Najczęstsze pytania dotyczące protokołu HTTPS

HTTPS w Google

Co to jest szyfrowanie?

Szyfrowanie to współczesna metoda ochrony informacji w formie elektronicznej, tak jak sejfy i zamki szyfrowe to metody ochrony informacji znajdujących się na papierze. Jest to techniczna implementacja kryptografii: informacje są przekształcane do postaci niezrozumiałej (kodowanie) w taki sposób, że powrót do postaci zrozumiałej (dekodowanie) wymaga użycia odpowiedniego klucza. Na przykład odszyfrowanie urządzenia wymaga podania kodu PIN bądź użycia złożonego algorytmu, który otrzymuje wyraźne instrukcje z programu lub urządzenia. W praktyce szyfrowanie polega na kodowaniu i dekodowaniu informacji za pomocą funkcji matematycznych.

Co to jest HTTPS?

Protokół HTTP (HyperText Transfer Protocol) to technologia umożliwiająca przeglądarkom nawiązywanie połączeń z witrynami. HTTPS to szyfrowana wersja połączenia HTTP, która jest bezpieczniejsza. Jeśli w adresie URL zamiast protokołu HTTP jest HTTPS, oznacza to, że połączenie ze stroną jest zabezpieczone. Większość przeglądarek ma ikonę informującą o bezpiecznym połączeniu – na przykład Chrome wyświetla zieloną kłódkę.

Dlaczego warto używać HTTPS?

Witrynę warto chronić za pomocą protokołu HTTPS nawet wtedy, gdy nie zawiera ona poufnych informacji. HTTPS zwiększa jej wiarygodność oraz chroni prywatność i dane użytkowników. Ponadto nowe, zaawansowane funkcje platform internetowych są dostępne tylko w witrynach korzystających z HTTPS.

Jaki jest cel Google związany z HTTPS?

Uważamy, że skuteczne szyfrowanie to podstawa bezpieczeństwa wszystkich użytkowników internetu. Z tego względu pracujemy nad wprowadzeniem szyfrowania w każdej naszej usłudze i aplikacji. Wykres naszych postępów na drodze do osiągnięcia tego celu znajdziesz na stronie HTTPS w Google. Podajemy dane w czasie rzeczywistym.

Dlaczego szyfrowanie jest ważne?

Informacje, które przesyłamy z punktu A do punktu B, wędrują przez skomplikowaną sieć złożoną z mniejszych sieci. Podczas tej podróży mogą zostać przechwycone przez niepowołane osoby, które wiedzą, jak manipulować sieciami. Oprócz tego na co dzień korzystamy z urządzeń przenośnych, które są czymś więcej niż tylko telefonami – zawierają nasze zdjęcia, zapisy rozmów, e-maile i prywatne dane przechowywane w aplikacjach, do których dla wygody jesteśmy stale zalogowani. Zgubienie lub kradzież urządzenia oznacza, że ktoś inny może uzyskać dostęp do naszych najbardziej prywatnych informacji, przez co jesteśmy narażeni na kradzież tożsamości, oszustwo finansowe i inne szkody osobiste.

W tego typu sytuacjach chroni nas szyfrowanie. Zaszyfrowane wiadomości wędrujące przez sieć można przechwycić, ale ich zawartość jest nieczytelna. Taki komunikat to „szyfrogram”, a wiadomość niezaszyfrowana – „tekst jawny”. W przypadku zaszyfrowanego urządzenia złodziej, który nie zna kodu PIN lub hasła potrzebnego do jego odszyfrowania, nie uzyska dostępu do zapisanych na nim danych i może je tylko w całości wymazać. Utrata danych to kłopot, ale znacznie mniejszy niż utrata kontroli nad swoją tożsamością w sieci.

Jakie są dostępne rodzaje szyfrowania?

Szyfrowanie podczas przesyłania chroni przepływ informacji między użytkownikiem a serwerami zewnętrznymi. Gdy na przykład w witrynie sklepu internetowego podajesz dane swojej karty kredytowej, bezpieczne połączenie chroni Twoje informacje przed przechwyceniem przez inną osobę. Tylko Twoje urządzenie i serwer, z którym jest ono połączone, mogą odszyfrować informacje.

Szyfrowanie pełne oznacza, że tylko nadawca i odbiorcy mają klucze umożliwiające szyfrowanie i odszyfrowywanie wiadomości. Dostawca usług kontrolujący system, za pomocą którego komunikują się użytkownicy, nie ma żadnego dostępu do zawartości komunikatów.

Szyfrowanie w spoczynku chroni informacje wtedy, gdy nie są one przesyłane. Takie szyfrowanie może być na przykład stosowane na dysku twardym w Twoim komputerze – dzięki temu w razie kradzieży komputera nikt nie uzyska dostępu do zapisanych na nim plików.

Jakich protokołów dotyczą te wykresy?

Wykresy pokazują liczbę żądań przesłanych za pomocą protokołów HTTP, HTTP/2, HTTPS, SPDY i QUIC.

Które protokoły są uważane za szyfrowane?

Żądania przesłane za pomocą protokołów HTTPS, SPDY i QUIC są uważane za szyfrowane, bo te protokoły domyślnie korzystają ze standardu TLS. Protokół HTTP/2 także jest uwzględniony, ponieważ Google nie obsługuje niezaszyfrowanych połączeń HTTP/2.

Gdzie znajdę informacje o innych protokołach?

Obecnie publikujemy dane o wykorzystaniu standardu TLS w protokołach pocztowych Gmaila. Raport nie uwzględnia obecnie pozostałych protokołów, niewymienionych powyżej.

Czy istnieją dokładne dane sprzed grudnia 2013 roku?

Nie. Nasze źródła danych sprzed grudnia 2013 roku nie są wystarczająco dokładne, by na ich podstawie ocenić poziom wdrożenia protokołu HTTPS.

W jaki sposób zbieracie dane o wykorzystaniu protokołu HTTPS?

Dane te są przekazywane przez użytkowników Chrome, którzy udostępniają nam swoje statystyki użytkowania. Podziału na kraje/regiony dokonujemy na podstawie adresu IP powiązanego z przeglądarką użytkownika.

Dlaczego do statystyk wykorzystania protokołu HTTPS wybrano te 10 krajów/regionów?

Aby porównać wykorzystanie protokołu HTTPS na świecie, wybraliśmy 10 krajów/regionów z dużą liczbą użytkowników Chrome z różnych regionów geograficznych.

HTTPS w popularnych witrynach (zarchiwizowane)

Co to znaczy „Witryna korzysta z HTTPS”?

Jeśli Googlebot otworzy adres https://domena i nie zostanie przekierowany pod adres z protokołem HTTP, uznajemy, że witryna korzysta z HTTPS.

Co to znaczy „Nowoczesna konfiguracja TLS”?

Od lutego 2016 roku uznajemy, że witryna korzysta z nowoczesnego protokołu HTTPS, jeśli obsługuje połączenia w standardzie TLS v1.2 z pakietem kryptograficznym, który działa w trybie AEAD:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Co to znaczy „Domyślny protokół HTTPS”?

Domyślny protokół HTTPS oznacza, że witryna przekierowuje żądania HTTP pod adres URL z protokołem HTTPS. Może się jednak zdarzyć, że mimo takiej konfiguracji witryna jednocześnie odrzuca żądania HTTPS w domenie (na przykład adres http://domena powoduje przekierowanie pod adres https://subdomena.domena, ale https://domena odrzuca połączenie).

Pamiętaj też, że oznaczenie witryny jako domyślnie korzystającej z HTTPS nie gwarantuje, że cały ruch związany ze wszystkimi jej stronami odbywa się za pomocą protokołu HTTPS. Chrome informuje o stanie protokołu HTTPS na każdej stronie, którą odwiedzasz. Jeśli używasz innej przeglądarki, sprawdź, jak wskazuje ona różne stany protokołu HTTPS.

Z jakich źródeł pochodzą dane?

Korzystamy zarówno z danych publicznych (na przykład z listy popularnych witryn Alexa), jak i danych Google. Zebraliśmy je w ciągu kilku miesięcy i na początku 2016 roku opracowaliśmy tę listę.

Czy lista jest uporządkowana według popularności?

Nie. Lista zawiera 100 najpopularniejszych witryn innych niż Google uporządkowanych alfabetycznie i podzielonych na 3 kategorie zgodnie z poziomem wdrożenia protokołu HTTPS.

Prowadzę witrynę wymienioną na liście i potrzebuję pomocy we wdrożeniu protokołu HTTPS. Czy Google oferuje taką pomoc?

Właścicielom witryn, którzy chcą przeprowadzić wdrożenie, oferujemy ograniczoną pomoc. Aby dowiedzieć się więcej, sprawdź wiadomości pod swoim adresem e-mail security@domena lub skontaktuj się z nami pod adresem security@google.com.