Используя Mozilla Firefox в качестве основного браузера, пользователи раньше часто видели рядом с адресом сайта зеленый замок. На текущий день в современных версиях Firefox и других браузеров интерфейс может выглядеть немного иначе – где-то показывается обычный замок, где-то щит или значок сведений о сайте. Но смысл у этого индикатора один: браузер показывает, защищено ли соединение с открытой страницей. В статье я расскажу, что это значит на практике и на что вам, как обычному пользователю, действительно стоит обращать внимание.
Особенности протокола безопасности
Итак, что такое защищенное соединение или HTTPS, например, в «Одноклассниках» или на любом другом сайте? Чтобы можно было передавать данные по сети, придумано и внедрено множество протоколов. Основным протоколом, через который сайты работали раньше и продолжают работать сейчас, является HTTP. Он появился очень давно – еще в те времена, когда шифрование для всего веба считалось слишком тяжелым и дорогим по ресурсам. Поэтому обмен информацией между компьютером пользователя и сервером долгое время происходил без шифрования.
Получается, что на каждом участке сети, через который проходил незашифрованный трафик, существовал риск перехвата и чтения данных. Если речь идет только об IP-адресе, адресе открываемой страницы или обычном публичном контенте, то это не так критично. Но ситуация меняется, когда вы вводите пароль, адрес электронной почты, данные банковской карты, номер телефона или отправляете форму обратной связи. Именно для защиты таких данных и используется HTTPS.
Важно понимать еще одну вещь: HTTPS – это не «волшебная кнопка полной безопасности», а защищенный канал связи между вашим браузером и сайтом. Если сам сайт мошеннический, если вы перешли по поддельному адресу или если на компьютере стоит вредоносное расширение, один только замок рядом с адресом вас не спасет. Поэтому смотреть нужно не только на значок, но и на сам домен, оформление страницы, запросы сайта и общее поведение браузера.
Говоря простыми словами, HTTPS – это HTTP поверх шифрования. На текущий день для этого используется протокол TLS, хотя в разговорной речи до сих пор часто говорят «SSL». Поэтому фраза «SSL-сертификат» все еще встречается повсюду, но технически корректнее говорить именно про TLS-сертификат сайта.
Когда онлайн-платежи, личные кабинеты, банки и социальные сети стали повседневной частью жизни, защищенное соединение стало не дополнительной опцией, а базовым стандартом. В HTTPS используется шифрование данных, которыми обмениваются сервер и браузер пользователя. Так защищенное соединение помогает закрыть от посторонних пароли, адреса электронной почты, данные карт и другие чувствительные сведения. Даже если кто-то попытается «слушать» канал, он не увидит информацию в открытом читаемом виде.
Установка защищенного соединения
Протокол HTTPS на практике решает сразу несколько задач. В старых объяснениях это часто называли «трехуровневой защитой», и в целом такой подход можно оставить, но с важными уточнениями:
- Проверка сайта и его сертификата – браузер сверяет сертификат сайта, срок его действия, имя домена и цепочку доверия. Это защищает от части атак с подменой страницы, но не дает 100% гарантии от фишинга. Например, если пользователь сам перешел на очень похожий, но поддельный адрес, HTTPS на таком сайте тоже может быть настроен.
- Контроль целостности данных – соединение помогает обнаруживать подмену или искажение информации по пути между браузером и сервером. Если у сайта есть проблемы с сертификатом, часть контента загружается небезопасно или браузер не может проверить страницу, пользователь увидит предупреждение вроде «Ваше подключение не защищено». Если у вас как раз появляется такая ошибка, отдельно можно почитать что делать при сообщении «Ваше подключение не защищено».
- Шифрование трафика – перед загрузкой страницы сайт и браузер договариваются о параметрах защиты, после чего данные передаются уже в зашифрованном виде. Проще говоря, если посторонний увидит такой трафик, он не сможет просто открыть его как обычный текст и прочитать логины, пароли и содержимое формы.
После перехода на сайт и успешной установки безопасного соединения браузер показывает это рядом с адресной строкой. Чаще всего это значок замка, но в Firefox вы также можете увидеть щит, связанный с защитой от отслеживания. Если значок обычный и без предупреждений, соединение, как правило, защищено.
Если же вы попали на сайт, работающий через HTTP, браузер уведомит, что соединение не защищено. Кроме того, предупреждение может появиться и на HTTPS-сайте – например, при проблемном сертификате, неверной дате на компьютере, вмешательстве антивируса, прокси или VPN. Если вы сталкиваетесь с ошибками вида ERR_SSL_PROTOCOL_ERROR, у нас есть отдельный материал как исправить ERR_SSL_PROTOCOL_ERROR.
Сам по себе замок рядом с адресом не означает, что сайт «хороший», «честный» или «без вирусов». Он означает только то, что соединение с этим доменом защищено и данные по пути шифруются. Фишинговые сайты тоже умеют работать по HTTPS, поэтому всегда дополнительно проверяйте адресную строку и не вводите личные данные на подозрительных страницах.
Включение https
Дело в том, что полностью «включить HTTPS» на стороне пользователя нельзя, если сам сайт его не поддерживает. Сайт начинает полноценно работать через HTTPS после того, как на сервере к доменному имени подключается сертификат и правильно настраивается защищенное соединение. Поэтому в первую очередь это зависит от владельца сайта и хостинга, а не от посетителя.
Но кое-что пользователь все же может сделать. Во-первых, можно вручную ввести в адресной строке не “http://”, а “https://”. Если у сайта есть защищенная версия, браузер обычно откроет именно ее. Во-вторых, в браузере можно включить режим, который будет стараться всегда использовать защищенный вариант сайта и предупреждать, если страница доступна только по HTTP.
В Mozilla Firefox на Windows, Linux и macOS это делается так: откройте меню браузера, перейдите в «Настройки», далее выберите раздел «Приватность и защита» и найдите блок «Режим только HTTPS». Там можно включить принудительное использование HTTPS для всех окон или только для приватных вкладок. В Firefox на Android путь похожий: меню – «Настройки» – «HTTPS-Only Mode» или «Режим только HTTPS». После включения браузер будет пытаться автоматически открывать защищенную версию сайта.
В Google Chrome на компьютере похожая функция называется «Всегда использовать безопасные соединения». Путь обычно такой: меню – «Настройки» – «Конфиденциальность и безопасность» – «Безопасность» – «Всегда использовать безопасные соединения». Это полезно на публичном Wi-Fi, в отелях, аэропортах и любых сетях, где вы не уверены в окружении. Если же сайт совсем не поддерживает HTTPS, браузер покажет предупреждение. Если в Chrome появляется ошибка «Этот сайт не может обеспечить безопасное соединение», вот отдельная инструкция как исправить эту проблему.
Еще один важный момент: если защищенное соединение не устанавливается даже на известных сайтах, сначала проверьте дату, время и часовой пояс на устройстве. Неверные системные часы – одна из самых частых причин ошибок сертификатов. После этого временно отключите VPN, прокси и расширения, которые вмешиваются в трафик. Если проблема проявляется только в Firefox, вам может пригодиться отдельный разбор почему Firefox не открывает сайты.
Про установку и настройку SSL-сертификата рассказывается в следующем видео:
Защищенное соединение в Одноклассниках
Множество крупных площадок уже давно работают через HTTPS, и «Одноклассники» тоже открываются по защищенному адресу. Для обычного пользователя это означает, что логин, пароль, переписка, данные форм и другая отправляемая информация передаются по шифрованному каналу. То есть при нормальной работе сайта и браузера подключение к OK уже должно быть защищенным автоматически, без ручного переключателя.
- Защищается передача пароля при входе в профиль, а также других персональных данных, которые вы вводите на сайте.
- Снижается риск того, что кто-то по пути сможет просто перехватить и прочитать ваш трафик в открытом виде. Но это не отменяет осторожность: если вы введете пароль на поддельном домене, HTTPS не исправит сам факт ошибки пользователя.
В старых инструкциях иногда встречается настройка «Всегда использовать защищенное соединение» внутри самой социальной сети. На текущий день куда важнее не искать этот старый переключатель, а убедиться, что вы открываете правильный адрес и что сам браузер не ругается на сертификат. Если же при открытии ok.ru вы вдруг видите предупреждение о небезопасном соединении, причина обычно не в «Одноклассниках», а в локальной проблеме на устройстве – неверном времени, фильтрации HTTPS антивирусом, корпоративном прокси, сбое сертификатов или перехвате трафика в общественной сети.
Поэтому в такой ситуации я бы действовал так: сначала проверил адрес сайта, потом дату и время на устройстве, затем открыл этот же сайт в другом браузере или с телефона через мобильный интернет. Если проблема проявляется только на одном браузере или одном ПК, чаще всего дело в локальных настройках. Если же у вас вылезает редкая ошибка SSL Error No Cypher Overlap, отдельно можно посмотреть что делать при SSL Error No Cypher Overlap.
О том, как включить безопасное соединение Вконтакте, рассказывается в следующем видео:
Частые вопросы
Можно ли считать сайт безопасным только потому, что у него есть HTTPS?
Нет. HTTPS защищает сам канал передачи данных, но не проверяет, честный ли перед вами сайт. Поэтому замок – это хороший признак, но не единственный критерий. Всегда проверяйте адрес домена, особенно если речь идет о банке, почте, маркетплейсе или социальной сети.
Почему сайт с HTTPS все равно может открываться с ошибкой?
Потому что проблемой может быть не сам HTTPS как идея, а конкретный сертификат, неверное время на устройстве, устаревший браузер, антивирус с перехватом трафика, прокси, VPN или смешанный контент на странице. Иногда проблема и вовсе на стороне сайта. Поэтому при разовой ошибке не нужно сразу отключать всю защиту – лучше спокойно понять причину.
Нужно ли отключать проверку сертификатов, если страница не открывается?
В обычной жизни – нет. Временное отключение защитных модулей иногда используют только для диагностики, чтобы понять, мешает ли антивирус или прокси. Но отключать такую защиту навсегда ради одного проблемного сайта – плохая идея, потому что вы одновременно убираете барьер и для реально опасных страниц.
Заключение
Большая часть активных сайтов использует HTTPS для безопасности пользователей. И дело тут не только в поисковых системах, но и в общем развитии браузеров и веба. Современные браузеры все жестче относятся к незашифрованным страницам, понятнее предупреждают о рисках и стараются автоматически переводить пользователя на защищенный вариант сайта, если он существует.
Для пользователя главный вывод простой: HTTPS нужен и полезен, потому что защищает канал передачи данных. Но этого недостаточно, чтобы бездумно доверять любой странице с замком. Смотрите на адрес сайта, предупреждения браузера, не игнорируйте ошибки сертификатов и не вводите личные данные там, где браузер прямо пишет, что соединение не защищено.
Хоть теперь все встало на свои места – спасибо вам)
Теперь хоть понятно, у нас на работе вообще по HTTP не открываются сайты
Иван, да некотоыре сис. админы вырубают возможность использовать HTTP именнно потому что не защищено соединеие, можно трафик воровать