного з проміжних вузлів в ланцюжку до веб-сервера зловмисник отримає доступ, то він зможе перехоплювати ваш трафік з сайтом і отже зможе отримати всі введені вами паролі, персональну інформацію, номери кредитних карт і так далі.
Тому знайшли рішення, щоб усунути цю проблему треба використовувати HTTPS протокол.
Чим же відрізняється HTTP від HTTPS?
HTTPS є розширенням HTTP протоколу. Але є головна відмінність HTTPS застосовує шифрування переданих даних за допомогою криптографічних протоколів SSL і TLS.
Такий протокол має назву HTTPS (HyperText Transfer Protocol Secure) або так- захищений протокол.Какім чином браузер і веб-сервер можуть встановити зашифроване з'єднання?
Є ключі, за допомогою яких можна зашифровувати і розшифровувати передану інформацію. Браузер і веб-сервер мають кожен свій секретний ключ.
Вони "домовляються" між собою і вибирають випадкові числа, використовуючи при цьому відкритий канал зв'язку, потім все це модифікується за допомогою секретних ключів.
На закінчення вони обмінюються отриманими результатами один з одним і знову модифікують за допомогою своїх секретних ключів. Нарешті в самому підсумку, після всіх цих маніпуляцій, у них виявляється однаковий секретний ключ, незважаючи на те, що він сам не передавався безпосередньо по мережі.
При цьому навіть якщо хтось перехоплював всі їхні повідомлення йому це не допоможе отримати секретний ключ. Пояснив досить сумбурно, однак, нам треба знати що це так і є, ваше з'єднання з сайтом стає захищеним.
Що зраділи! Ха, ха рано!
Перебуваючи десь посередині вашого з'єднання з сайтом, він може представитися браузеру користувача веб-сервером до якого надіслано запит і ох біда створити секретний ключ.
Потім зловмисник звернутися до веб-сервера якому був посланий запит і представитися браузером користувача так само створивши з ним секретний ключ.
В результаті зловмисник отримуватиме зашифровані запити від браузера, розшифровувати їх, зашифровувати знову вже з використанням іншого секретного ключа і відправляти веб-сервера представляючись браузером користувача.
Таким чином, він буде виконувати функцію посередника повністю контролюючи з'єднання, а браузер і веб-сервер навіть не будуть про це знати, думаючи, що спілкуються безпосередньо.
Щоб таке не відбувалося потрібен цифровий сертифікат.
Коли ми посилаємо запит на який-небудь сайт з використанням шифрування, нам дуже важливо упевнитися, що нам відповів саме потрібний сайт, а не хтось інший видає себе за нього. Для цього існують спеціальні організації звані центрами сертіфікаціі- Certificate Authority, або CA.
Їхня задача зводиться до перевірки існування домену та наявності прав на керування ними. У разі успішного проходження перевірки, вони видають цифровий сертифікат зі своїм підписом, його ще називають SSL сертифікатом сайту.
У браузери спочатку закладені дані про центрах сертифікації, яким довіряють його розробники.
Справа в тому, що ssl сертифікат може створити будь-хто, наприклад власник сайту може видати його сам собі, це так звані само-підписані сертифікати.
У разі, коли сертифікат сайту не викликає довіри з яких-небудь причин, наприклад є само-підписаним, виданий невідомим CA, не збігається домен, прострочений або ще що то, то браузер розриває з'єднання.
Так що безкоштовні сертифікати можуть не спрацювати і ви від вигоди отримаєте тільки неприємності у втраті трафіку.
Слід зазначити, що існує кілька типів сертифікатів, проте це важливо тільки адміністраторам сайтів. З точки зору звичайних користувачів можна виділити три групи розрізняють ступенем довіри: простий, з перевіркою компанії і сертифікат з розширеною перевіркою організації.
Розповім про одну неприємну особливості, коли зважитеся на перехід HTTPS.
Напевно в курсі, що html сторінки сайтів не є чимось монолітним, вони формуються з безлічі незалежних шматочків, таких як текст, зображення, скрипти, стилі і так далі. Всі вони є складовою частиною сторінки, але завантажуються в браузер строго окремо.
Припустимо ситуацію, ми відкриваємо сайт по захищеному протоколу, а виклик зображення на сторінці сайту вказано через незахищений http протокол.
Або так, якщо всередині https з'єднання відбувається спроба завантаження скриптів (js) або стилів (css) по простому протоколу http, то браузери блокують їх завантаження, оскільки вважають серйозною уразливістю.
Інша частина завантаженої сторінки вважається безпечною, але вона може не працювати належним чином з-за заблокованих файлів. В цьому випадку браузери розглядають це як змішаний контент, що потенційно знижує безпеку всього підключення.
Тому інтерпретують як незахищене з'єднання.
Виглядає це неприємно, зникає зелений ключик і браузер повідомляє Новомосковсктелю про що не відповідає по захищеності. Так що не все так райдужно з переходом на зашифроване HTTPS.
У моєму випадку, я один сертифікат купив, і буду чекати коли Google надасть всім бажаючим безкоштовні сертифікати які пізнає як довірені всі браузера.
Це я до того, що маю дюжину сайтів з різною тематикою без HTTPS!
Як не як вони (Google) затіяли цей перехід. Якщо вони цього не зроблять, то стане ясно, все для кола хапуг має бажання зрубати грошенят з усіх сайтів на білому світі.