Protokół http i protokół https — czym się różnią?

Dobrze wypozycjonowana, istniejąca od wielu lat strona, która jednak nie cieszy się zainteresowaniem ze strony właściciela – ot, projekt pasywnie zarabiający w programie Google AdSense nagle znacząco spada w wynikach wyszukiwania. Powód? Zastosowany protokół http, gdy przez Google wymagany jest protokół https. Tym razem omawiamy różnice pomiędzy jednym a drugim rozwiązaniem.

Http – protokół znany od lat

Pod względem technicznym protokół http służy do przesyłania dokumentów w obrębie stron www. Można zatem skorzystać z niego we wszelkiego rodzaju przeglądarkach internetowych, takich jak Chrome, Opera, Firefox, Safari lub Edge.

Jego główną zaletą jest prostota i pełna normalizacja standardów. O ile sama strona może być napisana z udziałem różnych języków programowania, tak metoda wywołania jest zawsze taka sama. Dzieje się tak właśnie dzięki http – protokół oferuje funkcję GET przywołującą reakcję łańcuchową w postaci odpowiedzi po stronie serwera.

Największą wadą tej „transakcji” serwerowej jest bazowanie na niezabezpieczonym tekście. Protokół http jest zatem potencjalnie niebezpieczny i podatny na ataki, w tym przechwytywanie i zmianę danych.

W dobie rzeczywistości cyfrowej wdzierającej się szturmem do każdej dziedziny życia – od spędzania wolnego czasu, poprzez załatwianie spraw urzędowych, aż po funkcjonowanie przedsiębiorstw, banków, a nawet całych państw, na luki w zabezpieczeniach pozwalać sobie nie można.

Https – protokół zdecydowanie lepszy

Wyżej wspomniana niedogodność wymagała znacznego usprawnienia. W ten sposób został wprowadzony nowy protokół https, garściami czerpiący z poprzedniego rozwiązania. Jedyną, acz zasadniczą różnicą jest to, że połączenia realizowane z użyciem https są szyfrowane. To niewielka, lecz bardzo ważna zmiana.

Początkowo metodą wykorzystywaną do zabezpieczania było SSL, obecnie jest to TLS. W praktyce protokół https zapewnia wymianę kluczy szyfrujących na początku połączenia, aby później silnik przeglądarki mógł skorzystać z żądania http, w wyniku czego następuje wyrenderowanie strony.

Niestety, zmiana http na https nie jest bezobsługowa i wymaga od posiadacza strony pewnej ingerencji, zarówno u dostawcy usług hostingowych, jak i np. w systemie CMS. Polega to na podłączeniu odpowiedniego certyfikatu do danej domeny (każdej z osobna!) oraz dokonaniu zmian programistycznych w kodzie witryny.

Http, czy https?

Pojawia się zatem pytanie: skoro nie prowadzę sklepu, nie gromadzę wrażliwych danych, a moja strona jest typowo statyczna, to czy w ogóle warto wprowadzać protokół https do takiej domeny? Odpowiedź brzmi: tak!

Zmianę taką w ostatnich miesiącach warunkuje polityka Google. Gigant z Mountain View dysponujący najlepszą wyszukiwarką na świecie już nie raz dyktował warunki twórcom stron i treści. Tym razem retoryka jest jasna: jeśli nie zabezpieczysz witryny, spadnie ona w wynikach wyszukiwania. Stąd problem opisywany we wstępie.

Jednocześnie warto zainteresować się certyfikatami nie tylko z powodu potrzeb SEO, ale też ze względu na wyższy poziom bezpieczeństwa. Protokół http nie daje takiej gwarancji, natomiast niepozorna, dodatkowa literka „s” zmienia bardzo dużo. Nawet dla niezbyt zaawansowanego administratora niewielkiej strony nie będzie to zbyt duży problem – w większości przypadków wdrożenie jest dość łatwe.

Certyfikaty i hosting

Co ciekawe, https – protokół bezpieczny i obecnie niemal wymagany, może stać się pośrednio przyczynkiem do zmiany dostawcy usług hostingowych. Dlaczego? Oczywiście sprawa rozbija się o pieniądze.

Aby zastąpić protokół http opcją szyfrowaną, należy w panelu domeny wprowadzić certyfikat. Część z nich jest płatna, ale istnieje również dobry i darmowy Let’s Encrypt. Sęk w tym, że nie każdy dostawca oferuje bezproblemową integrację z tym bezpłatnym rozwiązaniem, w zamian oferując kilka rodzajów płatnych certyfikatów. Raz uiszczoną opłatę trzeba ponowić po dwunastu miesiącach, zatem do kosztów utrzymania strony dochodzi jeszcze jeden.

Podczas wyboru operatora domeny i hostingu warto zatem zwracać uwagę również na ten element. W ostateczności brak integracji z Let’s Encrypt może być też jasnym sygnałem, że czas na zmiany, a tych… nie trzeba się obawiać. Obecnie przeniesienie witryny to w większości przypadków proces łatwy i szybki.

Przy okazji warto pamiętać, że zmiany muszą zajść również w kodzie witryny. Przykładowo, w CMS WordPress od wielu lat najlepszym rozwiązaniem jest instalacja wtyczki Really Simple SSL pozwalającej na szybką podmianę protokołu http na https we wszystkich linkach związanych ze stroną internetową.

O tym, czy http, czy https pośrednio zadecydował za nas Google. Jeśli strona ma rosnąć w wynikach wyszukiwania, to niezależnie od jej złożoności i celu działania trzeba włączyć certyfikat bezpieczeństwa. Na szczęście zadanie to nie należy do najtrudniejszych i powinien z nim sobie poradzić nawet mniej doświadczony administrator.