HTTP и HTTPS: как выбрать безопасный вариант для сайта

Вы видите их каждый день, но не обращаете на них внимания. Мы говорим про маленькие префиксы перед названиями сайтов: http:// и https://. Они могут показаться чем-то совсем незначительным, и вы наверняка уже задавались вопросом, в чем разница между HTTP и HTTPS. Что значит это "s”, да и значит ли?

Если вкратце, то это очень важная буква. Фактически, это фундаментальная часть всего, что связано с вашей онлайн-защитой, приватностью и даже возможностью доверять тем или иным сайтам. Поэтому не важно, просто ли вы работаете в Сети, управляете собственным онлайн-магазином или ведет блог, знание разницы между HTTP и HTTPS является одним из важнейших аспектов знакомства с темой онлайн-защиты.

Что такое HTTP?

Начнем с основ: HTTP, то есть Hypertext Transfer Protocol или протокол передачи гипертекста, — это прикладкой протокол для передачи гипертекстовых документов (например, документов в формате HTML). По сути, с чего помощью ваш браузер общается с сайтами. Когда вы вводите адрес сайта в браузер, именно через протокол HTTP осуществляется передача текста, изображений и других файлов сайта, который вы хотите открыть.

HTTP с нами с самого начала Сети. Это простой и быстрый способ передачи данных, который отлично справляется со своей задачей. Но, конечно, есть нюанс: все данные он передает в формате простого текста. И если кто-то перехватит ваше подключение, что вполне вероятно в публичной сети Wi-Fi, то получит доступ ко всему, что вы передаете — в том числе ко всем паролям, банковским реквизитам и сообщениям.

Как работает HTTP?

В основе протокола HTTP лежит довольно простой процесс, который можно представить как диалог в формате «запрос-ответ». Чем-то это похоже на снятие денег из банкомата. Вы (браузер) идете к банкомату, вставляете карту и жмете на кнопку «Снять 5000 рублей». Банкомат отправляет ваш запрос банку (на сервер). Банк проверяет запрос и разрешает банкомату выдать деньги.

А вот как всё это выглядит в случае HTTP:

1. Вы делаете запрос: вводя URL вроде http://websiteyouwant.com в адресную строку браузера и нажимая клавишу Enter, вы говорите браузеру: «Хочу увидеть эту страницу». Браузер отправляет запрос доменного имени (Domain Name System, DNS) на DNS-сервер. Тот возвращает IP-адрес сервера, где расположен сайт, который вы хотите посетить. Этот процесс известен как преобразование DNS.
2. Далее ваш браузер формирует HTTP-запрос и отправляет его на сервер. Этот запрос включает в себя конкретные страницы, которые вам нужны (например, главную), и метод, которым вы хотите воспользоваться.
3. Сервер обрабатывает ваш запрос после получения. Затем сервер ищет запрошенные файлы (например, HTML-файл страницы, ее изображения, таблицы стилей, скрипты и так далее).
4. Сервер отправляет ответ на запрос: когда на стороне сервера будет собрано всё необходимое, эти файлы будут «упакованы» в HTTP-ответ и отправлены вашему браузеру. Ответ также будет включать код статуса (например, 404 Not Found — это вполне себе HTTP-код статуса) и содержимое страницы.
5. Ваш браузер отображает результат: полученные файлы распаковываются и обрабатываются таким образом, чтобы вы могли увидеть на экране браузера нужный сайт.

Всё это происходит за доли секунды и работает на основе таких простых команд, как GET (получение страницы), POST (отправка данных) или DELETE (удаление контента).

Каковы основные преимущества HTTP?

HTTP создан в первые дни Сети как таковой, это простой и эффективный протокол — что, к сожалению, с течением времени также стало его проблемой.

1. У него нет состояния

Каждое взаимодействие отдельно и независимо — это ключевая особенность протокола. Иными словами, каждый HTTP-запрос независим и не учитывает предыдущие запросы. Сервер не запоминает, кто вы, и не отслеживает вас. Как следствие, задача сервера упрощается, и на ее выполнение требуется меньше ресурсов.

Но раз сервер «забывает» вас после каждого запроса, то при повторном обращении ему может потребоваться способ вас узнать. Для этого используются небольшие файлы cookie, которые сохраняются в каталоге браузера и выступают в качестве чего-то вроде цифровой метки. При следующем вашем обращении к серверу браузер покажет ему этот файл, и тогда сервер вас «вспомнит», авторизует или, к примеру, восстановит товары в вашей корзине.

2. У него нет подключений

Когда цикл «запрос-ответ» завершен, соединение между клиентом и сервером обрывается. В период становления Сети это было актуально как минимум потому, что позволяло сэкономить ресурсы сервера. Вместе с тем это требовало заново устанавливать подключение для каждого нового запроса, что могло замедлять работу сервера. В более новых версиях HTTP внедрили так называемые «стойкие подключения», способные обрабатывать сразу несколько запросов в рамках одного подключения, что повышало эффективность работы.

3. Он гибкий

HTTP умеет работать не только с HTML-файлами. Он может обрабатывать любые типы данных, понятных клиенту и серверу: изображения, видео, звуковые файлы, PDF и многое другое. Такая гибкость стала залогом мультимедийного богатства современного Интернета.

4. Он не использует шифрование

И это большая проблема — по сути, это главная причина, почему протокол HTTP сегодня считается устаревшим.

Что такое HTTP-запрос и HTTP-ответ?

HTTP-запрос отправляется от вашего браузера на сервер. Он содержит три основные части:

1. Строка запроса: это самая первая и самая важная строчка, где содержится HTTP-метод (например, GET для получения данных или POST для отправки), путь к нужному ресурсу (например, /blog/my-post) и версия используемого протокола HTTP (например, HTTP/1.1).
2. Заголовки запроса: далее в запросе размещено несколько заголовков, содержащих дополнительную информацию. Например, заголовок хоста указывает домен сайта, а заголовок пользовательского агента — используемый вами браузер.
3. Тело запроса (опционально): если вы отправляете данные (например, заполнили контактную форму или форму авторизации), они отправляются в теле запроса. Для простого GET-запроса на показ страницы это не обязательно.

HTTP-ответ, отправленный от сервера вашему браузеру, имеет аналогичную структуру:

1. Строка статуса: она подтверждает версию HTTP и, что важнее всего, содержит код статуса. Так, код 200 OK означает, что ошибок не было. 404 Not Found означает, что запрошенный ресурс не существует. 500 Internal Server Error — что на стороне сервера возникла ошибка.
2. Заголовки ответа: как и запрос, ответ содержит заголовки, указывающие дополнительную информацию. В заголовке типа контента указано, какие данные отправляются (например, HTML-файл или JPEG), а заголовок длины контента указывает размер передаваемых данных.
3. Тело ответа: это самая важная часть, в которой содержатся запрошенные вами данные — HTML-код страницы, изображение или что-то еще.

Обмен запросами и ответами — это пульс Интернета. Но, как видите, без уровня защиты тут нет никакого намека на приватность.

Что такое HTTPS?

HTTPS, он же Hypertext Transfer Protocol Secure или защищенный протокол передачи гипертекста, представляет собой старый-добрый протокол HTTP, о котором мы только что рассказали, но с очень важным отличием — в нем реализован уровень защиты данных. Этот уровень известен как Transport Layer Security (TLS), то есть протокол защиты транспортного уровня.

Когда ваш браузер и сервер обмениваются данными по протоколу HTTPS, этот протокол всё шифрует. В результате обмен данными происходит не с помощью простого и доступного всем желающим текста, а в виде сложного кода, расшифровать который могут только ваш браузер и соответствующий сервер.

Понять, что сайт использует HTTPS, можно с одного взгляда: напротив его адреса в строке браузера будет небольшой значок в виде замка, а сам адрес сайта будет начинаться с https://. Это визуальные признаки того, что вы используете безопасное подключение.

Так как отказ от HTTPS представляет собой серьезную угрозу безопасности, такие популярные браузеры, как Chrome и Firefox, активно помешают сайты, все еще использующие HTTP, как небезопасные. Они вполне конкретно предупреждают пользователей о рисках, связанных с такими сайтами.

Как HTTPS защищает данные

HTTPS не просто включает в себя один уровень защиты — на самом деле, их целых три, за счет чего ваша онлайн-активность оказывается в безопасности:

1. Шифрование: это самое известное преимущество протокола HTTPS, который использует TLS для шифрования данными, которыми ваш браузер и сервера сайта обмениваются между собой. В ходе этого процесса данные шифруются, благодаря чему посторонние не могут получить к ним доступ.
2. Аутентификация: чтобы сайт мог использовать HTTPS, ему необходимо получить TLS-сертификат от известного регистратора (CA). Ваши браузер и операционная система имеют доступ к списку таких регистраторов по умолчанию. Когда вы подключаетесь к сайту по HTTPS, ваш браузер проверяет сертификат сайта, чтобы убедиться, что он выдан одним из регистраторов в соответствующем списке. Таким образом проверяется подлинность сайта.
3. Целостность данных: протокол HTTPS гарантирует, что данные, которые вы отправляете и получаете, не были изменены на этапе передачи. Для этого создается специальный криптографический код аутентификации (MAC) данных. Если кто-то попытается изменить ваши данные на этапе передачи (и, скажем, поменять сумму средств к выводу с банковского счета), MAC перестанет совпадать, ваш браузер это заметит и сообщит, что подключение не защищено. После этого браузер просто не примет измененные данные. Это гарантирует, что вы видите на экране именно то, что отправил вам сервер.

Ограничения HTTPS

HTTPS — это огромный шаг вперед в плане защиты, однако и этот протокол не является ответом на все онлайн-угрозы. Необходимо понимать его ограничения, что работать в Сети действительно безопасно.

Во-первых, HTTPS защищает данные только на этапе передачи. Он шифрует данные, которыми обмениваются ваш браузер и сервер сайта, который вы хотите посетить. Этот протокол не защищает данные, которые после хранятся на самом сервере. И если такой сервер взломают, ваши данные могут быть скомпрометированы. HTTPS защищает процесс передачи, не финальную точку.

Во-вторых, значок в виде замка также не гарантирует, что сайт безопасен на 100%. Киберпреступники научились создавать фишинговые сайты, использующие HTTPS. Более того, как утверждается в отчете PhishLabs от Fortra, 74% фишинговых сайтов, проверенных экспертами в 2020 году, использовали HTTPS. Таким образом, значок в виде замка означает, что защищено подключение, про сайт он ничего не говорит. Вам, соответственно, нужно проявлять бдительность и уметь выявлять признаки поддельного сайта.

Наконец, HTTPS просто не может защитить вас от многих онлайн-угроз. Для полной защиты вам потребуются антивирус и проверенная виртуальная частная сеть (VPN). ExpressVPN зашифрует весь интернет-трафик вашего устройства, не ограничиваясь браузером, и скроет ваш исходный IP-адрес, благодаря чему вы получите защиту и приватность на уровне, недостижимом для HTTPS. Кроме того, ExpressVPN предлагает функцию Threat Manager, которая блокирует трекеры и доступ к опасным сайтам, что также защитит вас от угроз, перед которыми бессилен протокол HTTPS.

HTTP и HTTPS: основные различия

Итак, в чем разница между HTTP и HTTPS? Вот краткий обзор, за которым последует более подробное объяснение:

Когда и как переключиться на HTTPS

Если у вас есть собственный сайт на HTTP в 2025 году, переключаться пора прямо сейчас. Браузеры предупреждают пользователей о небезопасных подключениях, Google показывает сайты на HTTP в конце результатов поисковой выдачи, да и обычные пользователи в целом меньше доверяют таким сайтам. Многие современные интернет-инструменты и вовсе не будут работать без HTTPS.

Даже если вы просто ведет блог, HTTPS покажет читателям, что вы серьезно относитесь к их безопасности.

Как переключить сайт на HTTPS

Для перехода на HTTPS нужно выполнить несколько простых действий, благо что для этого есть вполне современные инструменты. Нужно лишь соблюдать инструкцию, чтобы не растерять трафик и не нарушить работу сайта. Вот что нужно сделать:

1. Получите сертификат TLS

У большинства хостинг-провайдеров доступны бесплатные сертификаты от Let’s Encrypt, установить которые можно в один клик через панель управления.

2. Установите сертификат

Получив сертификат, установите его на своем веб-сервере. Если ваш хостинг предоставляет такие сертификаты, этот шаг наверняка автоматизировать. Если вы занимаетесь этим вручную, следуйте инструкциям для вашего сервера.

3. Обновите настройки сайта

Убедитесь, что ваша система управления контентом (CMS) или сервер настроены на использование HTTPS. Вот как это сделать:

Если вы используете CMS (например, WordPress)

Как правило, это самый простой метод. Вам нужно лишь обновить адрес сайта через настройки.

1. Войдите в консоль WordPress.
   
2. Откройте Settings (Настройки) > General (Общие).
   
3. Найдите поля WordPress Address (Адрес WordPress) (URL) и Site Address (Адрес сайта) (URL). Измените оба адреса с http://yourdomain.com на https://yourdomain.com.
   
4. Сохраните изменения.

На уровне сервера (для всех сайтов)

Этот метод создает правило, которое автоматически заставляет всех посетителей использовать защищенное подключение к вашему сайту (то есть протокол HTTPS). Для этого, как правило, редактируется файл.htaccess в главном каталоге сайта.

1. Подключитесь к файлам сайта через файловый менеджер или FTP-клиент.
2. Найдите и откройте файл.htaccess file. (Если он не существует, создайте новый файл с таким названием.
3. Добавьте в файл следующий код:

Этот код говорит серверу: если кто-то пытается подключиться по небезопасному протоколу HTTP, необходимо использовать постоянное перенаправление (R=301) на безопасный адрес (https://) той же страницы. Это стандартный и самый правильный с точки зрения SEO способ использовать HTTPS на всём вашем сайте.

Затем включите HTTP/2 или HTTP/3 для более качественной работы — большинство современных браузеров поддерживают эти протоколы для повышения скорости и качества работы.

4. Обновите внутренние ссылки

Проверьте контент сайт и обновите все внутренние ссылки с http:// на https://. Речь про ссылки в меню навигации, в содержимом страниц, нижних колонтитулах и шаблонах. Убедитесь, что все материалы вашего сайта загружаются по HTTPS. Доступные в браузере инструменты разработчика помогут найти и устранить соответствующие проблемы.

5. Проверьте ваши SEO-инструменты

Обновите настройки в сторонних инструментах, с которыми работаете. Откройте Google Search Console и Google Analytics, добавьте новый HTTPS-адрес сайта как свойство. Отправьте в Google новую карту сайта с HTTPS, чтобы тот быстрее проиндексировал ваш сайт. Обновите URL сайта в профилях соцсетей и ссылках маркетинговых кампаний.

6. Тщательно всё протестируйте

Проверьте каждую страницу, каждую ссылку и форму. Перейдя на HTTPS, следите за своими сертификатами. Так, сертификаты Let’s Encrypt обновляются каждые 90 дней, но многие сервисы позволяют автоматизировать этот процесс.

7. (Рекомендовано) Включите HSTS

Убедившись, что всё работает как надо, включите функцию HTTP Strict Transport Security (HSTS). Это продвинутая функция защита, которая указывает браузерам подключаться к вашему сайту только по протоколу HTTPS. Это устраняет возможность атаки через перехват первичного HTTP-запроса до момента его перенаправления. Как правило, это выполняется за счет добавления другого заголовка к конфигурации вашего сервера.

Ведете ли вы блог или владеете небольшим бизнесом, переход на протокол HTTPS будет одним из самых простых и грамотных решений, которые вы можете сделать. Это лучше в плане приватности и качества работы, а также очень полезно для вашей репутации.