HTTP-ről HTTPS-re történő átállás legfontosabb tudnivalók

Tusnádi István @ 2019. május 13.

2014-ben a Google bejelentette, hogy a HTTPS meglétét rangsorolási tényezőként fogja értékelni. 2018. júliusától pedig a Google Chrome böngésző a nem HTTPS oldalakat már „nem biztonságos” jelzővel illeti. Mindez azt jelenti, hogy nem lehet tovább halogatni a weboldalak HTTPS protokollra történő áttérését, mert ellenkező esetben vissza fognak esni a találati listákon azokkal az oldalakkal szemben, akiknek már rendelkeznek vele, illetve a „nem biztonságos” minősítés a látogatók részéről is egy bizalomvesztést fog jelenteni.

Az alábbi cikkben sorra vesszük a HTTPS átállással kapcsolatos legfontosabb tudnivalókat.

A legfontosabb kifejezések

Első körben nézzük meg a HTTPS-el kapcsolatos legfontosabb fogalmakat.

HTTP (Hypertext Transfer Protocol) – az online kommunikáció „nyelve”, amely meghatározza, hogyan továbbítjuk az információt a web szervertől a böngésző felé.
HTTPS (Hypertext Transfer Protocol Secure) – az előző HTTP kommunikációs nyelv egy titkosított, biztonságos formája.
Titkosítás – az információ olyan formára történő átalakítása, amely csak az arra jogosultak számára teszi hozzáférhetővé
SSL (Secure Socket Layer) – egy kommunikációs protokoll, amely titkosított kapcsolatot hoz létre a web szerver és a böngésző között.
SSL tanúsítvány – olyan adatfájl, amely titkosítja az információt és lehetővé teszi a biztonságos kapcsolatot a szerveren.
DNS (Domain Name Servers) – a domain nevek adatbázisa, amely hozzájuk tartozó IP címeket tárolja

SSL és HTTPS

Az SSL az a biztonsági technológia, amely egy titkosított kapcsolatot hoz létre a web szerver és a böngésző között. Ez a kapcsolat teszi lehetővé, hogy minden adat, ami a web szerver és a böngésző között közlekedik, bizalmas maradjon, megakadályozva a lehallgatást.

A HTTPS egy olyan URL séma, amely a HTTP-hez hasonlít, de jelzi a böngészőnek, hogy az SSL titkosítási rétegét használja az adat védelme érdekében.

Hogyan működik az SSL

Az SSL tanúsítvány tartalmazza a domain nevet, a cég nevét, pontos címét, a lejárat dátumát, valamint a kiadásért felelős tanúsító hatóság adatait.

Ha egy böngésző egy biztonságos weboldalhoz csatlakozik, akkor a webhely SSL tanúsítványát letölti és ellenőrzi, hogy nem járt-e le, a tanúsító hatóság bocsátotta-e ki és azt használja-e a webhely, amire kiadták. Ha az ellenőrzések valamelyike sikertelen, akkor a böngésző figyelmeztetést küld a látogatónak, aki ezzel tudni fogja, hogy az SSL nem védi a weboldalt.

Mi a különbség a HTTP és a HTTPS között?

Nézzük, melyek a legfontosabb különbségek a HTTP és a HTTPS között:

URL séma: a HTTPS URL-ek https:// -el kezdődnek és alapértelmezés szerint a 443-as portot használják, míg a http http://-el kezdődik és alapértelmezés szerint a 80-as portot használják.
Biztonság: A http protokoll nem biztonságos és támadásoknak van kitéve, amely lehetővé teheti, hogy illetéktelenek bizalmas információkhoz férjenek hozzá. A https-t úgy tervezték, hogy ellenálljon a támadásoknak és az információt megvédje az illetéktelen hozzáféréstől.
Hálózati rétegek: a http a TCP/IP modell legmagasabb, úgy nevezett alkalmazás rétegén működik. Az SSL a TCP/IP modell alacsonyabb alrétegeként működik, de a http üzenetet titkosítja átvitel előtt és érkezéskor dekódolja. Így a HTTPS nem külön protokoll, hanem a szokásos HTTP használatára vonatkozik titkosított SSL kapcsolaton keresztül.

Miért használjuk a HTTPS-t?

A HTTPS különösen fontos a nem titkosított hálózatok (pl. Wifi) esetében, mivel bárki, aki ugyanazt a hálózatot használja, lehallgathatja a kommunikációt és bizalmas információkhoz férhet hozzá.

Ha a weboldalad tartalmát a biztonságos HTTPS-en keresztül szolgáltatod a látogatók felé, akkor biztosítod, hogy a web szerver és a látogató böngészője közötti információ áramlást senki nem hallgathatja le.

E-business weboldalak esetében kiemelten fontos a HTTPS, mivel a vásárlás során sok kényes információt, pl. személyes adatot, hitelkártya adatot továbbítunk. Egyre több látogató már tisztában van ezzel, ezért kevés bizalmat tanúsítanak az olyan webshopok felé, amelyek nem rendelkeznek SSL tanúsítvánnyal.

A HTTPS biztonságossá teszi a weboldalam?

Az emberek többsége ha a HTTPS-ről hall, akkor azt gondolja, hogy ez a weboldalát is megvédi. A valóság azonban sajnos az, hogy magát a weboldalt a HTTPS nem fogja megvédeni, tehát a többi weboldalhoz hasonlóan továbbra is ki van téve a webről jövő támadásoknak. Éppen ezért a weboldal biztonsági frissítéseit, biztonsági felülvizsgálatait a HTTPS-re történő átállás után sem szabad elhanyagolni.

A HTTP-ről HTTPS-re történő átállás folyamata

Ha a technikai részletektől eltekintünk, akkor az átállás folyamata meglehetősen egyszerű:

Készíts egy biztonsági mentést a weboldalról
Vásárolj egy SSL tanúsítványt és telepítsd a szerverre
Módosíts a weboldal belső hivatkozásait HTTP-ről HTTPS-re.
Végezd el a HTTP-ről a HTTPS-re történő 301-es átirányításokat
Search Console-ben ellenőrizd, hogy minden rendben van-e az átállással.

A leggyakoribb problémák a HTTPS átállás kapcsán

Annak ellenére, hogy az átállás folyamata egyszerűnek tűnik, ha nem figyelünk oda a részletekre, akkor az komoly gondokat okozhat a weboldal működésében. A leggyakoribb hibák az alábbiak szoktak lenni:

a Google különböző okok miatt nem tudja feltérképezni az oldalt
az oldal HTTP és HTTPS verzióban is elérhető ezzel duplikált tartalmat mutatva a Google felé
a weboldal egyes aloldalai HTTP-re váltanak vissza
a rosszul beállított átirányítások miatt sok URL 404-es hibára fut

Összefoglalás

A weboldal adatkapcsolatának biztonságossá tétele manapság már minden oldal tulajdonos számára kötelező lépés, ami növeli a látogatói bizalmat és egyben ellehetetleníti, hogy illetéktelen személyek kényes adatokhoz férjenek hozzá.

A HTTPS átállás bár nem tűnik bonyolult műveletnek, ha nem profi szakemberek végzik, könnyen nagyon rossz végeredménnyel zárulhat, amely hosszú időre visszavetheti a weboldal Google helyezéseit.

Tusnádi István
www.usernet.hu

« Vissza