Správná syntaxe HTTPS začíná znakem „https://“ a názvem domény, například „www.example.com“. Na rozdíl od protokolu HTTP, který pro zabezpečenou komunikaci využívá port 80, používá protokol HTTPS port 443. Přídavné písmeno „s“ ve slově HTTPS znamená secure a označuje šifrované spojení mezi prohlížečem a webovým serverem.
Protokol HTTPS je široce používán a bude i nadále důležitý z několika důvodů. V první řadě zaručuje soukromí informací odesílaných mezi prohlížečem uživatele a webovým serverem. Díky šifrování nemohou být citlivé informace, jako jsou přihlašovací údaje nebo údaje o kreditní kartě, zachyceny a zpřístupněny neoprávněným osobám.
Za druhé protokol HTTPS zajišťuje integritu dat. Aby bylo zaručeno, že data nebudou během přenosu ovlivněna, používá kryptografické algoritmy. Díky tomu nemohou nepřátelské subjekty měnit obsah nebo přidávat na webové stránky škodlivý kód.
V neposlední řadě protokol HTTPS nabízí ověřování, díky němuž uživatelé vědí, že se připojují na správnou webovou stránku, a ne na falešnou. K tomu slouží bezpečnostní certifikáty, které vydávají renomované certifikační autority. Tyto certifikáty vytvářejí bezpečné připojení a zároveň potvrzují legitimitu webové stránky. Jak fungují protokoly HTTP a HTTPS krok za krokem?
Připojení HTTP je zahájeno, když uživatel zadá do prohlížeče adresu URL začínající na „http://“. V reakci na to webový server po přijetí požadavku z prohlížeče poskytne požadovanou webovou stránku zpět prohlížeči.
Naproti tomu zabezpečené připojení je zahájeno, když uživatel zadá adresu URL začínající na „https://“. Pro vytvoření tohoto zabezpečeného spojení provedou prohlížeč a webový server následující akce: 1. Klient (prohlížeč) odešle webovému serveru zprávu „ClientHello“ s podporovanými šifrovacími algoritmy pro zahájení požadavku na bezpečné připojení. 2. Server odpoví zprávou „ServerHello“, vybere šifrovací schéma a rozešle svůj digitální certifikát, aby prokázal svou legitimitu. 3. Klient ověřuje platnost certifikátu serveru zkoumáním jeho pravosti a důvěryhodnosti vydávající certifikační autority. Pokud je vše v pořádku, klient vytvoří „pre-master secret“ a zašifruje jej veřejným klíčem serveru.
4. Pomocí předřazeného tajemství klient a server nezávisle na sobě vytvoří speciální šifrovací klíč označovaný jako „hlavní tajemství“. Data zasílaná mezi nimi jsou pak šifrována a dešifrována pomocí tohoto klíče. Po navázání zabezpečeného spojení si klient a server mohou vyměňovat šifrovaná data, čímž je zaručeno utajení, integrita a autentizace relace prohlížení. Jak lze chránit protokol HTTPS?
1. Získejte důvěryhodný certifikát SSL/TLS: Abyste měli jistotu, že prohlížeče budou vašim webovým stránkám důvěřovat, pořiďte si certifikát od důvěryhodné certifikační autority. Ujistěte se, že je certifikát správně nainstalován a pravidelně obnovován.
2. Používejte spolehlivé protokoly a šifrovací techniky: Udržujte si přehled o nejnovějších technikách šifrování a bezpečnostních protokolech. Používejte aktuální verze namísto zastaralých, které by mohly být zranitelné. 3. Zapněte HTTP Strict Transport Security (HSTS), abyste se ujistili, že se pro přístup na vaše webové stránky používá pouze protokol HTTPS, a zabránili tak útokům na snížení úrovně. Přinutí prohlížeče, aby s vaším webem vždy komunikovaly přes protokol HTTPS. Implementujte techniky bezpečného kódování: Při vytváření webu používejte techniky bezpečného kódování, abyste snížili nebezpečí zranitelností, jako jsou útoky typu XSS (cross-site scripting) nebo SQL injection. 5. Pravidelně aktualizujte a opravujte svůj webový server: Chcete-li se chránit před známými zranitelnostmi, aktualizujte operační systém a aplikace webového serveru pomocí nejnovějších bezpečnostních aktualizací. Závěrečný verdikt:
Pokud jde o bezpečné prohlížení webu, je protokol HTTPS klíčový, protože zajišťuje důvěrnost, integritu a ověřování. Uživatelé a majitelé webových stránek si mohou zajistit bezpečný online zážitek, pokud pochopí správný formát, význam a fungování protokolu HTTPS. HTTPS může úspěšně chránit citlivé informace a udržet si důvěru spotřebitelů zavedením osvědčených postupů do praxe a udržováním aktuálních bezpečnostních opatření.
HTTPS však není 8080. Za účelem zabezpečení dat odesílaných mezi prohlížečem uživatele a webovou stránkou je HTTPS (Hypertext Transfer Protocol Secure) zabezpečenou variantou protokolu HTTP. Ve výchozím nastavení používá port 443, nikoli 8080, který se často používá pro proxy servery nebo alternativní přenosy HTTP.
Z řady důvodů není protokol HTTPS vždy bezpečný. Především bezpečnost protokolu HTTPS závisí na tom, jak dobře jsou nakonfigurovány a implementovány základní protokoly a technologie. Pokud implementace obsahuje nějaké nedostatky nebo je nesprávně nastavena, může být připojení otevřeno potenciálním útokům.
Za druhé, u protokolu HTTPS jsou možné útoky typu man-in-the-middle, při kterých útočník zachytí komunikaci mezi klientem a serverem. K tomu může dojít, pokud se útočníkovi podaří převzít kontrolu nad klientským zařízením nebo certifikační autoritou, která uděluje certifikáty SSL/TLS.
Kromě toho může být protokol HTTPS napaden, pokud uživatel navštíví škodlivé webové stránky nebo se stane obětí phishingových podvodů. Za těchto okolností může uživatel neúmyslně stáhnout škodlivý obsah nebo prozradit citlivé informace útočníkům.
V neposlední řadě HTTPS nezaručuje bezpečnost celého webu. Spojení mezi klientem a serverem je sice šifrované, ale protokol HTTPS nemá žádný přímý vliv na bezpečnost backendových systémů webu, databází nebo kódu aplikace.
Riziko útoků typu man-in-the-middle, zranitelnosti související s uživatelem a rozdíl mezi šifrováním HTTPS a celkovým zabezpečením webu přispívají k tomu, že HTTPS není vždy bezpečné.