Аббревиатура HTTPS расшифровывается как Hypertext Transfer Protocol Secure, а переводится примерно следующим образом: «безопасный гипертекстовый протокол передачи данных». HTTPS появился в 2000-м году благодаря стараниям компании Netscape Communications и стал применяться во всемирной паутине очень широко. Следовательно, мы просто обязаны уделить ему внимание.

Суть простыми словами

На самом деле HTTPS является не отдельным, совершенно новым протоколом, а всего лишь расширенным HTTP. То есть, парни из Netscape Communications взяли уже существующий протокол HTTP и прикрутили к нему технологию шифрования данных SSL (Secure Sockets Layer) . Ну и к названию одну букву добавили, а также назначили для установки соединений вместо 80-го программного порта по умолчанию 443-й.

Владелец ресурса во всемирной паутине отправляется в компанию-регистратор (например, VeriSign или Comodo) и приобретает специальный сертификат , позволяющий клиентам устанавливать защищённое соединение с веб-сервером. Цифровая подпись регистратора выступает в качестве гарантии того, что сайт является настоящим, не подделанным, достойным доверия.

Встречаются и самодельные сертификаты (для серверов под управлением Unix-подобных ОС), «самоподписанные», созданные с помощью софта gensslcert от компании SuSE или ssl-ca от проекта OpenSSL. Защищённое соединение устанавливается, но надёжных гарантий подлинности нет.

Есть также разновидность сертификатов, которые выдаются сервером и хранятся в браузерах на компьютерах пользователей, дабы при подключении к веб-ресурсу автоматически устанавливать защищённое соединение и авторизоваться. Так действует, к примеру, сервис платёжной системы Webmoney под названием WM Keeper Light.

Кроме того, в браузере хранятся сведения о регистраторах, чтобы можно было во время подключения к серверу «на лету» определять, не фальшивый ли тот или иной веб-ресурс. В смысле, достоверная ли подпись у его сертификата.

Вы можете открыть Менеджер сертификатов в настройках, допустим, Mozilla Firefox, отыскать список регистраторов, отредактировать его, посмотреть контрольные суммы. А также импортировать файл с сертификатом, который вам выдан (тем же Webmoney Keeper Light) или экспортировать уже присутствующий, создав резервную копию.

Однако вернёмся к нашим серверам. «Ух ты!» - радостно говорит браузер, - «доступно защищённое соединение! И сертификат подлинный!» На что сервер отвечает: «А ты как думал! Это же сайт солидной конторы. Добро пожаловать! Сейчас назначу надёжный 128-битный ключ шифрования - и начинаем обмениваться данными!»

Собственно говоря, ключей два: Public , для шифрования идущего от клиента трафика, и Private , для расшифровки полученного. Клиенту заботиться не о чем. Разве что следить за предупреждениями, выдаваемыми браузером, не отозван ли сертификат, подлинная ли подпись, нет ли перенаправления на незашифрованную страницу, где опасно вводить какие-либо пароли.

Зачем это нужно

Незашифрованные данные, циркулирующие по сети, перехватить очень легко. Существуют специализированные программы-снифферы (от английского слова «sniff» - «вынюхивать»), которые могут сохранять на диск чужие электронные письма, пароли, платёжные реквизиты.

Когда вы отправляете электронное письмо, пользуясь открытой Wi-Fi сетью , то никогда не можете быть уверенными, нет ли поблизости кого-нибудь, кто выуживает личные данные.

Однако если трафик зашифрован, то нехороший человек получит сплошную абракадабру и ничего не узнает. Подобрать 128-битный ключ шифрования возможно скорее теоретически, нежели практически. Не говоря уж о 256-битном.

Поэтому банки, платёжные системы, уважающие себя почтовые сервисы и даже некоторые социальные сети предоставляют возможность установки защищённого соединения с использованием протокола HTTPS.

Практика

Касаемо электронной почты, к Gmail и Hotmail наконец-то присоединился Яндекс , включив в своём веб-интерфейсе протокол HTTPS по умолчанию. Настраивать вручную ничего не нужно.

В Gmail следует зайти в настройки и отметить опцию «Использовать только HTTPS». На всякий случай.

С Hotmail не всё так просто, доведётся залезть в дебри.

Жмём «Параметры» справа вверху, рядом с именем пользователя.
Выбираем «Другие параметры»
Движемся в раздел «Дополнительные параметры конфиденциальности»
«Перейти к параметрам HTTPS»
Выбираем «Использовать протокол HTTPS автоматически»
Ну и кнопку сохранения изменений не игнорируем, естественно.

При установке зашифрованного соединения адрес веб-страницы начинается не с «http://» а с «https://». Адресная строка может окрашиваться в иной цвет (например, в браузере SeaMonkey - в бледно-жёлтый). Или рядом с ней будет нарисован какой-нибудь символ вроде крохотного навесного замка. В общем, в разных браузерах индикация реализована по-разному. (В Firefox 9 с настройками по умолчанию - почему-то вообще никак.)

Заключение

Защищённый протокол HTTPS используется в таких социальных сетях и сервисах как Twitter, Blogger, Google+, Сайты Google, Wordpress.com, и это очень хорошо, потому что значительно снижает вероятность взлома учётной записи и рассылки спама от имени пользователя. Для банков и платёжных систем просто не может не быть зашифрованного соединения, иначе это никакой не банк и не система. Да и просто личная переписка останется приватной, если выбрать хорошую почтовую службу.

Предыдущие публикации:

Представим такую ситуацию. У вас есть сайт, расположенный на внешнем сервере. Вы, как администратор, выполняете на нем определенные действия, подключаясь под определенным логином и паролем. Вторая ситуация. Вы являетесь пользователем системы Web Money или аналогичной. Для выполнения действий с вашими кошельками вам необходимо подключиться к системе. Что может произойти во время таких подключений? Если кто-либо окажется между вашим компьютером и сервером, он сможет перехватить (sniffer) передаваемые вами и вам данные, выделить из них информацию, которая может дать доступ к вашему серверу или кошельку и выполнить действия, которые нанесут вам вред.

Что делать и как защитить себя от возникновения подобной ситуации? Один из вариантов — работать по защищенному протоколу. Защищенные протоколы работают на различных уровнях и используют разные алгоритмы шифрования. Клиент и сервер взаимодействуют таким образом, что любая третья сторона, просматривая поток сообщений в сети, не смогла разобраться, какой информацией обмениваются между собой клиент и сервер. Аутентификация с помощью специальных сертификатов позволяет быть уверенным в том, что данные не были изменены или подделаны.

Для создания защищенных соединений разработано несколько протоколов

Защищенная связь в Интернете может быть реализована с помощью ряда протоколов, таких, как Secure Socket Layer (SSL), Secure HTTP (SHTTP) и Private Communications Technology (PCT) . Они обеспечивают защищенность каналов связи между Web-сервером и браузером и осуществляют идентификацию либо браузера, либо сервера. Реализаций защищенных протоколов несколько, но для того чтобы подавляющее число Web-браузеров могли работать с вашей системой, она все же должна поддерживать протокол SSL, как наиболее на сегодняшний день распространенный. Часто для его обозначения и выделения среди других используется аббревиатура HTTPS . Именно эта латинская буква «s» превращает обычный, не защищенный канал передачи данных в Интернете по протоколу HTTP, в засекреченный или защищенный.

Протокол SSL был представлен компанией Netscape Communications Corporation в 1994 году. Тогда была представлена вторая версия, в которой защищенность канала обеспечивалась поверх уровня транспортного протокола (например, TCP), а прикладные программы работали через SSL. Протокол SSL обеспечивает защиту данных посредством шифрования своих сообщений, а также проверку целостности сообщений и аутентификацию со стороны сервера и выборочно — со стороны клиента. Двумя годами позже была представлена третья версия этого протокола, в которой была расширена поддержка алгоритмов шифрования и обмена ключами.

Протокол SSL предоставляет "безопасный канал", который имеет три основных свойства:

Защищенность связи. После первоначального квитирования связи применяются средства шифрования и определяется секретный ключ. Для шифрования данных используются средства симметричной криптографии (например, DES, RC4 и т.д.).
Участник сеанса связи может быть идентифицирован и с помощью общих ключей, то есть средствами асимметричной криптографии (например, RSA, DSS и т.д.).
Надежность связи. Транспортные средства проводят проверку целостности сообщений с помощью зашифрованного кода целостности (MAC). Для вычисления кодов МАС используются безопасные хэш-функции (например, безопасный хэш-алгоритм (SHA), MD5 и т.д.).

Цель протокола SSL — обеспечение защищенности и надежности связи

Основная цель протокола SSL состоит в том, чтобы обеспечить защищенность и надежность связи между двумя подключенными друг к другу приложениями. Этот протокол состоит из двух уровней. Нижний уровень, который располагается поверх транспортного протокола (например, TCP), называется SSL Record Protocol . SSL Record Protocol используется для встраивания различных протоколов высокого уровня и обеспечивает базовый набор средств защиты и поддержку двух следующих сервисов для соединений SSL: конфиденциальность и целостность сообщений. Один из таких встроенных протоколов, SSL Handshake Protocol , позволяет серверу и клиенту идентифицировать друг друга и согласовывать алгоритм шифрования и криптографические ключи, прежде чем протокол приложения произведет обмен первыми битами данных. Одно из преимуществ SSL заключается в том, что он независим от протоколов приложений. Протокол высокого уровня может совершенно прозрачно располагаться поверх протокола SSL.

Другим немаловажным преимуществом SSL является его полная программно-платформенная независимость. Протокол разработан на принципах переносимости, и идеология его построения не зависит от тех приложений, в составе которых он используется.

Протокол SSL состоит из нескольких уровней. На каждом уровне сообщения имеют ряд полей для указания длины, описания и содержания. SSL воспринимает данные, предназначенный для передачи, делит их на управляемые блоки, проводит компрессию данных (если это необходимо), использует код MAC, производит шифрование и передает результат. Принятые данные расшифровываются, проверяются, декомпрессируются и реассемблируются, а затем передаются клиентам более высокого уровня.

Алгоритм работы SSL построен на принципе публичных ключей. Этот принцип основан на использовании пары асимметричных ключей (публичном и приватном) для кодирования/ декодирования информации. Публичный ключ раздается всем желающим. И с его помощью шифруются необходимые данные, которые можно дешифровать только с помощью приватного ключа. Защищенность передаваемых данных, в конечном итоге, зависит от длины ключа. Если она небольшая, то информация может быть взломана, хотя для этого и потребуются достаточно большие вычислительные мощности.

Процесс "узнавания" состоит из нескольких фаз, что замедляет работу сервера

При установлении связи процесс инициализации начинает клиент, который отправляет серверу сообщение ClientHello , содержащее версию протокола, идентификатор сеанса, комплект шифров (cipher suite), метод сжатия и исходные случайные числа. Затем клиент ожидает от сервера сообщения ServerHello , которое содержит те же параметры, что и сообщение ClientHello, и Certificate , в котором передаётся открытый ECDH ключ сервера, подписанный цифровой подписью по алгоритму ECDSA. При необходимости может быть отправлено сообщение ServerKeyExchange (обмен ключами сервера) и CertificateRequest (запрос сертификата). Сообщением ServerDone сервер извещает о завершении фазы приветствия. После аутентификации сервера клиент вычисляет секретный ключ. Если сервер запросил сертификат, клиент отправляет сообщение Certificate или уведомление NoCertificate , если подходящий сертификат отсутствует. Затем он передаёт свой открытый ключ в сообщении ClientKeyExchange . В завершение данного этапа клиент может отправить сообщение CertificateVerify , чтобы обеспечить средства прямой верификации сертификата клиента.

После этого, производится еще ряд промежуточных обменных операций, в процессе которых, производится окончательное уточнение выбранного алгоритма шифрования, ключей и секретов, и далее, сервер посылает клиенту некое финальное сообщение. Только после того, как сервер идентифицирует пользователя, он предоставляет клиенту доступ к ресурсу, заданному соответствующим универсальным идентификатором (Uniform Resource Locator, URL). Аутентификация с применением сертификата клиента позволяет серверу идентифицировать индивидуальных пользователей и предоставлять им заданные администратором права доступа. Так, Internet Information Server поддерживает аутентификацию клиентов в сеансе защищенного канала посредством сертификатов с открытым ключом.

Для того, чтобы можно было работать в браузере через защищенное соединение, нужно, чтобы он поддерживал протоколы SSL и был открыт доступ к Интернету по порту 443. Для нормальной работы с протоколами нужно использовать один из следующих браузеров:

Internet Explorer 5.01 и выше
Opera от 5.0 и выше
Netscape Navigator от 4.6 и выше

Они должны быть настроены соответствующим образом, то есть должна быть включена поддержка протоколов SSL2 и SSL3.

Где можно увидеть применение протоколов SSL? Наверняка, многие из вас пользуются теми или иными системами электронных денег — Яндекс.Деньги, Web Money, иные. При подключении к серверам выполняется проверка вашего сертификата, после чего устанавливается (если сертификат действителен) защищенное соединение. Аналогично выполняется подключение к серверам электронных бирж, брокерских площадок, ряда других сервисов.

Возникает вопрос, а почему такой хороший метод защиты передаваемой и получаемой информации не используется повсеместно? На это есть несколько причин. Одна из них — меньшая пропускная способность сервера при обработке запросов при установлении связи и обработке (шифровании/ расшифровывании) информации. При большой нагрузке эта проблема может стать критической. Вторая проблема заключается в необходимости иметь множество различных сертификатов для подключения к различным интернет-сервисам. Их нужно не только хранить, но и обеспечивать их защиту на своем компьютере. Поэтому подобные средства защиты передаваемых данных используются чаще всего в коммерческих проектах, там, где раскрытие передаваемой информации может привести к печальным последствиям.

HTTP - это протокол прикладного уровня передачи данных, как вы уже, наверное, знаете. Именно поэтому мы набираем HTTP:// и затем переходим на , и по этому адресу мы попадем на HTTP-версию этого веб-сайта.

Теперь смотрите, в адрес серверов и обратно, в буквальном смысле, происходит отправка текста, который выглядит следующим образом. Здесь указан HTTP протокол. В тексте указано, что используется HTTP протокол, есть дата, серверы, ниже видим HTML-код , это код, который вы можете обнаружить, если будете просматривать исходный код веб-страниц. Вот так он выглядит. Так что HTTP - это простой текст. Давайте я это закрою, перейду на Google и поменяю здесь на HTTPS, теперь у меня запущен HTTP поверх TLS или SSL. HTTPS предоставляет средства защиты TLS, потому что он использует TLS, это шифрование данных, аутентификация, обычно на серверной стороне, целостность сообщений и по выбору - аутентификация клиента или браузера.

Когда вы заходите на веб-сайт при помощи HTTPS, веб-сервер запускает задачу по вызову SSL и защите обмена данными. Сервер отправляет сообщение обратно клиенту с указанием, что должен быть установлен защищенный сеанс, и клиент, в ответ, отправляет ему свои параметры безопасности. Это значит, что клиент скажет: "Я готов использовать такую-то цифровую подпись, я готов использовать такой-то метод обмена ключами, алгоритм, я готов использовать такой-то симметричный ключ", а сервер сравнивает эти параметры безопасности со своими собственными до тех пор, пока не находит соответствие, и это называется фазой “рукопожатия” или handshake.

Сервер аутентифицирует клиент посредством отправки ему цифрового сертификата, мы рассмотрим сертификаты позже, и если клиент решает доверять серверу, то процесс продолжается. Сервер может запросить клиент также отправить ему цифровой сертификат для взаимной аутентификации, но такое происходит не часто.

Если вам нужна полностью защищенная end-to-end сессия с аутентификацией вас и другой стороны, то вам стоит использовать сертификаты с цифровыми подписями обеих сторон. Вы получше поймете, как это работает, когда мы доберемся до цифровых сертификатов.

Клиент генерирует симметричный сеансовый ключ, например при помощи алгоритма AES, и шифрует его при помощи открытого ключа сервера. Этот зашифрованный ключ отправляется в адрес веб-сервера и оба они, и клиент, и сервер, используют этот симметричный ключ для шифрования данных, которые они отправляют друг другу.

Так и устанавливается защищенный канал обмена данными.

Для работы TLS нужен сервер и браузер с поддержкой TLS, а все современные браузеры поддерживают TLS, как мы убедились в статье на Википедии. И во всех браузерах вы увидите HTTPS, что будет указывать на то, что используется TLS, и кроме того, вы часто встречаете замок, все браузеры имеют нечто подобное с целью держать вас в курсе, используете ли вы HTTPS или HTTP с TLS.

Если мы посмотрим на замок здесь, то увидим технические детали, какие алгоритмы шифрования используются. В данном случае, используется TLS. Эллиптические кривые с Диффи-Хеллманом, RSA. AES со 128-битным ключом, режим шифрования GCM, и SHA256 для целостности данных. Все это будет согласовываться между клиентом и сервером.

А если мы посмотрим в Wireshark, Wireshark - это анализатор протоколов, то увидим, как трафик принимается и отправляется. Мы видим здесь, что произошел диалог, в котором мой клиент, то есть браузер, сказал: "Вот вещи, которые я поддерживаю". А сервер ответил ему и сказал: "Что ж, вот то, что я, собственно, хотел бы использовать". Затем сервер предоставил сертификат с цифровой подписью и открытый ключ к нему.

Еще один сайт, который вам стоит изучить, это SSL Labs. Если вы введете сюда какой-либо сайт, или URL-адрес сайта, который работает по HTTPS, то вы сможете увидеть, какие опции шифрования предлагаются этим сайтом.

И вы сможете попасть сюда. Здесь вам будет рассказано, что означают различные цвета и пиктограммы в адресной строке Firefox. И все это отражает уровень средств защиты, используемых на определенных сайтах, речь идет о конфиденциальности, аутентификации и целостности.

Здесь мы видим серый земной шар, это означает, что веб-сайт не поддерживает идентификацию информации. Соединение между Firefox и веб-сайтом не зашифровано или только частично зашифровано, и оно не должно считаться безопасным от прослушивания.
Серый замок:

Соединение с этим веб-сайтом не защищено полностью, потому что содержит незашифрованные элементы (такие, как изображения).
Оранжевый предупреждающий треугольник:

Веб-сайт не предоставляет идентификационную информацию
Соединение между Firefox и веб-сайтом только частично зашифровано и не исключает прослушивание.
Серый предупреждающий треугольник:

Адрес веб-сайта был верифицирован.

Соединение между Firefox и веб-сайтом зашифровано для предотвращения прослушивания.
Зеленый замок:
Адрес веб-сайта был верифицирован при помощи сертификата расширенной проверки (EV). Это означает, что владельцу веб-сайта требуется предоставить гораздо больше информации, гораздо больше достоверной информации, чтобы доказать, что он именно тот, за кого себя выдает. Так что если вы видите EV и зеленый замок, то это означает, что была проведена расширенная проверка владельцев сайта.
Соединение между Firefox и веб-сайтом зашифровано для предотвращения прослушивания. Такие дела.

Защитите свой сайт и его пользователей

Что такое HTTPS?

HTTPS (Hypertext Transport Protocol Secure) – это протокол, который обеспечивает безопасность и конфиденциальность при обмене информацией между сайтом и устройством пользователя. Посетители сайта рассчитывают, что указанные ими данные не попадут в руки мошенников. Чтобы защитить данные, которые оставляют посетители на вашем сайте, начните применять протокол HTTPS (независимо от того, какой на сайте контент).

На веб-страницах, использующих HTTPS, неприкосновенность информации обеспечивается с помощью протокола TLS (Transport Layer Security ‒ безопасность на транспортном уровне), который предусматривает три основных уровня защиты:

Шифрование передаваемых данных во избежание их перехвата. Благодаря этому злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к их данным.
Сохранность данных . Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
Аутентификация гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки посредника . Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для вашего бизнеса.

Используйте надежные сертификаты безопасности

Если вы решили использовать протокол HTTPS на своем сайте, вам нужно получить сертификат безопасности. Его выдает центр сертификации , который проверяет, действительно ли указанный веб-адрес принадлежит вашей организации. Таким образом обеспечивается защита посетителей от атак с перехватом. Чтобы обеспечить высокий уровень защиты, при настройке сертификата выберите 2048-битный ключ. Если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный. При выборе сертификата следуйте изложенным ниже рекомендациям.

Получайте сертификат в надежном центре сертификации, который может предоставить техническую поддержку.
Определите, какой тип сертификата предпочтителен для вашего сайта:
- Одиночный сертификат для одного защищенного источника (например, www.example.com).
- Многодоменный сертификат для нескольких известных защищенных источников (например, www.example.com, cdn.example.com, example.co.uk).
- Сертификат-шаблон для защищенного источника с несколькими динамическими субдоменами. (например, a.example.com, b.example.com).

Используйте переадресацию 301 на стороне сервера

Перенаправляйте пользователей и поисковые системы на страницу с поддержкой HTTPS или ресурс с переадресацией 301 на стороне сервера для адресов HTTP.

Убедитесь, что страницы HTTPS можно сканировать и индексировать

Не запрещайте посредством файлов robots.txt сканировать и индексировать страницы HTTPS.
Не размещайте на страницах HTTPS метатеги noindex .
Чтобы проверить, могут ли страницы быть просканированы, воспользуйтесь инструментом проверки URL .

Используйте технологию HSTS

На сайтах, использующих протокол HTTPS, рекомендуется применять технологию HSTS (HTTP Strict Transport Security). В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет http в адресной строке. а Google будет предоставлять в результатах поиска только защищенные URL. Все это снижает вероятность показа пользователям незащищенного содержания.

Чтобы применять HSTS, используйте веб-сервер, поддерживающий эту технологию, и включите в его настройках соответствующую функцию.

Технология HSTS усложняет процесс отката, поэтому ее включение следует выполнять следующим образом:

Выполните переход на HTTPS, не включая HSTS.
Активируйте отправку заголовков HSTS с минимальным значением директивы max-age. Отслеживайте объем трафика пользователей и других клиентов, а также эффективность зависимых объектов, например объявлений.
Постепенно увеличивайте значение max-age в заголовках HSTS.

Если HSTS не затрудняет пользователям и поисковым системам просмотр веб-страниц, то сайт можно добавить в список предварительной загрузки . Большинство популярных браузеров использует этот список, чтобы проверять, защищен ли тот или иной сайт.

Включите предварительную загрузку HSTS

Распространенные проблемы

Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.

Описание	Действие
Просроченные сертификаты.	Вовремя обновляйте сертификаты.
В сертификате неправильно указано название сайта.	Убедитесь, что вы получили сертификат для всех имен хостов, которые обслуживают ваш сайт. Предположим, в сертификате указан только хост www.example.com. Пользователь, который попытается перейти на example.com (без префикса "www."), не попадет туда из-за несоответствия сертификата.
Не поддерживается указание имени сервера (SNI, Server name indication).	Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать поддерживаемые браузеры. SNI поддерживают все современные браузеры . Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес.
Проблемы сканирования.	Не блокируйте сканирование своего сайта HTTPS с помощью файла robots.txt .
Проблемы индексирования.	По возможности разрешите поисковым системам индексировать ваши страницы. Старайтесь не использовать метатег noindex .
Старые версии протоколов.	Старые версии протоколов уязвимы. Используйте последние версии библиотек TLS и протоколов.
Совмещение защищенных и незащищенных элементов.	В страницы HTTPS можно встраивать только контент, который передается по протоколу HTTPS.
Разное содержание на страницах HTTP и HTTPS.	Содержание на страницах HTTP и HTTPS должно быть идентичным.

HTTP

HTTPS с поддержкой шифрования.

Применение HTTPS

Почему HTTPS безопасен
SSL /TLS

Распространение HTTPS

HTTP

При всём удобстве и популярности HTTP у него есть один недостаток: данные передаются в открытом виде и никак не защищены. На пути из точки А в точку Б информация в интернете проходит через десятки промежуточных узлов, и, если хоть один из них находится под контролем злоумышленника, данные могут перехватить. То же самое может произойти, когда вы пользуетесь незащищённой сетью Wi-Fi, например, в кафе. Для установки безопасного соединения используется протокол HTTPS с поддержкой шифрования.

Применение HTTPS
В некоторых сервисах, например, в электронных платёжных системах, защита данных исключительно важна, поэтому в них используется только HTTPS. Этот протокол также очень часто применяется и в других сервисах, которые обрабатывают приватную информацию, в том числе любые персональные данные. Многие сервисы Яндекса работают только по протоколу HTTPS: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги, а также все формы обратной связи, имеющие дело с персональными данными пользователей.

Почему HTTPS безопасен
Защиту данных в HTTPS обеспечивает криптографический протокол SSL /TLS , который шифрует передаваемую информацию. По сути этот протокол является обёрткой для HTTP. Он обеспечивает шифрование данных и делает их недоступными для просмотра посторонними. Протокол SSL/TLS хорош тем, что позволяет двум незнакомым между собой участникам сети установить защищённое соединение через незащищённый канал.

Предположим, сегодня последний день месяца, и вы вспомнили, что нужно заплатить за интернет. На сайте провайдера вы находите нужную ссылку и переходите в личный кабинет. Всю передаваемую информацию вы наверняка хотите сохранить в секрете, поэтому она должна быть зашифрована: это и ваш пароль, и сумма платежа и номер кредитной карты. Проблема в том, что изначально ваш компьютер обменивался данными с сервером провайдера по открытому каналу, то есть по HTTP. Как в таких условиях можно установить безопасное соединение по HTTPS, если предположить, что канал всё время прослушивается? Сделать это позволяет простая математическая уловка.

Как работает безопасное соединение

Зачем нужны цифровые сертификаты

Если вернуться к аналогии с ящиком и замками, цифровой сертификат позволяет убедиться в том, что замок вашего собеседника на ящике принадлежит именно ему. Что это уникальный замок, который невозможно подделать. Таким образом, если кто-то посторонний попытается вас обмануть и пришлёт ящик со своим замком, вы легко это поймёте, ведь замок будет другой.

Распространение HTTPS

Распространение HTTPS и вообще новых технологий в интернете во многом зависит от того, насколько быстро появляется инфраструктура для их использования. К примеру, если бы у половины пользователей интернета браузеры не поддерживали HTTPS, многие сайты просто не смогли бы его использовать. Это привело бы к тому, что сайт какого-нибудь банка, полностью перешедший на HTTPS, был бы недоступен у половины клиентов.

Кроме того, в криптографических протоколах, в том числе и в SSL/TLS, время от времени находят уязвимости, которые позволяют перехватывать даже зашифрованную информацию. Для устранения этих уязвимостей протоколы регулярно обновляют, и каждая следующая версия, как правило, надёжнее предыдущей. Поэтому чем больше людей устанавливают современные версии браузеров и других важных программ, тем надёжнее они будут защищены.

Где ещё применяется шифрование
В интернете немало протоколов обмена данными, помимо HTTP и HTTPS, и они тоже должны обеспечивать защиту. Например, Яндекс.Почта поддерживает шифрование входящих и исходящих писем, о чём можно прочитать в нашем технологическом блоге на Хабрахабре . Мы заботимся о безопасности наших пользователей и стараемся защитить их данные везде, где это представляется возможным.

","contentType":"text/html","amp":"

Любое действие в интернете - это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP . Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных - с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.

Все современные браузеры поддерживают протокол HTTPS. Его не нужно специально настраивать - он автоматически включается в процесс, когда это необходимо и возможно.

Как работает безопасное соединение
Представьте, что вы хотите передать какую-то вещь другому человеку. Вы кладёте её в ящик и отправляете по почте. А чтобы курьер - или кто угодно другой - не украл её, вы запираете ящик на замок. Курьер доставляет ящик, но ваш адресат не может его открыть - у него нет ключа. Тогда он вешает на ящик свой замок и отправляет обратно вам. Вы получаете ящик под двумя замками, снимаете свой - теперь это безопасно - и отправляете снова. Адресат получает, наконец, ящик, на котором висит только его замок, открывает его и достаёт то, что вы ему послали.

Это было нужно, чтобы обменяться с собеседником зашифрованными сообщениями. В ящике вы послали ему ключ от шифра, и теперь он известен вам обоим. Теперь вы можете открыто обмениваться зашифрованными сообщениями, не опасаясь, что их кто-то перехватит - всё равно их невозможно понять без ключа. Зачем такие сложности и почему нельзя было передать посылку отдельно, а ключ от замка отдельно? Конечно, можно было, но в таком случае нет гарантии, что ключ не перехватят и посылку не откроет кто-то другой.

На похожем принципе основана работа протокола SSL/TLS. При установке безопасного соединения по HTTPS ваш компьютер и сервер сначала выбирают общий секретный ключ, а затем обмениваются информацией, шифруя её с помощью этого ключа. Общий секретный ключ генерируется заново для каждого сеанса связи. Его нельзя перехватить и практически невозможно подобрать - обычно это число длиной более 100 знаков. Этот одноразовый секретный ключ и используется для шифрования всего общения браузера и сервера. Казалось бы, идеальная система, гарантирующая абсолютную безопасность соединения. Однако для полной надёжности ей кое-чего не хватает: гарантии того, что ваш собеседник именно тот, за кого себя выдаёт.

Зачем нужны цифровые сертификаты
Представьте, что ваша посылка не дошла до адресата - её перехватил кто-то другой. Этот человек вешает на неё свой замок, подделывает адрес отправителя и отправляет вам. Когда он таким образом узнаёт секретный ключ к шифру, он сообщает его вашему настоящему адресату от вашего имени. В результате вы и ваш собеседник уверены, что ключ к шифру был передан безопасно и его можно использовать для обмена зашифрованными сообщениями. Однако все эти сообщения легко сможет прочитать и перехватить третье лицо, о существовании которого вы никак не можете догадаться. Не очень-то безопасно.

Таким же образом в соединение между двумя устройствами в интернете может незаметно вклиниться третий участник - и расшифровать все сообщения. Например, вы заплатили за интернет по безопасному соединению, и платёж был получен. Но злоумышленник перехватил номер и код проверки подлинности вашей кредитки. Вы об этом ещё не знаете, а когда узнаете, будет уже поздно. Избежать такой ситуации помогает цифровой сертификат - электронный документ, который используется для идентификации сервера.

Вам как пользователю сертификат не нужен, но любой сервер (сайт), который хочет установить безопасное соединение с вами, должен его иметь. Сертификат подтверждает две вещи: 1) Лицо, которому он выдан, действительно существует и 2) Оно управляет сервером, который указан в сертификате. Выдачей сертификатов занимаются центры сертификации - что-то вроде паспортных столов. Как и в паспорте, в сертификате содержатся данные о его владельце, в том числе имя (или название организации), а также подпись, удостоверяющая подлинность сертификата. Проверка подлинности сертификата - первое, что делает браузер при установке безопасного HTTPS-соединения. Обмен данными начинается только в том случае, если проверка прошла успешно.

Распространение HTTPS
Одна из самых популярных рекомендаций любых интернет-сервисов - всегда использовать последние версии программного обеспечения. Если вы никогда не задумывались о том, зачем это нужно, то вот вам одна из причин - поддержка последних разработок в области безопасности.

","instantArticle":"

"},"proposedBody":{"source":"

Любое действие в интернете — это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP . Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных — с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.

Все современные браузеры поддерживают протокол HTTPS. Его не нужно специально настраивать — он автоматически включается в процесс, когда это необходимо и возможно.

Как работает безопасное соединение
Представьте, что вы хотите передать какую-то вещь другому человеку. Вы кладёте её в ящик и отправляете по почте. А чтобы курьер — или кто угодно другой — не украл её, вы запираете ящик на замок. Курьер доставляет ящик, но ваш адресат не может его открыть — у него нет ключа. Тогда он вешает на ящик свой замок и отправляет обратно вам. Вы получаете ящик под двумя замками, снимаете свой — теперь это безопасно — и отправляете снова. Адресат получает, наконец, ящик, на котором висит только его замок, открывает его и достаёт то, что вы ему послали.

Это было нужно, чтобы обменяться с собеседником зашифрованными сообщениями. В ящике вы послали ему ключ от шифра, и теперь он известен вам обоим. Теперь вы можете открыто обмениваться зашифрованными сообщениями, не опасаясь, что их кто-то перехватит — всё равно их невозможно понять без ключа. Зачем такие сложности и почему нельзя было передать посылку отдельно, а ключ от замка отдельно? Конечно, можно было, но в таком случае нет гарантии, что ключ не перехватят и посылку не откроет кто-то другой.

На похожем принципе основана работа протокола SSL/TLS. При установке безопасного соединения по HTTPS ваш компьютер и сервер сначала выбирают общий секретный ключ, а затем обмениваются информацией, шифруя её с помощью этого ключа. Общий секретный ключ генерируется заново для каждого сеанса связи. Его нельзя перехватить и практически невозможно подобрать — обычно это число длиной более 100 знаков. Этот одноразовый секретный ключ и используется для шифрования всего общения браузера и сервера. Казалось бы, идеальная система, гарантирующая абсолютную безопасность соединения. Однако для полной надёжности ей кое-чего не хватает: гарантии того, что ваш собеседник именно тот, за кого себя выдаёт.

Зачем нужны цифровые сертификаты
Представьте, что ваша посылка не дошла до адресата — её перехватил кто-то другой. Этот человек вешает на неё свой замок, подделывает адрес отправителя и отправляет вам. Когда он таким образом узнаёт секретный ключ к шифру, он сообщает его вашему настоящему адресату от вашего имени. В результате вы и ваш собеседник уверены, что ключ к шифру был передан безопасно и его можно использовать для обмена зашифрованными сообщениями. Однако все эти сообщения легко сможет прочитать и перехватить третье лицо, о существовании которого вы никак не можете догадаться. Не очень-то безопасно.

Таким же образом в соединение между двумя устройствами в интернете может незаметно вклиниться третий участник — и расшифровать все сообщения. Например, вы заплатили за интернет по безопасному соединению, и платёж был получен. Но злоумышленник перехватил номер и код проверки подлинности вашей кредитки. Вы об этом ещё не знаете, а когда узнаете, будет уже поздно. Избежать такой ситуации помогает цифровой сертификат — электронный документ, который используется для идентификации сервера.

Вам как пользователю сертификат не нужен, но любой сервер (сайт), который хочет установить безопасное соединение с вами, должен его иметь. Сертификат подтверждает две вещи: 1) Лицо, которому он выдан, действительно существует и 2) Оно управляет сервером, который указан в сертификате. Выдачей сертификатов занимаются центры сертификации — что-то вроде паспортных столов. Как и в паспорте, в сертификате содержатся данные о его владельце, в том числе имя (или название организации), а также подпись, удостоверяющая подлинность сертификата. Проверка подлинности сертификата — первое, что делает браузер при установке безопасного HTTPS-соединения. Обмен данными начинается только в том случае, если проверка прошла успешно.

Распространение HTTPS
Одна из самых популярных рекомендаций любых интернет-сервисов — всегда использовать последние версии программного обеспечения. Если вы никогда не задумывались о том, зачем это нужно, то вот вам одна из причин — поддержка последних разработок в области безопасности.

","contentType":"text/html"},"authorId":"5105614","slug":"77455","canEdit":false,"canComment":false,"isBanned":false,"canPublish":false,"viewType":"old","isDraft":false,"isOnModeration":false,"isSubscriber":false,"commentsCount":247,"modificationDate":"Mon Oct 30 2017 15:24:00 GMT+0000 (UTC)","isAutoPreview":false,"showPreview":true,"approvedPreview":{"source":"

","contentType":"text/html"},"proposedPreview":{"source":"

Любое действие в интернете — это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP. Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных — с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.

Любое действие в интернете - это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP. Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных - с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.

","contentType":"text/html"},"titleImage":null,"tags":[{"displayName":"безопасность","slug":"bezopasnost","categoryId":"1810032","url":"/blog/company??tag=bezopasnost"}],"isModerator":false,"isTypography":false,"metaDescription":"","metaKeywords":"","relatedTitle":"","isAutoRelated":false,"commentsEnabled":true,"url":"/blog/company/77455","urlTemplate":"/blog/company/%slug%","fullBlogUrl":"https://yandex.ru/blog/company","addCommentUrl":"/blog/createComment/company/77455","updateCommentUrl":"/blog/updateComment/company/77455","addCommentWithCaptcha":"/blog/createWithCaptcha/company/77455","changeCaptchaUrl":"/blog/api/captcha/new","putImageUrl":"/blog/image/put","urlBlog":"/blog/company","urlEditPost":"/blog/5628844c7eba6ef16f804625/edit","urlSlug":"/blog/post/generateSlug","urlPublishPost":"/blog/5628844c7eba6ef16f804625/publish","urlUnpublishPost":"/blog/5628844c7eba6ef16f804625/unpublish","urlRemovePost":"/blog/5628844c7eba6ef16f804625/removePost","urlDraft":"/blog/company/77455/draft","urlDraftTemplate":"/blog/company/%slug%/draft","urlRemoveDraft":"/blog/5628844c7eba6ef16f804625/removeDraft","urlTagSuggest":"/blog/api/suggest/company","urlAfterDelete":"/blog/company","isAuthor":false,"subscribeUrl":"/blog/api/subscribe/5628844c7eba6ef16f804625","unsubscribeUrl":"/blog/api/unsubscribe/5628844c7eba6ef16f804625","urlEditPostPage":"/blog/company/5628844c7eba6ef16f804625/edit","urlForTranslate":"/blog/post/translate","urlRelateIssue":"/blog/post/updateIssue","urlUpdateTranslate":"/blog/post/updateTranslate","urlLoadTranslate":"/blog/post/loadTranslate","urlTranslationStatus":"/blog/company/77455/translationInfo","urlRelatedArticles":"/blog/api/relatedArticles/company/77455","author":{"id":"5105614","uid":{"value":"5105614","lite":false,"hosted":false},"aliases":{"13":"kadaner"},"login":"minushuman","display_name":{"name":"Алексей","avatar":{"default":"21377/5105614-16014116","empty":false}},"address":"[email protected]","defaultAvatar":"21377/5105614-16014116","imageSrc":"https://avatars.mds.yandex.net/get-yapic/21377/5105614-16014116/islands-middle","isYandexStaff":true},"originalModificationDate":"2017-10-30T12:24:18.831Z","socialImage":{"orig":{"fullPath":"https://avatars.mds.yandex.net/get-yablogs/49865/file_1465551301378/orig"}}}}}">