+36 20 9 266 686 hello@juda.hu

Http vagy https? Mi a különbség?

Mostanában mindenhol azzal találkozunk, hogy a https a biztonságos, csak az legyen! Nézzük meg mi a különbség a http:// és a https:// között, melyiket mikor használjuk!

~

A webböngészők az érvényes TLS-tanúsítvánnyal rendelkező HTTPS-webhelyek URL-je mellett lakat ikont jelenítenek meg. Ez a lakat azt jelzi, hogy a böngésző és a kiszolgáló közötti kapcsolat biztonságos.

Ez nem azt jelenti, hogy a webhely használata biztonságos, vagy hogy a domain név valójában nem félrevezető vagy ilyesmi. Ez csak annyit tesz, hogy a címsorban megjelenített URL címhez kapcsolódva senki más nem olvassa vagy manipulálja a tartalmat ameddig a webszervertől a böngészőig eljut. Ez az egyik típusú tanúsítvány, amit domain-hitelesítés („DV”) tanúsítványnak is neveznek, és ez a leggyakoribb.

Egy másik hitelesítési módszer, az úgynevezett Extended Validation (“EV”), ahol a domain tulajdonosa a domain tanúsítványban is szerepel, de másban nem különbözik. Az ilyen tanúsítvánnyal rendelkező webhelyek esetében a böngészők általában egy lakatot és egy cégnevet mutatnak az URL mellett, ami szintén hamis biztonságérzetet is adhat a felhasználónak.

A modern böngészők támogatják, hogy a  HTTP webhelynek HTTPS certificate-je legyen, függetlenül azok tartalmától. A böngészőknek csak akkor kellene jeleznie, ha a kapcsolat nem biztonságos és nem fordítva.  Az oldalak több mint ¾-e HTTPS-t használ. A Mozilla 2015-ben helytelenítette a nem titkosított HTTP-t. A Firefox, a Safari és a Chrome böngészők néhány vagy mindegyik HTTP oldalt nem biztonságosnak jelölik.

 

Nézzük a certificate lehetőségeket  a gyakorlatban:

a) vannak a nagy nevű, drága szolgáltatók, aranyáron. Nem biztos, hogy ez a kisebb vállalkozásoknak való.

b) mi a fizetős kategóriából a Comodo-t szoktuk használni:
https://ssl.comodo.com/comodo-ssl-certificate.php
Ennek van egy feleanyiba kerülő verziója, ez: https://www.positivessl.com/ Itt a sima Positive SSL certificate,  49,- USD (kb. 14.000,- Ft) /év áron érhető el. Jó pár éve használjuk ezt a PositiveSSL-t, jó tapasztalatunk van vele. 

c) létezik egy “ingyenes” megoldás, ami a Let’s Encrypt névre hallgat. Egyre több böngésző és rendszer támogatja, de még mindig nem mindegyik. Illetve van még egy hátránya: nem egy évre adják, hanem a kiállítástól számított 60-90 naponta meg kell újítani, azaz új certifice-et kell létrehozatnunk évente 4-6 alkalommal, amit valamennyire lehet automatizálni, de azért lényegesen nagyobb a hibalehetőség, leállás esélye.

Az ingyenes megoldás ellen szól még talán az elméleti felelősségvállalás. A PositiveSSL-hez $10,000 warranty tartozik, a Let’s Encrypthez semmi.

Bármelyik weboldal esetében be lehet állítani, hogy a http oldal átirányítódjon a https verzióra, de pl. a  WordPress sajátosságaiból adódóan az adatbázisban az összes http hivatkozást ki kell cserélni https-re.

Mi a különbség?

Tulajdonságok HTTP HTTPS
Mire használják Olyan weboldalakon használják, ahol a weboldal információt nyújt, pl. blog. Olyan weboldalon használják, ahol a weboldal (privát) információt gyűjt, pl. hitelkártya adatok.
Google rangsor HTTP-t a Google keresője hátrébb teszi a rangsorolásban. HTTPS-t a Google keresője előrébb teszi a rangsorolásban.
Gyorsaság Gyorsabb Lassabb
Biztonság Ki van téve hacker támadásnak A HTTPS biztonságosabb, kisebb eséllyel éri hacker támadás.
Certificate Nem szükséges Kell, évente megújítandó ( kb. 49,- USD/év)

Azért ezzel a HTTPS-el is csak óvatosan! Több bank figyelmeztette a számlatulajdonosait mostanában, hogy csak és kizárólag a bank saját honlapjának a címét begépelve lépjenek be az oldalukra és semmiképpen se más linkről, ugyanis rossz szándékú emberek a bank weboldalával teljesen megegyező kinézetű weboldalt készítenek, az URL is nagyon hasonló, amit a látogató meg sem néz, hiszen miért nézné, amikor ideirányították egy másik oldalról és máris megkezdi a tranzakciót, jóhiszeműen megadja az adatait a “banknak”. Esetleg mégis ránéz a címre, és boldogan nyugtázza, hogy “HTTPS- biztonságos! OK!” Hasonló eset egy jól csengő online áruház nevében is megtörténhet. Domain név validáláshoz szükséges certificate-et bárki vehet. Nézzük meg kinek adjuk meg a személyes adatainkat!