HTTPS это аббревиатура «HyperText Transfer Protocol Secure», защищенный HTTP протокол. Мы не будем вдаваться в тонкости HTTP протокола, как он устроен можно прочитать в интернете. На данном этапе развития интернета стал востребован защищенный обмен между сайтом и посетителем, т.к. в большинстве случаев с помощью сайтов посетители отправляют свои персональные данные, например, в интернет-магазинах, адрес доставки товара и свою фамилию, или формах обратной связи, фамилию и другие контактные данные. Законодательство России требует защищать передаваемые данные, это отражено в законе 152-ФЗ. Обычный протокол HTTP передает все данные между сервером и браузером посетителя как есть, без какой-либо защиты. Современные поисковые машины ранжируют выше сайты, которые работают на HTTPS протоколе. Гугл активно продвигает технологию шифрования для сайтов. Современное шифрование основано на принципе не симметричных ключей - закрытый и открытый ключи. Закрытый ключ всегда остаётся на сервере и публично не доступен. Открытый ключ генерируется на основе закрытого ключа в момент создания закрытого ключа и передается всем желающим обмениваться с данным узлом. Расшифровать информацию сервер может только если исходная информация зашифрована его открытым ключем, аналогично и обратный обмен. Если закрытый ключ попал к посторонним, например, в результате взлома, то такой ключ называют скопрометированным. Создав эту пару в принципе, уже можно создать шифрованное соединение, но возникает вопрос, может ли доверять сторона клиента этому ключу шифрования? Ответ нет.
Механизм доверия ключам
Для создания механизма доверия между сторонами обмена создали специальные удостоверяющие центры, или центры сертификации, которым доверяют все участники обмена. Для доверия нашему новому открытому ключу удостоверяющий центр накладывает свою подпись, в результате подписанный открытый ключ становится сертификатом, которому доверяет наш браузер или другая программа. Это доверие как правило дается на 1 год, спустя это время нужно опять сделать сертификат. В недрах операционных систем уже установлены корневые сертификаты удостоверяющих центров, они само подписанные, на основе их браузер может создать цепочку доверия между нашим сертификатом и удостоверяющим центром. Удостоверяющий центр или центр сертификации это организация, которая берет деньги за услугу по выпуску сертификата, при этом как минимум проверяется электронная почта внутри домена, или владение доменом в принципе, через специальные записи в ДНС. Сам сертификат привязывается к конкретным доменным именам. Сертификаты бывают разной степени доверия, самые простые это бесплатные или совсем не дорогие, там проверяется только почта внутри домена и сам домен, сертификаты с высокой степенью доверия выдаются только после проверки множества юридических документов данной организации. Для большинства сайтов достаточны либо бесплатные, либо не дорогие сертификаты. Перед вводом своих персональных данных посетитель как минимум должен убедиться, что сертификат подлинный, внимательно посмотрев на адресную строку браузера, и закрыть сайт если есть предупреждение что соединению нельзя доверять.
Ускорение загрузки сайта.
Установив механизмы шифрования открывается возможность включения нового протокола HTTP/2, который значительно ускоряет обмен, сайты открываются в разы быстрее. Этот протокол поддерживают все современные версии серверов и браузеров.
Технические особенности настройки веб сервера
Для работы сайта на HTTPS нужен выделенный IP адрес, причем индивидуальный, дело в том что перед обменом устанавливается соединение с самим сервером, который еще не знает о том к какому сайту будет обращение - это называется механизмом рукопожатия между точками обмена. На современном этапе появился новый стандарт, который позволяет размещать на одном IP адресе несколько сайтов, работающих на HTTPS, эта технология называется SNI. Ее поддерживают все современные браузеры и веб серверы. Суть этой технлогии заключается в том, что в момент "рукопожатия" браузер передает имя домена, по которому веб сервер может найти в своем хранилище нужный сертификат. Однако, если на одном сервере работают сайты на HTTP и HTTPS протоколах, нельзя все размещать на одном IP адресе, т.к. сайты работающие на HTTP, станут доступными и на протоколе HTTPS, с контентом и сертификатом сайта по умолчанию, т.е. не действительным, в браузере будет предупреждение об этом, но гуглбот игнорирует это и просканирует сайт по умолчанию! По этой причине, нужно иметь как минимум 2 IP адреса, на одном все HTTP сайты, на другом все HTTPS сайты. Современные хостинг операторы предоставляют услугу по генерации/передачи в удостоверяющий центр ключей для получения сертификатов, а так же подключения HTTPS для вашего сайта, даже на «шаровом» сервере. Специалисты нашей студии по желанию заказчика могут настроить такой протокол для созданного сайта как на нашем сервере, так и на сервере заказчика. Заказчик должен понимать, что расходы на содержания сайта вырастут из-за выделенного IP адреса, если он потребуется и получения сертификата ежегодно.
