Protokół HTTPS jest bardzo popularny – w 2023 roku aż 82,9% stron internetowych miało zaimplementowane szyfrowanie najwyższej klasy. Jeżeli Twoja witryna działa nadal z certyfikatem w formie HTTP, czas to zmienić. W innym wypadku będziesz rankował niżej niż Twoja konkurencja (HTTPS to jeden z ponad 200 czynników rankingowych), a dodatkowo budził znacząco mniejsze zaufanie, co przełoży się negatywnie na doświadczenia internautów (UX). Przeczytaj nasz wpis i dowiedz się, co to jest protokół HTTPS oraz czym się różni od HTTP!
Protokół HTTPS – co to jest?
Protokół HTTPS to bezpieczna wersja protokołu HTTP, wykorzystująca szyfrowanie SSL/TLS do ochrony transmisji danych między przeglądarką a serwerem. Dzięki temu wszelkie informacje wymieniane pomiędzy użytkownikiem a witryną internetową są chronione przed przechwyceniem przez osoby trzecie.
Strona internetowa zabezpieczona prokołem HTTPS (ikonka Tune SSL). Źródło: www.semgence.pl
Protokół ten stosuje certyfikaty cyfrowe do weryfikacji tożsamości serwerów, zapewniając integralność danych i prywatność komunikacji.
Czym różnią się strony HTTP i HTTPS?
Różnice pomiędzy stronami HTTP i HTTPS:
Kategoria | HTTP | HTTPS |
Pełna nazwa | Hypertext Transfer Protocol | Hypertext Transfer Protocol Secure |
Szyfrowanie | Brak szyfrowania | Szyfrowanie za pomocą SSL/TLS |
Bezpieczeństwo | Niska ochrona przed przechwyceniem danych | Wysoka ochrona dzięki szyfrowaniu |
Certyfikaty | Nie wymaga certyfikatów | Wymaga certyfikatów cyfrowych |
Port | Używa portu 80 | Używa portu 443 |
Adres URL | Zaczyna się od „http://” | Zaczyna się od „https://” |
Protokół | Nie zapewnia ochrony przed atakami typu man-in-the-middle | Chroni przed atakami typu man-in-the-middle |
Wskaźnik bezpieczeństwa | Brak wskaźnika w przeglądarce | Ikona kłódki lub Tune SSL (w zależności od przeglądarki) |
Koszt | Brak dodatkowych kosztów | Koszt zakupu i utrzymania certyfikatu SSL/TLS |
Zaufanie użytkowników | Mniejsze zaufanie ze względu na brak zabezpieczeń | Większe zaufanie dzięki zastosowanym zabezpieczeniom |
Strona HTTPS – dlaczego to jedyny słuszny wybór na 2024 i 2025 rok?
Strona HTTPS okazuje się jedynym słusznym wyborem w najbliższej przyszłości, ponieważ HTTPS jest traktowany jako sygnał rankingowy… od 7 sierpnia 2014 roku.
Zaawansowane szyfrowanie jako wskaźnik rankingowy. Źródło: www.backlinko.com/google-ranking-factors
Google tłumaczy to w ten sposób:
„Bezpieczeństwo jest dla nas bardzo ważne. Dokładamy wielu starań, żeby zabezpieczenia naszych usług spełniały najwyższe branżowe wymogi, w tym domyślne silne szyfrowanie HTTPS. Oznacza to, że osoby, które korzystają np. z wyszukiwarki, Gmaila czy Dysku Google, mają automatycznie bezpieczne połączenie z Google. Staramy się nie tylko chronić własne usługi, ale także zapewniać użytkownikom internetu bezpieczeństwo w szerszym zakresie. W dużej mierze oznacza to udostępnianie bezpiecznych stron użytkownikom Google”. – Google Search Central, HTTPS jako sygnał rankingowy.
Jakie zalety wyróżniają strony HTTPS?
- szyfrowanie danych – zapewnia ochronę przed przechwyceniem informacji przez osoby trzecie (dzięki zastosowaniu protokołu SSL/TLS, dane są zaszyfrowane podczas transmisji);
- weryfikacja tożsamości serwera – certyfikaty SSL/TLS potwierdzają autentyczność serwera, z którym się łączysz (zapobiega to atakom typu man-in-the-middle);
- integralność danych – chroni przed modyfikacją danych w trakcie przesyłu (użytkownik ma pewność, że otrzymane informacje są nienaruszone);
- zwiększenie zaufania użytkowników – widoczna ikona kłódki w przeglądarce buduje większe zaufanie do witryny (użytkownicy częściej odwiedzają i korzystają z bezpiecznych stron);
- poprawa pozycjonowania (SEO) – wyszukiwarki preferują strony HTTPS, co przekłada się na lepszą widoczność w wynikach wyszukiwania.
Jak wdrożyć protokół HTTPS? Instrukcja krok po kroku!
W celu wdrożenia protokołu HTTPS:
KROK 1: Wybierz i zakup certyfikat SSL/TLS
Pierwszym krokiem wdrożenia HTTPS jest wybór i zakup certyfikatu SSL/TLS od zaufanego dostawcy. Gdy certyfikat zostanie zakupiony, otrzymasz plik CRT, który będziesz musiał zainstalować na swoim serwerze. W pliku konfiguracyjnym serwera, np. Apache (httpd.conf) lub Nginx (nginx.conf), dodaj sekcję „Virtual Host” dla portu 443, zawierającą ścieżki do plików certyfikatu i klucza prywatnego.
Przykładowa konfiguracja dla Apache wygląda tak:
Konfiguracja SSL dla Apache.
Pamiętaj, aby przetestować konfigurację, a następnie zrestartować serwer. Po wdrożeniu certyfikatu i poprawnej konfiguracji serwera wszelkie połączenia z Twoją stroną będą szyfrowane, zapewniając większe bezpieczeństwo komunikacji między użytkownikami a Twoim serwisem.
KROK 2: Zainstaluj certyfikat SSL/TLS
Kiedy masz już certyfikat SSL/TLS, musisz go zainstalować na serwerze, aby zabezpieczyć komunikację między użytkownikami a Twoją witryną. Proces instalacji różni się w zależności od serwera, jednak zawsze wymaga dodania odpowiednich dyrektyw do pliku konfiguracyjnego.
Przykładowo, w konfiguracji serwera Apache musisz dodać sekcję „VirtualHost” dla portu 443, określając ścieżki do plików certyfikatu, klucza prywatnego oraz ewentualnie pliku z łańcuchem certyfikatów.
Pamiętaj, aby po zaktualizowaniu konfiguracji zrestartować serwer – aktywuje to nowe ustawienia. Dzięki temu wszystkie połączenia do Twojej witryny będą chronione, zapewniając poufność oraz integralność danych przesyłanych przez użytkowników.
KROK 3: Przekieruj z HTTP na HTTPS
Przekierowanie z HTTP na HTTPS jest istotnym krokiem, zapewniającym, że wszystkie połączenia do Twojej witryny są bezpieczne. W pliku konfiguracyjnym serwera WWW, np. Apache, dodaj reguły przekierowujące ruch z portu 80 (HTTP) na port 443 (HTTPS). Możesz to osiągnąć poprzez zastosowanie dyrektywy „RewriteRule” w module mod_rewrite:
Dyrektywa „RewriteRule”.
W przypadku serwera Nginx dodaj reguły w sekcji „server”:
Reguły w sekcji „server”.
Po dokonaniu zmian zrestartuj serwer, aby nowe ustawienia zostały aktywowane. Dzięki temu wszyscy użytkownicy odwiedzający Twoją stronę przez HTTP zostaną automatycznie przekierowani na bezpieczne połączenie HTTPS – ochroni to ich dane i zwiększy zaufanie do Twojej witryny.
KROK 4: Przetestuj działanie certyfikatu
Działanie protokołu HTTPS sprawdzisz przy pomocy Qualys Lab – narzędzia proponowanego przez Google.
Interfejs Qualys Lab. Źródło: www.ssllabs.com/ssltest/
Po chwili ładowania zobaczysz wyniki dla swojej strony. W przypadku witryny z poprawnie zaimplementowanym protokołem HTTPS, raport wygląda następująco:
Analiza strony z poprawnie zaimplementowanym HTTPS. Źródło: www.ssllabs.com/ssltest/
Kolejnym krokiem jest manualna weryfikacja SSL. W Google Chrome nie będzie to certyfikat SSL (w postaci kłódki), a tzw. ikonka Tune SSL, wyglądająca nieco inaczej:
Ikonka Tune SSL w Google Chrome. Źródło: www.semgence.pl.
Decydując się na skorzystanie przykładowo z przeglądarki Mozilla Firefox, zobaczysz standardowy certyfikat SSL w formie kłódki.
Certyfikat SSL w Mozilla Firefox. Źródło: www.semgence.pl