Ответ
Основное отличие — HTTPS (HTTP Secure) является защищённой версией HTTP, использующей шифрование для обеспечения конфиденциальности, целостности и аутентификации данных.
| Аспект | HTTP | HTTPS |
|---|---|---|
| Протокол шифрования | Отсутствует. Данные передаются в открытом виде (plain text). | Используется SSL/TLS для шифрования всего соединения. |
| Порт по умолчанию | 80 | 443 |
| Схема URL | http:// |
https:// |
| Аутентификация | Нет. Не подтверждает подлинность сервера. | Использует SSL-сертификаты, выданные доверенными центрами (CA), чтобы подтвердить, что вы соединяетесь с настоящим сайтом. |
| Целостность данных | Данные могут быть незаметно изменены при передаче (атака «man-in-the-middle»). | Шифрование гарантирует, что полученные данные не были подменены. |
| Влияние на SEO | Сайты без HTTPS могут ранжироваться ниже. | Google и другие поисковики отдают предпочтение HTTPS-сайтам. |
| Производительность | Незначительно быстрее из-за отсутствия накладных расходов на шифрование. | Незначительно медленнее из-за процесса «рукопожатия» (handshake) TLS, но с современными алгоритмами разница минимальна. |
Как работает HTTPS (упрощённо):
- SSL/TLS Handshake: Клиент и сервер «договариваются» о параметрах шифрования, сервер предъявляет свой SSL-сертификат.
- Верификация сертификата: Браузер проверяет, что сертификат выдан доверенным центром, не истёк и соответствует запрошенному домену.
- Обмен ключами: Создаётся общий симметричный ключ для шифрования данных сессии.
- Зашифрованная передача: Все последующие HTTP-запросы и ответы передаются в зашифрованном виде.
Для QA-инженера важно:
- Проверять, что все критические страницы (логин, оплата) доступны только по HTTPS.
- Тестировать корректность работы при невалидных или просроченных сертификатах (браузер должен блокировать доступ или показывать предупреждение).
- Учитывать, что некоторые инструменты (прокси для сниффинга трафика) требуют установки своего сертификата для работы с HTTPS-трафиком.