Dacă te gândești să îți dezvolți un website este important să te informezi cu privire la toate aspectele înainte să iei decizii concrete. Dacă, dimpotrivă, ai deja un website și te preocupă ca acesta să ofere utilizatorilor săi cea mai bună experiență ai putea avea nevoie de sfaturi. 

Unul din aspectele cele mai importante când vine vorba de site-uri web o reprezintă protocoalele. Poți găsi aici informații despre protocoalele https și http, fără de care un site web nu există.

Cuprins:

  1. Ce înseamnă https?

1.1. Ce este protocolul https

1.2. Unde și cum este folosit protocolul https

2. Ce înseamnă http?

2.1. Ce este protocolul http

2.2. Browserul și protocolul http 

2.3. Metode http

3. Diferențe între protocolul https și protocolul http

    3.1. Diferențele principale între https și http

3.2. Ce riști dacă nu folosești protocolul https

4. https și certificatul SSL

1. Ce înseamnă https?

Oricine s-a întrebat măcar o dată ce înseamnă de fapt https, abreviere des întâlnită în era tehnologiei. Găsești aici informații despre protocolul https, ce înseamnă, unde și cum este folosit.

1.1. Ce este protocolul https

HTTPS reprezintă abrevierea pentru Hypertext Transfer Protocol Secure. HTTPS este un protocol de comunicație, un set de reguli pentru ca informațiile să fie transmise. 

Litera „S” de la final înseamnă că site-ul este sigur (Secure), lucru indicat de către unele browsere prin afișarea unui mic lacăt în bara de adrese. Datele transmise de la server către browserul clientului sunt criptate, folosind un protocol de criptare TLS (Transport Layer Security), cunoscut anterior ca SSL (Secure Sockets Layer). 

URL-urile HTTPS încep cu „https://” și folosesc portul 443 în mod implicit.

pagina nesecurizata - fara https://
pagina nesecurizata – fara https://

1.2. Unde și cum este folosit protocolul https

Prin intermediul protocolului HTTPS se face legătura între domeniul introdus de user în browser (ex: thc.ro) și serverul pe care acel domeniu se află. Prin urmare, HTTPS este un protocol de tip cerere-răspuns între un client și un server. 

Schimbul de informații între user și server este criptat cu ajutorul unor chei de criptare. HTTPS face multiple verificări pentru ca userul să interacționeze doar cu serverul dorit, astfel că datele introduse nu pot fi interceptate de o a treia persoană. 

Protocolul https este cel mai folositor în următoarele situații:

  • Plăți sigure online
  • Autentificare
  • Securizarea conturilor și a datelor personale
  • Ascunderea identității userilor
  • Securizarea activității pe site
  • Asigurarea integrității datelor

2. Ce înseamnă http?

Află aici informații despre http: ce înseamnă http și cum funcționează protocolul http în raport cu browserul, precum si cele mai utilizate metode http. 

2.1. Ce este protocolul http

HTTP este abrevierea pentru Hypertext Transfer Protocol. Ca și HTTPS, HTTP este un protocol (set de reguli/instrucțiuni) de comunicație la nivel de aplicație. Este protocolul implicit al serverelor WWW (World Wide Web) ). Asta înseamnă că dacă partea de protocol nu este vizibilă într-un URL, este vorba de http. 

Datorită simplității sale, conexiunea server-browser este foarte rapidă. 

URL-urile HTTP încep cu „http://” și folosesc ca port implicit portul 80. 

Prima versiune, HTTP/0.9, a fost concepută de Tim Berners-Lee și colaboratorii săi, având multe lipsuri. Au apărut ulterior versiunile HTTP/1.0 și HTTP/1.1. În prezent se folosesc ultimele 2 versiuni.

2.2. Protocolul HTTP și browserul

Protocolul HTTP este un protocol de tip text, care conține niște reguli prin care paginile web se pot transmite de pe un server către user. În momentul în care se introduce o adresa de web în browser (ex: thc.ro) se cere hostului (serverului) să afișeze pagina web respectivă. 

Acest lucru se realizează prin următorii pași:

  1. Protocolul DNS convertește adresa introdusă de user (ex:thc.ro) într-o adresă IP 
  2. Protocolul TCP transferă adresa IP pe portul 80, portul standard al protocolului HTTP
  3. Protocolul HTTP îi spune serverului cum să transmită ce a fost cerut
  4. Urmează răspunsul serverului, care va transmite informațiile cerute (pagini HTML, scripturi, etc). 

Într-un mod similar funcționează și schimbul de informații în cazul protocolului HTTPS, diferența fiind că adresa IP va fi transferată pe portul 443.

2.3. Metode HTTP

Protocolul HTTP vine cu o multitudine de metode, denumite și verbe, fiecare având scop diferit. Un server poate fi configurat pentru a susține combinații de metode. Aceste metode HTTP se împart în general în 2 categorii: metode sigure (nu modifică starea serverului) și metode nesigure (modifică starea serverului). 

Cele mai utilizate metode HTTP sunt următoarele:

  • GET: cea mai folosită metodă, fiind utilizată pentru a solicita date dintr-o resursă
  • PUT: inversul metodei GET, este utilizata pentru a transmite date către o resursă
  • DELETE: opusul metodei PUT, folosită pentru a șterge informații 
  • HEAD: cere returnarea doar a antetului paginii, fără restul conținutului
  • POST: trimite date de intrare 
  • TRACE: metodă nouă în versiunea HTTP/1.1, folosită de obicei pentru a obține mai multe informații despre traseul urmat de legătura HTTP
  • CONNECT: metodă folosită în general de către serverele intermediare
  • OPTIONS: metodă utilizată pentru a interoga metodele HTTP pe care le suportă serverul

Conform clasificării menționate anterior, GET și HEAD sunt metode HTTP sigure, în timp ce POST, PUT și DELETE sunt metode HTTP nesigure. 

O observație importantă este că cererile GET rămân în istoricul browser-ului și în memoria cache, în timp ce în cazul cererilor POST aceste lucruri nu se intampla. 

3. Diferențe între protocolul https și protocolul http

Deși au aceeași utilitate, și anume transferul de date, protocolul https si http sunt diferite în unele aspecte. Găsești aici care sunt diferențele principale dintre protocolul https și protocolul http, precum si cateva riscuri la care îți expui site-ul dacă nu folosești protocolul https.

3.1. Diferențele principale între https și http

HTTPS este o extensie a HTTP. Protocolul HTTPS a fost dezvoltat din nevoia de securitate. Practic, HTTPS nu este un protocol separat, ci este protocolul HTTP integrat într-o conexiune securizată (SSL/TLS). Spre deosebire de HTTP, HTTPS rezistă la o mare majoritate a atacurilor dacă este integrat corect. 

Protocolul HTTPS este în prezent mai folosit decât protocolul HTTP. 

O mică diferență există și la nivel de timp de procesare. În cazul protocolului HTTPS, serverul și browserul trebuie să facă schimb de chei de criptare folosindu-se de certificate (TLS/ SSL), astfel încât timpul de procesare va fi mai mare decât în cazul HTTP. Acest aspect însă va fi aproape insesizabil pentru utilizator, fiind vorba de timpi foarte scurți (viteza medie de încărcare a unui site fiind de 1-3 secunde). 

Google a anunțat în 2014 că site-urile ce au un certificat SSL (folosesc deci, protocolul HTTPS), vor apărea pe poziții mai sus în paginile cu rezultate ale căutărilor decât cele HTTP. Prin urmare, dacă ai un site și apelezi la un serviciu de găzduire web https://www.thc.ro/găzduire-web, adoptă și un certificat SSL, pentru a-ți mări șansele de a apărea în fața competiției în motoarele de căutare. De asemenea, unele browsere atenționează utilizatorul cu mesajul „Not Secure” în cazul unei pagini HTTP, ceea ce îi va face pe mulți sa paraseasca site-ul. Certificatul SSL devine astfel necesar dacă îți dorești să îți păstrezi clienții și să le oferi o experiență cât mai bună. 

3.2. Ce riști dacă nu folosești protocolul https

securitate https vs. http

În cazul HTTP, informația este divizata in pachete de date. Aceste pachete pot fi interceptate ușor în cazul în care computerul este conectat la o retea de Wi-fi publica. În schimb, dacă se folosește protocolul HTTPS, în cazul în care aceste pachete ajung în mana hackerilor, ele vor fi nefolositoare, fiindca nu vor contine informatia brută, ci o informatie codata.

De asemenea, în cazul site-urilor fără HTTPS, este posibil ca unii intermediari sa modifice conținutul și să introducă pe site reclame nedorite, fără aprobarea proprietarului site-ului.

Un alt risc apare în momentul în care nu toate resursele de pe site-ul tau sunt securizate cu protocolul https. Consecința este că întregul site va fi blocat. Dacă detii deja un site, gazduit de exemplu de un server virtual, este important sa știi de existenta erorilor „Mixed Content Issues”. Daca site-ul are conținut mixt (pagina este securizata https însă anumite părți precum unele imagini, link-uri sau scripturi au un protocol http) el nu va putea fi accesat. Prin urmare, dacă decizi sa folosesti protocolul https, el trebuie folosit pentru toate resursele.

Este absolut necesar să implementezi un certificat SSL dacă ești deținătorul unui magazin online. Astfel te asiguri că datele introduse de clienții tăi (referitoare la adrese, cărți de credit, etc.) nu sunt furate în momentul în care aceștia plasează comenzi. De asemenea, toate paginile care colectează parole trebuie securizata cu un protocol https

4. https și certificatul SSL

HTTPS este și o metodă de autentificare a serverului prin intermediul certificatelor digitale. Aceste certificate conțin date pe care browserul le solicită serverului pentru a începe transferul criptat de informații. Astfel, este sigur că browserul va comunica doar cu serverul dorit. 

Multe site-uri de găzduire web oferă certificate SSL clienților lor.

Certificatul Secure Sockets Layer a fost creat în 1994, și reprezintă un fișier cu un set de instrucțiuni ce cripteaza conexiunea server-browser. Ulterior a fost redenumit, astăzi fiind cunoscut și ca TLS (Transport Layer Security). Un certificat SSL elimină posibilitatea pentru ca o a treia persoană să intercepteze datele personale ale utilizatorilor și activitatea acestora pe site-ul respectiv

Aceasta metodă de securizare este una asimetrică și folosește 2 chei pentru a cripta comunicarea:

  1. Cheia privată– este controlată doar de proprietarul site-ului, se află pe server și e folosită să decodeze informația criptată cu ajutorul cheii publice; cheia privată este denumită și cheie de decripție
  2. Cheia publică– poate fi folosită de orice dorește să cripteze un mesaj care va putea fi decriptat doar cu ajutorul cheii private; cheia publică este denumită și cheie de encripție

Există certificate SSL gratuite și plătite. În cazul variantelor plătite, firma care emite certificatul va despăgubi clientul dacă cineva sparge algoritmul de criptare și reușește să fure sau să modifice datele. 

În ultimii ani securitatea datelor a devenit un subiect foarte fierbinte, devenind prioritară în cazul în care sunt implicate date personale sau sensibile. În acest context, protocolul https este aproape obligatoriu. Sfatul specialistilor este ca toate site-urile sa recurga la aceasta varianta si sa aleagă un certificat SSL potrivit nevoilor acestuia. În final însă, alegerea aparține detinatorului site-ului.