Mostanában mindenhol azzal találkozunk, hogy a https a biztonságos, csak az legyen! Nézzük meg mi a különbség a http:// és a https:// között, melyiket mikor használjuk!
A webböngészők az érvényes TLS-tanúsítvánnyal rendelkező HTTPS-webhelyek URL-je mellett lakat ikont jelenítenek meg. Ez a lakat azt jelzi, hogy a böngésző és a kiszolgáló közötti kapcsolat biztonságos.
Ez nem azt jelenti, hogy a webhely használata biztonságos, vagy hogy a domain név valójában nem félrevezető vagy ilyesmi. Ez csak annyit tesz, hogy a címsorban megjelenített URL címhez kapcsolódva senki más nem olvassa vagy manipulálja a tartalmat ameddig a webszervertől a böngészőig eljut. Ez az egyik típusú tanúsítvány, amit domain-hitelesítés („DV”) tanúsítványnak is neveznek, és ez a leggyakoribb.
Egy másik hitelesítési módszer, az úgynevezett Extended Validation („EV”), ahol a domain tulajdonosa a domain tanúsítványban is szerepel, de másban nem különbözik. Az ilyen tanúsítvánnyal rendelkező webhelyek esetében a böngészők általában egy lakatot és egy cégnevet mutatnak az URL mellett, ami szintén hamis biztonságérzetet is adhat a felhasználónak.
A modern böngészők támogatják, hogy a HTTP webhelynek HTTPS certificate-je legyen, függetlenül azok tartalmától. A böngészőknek csak akkor kellene jeleznie, ha a kapcsolat nem biztonságos és nem fordítva. Az oldalak több mint ¾-e HTTPS-t használ. A Mozilla 2015-ben helytelenítette a nem titkosított HTTP-t. A Firefox, a Safari és a Chrome böngészők néhány vagy mindegyik HTTP oldalt nem biztonságosnak jelölik.
Certificate lehetőségek a gyakorlatban
a) vannak a nagy nevű, drága szolgáltatók, aranyáron. Nem biztos, hogy ez a kisebb vállalkozásoknak való.
b) mi a fizetős kategóriából a Comodo-t szoktuk használni:
https://ssl.comodo.com/comodo-ssl-certificate.php
Ennek van egy feleanyiba kerülő verziója, ez: https://www.positivessl.com/ Itt a sima Positive SSL certificate, 49,- USD (kb. 14.000,- Ft) /év áron érhető el. Jó pár éve használjuk ezt a PositiveSSL-t, jó tapasztalatunk van vele.
c) létezik egy „ingyenes” megoldás, ami a Let’s Encrypt névre hallgat. Egyre több böngésző és rendszer támogatja, de még mindig nem mindegyik. Illetve van még egy hátránya: nem egy évre adják, hanem a kiállítástól számított 60-90 naponta meg kell újítani, azaz új certifice-et kell létrehozatnunk évente 4-6 alkalommal, amit valamennyire lehet automatizálni, de azért lényegesen nagyobb a hibalehetőség, leállás esélye.
Az ingyenes megoldás ellen szól még talán az elméleti felelősségvállalás. A PositiveSSL-hez $10,000 warranty tartozik, a Let’s Encrypthez semmi.
Bármelyik weboldal esetében be lehet állítani, hogy a http oldal átirányítódjon a https verzióra, de pl. a WordPress sajátosságaiból adódóan az adatbázisban az összes http hivatkozást ki kell cserélni https-re.
Mi a különbség?
Tulajdonságok | HTTP | HTTPS |
Mire használják | Olyan weboldalakon használják, ahol a weboldal információt nyújt, pl. blog. | Olyan weboldalon használják, ahol a weboldal (privát) információt gyűjt, pl. hitelkártya adatok. |
Google rangsor | HTTP-t a Google keresője hátrébb teszi a rangsorolásban. | HTTPS-t a Google keresője előrébb teszi a rangsorolásban. |
Gyorsaság | Gyorsabb | Lassabb |
Biztonság | Ki van téve hacker támadásnak | A HTTPS biztonságosabb, kisebb eséllyel éri hacker támadás. |
Certificate | Nem szükséges | Kell, évente megújítandó ( kb. 49,- USD/év) |
Azért ezzel a HTTPS-el is csak óvatosan! Több bank figyelmeztette a számlatulajdonosait mostanában, hogy csak és kizárólag a bank saját honlapjának a címét begépelve lépjenek be az oldalukra és semmiképpen se más linkről, ugyanis rossz szándékú emberek a bank weboldalával teljesen megegyező kinézetű weboldalt készítenek, az URL is nagyon hasonló, amit a látogató meg sem néz, hiszen miért nézné, amikor ideirányították egy másik oldalról és máris megkezdi a tranzakciót, jóhiszeműen megadja az adatait a „banknak”. Esetleg mégis ránéz a címre, és boldogan nyugtázza, hogy „HTTPS- biztonságos! OK!” Hasonló eset egy jól csengő online áruház nevében is megtörténhet. Domain név validáláshoz szükséges certificate-et bárki vehet. Nézzük meg kinek adjuk meg a személyes adatainkat!