Co to jest HTTP oraz HTTPS?

Protokoły internetowe

Protokoły to reguły i kroki, automatycznie wykonywana przez urządzenia w internecie. Istnieje wiele protokołów tzw. warstw, które odpowiadają za różnego rodzaju komunikację w internecie. Niektóre z nich to:

• DNS – tłumaczy nazwę domeny na adres IP – Domain Name System,
• FTP – protokół transferu plików np. na wysyłanie na serwer plików strony – File Transfer Protocol,
• HTTP – przesyłanie dokumentów hipertekstowych np. plików witryny, filmów, obrazków – Hypertext Transfer Protocol,
• HTTPS – szyfrowana wersja protokołu HTTP – Hypertext Transfer Protocol Secure,
• POP3 – protokół pocztowy, służący do odbierania wiadomości z serwera – Post Office Protocol,
• SMTP – protokół poczty, służący do wysyłania wiadomości – Simple Mail Transfer Protocol,
• SSH – szyfrowane połączenie z terminalem serwera – Secure Shell,
• IMAP – protokół dostępu do poczty bezpośrednio na serwerze – Internet Message Access Protocol,
• Telnet – dostęp do serwerów oraz komunikacji z nimi, był szeroko stosowany jako dostęp do terminala serwera, ze względu na niski poziom bezpieczeństwa, został zastąpiony SSH.

HTTP Protokół Hypertext Transfer Protocol

Protokół HTTP odpowiada za transfer i odbieranie informacji w internecie. Właśnie ten protokół, dostarcza strony do Twojej przeglądarki.

Dzięki temu protokołowi wszystkie urządzenia komunikują się w standardowy sposób. Protokół jest bezstanowy (stateless) tzn. że nie zachowuje żadnych informacji o połączeniach. Bardziej szczegółowe informacje techniczne znajdziesz na na stronie Wikipedii

Strona, którą właśnie czytasz, dostarczył do Twojej przeglądarki protokół HTTP.

HTTPS – Protokół Hypertext Transfer Protocol z Secure Sockets Layer SSL

HTTPS to również protokół HTTP, tylko jego wersją szyfrowana. Różnicą jest taka, że protokół HTTP nawiązuje połączenie, a wszystkie dane przesyłane pomiędzy urządzeniami, czyli Twoja przeglądarka <=> Sewer, są szyfrowane dzięki SSL, czyli Secure Sockets Layer.

Po co jest SSL – Secure Sockets Layer

HTTPS współdziała z protokołem SSL. Tak żeby cała komunikacja była szyfrowana. Dane muszą zachować integralność podczas transmisji. Uwierzytelnianie, czyli informacja że faktycznie komunikujesz się z prawidłową witryną.

Gdzie HTTPS jest używany

Na początku HTTPS zaczęto wdrażać wszędzie tam, gdzie mamy do czynienia z wrażliwymi danymi:

• Banki – szyfrują całą komunikację, pomiędzy Tobą, a ich serwerem
• Operatorzy płatności – od dłuższego czasu, dane na temat karty kredytowej, płatności, przesyłane są tylko za pomocą szyfrowanego połączenia
• Sklepy internetowe – cały proces zamawiania i finalizowania transakcji jest szyfrowany
• inne – wszelkie miejsca, gdzie dane wrażliwe, są podawane i przesyłane
• SEO, pozycjonowanie – ze względu na zmiany wprowadzane przez Google, jest to obecnie wymóg dla każdej, strony, która chce walczyć o wysokie pozycje w wyszukiwarce.

HTTPS jako czynnik rankingu Google (ranking factor)

HTTPS zostało dodane do algorytmu Google, jako czynnik rankingu. Google „zaleca” wdrożenie protokołu na każdej stronie. Firmy SEO zalecają przejście na HTTPS.

Większość wyników w TOP10 to strony mające HTTPS. Wpływ tego czynnika na ranking nie jest ogromny, jednak podczas walki o najwyższe pozycje, nie wolno go ignorować.

HTTPS jest obowiązkowe w pozycjonowaniu.

Dodatkowo Chrome i inne przeglądarki informują użytkownika, że znajduje się, na nie zabezpieczonej stronie.

Strona firma bez SSL nie wzbudza zaufania, a jest to najważniejsze w komunikacji z klientem.

Zalety SEO przejścia na HTTPS

Przejście na protokół HTTPS nie jest specjalnie trudnym zadaniem.

Google an swoich stronach opisuje w jaki sposób powinno się migrować stronę.

Zmiana z HTTP na HTTPS to zmiana powiązana z URL-ami instrukcja Google

Rekomendacje Google odnośnie HTTPS

• przede wszystkim używać certyfikatów z wiarygodnego urzędu certyfikacji, każdy dostawca hostingu oferuje zakup certyfikatu,
• przekieruj 1:1 wersje HTTP na wersję HTTPS, używając 301,
• dbaj, żeby certyfikat nie wygasł, każda obecna przeglądarka wyświetli błąd zamiast Twojej witryny,
• zezwól na indeksację wersji HTTPS,

Lista kontrolna wdrażania HTTPS

Kopia zapasowa

Zanim zaczniesz jakiekolwiek poważne zmiany na stronie, to wykonaj kopię zapasową. Dzięki czemu w razie nie powodzenia będziesz mógł przywrócić z niej stronę.

Przygotuj przekierowania 301 z wersji HTTP na HTTPS

Przekierowanie 301 jest to permanentne przekierowanie, jest również w pełni akceptowane i zalecane przez Google.

Prawidłowe przekierowanie gwarantuje, że jeśli ktokolwiek kliknie w link np. https://www.damek.pl/google-moja-firma/ zostanie automatycznie przekierowany na https://www.damek.pl/google-moja-firma/

Aktualizacja linków

Na całej stronie, w różnych miejscach występują linki do innych podstron Twojego serwisu.

Wszystkie linki musisz zmieniać na wersję https://.

Dotyczy to szablonów strony, treści i wszelkich miejsc gdzie odwołujesz się na stronie do wersji http, w tym linków canonical.

Mapa strony

Przygotuj wersję dla https i przekieruj wersje http za pomocą 301.

robots.txt

W robots.txt może być dodana np. link do mapy strony, należy jej link zmienić na wersję https.

Narzędzia Google, Bing itp.

Zaktualizuj w nich wersję strony na https:// oraz zaktualizuj mapę strony podając wersje https://.

Przyspiesz to indeksację nowej wersji witryny.

Aktualizacja narzędzi Google

Zaktualizuj wersję strony, we wszystkich narzędziach Google w tym Analytic, Search Console, Tag Manager, Moja Firma i inne jeśli używasz.

CDN

Jeśli używasz CDN również musisz wykonać aktualizację wersji strony.

Social Media i najważniejsze linki

Zaktualizuj wersję strony na najważniejszych profilach firmowych np. Facebook, Twitter, Instagram, YouTube, Yelp itp.

Dotyczy to również, wszelkie innych linków do których masz dostęp.

Linki zewnętrzne

Jeśli na stronie odsyłasz do innych domen, zaktualizuj te linki na wersję HTTPS, jeśli dana domena nie wdrożyła SSL, rozważ pozbycie się linku do tej strony.

Nie blokuj indeksacji http

Nigdy nie blokuj indeksacji wersji http, ustaw tylko 301 na https.

Jeśli Google nie może indeksować http to stracisz całą moc Twojej strony, którą stworzyłeś wcześniej.

Wdrażanie HTTPS

Sprawdzanie certyfikatu SSL

Przede wszystkim musisz sprawdzić czy połączenie jest zabezpieczone.

Zabezpieczone połączenie jest możliwe tylko, jeśli wszystkie zasoby, czyli te znajdujące się w Twojej domenie oraz te znajdujące się w zewnętrznych domenach, są pobierane połączeniem szyfrowanym.

Przykład

• Twoja zasoby wczytują się z domeny https://www.damek.pl
• Zasoby zewnętrzne wczytują się z domeny https://www.google-analytics.com
• Obydwa zasoby komunikują się przez połączenie szyfrowane HTTPS

Weryfikacja

Zacznij od najprostszej formy, w przeglądarce obok adresu wczytanej strony zobaczysz:

• kłódkę oznacza to że połączenie jest szyfrowane HTTPS
• napis Niezabezpieczona lub przekreślona kłódka oznacza, że połączenie nie jest szyfrowane HTTP
• napis Niezabezpieczona na czerwono z wykrzyknikiem, oznacza problem z certyfikatem, certyfikat nie jest prawidłowy lub wygasł

Dodatkowe informacje o certyfikacie

Jeśli klikniesz kłódkę to otrzymasz dodatkowe informacje. W tym informacje

• Połączenie jest bezpieczne, Certyfikat (Ważny), połączenie HTTPS
• Twoje połączenie z tą witryną nie jest bezpieczne, połączenie HTTP
• Twoje połączenie z tą witryną nie jest bezpieczne, Certyfikat (Nieważny) w przypadku np. nie przedłużonego Certyfikaty połączenie HTTPS

Wygasły certyfikat

Nigdy nie używaj wygasłego certyfikatu SSL, jest to potencjalne zagrożenie i Twoja strona zostanie, „zdjęta” z wyników wyszukiwania Google, dopóki tego nie naprawisz.

Dodatkowa weryfikacja

W przeglądarce Chrome możesz użyć opcji Narzędzia dla developerów.

Po włączeniu zakładki Security i przeładowaniu strony. Otrzymasz informacje na temat Certyfikatu oraz zasobów zewnętrznych, które zostały wczytane.

Jeżeli wszystko jest na zielono oznacza to że zarówno Twoja strona jak i zasoby zewnętrzne komunikują się po HTTPS.

Przekierowania 301

Certyfikat jest już zainstalowany to dopiero początek, wdrażania SSL na Twojej stronie.

Musisz poprawić wszystkie zasoby odnoszących się do http i zmienić je na https.

Na początek musisz zając się ustawieniem przekierowania dla całej strony. Oznacza to że każda strona która obecnie działała na http musi być automatycznie przekierowana na https.

Zadanie to można zrealizować na wiele sposobów. Najpopularniejszą opcją jest przekierowanie po stronie serwera. Dodatkowo większość obecnych systemów CMS oferuje wsparcie dla SSL. Jest ono oferowana bezpośrednio w systemie lub za pomocą dodatkowych wtyczek. np. Realy Simple SSL dla Wordpresa.

Musisz zadbać, że jeśli ktoś wejdzie na http to przekierowany zostanie za pomocą 301 na https.

W przypadku Google brak przekierowania może doprowadzić do duplikatu treści, ponieważ robot będzie indeksować osobno http i https, które są identyczne. Może się to zakończyć bardzo dużymi spadkami pozycji i ruchu.

Dodatkowo na pewno w internecie istnieje wiele linków prowadzących do Twojej domeny, 301 przeniesie ich moc z http na https.

Prosta weryfikacja

Wpisz https://damek.pl zostaniesz automatycznie przeniesiony na https://www.damek.pl/

Weryfikacja narzędziem

Narzędzie https://httpstatus.io/, które pokaże Ci jakie otrzymało odpowiedzi od przeglądarki w tym kod 301, czyli przekierowania i kod 200, czyli prawidłowe wczytanie strony.

Canonical alternatywa dla 301

Można również wskazać adres strony za pomocą tagu canonical, jest to rozwiązanie zastępcze, jednak nie zastąpi przekierowania 301.

Aktualizacja zasobów

Kolejny najważniejszy krok to aktualizacja zasobów. Dopóki na Twojej stronie znajdują się zasoby http:// to niestety, ale Twoja strona nie jest w pełni zabezpieczona. Mówię tutaj zarówno, o zasobach wewnętrznych jak i zewnętrznych.

Zasoby wewnętrzne to wszystko co znajduje się w obrębie Twojej domeny.

Zasoby zewnętrzne to wszystko co jest wczytywane przez Twoją stronę z domen obcych.

Jakie zasoby znajdują się na Twojej stronie:

• przede wszystkim strony HTML, wszystkie obrazki, które wczytuje Twoja strona, dotyczy to również plików video, w tym np. YouTube (stara wersja działała na http),
• wszystkie pliki do pobrania dokumenty, prezentacje, arkusze, pliki spakowane, pdf itp.
• dodatkowo pliki odpowiedzialne za Java Script oraz CSS.
• jeżeli posiadasz inne wersje strony np. wersję mobilną, również musisz migrować ją na wersje z SSL
• na końcu dojdziesz do zasobów zewnętrznych, wszelki statystyki, narzędzia, Facebook pixel, Google Ads, kod Google Tag Manager pliki fontów np. z Google,
• wszystko co przeglądarka musi wczytać, żeby wygenerować Twoją stronę, musi być wczytywane przez połączenie szyfrowane, inaczej strona nie będzie w pełni zabezpieczona.

Sprawdzanie błędów SSL

Sprawdzanie czy Twoja strona zawiera niezabezpieczone treści https://www.jitbit.com/sslcheck/