Jaký je rozdíl mezi http a https?

HTTPS (Hypertext Transfer Protocol Secure) je v informatice protokol umožňující zabezpečenou komunikaci v počítačové síti. HTTPS využívá protokol HTTP spolu s protokolem SSL nebo TLS. HTTPS je využíván především pro komunikaci webového prohlížeče s webovým serverem. Zajišťuje autentizaci, důvěrnost přenášených dat a jejich integritu. Všeobecně se doporučuje podporovat HTTPS místo nezabezpečeného HTTP pro všechny webové stránky.

Proč si na to dávat pozor?

Svět snad konečně míří k tomu, že veškeré webové stránky a komunikace budou bezpečně šifrované, tedy probíhající přes https „adresy“. Umožnil to vývoj technologie a uspíšilo to zjištění, že tajné služby dlouhé roky šmírovaly veškerý nešifrovaný webový prostor.

http v adresní řádce znamená. že veškerá probíhající komunikace je cestou kýmkoliv odchytitelná, čitelná a také případně změnitelná. Nejenom, že někdo může vědět co posíláte a přijímat, ale také může do komunikace zasahovat. Takže může podvrhnout zcela jiné informace v okamžiku, kdy jste připojení, například, do online bankovnictví. Nebo místo neškodných inzerátů posílat útočný kód, co do vašeho počítače dostane malware.

Ona odchytitelnost znamená hlavně i to, nešifrovaně přistupovat kamkoliv znamená, že případný útočník nejenom získá přihlašovací údaje, ale může odchytit i cookies udržující přihlášení a začít se za kohokoliv vydávat.

https v adresní řádce (zpravidla vizuálně indikované i nějakým tím zámečkem či jinou formou) znamená, že komunikace probíhá šifrovaně a výše popsané možné není (možné není jednoduchým způsobem, ale nikoliv absolutně).

Proto je důležité aby https bylo vždy aktivní tam, kde odesíláte přihlašovací údaje, řešíte emaily, online bankovnictví, nakupujete, přenášíte jakékoliv osobní či citlivé informace.. Ve skutečnosti by dnes už všechen provoz na webu měl být šifrovaný, ale chvíli bude trvat, než něco takového bude realitou.

https v adresní řádce vám navíc může pomoci s ověřením identity webu, na který jste se připojili. Každý web umožňující https totiž používá certifikát – ten říká že byl vydán pro onu konkrétní doménu a jejího vlastníka. Celé je to doplněné systémem pro vydávání ověřených certifikátů, omezení jejich časové platnosti i o stahování certifikátů, které předčasně přestaly platit. Není to zdaleka 100% blbuvzdorné a pro obyčejné uživatele je to poněkud zmatené, ale může to hodně pomoci při odhalení phishingu a řadě dalších útoků.

ZJEDNODUŠENĚ - Zámeček a tedy šifrované připojení musí být přítomno všude, kde se někam přihlašujete nebo kde vkládáte či získáváte osobní či citlivé informace. E-shopy, banky, sociální sítě, webové e-maily, správa účtů pro online hry, atd. Pokud podobné věci nemají https (šifrovanou) podobu, tak jsou zásadním rizikem.