HTTPS is HTTP met een laag versleuteling eroverheen. Het is het protocol waarmee je browser een website laadt, maar dan met een versleutelde verbinding, zodat niemand tussen jou en de server kan meelezen of iets kan veranderen. Dat slotje in je adresbalk is HTTPS dat zijn werk doet.
Vergelijk het met een ansichtkaart versus een dichtgeplakte brief. Gewone HTTP is de ansichtkaart: iedereen die hem onderweg in handen krijgt, kan hem lezen. HTTPS is de dichte envelop, en alleen de website waarmee je praat heeft de sleutel om hem te openen. Dat slot komt van een SSL-certificaat, en het echte versleutelen gebeurt door TLS, het moderne protocol dat het oudere SSL verving.
Dit gaat over meer dan wachtwoorden. Loginvelden, zoekopdrachten, de inhoud van een afrekenscherm, zelfs welke pagina’s iemand bekijkt liggen open over gewone HTTP. Met HTTPS is dat verkeer beschermd, en precies daarom waarschuwen browsers bezoekers weg bij onversleutelde sites en zien zoekmachines het als rankingsignaal.
Het draait ook om knoeien, niet alleen om meeluisteren. Op een open verbinding kan een café-WiFi of een louche netwerk stilletjes advertenties injecteren of een downloadlink herschrijven. HTTPS blokkeert dat, want elke wijziging breekt het cryptografische zegel en de browser weigert de pagina te laden.
Onder de motorkap begint elke verbinding met een korte handshake. De browser en de server spreken een sleutel af, controleren via het certificaat dat de server echt is wie hij zegt, en pas daarna stroomt er data. Dat afspreken kost een fractie van een seconde en gebeurt zonder dat je het merkt. De andere praktische stap is de veilige versie afdwingen met HSTS, zodat een bezoeker nooit per ongeluk op de HTTP-pagina belandt.
Bij TopDevs leveren we elke site en API standaard over HTTPS, met certificaten die zichzelf vernieuwen zodat het slot nooit stilletjes verloopt.