Zašto je došlo vreme za prelazak na HTTPS — bezbednost, privatnost i SEO

Ukoliko koristite HTTP došlo je vreme za prelazak na HTTPS. U tekstu pišemo o prednostima ovog protokola za korisnike, kao i za developere.

Stefan Vujović - 3. Septembar, 2015.

Trenutno najzastupljeniji protokol aplikativnog sloja je HTTP (Hypertext Transfer Protocol). Međutim, razvojem tehnologije, povećavanjem broja mobilnih uređaja, ubrzavanjem internet konekcije došlo je vreme za prelazak na HTTPS (Hypertext Transfer Protocol Secure) ili ti “bezbednu verziju HTTPa”.

HTTPS se može nazivati i HTTP over TLS ili HTTP over SSL. TLS (Transport Layer Security) i njegov prethodnik SSL (Secure Sockets Layer) su kriptografski protokoli namenjeni obezbeđivanju sigurne komunikacije preko mreže. Ovi protokoli su standardna tehnologija koja se koristi za ostvarivanje bezbedne veze između klijenta i servera i obezbeđuju siguran prenos brojeva kreditnih kartica i ostalih ličnih podataka. Dakle, HTTPS se može zamisliti kao HTTP koji je obmotan TLS/SSL protokolom koji štiti podatke koje on prenosi.

Bezbednost i Privatnost

Počnimo od najočiglednijeg. Kao što se vidi i u nazivu protokola, njegova funkcija je da obezbedi sigurnu komunikaciju preko računarske mreže, sa posebnim akcentom na obezbeđivanje privatnosti i integriteta razmenjenih podataka. Prosto rečeno, korišćenjem HTTPSa korisnici su po difoltu bezbedniji nego kada je u upotrebi HTTP.

U slučaju korišćenja HTTPa lični podaci korisnika se ne prenose preko bezbedne konekcije i tako senzitivni podaci mogu biti dovedeni u rizik. Taj rizik drastično raste poslednjih godina, jer se u sve većoj meri koriste javno dostupne WiFi mreže gde se presretanje paketa preko kojih se može doći do šifri, emaila, imena i ostalih podataka vrlo jednostavno korišćenjem alata poput Wiresharka.

Zamislite situaciju: Sedite u kafiću ili lobiju hotela i koristite javnu WIFI mrežu kao i većina ljudi u vašoj neposrednoj brzini. To znači da možete da presretnete pakete svih tih ljudi koji unose podatke na nekom sajtu koji koristi HTTP i to bez preterane muke.

Referral podaci

Ako ste primetili da u Google Analyticsu dobijate sve manje informacija o tome odakle vam dolaze posetioci (referral traffic). To je zato što se ne “deli” prelazak korisnika sa sajta koji koristi HTTP na sajt sa HTTPS hostom i obrnuto. To znači nećete dobiti informaciju o tome odakle korisnik dolazi ako je prešao sa HTTPS sajta na vaš sajt koji je HTTP. Kako postoji težnja da što veći broj sajtova pređe na HTTPS u ovom slučaju je to dobra odluka i za vas.

SEO

Da, prelaskom na HTTPS povećavaju se šanse boljeg rangiranja sajta među rezultatima Google pretrage. Google se zalaže za korišćenje protokola koji obezbeđuju bezbednu komunikaciju pa iz tog razloga i podstiče korišćenje HTTPS-a.

Odluka je da se za sada ovo uzima kao “laki kriterijum” za rangiranje sajtova, što znači da će na rangiranje uticati manje nego npr. kriterijumi kao što je pružanje sadržaja visokog kvaliteta. Međutim, postoji mogućnost da ovaj kriterijum dobije na “težini” u narednom periodu. Više o ovome možete pročitati na zvaničnom Google Webmaster Central blogu.

SPDY protokol

Ono što se uvek navodi kao mana HTTPS-a je njegova brzina, tj. to što je sporiji od HTTP-a. Međutim, to više ne mora da bude tako. Radili smo test i dobili smo dole prikzane (slika) rezultate. Ovde test možete da uradite sami.

https i spdy

Sajt na kome je test uradjen koristi protokol SPDY koji je u isto vreme pouzdan i brz, a razvijen je u kompaniji Google.

Šta je SPDY? SPDY je dvoslojni protokol kompatabilan sa HTTP-om (samim tim i HTTPS-om). On je vrlo sličan HTTPu, međutim sadrži dodatne funkcionalnosti prilagođenije savremenom internetu.

Gornji sloj obezbeđuje HTTP request-response semantiku, dok je donji sloj zadužen za enkripcij i slanje podataka. Upravo zahvaljujući donjem sloju, SPDY šalje manje paketa, koristi manje TCP konekcija i efektivnije koristi ostvarene TCP konekcije. Tako se u stvari i dobija na brzini.

Da razjasnim, SPDY nije zamena za HTTP, već modifikacija prenosa HTTP odgovora i zahteva preko mreže. To znači da sve postojeće server-side aplikacije mogu da se koriste bez modifikacije ako je njihov translation sloj kompatibilan sa SPDY-em.

Slikovitije rečeno, SPDY se može porediti sa tunelom kroz koji prolaze HTTP i HTTPS. Kada se zahtevi šalju preko SPDY-a on ih procesira, dodeljuje tokene, simplifikuje, kompresuje..