Protokół HTTP a HTTPS – jaka jest różnica między nimi?

Kategoria: 
Strony internetowe
Data aktualizacji: 
Czas czytania
: 8 min

Już w 2014 roku Google zaleciło zmianę protokołu HTTP na HTTPS. W ramach zachęty obiecało niewielki wzrost w rankingu witrynom z nowym protokołem. Zastanawiasz się, czy warto wdrożyć HTTPS na swojej stronie? W naszym artykule wyjaśniamy, czym jest ten protokół, czym różni się od HTTP i jak zacząć z niego korzystać. Dowiesz się również, jakie mogą być skutki braku szyfrowania oraz jak HTTPS wpływa na pozycjonowanie w Google.

Protokół http i https

Co to jest protokół HTTP?

HTTP, czyli Hypertext Transfer Protocol, to podstawowy protokół wymiany informacji między przeglądarką użytkownika a serwerem, na którym znajduje się strona internetowa.

Protokół działa w modelu request–response (żądanie-odpowiedź). Klient – czyli przeglądarka – wysyła zapytanie o konkretną stronę, a serwer odpowiada, przesyłając pliki wskazanej witryny. Cała wymiana przebiega w sposób bezstanowy; każde żądanie jest traktowane przez serwer jako oddzielna, niezależna operacja. Serwer nie „pamięta” wcześniejszych interakcji z danym użytkownikiem… co da się obejść za pomocą plików cookies (jednak to już inny temat).

Ale najważniejszą cechą HTTP jest fakt, że jest to protokół nieszyfrowany. Wszystkie wymieniane informacje – dane logowania, formularze itd. – przesyłane są w postaci otwartego tekstu. A to oznacza, że można je łatwo przechwycić, na przykład przy użyciu techniki „man-in-the-middle”; zwłaszcza jeśli korzystasz z publicznych sieci Wi-Fi.

Protokół nieszyfrowany

Gdy wejdziesz na stronę, która nadal korzysta z protokołu HTTP, zobaczysz takie ostrzeżenie.

Sam protokół powstał w latach 90. i można śmiało powiedzieć, że jest jednym z symboli wczesnego internetu… ale też, że przechodzi raczej do historii. Bo wraz z rosnącą liczbą zagrożeń wyparł go już w większości jego bezpieczniejszy następca – HTTPS.

Podstawowe cechy:

  • bezstanowość – każde żądanie klienta jest niezależne;
  • model request-response – przeglądarka wysyła zapytanie, serwer odpowiada;
  • brak szyfrowania – dane przesyłane są jako otwarty tekst;
  • brak uwierzytelniania serwera;
  • domyślny port komunikacyjny: 80

Co to jest protokół HTTPS?

HTTPS, czyli Hypertext Transfer Protocol Secure, to rozwinięcie klasycznego protokołu HTTP o warstwę zabezpieczeń. Spełnia to samo zadanie, ale dokłada do tego szyfrowanie transmisji danych przez protokół SSL/TLS.

Warstwa ta działa – w uproszczeniu – następująco:

  • najpierw uwierzytelnia serwer – czyli daje przeglądarce pewność, że łączy się z właściwą stroną internetową;
  • zabezpiecza przesyłane dane – loginy, hasła, numery kart itd. – i generuje klucz szyfrujący, do którego dostęp mają wyłącznie dwie strony wymiany (czyli serwer i przeglądarka).

Obecnie do szyfrowania wykorzystuje się protokół TLS 1.3 – najnowszy i najbezpieczniejszy standard, który dodatkowo zwiększa szybkość komunikacji dzięki uproszczonemu procesowi uzgadniania kluczy.

Powiadomienie o protokole https

Jeżeli strona korzysta z szyfrowanego protokołu, przeglądarka wyświetli przy adresie zamkniętą kłódkę (Firefox, Edge)… lub nie zobaczysz żadnego powiadomienia (Chrome) - to znak, że połączenie jest bezpieczne.

HTTPS jest dziś już ogólnie przyjętym standardem. Korzystają z niego nie tylko witryny, które wymagają przesyłania jakichkolwiek danych osobowych (sklepy, banki itd.) - ale po prostu większość stron WWW; według W3Techs, 88,1% wszystkich witryn korzysta właśnie z szyfrowanego protokołu.

Podstawowe cechy:

  • działanie w modelu request-response, bezstanowość – tak samo jak w przypadku HTTP;
  • szyfrowanie informacji oraz uwierzytelnianie serwera za pomocą protokołu SSL/TLS – czyli ochrona przed przechwyceniem lub modyfikacją danych w trakcie wymiany;
  • domyślny port komunikacyjny: 443

Jaka jest różnica między HTTP a HTTPS?

 HTTPHTTPS
SzyfrowanieBrak. Dane przesyłane są „otwartym tekstem”; dokładnie tak, jak mają być odczytane.Dane są zabezpieczane za pomocą protokołu SSL/TLS – dostęp do klucza szyfrującego mają tylko serwer i przeglądarka.
Weryfikacja tożsamościBrak. Nie ma gwarancji, że serwer, z którym się łączysz, jest tym, za który się podaje.SSL/TLS uwierzytelnia serwer przed wymianą jakichkolwiek informacji i wygenerowaniem kluczy szyfrujących.
Oznaczenie w przeglądarceOstrzeżenie „Niezabezpieczona" lub ikona przekreślonej kłódki.Ikona zamkniętej kłódki lub brak powiadomienia.
Wpływ na SEONegatywny. Traktowany przez Google jako przestarzały i niebezpieczny.Oficjalny, lekki sygnał rankingowy Google – świadczy o bezpieczeństwie strony.
Port TCP80443

Jaki wpływ na SEO mają HTTP i HTTPS?

Mimo że Google faworyzuje strony z protokołem HTTPS, taka zmiana ma jeszcze inny pozytywny wpływ na pozycjonowanie stron internetowych.

Na poprawienie pozycji witryny może po prostu wpłynąć fakt, że użytkownicy wiedzą, że jest bezpieczna – przez co skorzystają z niej chętniej niż z konkurencyjnych stron bez certyfikatu SSL.

Według badania GlobalSign 84% konsumentów zrezygnowałoby z zakupu, gdyby dane zostały przesłane przez niezabezpieczone połączenie, a 82% osób w ogóle nie przegląda niezabezpieczonej witryny. Użytkownicy bardziej ufają bezpiecznym stronom, co wpływa pozytywnie na konwersję oraz ruch na stronie. Ponadto dzięki zachowywaniu danych witryny odsyłającej zwiększa się skuteczność Google Analytics.

Poprosiliśmy naszego specjalistę ds. SEO o komentarz dotyczący bezpieczeństwa stron internetowych.

Łukasz Kuchta

Specjalista SEO

Protokół HTTPS to fundament wiarygodności w internecie. Jest kluczowym wskaźnikiem dla algorytmów, mówiącym: „bezpieczeństwo użytkowników traktujemy bardzo poważnie”. Jego brak to czerwona flaga dla Google. Jest konieczny do budowania autorytetu w ramach E-E-A-T, a strony bez szyfrowania są po prostu pomijane. Gwarancja bezpieczeństwa to podstawa zaufania, które przekłada się bezpośrednio na lepszą widoczność i wyższą konwersję.

Aby przejście na HTTPS nie było ryzykowne dla SEO, trzeba pamiętać o kilku rzeczach. Przede wszystkim:

  • poinformuj Google o przejściu z HTTP na HTTPS, żeby szybciej osiągnąć obiecane przez Google wyższe rankingi;
  • zdecyduj, jaki certyfikat SSL potrzebujesz i dla ilu domen;
  • używaj względnych adresów URL;
  • pamiętaj, aby nie blokować witryny HTTPS za pomocą plików robots.txt;
  • upewnij się, że zezwalasz wyszukiwarkom na indeksowanie;
  • najlepiej wykorzystaj narzędzia Google dla webmasterów do monitorowania przejścia z HTTP na HTTPS, by szybko reagować na ewentualne problemy.

Kluczowe korzyści z wdrożenia HTTPS

Oto, co możesz zyskać, wdrażając protokół HTTPS:

Zalety protokołu HTTPS

  1. Bezpieczeństwo danych użytkowników

    HTTPS szyfruje cały ruch między przeglądarką a serwerem. W ten sposób chronisz dane klientów – loginy, hasła, dane osobowe, informacje o płatnościach – przed ich przechwyceniem.

  2. Większe zaufanie

    Ikonka kłódki w pasku adresu wprost sygnalizuje, że strona jest bezpieczna i użytkownik łączy się z prawdziwą witryną. Dziś, na szczęście, wiele osób zwraca na to uwagę, więc samo ostrzeżenie o niezabezpieczonej stronie i braku HTTPS może skutecznie odstraszyć użytkowników.

  3. Lepsze pozycje w Google

    HTTPS jest też podstawowym sygnałem o bezpieczeństwie strony dla algorytmu Google. Witryny zabezpieczone certyfikatem SSL/TLS mają z tego względu przewagę w wynikach wyszukiwania nad tymi, które wciąż korzystają z protokołu HTTP.

  4. Szybsze ładowanie dzięki HTTP/2

    HTTPS bazuje na unowocześnionej wersji HTTP – HTTP/2. Ma on tę przewagę nad oryginalnym protokołem, że pozwala wysyłać wiele zapytań do serwera jednocześnie (klasyczny HTTP je kolejkuje), co przy bardziej obciążonych witrynach może znacząco skrócić czas odpowiedzi.

Jak zmienić HTTP na HTTPS?

Migracja z protokołu HTTP na HTTPS nie jest trudna, ale może zająć trochę czasu. Oto kroki, które należy podjąć:

  1. Wybierz typ certyfikatu SSL – warto mieć na uwadze, że Google zaleca korzystanie z 2048-bitowych certyfikatów. Certyfikat SSL można kupić w firmie, z hostingu której korzystasz. Najczęściej pomoże ona także z wdrożeniem. Pamiętaj, aby na wszelki wypadek wykonać backup przed instalacją.
  2. Stwórz mapę URL – przejrzyj witrynę, przekieruj wszystkie linki z http na https.
  3. Zaktualizuj grafiki – upewnij się, że wszystkie obrazy i grafiki mają poprawny adres.
  4. Zweryfikuj linki wewnętrzne i przekierowania – nie zapomnij o odnośnikach, których używasz w narzędziach służących do automatyzacji marketingu, np. mailingów.
  5. Zaktualizuj linki zewnętrzne – pamiętaj o odświeżeniu linkowania w social mediach i reklamach płatnych.
  6. Upewnij się, że narzędzia analizujące mają właściwe linki.
  7. Dodaj stronę ponownie w Google Search Console.
  8. Przygotuj plik robots.txt.
  9. Monitoruj pozycję swojej strony – skup się przede wszystkim na kilku najlepszych podstronach i je kontroluj.
  10. Przetestuj witrynę – obserwuj przez kilka dni, jak wygląda ruch na stronie po wprowadzonych zmianach, sprawdź, czy czegoś nie pominąłeś.

Na koniec wskazówka dla tych, którzy nie chcą przechodzić przez ten proces samodzielnie ani inwestować w droższe warianty certyfikatu SSL/TLS. Większość firm hostingowych oferuje obecnie w pakiecie darmowe certyfikaty Let’s Encrypt wraz z ich wdrożeniem; to dobra opcja, jeśli nie jesteś zobowiązany do ochrony danych certyfikatem klasy OV/EV.

Podsumowanie: dlaczego HTTPS jest dziś koniecznością?

Jeżeli stawiasz nową stronę lub odświeżasz starszą, wybór jest tylko jeden: HTTPS.

Witryny bez szyfrowanego połączenia nie dość, że nie są bezpieczne, to jeszcze odstraszają potencjalnych użytkowników ostrzeżeniami w przeglądarce i mają mniejsze szanse na dobre pozycje w Google. Więc nawet jeśli prowadzisz „tylko” prostą stronę-wizytówkę, warto zdecydować się choćby na darmowy certyfikat SSL/TLS.

Najczęściej zadawane pytania

Ile kosztuje certyfikat SSL?

Certyfikat SSL wcale nie musi Cię dużo kosztować. Większość firm hostingowych oferuje darmowe certyfikaty Let's Encrypt, które zapewniają pełne szyfrowanie i są w zupełności wystarczające dla większości stron.

Natomiast jeśli zarządzasz dużym e-commerce’em lub jakimkolwiek serwisem, który wymaga szczególnego zaufania użytkowników – raczej powinieneś zdecydować się na zakup płatnego certyfikatu typu OV (Organization Validation). Jest to wydatek rzędu kilkuset złotych lub EV (Extended Validation) do 2-3 tys. złotych rocznie.

Czy HTTPS spowalnia działanie strony?

Nie, to mit. Dawniej szyfrowanie faktycznie mogło powodować minimalne opóźnienia. Dziś, dzięki nowocześniejszemu HTTP/2 (który działa wyłącznie przez HTTPS), strony korzystające z certyfikatu SSL często ładują się szybciej niż te działające na starym HTTP.

Co to jest „mixed content” i dlaczego jest to problem?

To sytuacja, w której strona korzystająca z HTTPS zawiera zasoby (np. obrazki, style CSS, skrypty JavaScript) ładowane przez HTTP. Przeglądarki z zasady rozpoznają takie przypadki jako potencjalne zagrożenie i przestają wyświetlać kłódkę przy pasku adresu, mogą też blokować niezabezpieczone elementy.

Czy sama „kłódka” w przeglądarce gwarantuje, że strona jest w 100% bezpieczna?

Nie do końca. Ikonka kłódki oznacza tylko jedno: połączenie między Twoją przeglądarką a serwerem jest szyfrowane i bezpieczne. Nie chroni natomiast przed złośliwym oprogramowaniem na samej stronie czy lukami w kodzie witryny.

O autorze
Jakub Czyż blog

Jakub Czyż

Project Manager

Project Manager z zacięciem do marketingu i optymalizacji SEO. Stale poszukuje nowej wiedzy o technologiach oraz optymalizacji sprzedaży. Prywatnie zapalony motocyklista i fan sportów ekstremalnych.

Oceń wpis
4.6
Ocena: 4.7 Liczba głosów: 48

Chcesz zabezpieczyć swoją stronę internetową?