Protokoły HTTP i HTTPS – co to jest i czym się różnią?

Bezpieczeństwo w Internecie to dziś podstawa. Wpływa na zaufanie klientów do firmy. Z tego artykułu dowiesz się, jak zabezpieczyć stronę internetową oraz jakie są różnice pomiędzy HTTP a HTTPS. Pokażemy również, jaki jest wpływ protokołu HTTPS na SEO. 

Protokół HTTP – co to jest?

HTTP to protokół określający format komunikacji pomiędzy klientem a serwerem. Klientem może być na przykład przeglądarka, która wysyła żądania do serwera, a ten zwraca odpowiednie dane. Dzięki temu możemy wyświetlić stronę WWW, obrazek czy inne zasoby. Protokół możemy zawsze podejrzeć w pasku przeglądarki na początku adresu strony internetowej.

Ograniczenia protokołu HTTP

Omawiany protokół jest bezstanowy, czyli nie zapamiętuje żadnych informacji z wcześniejszych zapytań. To oznacza, że może działać bardzo szybko (nie obciąża dodatkowo serwera).

Oczywiście w przypadku większości aplikacji webowych istnieje konieczność zapisania wcześniejszych danych (np. przy logowaniu) i jest to zazwyczaj rozwiązywane poprzez  tzw. ciasteczka (cookies), przechowywane w wewnętrznej bazie przeglądarki.

Warto wspomnieć, że w przypadku połączenia szyfrowanego protokołem HTTP istnieje większe prawdopodobieństwo, że dane użytkowników strony internetowej zostaną przechwycone.

HTTP vs HTTPS – jakie są różnice?

Protokół HTTPS – co to jest?

Jest to wersja protokołu HTTP z szyfrowaniem, które realizowane jest przez protokół SSL (lub przez rozwiniętą jego wersję – TLS).

Dzięki temu szyfrowaniu dane ze stron internetowych (jak np. hasła) są trudniejsze do przechwycenia lub zmiany. Jak łatwo można się domyślić, jest to rozwiązanie absolutnie konieczne wszędzie tam, gdzie pojawiają się wrażliwe dane.

Przykładem są strony banków, czy sklepy internetowe, ale też wszystkie inne strony, które zwracają uwagę na bezpieczeństwo użytkowników.

W tym momencie należy dojść do jedynego słusznego wniosku, że obecnie protokół HTTPS powinien być używany przez każdą stronę. W oczach użytkowników zwiększa to wiarygodność witryny i poczucie bezpieczeństwa. W naszej ocenie znaczenie protokołu HTTPS jest dziś niepodważalne. 

Od lat dużą wagę do bezpieczeństwa przykłada wyszukiwarka Google, która już w 2014 roku ogłosiła, że protokół HTTP jest czynnikiem rankingowym (https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html). Oznacza to, że wykorzystanie protokołu HTTPS ma pozytywny wpływ na pozycję strony w organicznych wynikach wyszukiwania.

Brak protokołu wskazują również przeglądarki internetowe, np. Chrome czy Mozilla – oznaczając strony bez HTTPS jako niebezpieczne.

Podsumowując, dotychczasowe informacje widzimy, że oprócz szeregu zalet z poziomu użytkownika i bezpieczeństwa protokół HTTPS ma również wpływ na pozycję strony internetowej w wyszukiwarce. Jeżeli dodatkowo spojrzymy na historię i politykę Google, możemy się spodziewać, że ten wpływ będzie coraz większy.

Certyfikat SSL – co to jest?

Certyfikat SSL to właśnie protokół sieciowy zapewniający bezpieczeństwo przesyłania danych. Wpływa również na wiarygodność danego adres, prestiż oraz rozpoznawalność marki.

Rodzaje certyfikatów SSL

Istnieje wiele rodzajów certyfikatu SSL.

• Certyfikat SSL/TLS DV (Domain Validated). Wersja podstawowa, która potwierdza jedynie właściciela domeny. Proces weryfikacji jest szybki i polega na potwierdzeniu, że osoba lub organizacja ubiegająca się o certyfikat ma kontrolę nad domeną.
• Certyfikat SSL/TLS OV (Organization Validated). Ten typ wymaga bardziej rygorystycznego procesu weryfikacji. OV uwzględnia weryfikację organizacji lub przedsiębiorstwa. Firmy muszą dostarczyć dodatkowe informacje, takie jak adres siedziby, aby potwierdzić swoją tożsamość.
• Certyfikat SSL/TLS EV (Extended Validation). Certyfikat EV jest najbardziej zaawansowanym i wiarygodnym rodzajem. Weryfikacja jest bardziej szczegółowa i obejmuje zarówno kontrolę nad domeną, jak i weryfikację tożsamości organizacji. Strony internetowe z certyfikatem EV wyświetlają specjalne zielone paski w w przeglądarce, co wskazuje użytkownikom na wiarygodność witryny.
• Certyfikat Wildcard SSL. Ten rodzaj certyfikatu jest wykorzystywany, gdy chcesz zabezpieczyć wszystkie subdomeny pod daną główną domeną. Na przykład, certyfikat wildcard dla domeny “przyklad.com” chroni również “subdomena1.przyklad.com”, “subdomena2.przyklad.com” itd.
• Certyfikat SSL Multi-Domain (UCC/SAN). Ten rodzaj pozwala na zabezpieczenie kilku różnych domen lub subdomen za pomocą jednego certyfikatu. Jest to przydatne, gdy masz wiele witryn pod jednym serwerem.

Jak poprawnie wdrożyć https:// na stronę?

Już wiesz, że obecność na stronach protokołu HTTPS ma duże znaczenie. Teraz pokażemy, jak go wdrożyć.

• Pierwszym krokiem jest oczywiście wykupienie certyfikatu SSL i jego konfiguracja dla domeny.
• Kolejne etapy dotyczą strony i linków zewnętrznych. Jest to bardzo istotny proces, ponieważ ewentualne błędy mogą negatywnie wpłynąć na wyświetlanie się strony i na pozycje w wyszukiwarce.

Poniżej przedstawiona jest krótka checklista. Część z tych poprawek może stworzyć się automatycznie, w zależności od silnika danej strony, ale każdy punkt warto przeanalizować i sprawdzić stronę pod kątem opisanych zagadnień.

Przekierowania 301

Po podpięciu certyfikatu należy wszystkie adresy przekierować z wersji HTTP na HTTPS. To kluczowe działanie, które pozwoli uniknąć duplikacji treści. Brak przekierowań może skutkować obniżeniem pozycji strony w wyszukiwarce.

Zasoby wewnętrzne

Wszelkie zasoby wewnętrzne, powinny używać protokołu HTTPS. Dotyczy to obrazków, skryptów, plików .pdf i innych występujących w serwisie.

Linki kanoniczne i ścieżki w kodzie

Każda ścieżka, która występuje w kodzie strony czy w meta danych, mapie witryny, pliku robots.txt, musi działać w ramach protokołu HTTPS. Warto również sprawdzić, czy wcześniej wdrożone przekierowania (przed implementacją certyfikatu), jeśli takowe były tworzone, nie wymagają korekty.

Linki zewnętrzne

Odnośniki w zewnętrznych serwisach również powinny zostać zmienione na wersję bezpiecznego protokołu HTTPS. Dotyczy to np. wpisów w Social Media, linków z artykułów umieszczonych na innych stronach, w wizytówkach itp.

Jeżeli gdzieś nie będzie możliwa taka poprawka, nie oznacza to utraty całej „mocy” linków – zostanie ona w większej części zachowana dzięki wcześniej wdrożonym przekierowaniom 301.

Linki w reklamach

Wszelkie kampanie reklamowe, jak Google Ads, czy Facebook Ads powinny zostać zaktualizowane o nowe adresy – z HTTPS.

Konfiguracja GSC, GA i narzędzi zewnętrznych

Żeby otrzymywać poprawne dane i skutecznie monitorować należy skorygować adres w narzędziach Google. W GSC konieczne będzie dodanie i weryfikacja nowej wersji, oraz podpięcie mapy witryny z adresami https. Jeżeli używane są inne zewnętrzne narzędzia (np. do monitoringu pozycji określonych fraz), zmiana adresu również może być konieczna.

Page Speed

Na koniec warto sprawdzić prędkość wczytywania strony w narzędziu Page Speed Insights (https://developers.google.com/speed/pagespeed/insights/?hl=pl) i zastosować się do wytycznych.

Dodatkowo po wdrożeniu można sprawdzić poprawność implementacji w jednym z darmowych narzędzi ( np. SSL Checker – https://www.sslshopper.com/ssl-checker.html, lub SSL Server Test https://www.ssllabs.com/ssltest/ ). Oprócz wielu informacji na temat certyfikatu SSL, pojawią się też ewentualne błędy.

Pełny audyt SEO możesz zrobić także, korzystając ze strony: https://audytseo.wenet.pl/

Bezpieczeństwo, SEO i rodzaj protokołu – podsumowanie 

Już wiesz, że protokół HTTPS umożliwia znacznie bezpieczniejsze promowanie swojej firmy w sieci, niż działanie w ramach protokołu HTTP. Klienci mają większe zaufanie do stron zabezpieczonych protokołem z „S” na końcu. 

Co więcej, zastosowanie protokołu HTTPS (który szyfruje przesyłane dane) wpływa pozytywnie na , czyli sprawia, że Twoja strona jest lepiej widoczna w organicznych wynikach wyszukiwania.