HTTPS szyfruje dane przesyłane między przeglądarką a serwerem – HTTP nie. To główna różnica między tymi protokołami. HTTPS chroni hasła, dane kart płatniczych i inne informacje przed przechwyceniem, dlatego w 2026 roku ponad 95% stron ładowanych w przeglądarce Chrome korzysta właśnie z niego. Ale uwaga – sama obecność HTTPS nie oznacza, że strona jest bezpieczna. Około 80% stron phishingowych również używa HTTPS i wyświetla te same oznaczenia co legalne witryny.
Co to jest HTTP
HTTP (Hypertext Transfer Protocol) to protokół komunikacji między przeglądarką a serwerem. Gdy wpisujesz adres strony, przeglądarka wysyła żądanie do serwera – a ten odsyła stronę, którą widzisz na ekranie. HTTP funkcjonuje od 1991 roku i przez dekady był jedynym standardem przesyłania danych w sieci.
HTTP przesyła wszystkie dane czystym tekstem. Jeśli wpisujesz hasło na stronie działającej przez HTTP, ktoś monitorujący sieć (np. administrator publicznego Wi-Fi) może je odczytać bez żadnych przeszkód. HTTP nie szyfruje niczego – ani treści stron, ani danych z formularzy, ani plików cookies.
HTTP domyślnie działa na porcie 80. Współczesne przeglądarki oznaczają strony HTTP ostrzeżeniem „Niezabezpieczona” w pasku adresu, co odstrasza użytkowników i obniża zaufanie do witryny.
Co to jest HTTPS
HTTPS (Hypertext Transfer Protocol Secure) to ten sam protokół HTTP, ale z dodatkową warstwą szyfrowania TLS (Transport Layer Security). HTTPS domyślnie działa na porcie 443.
Gdy łączysz się ze stroną przez HTTPS, przeglądarka i serwer wykonują tak zwany handshake TLS. W uproszczeniu wygląda to tak: przeglądarka sprawdza certyfikat serwera (czy jest ważny, kto go wystawił i czy pasuje do domeny), następnie obie strony uzgadniają klucz szyfrujący, po czym cała dalsza komunikacja jest szyfrowana. Nawet jeśli ktoś przechwyci transmisję, zobaczy wyłącznie zaszyfrowane dane, z którymi nic nie zrobi.
HTTPS chroni przed trzema zagrożeniami: podsłuchiwaniem (nikt pomiędzy przeglądarką a serwerem nie odczyta danych), manipulacją (nikt nie zmieni treści strony w trakcie przesyłania) oraz podszywaniem się pod serwer (certyfikat potwierdza, że przeglądarka łączy się z właściwą domeną).
Dwa pojęcia bywają mylone. TLS to protokół szyfrujący – mechanizm, który zabezpiecza połączenie. Certyfikat SSL/TLS (a ściślej: certyfikat X.509) to plik potwierdzający tożsamość domeny, wystawiany przez urząd certyfikacji (CA). Samo szyfrowanie bez certyfikatu nie miałoby sensu, bo przeglądarka nie wiedziałaby, czy łączy się z prawdziwym serwerem, czy z kimś, kto się pod niego podszywa.
Różnice między HTTP a HTTPS
| Cecha | HTTP | HTTPS |
|---|---|---|
| Szyfrowanie | Brak – dane przesyłane czystym tekstem | TLS – dane zaszyfrowane |
| Domyślny port | 80 | 443 |
| Certyfikat | Nie wymaga | Wymaga certyfikatu SSL/TLS |
| Oznaczenie w przeglądarce | „Niezabezpieczona” | Ikona ustawień (dawniej kłódka) |
| Ochrona danych w formularzach | Brak | Tak – hasła, karty, dane osobowe |
| Wpływ na pozycję w Google | Negatywny (brak HTTPS to sygnał ryzyka) | Pozytywny (HTTPS jest czynnikiem rankingowym od 2014 r.) |
| Szybkość | Porównywalna | Porównywalna (HTTPS działa z HTTP/2 i HTTP/3, które przyspieszają ładowanie) |
Kluczowa różnica jest jedna: HTTPS szyfruje transmisję danych, HTTP nie. Pozostałe różnice – port, certyfikat, oznaczenie w przeglądarce – wynikają z tego fundamentalnego podziału.
Popularny mit mówi, że HTTPS spowalnia stronę. Jest na odwrót – HTTPS jest wymagany do obsługi nowszych wersji protokołu (HTTP/2 i HTTP/3), które pozwalają przeglądarce pobierać wiele elementów strony równocześnie zamiast po kolei. Strona na HTTPS z HTTP/2 może ładować się szybciej niż porównywalna strona na HTTP.
Czy HTTPS oznacza, że strona jest bezpieczna?
Nie. To jeden z najgroźniejszych mitów w internecie.
HTTPS gwarantuje tylko jedno: dane przesyłane między Twoją przeglądarką a serwerem są zaszyfrowane. Nikt po drodze ich nie przechwyci ani nie zmieni. Ale HTTPS nie mówi nic o tym, kto stoi za stroną, co robi z Twoimi danymi ani czy strona jest legalna. Strona z HTTPS może równie dobrze rozpowszechniać malware lub wyłudzać dane logowania do bankowości elektronicznej.
To trochę jak z kopertą. HTTPS to szczelnie zaklejona koperta – nikt po drodze nie przeczyta listu. Ale koperta nie mówi Ci, czy adresat jest godny zaufania. Możesz wysłać swoje dane w szczelnej kopercie prosto do oszusta.
Strony phishingowe z HTTPS to norma, nie wyjątek. Według danych z raportu Keepnet Labs z 2025 roku, około 80% stron phishingowych korzysta z HTTPS. Certyfikat SSL typu DV (Domain Validation) – ten sam, który wydaje darmowy Let’s Encrypt – można uzyskać w kilka minut. Wystarczy kontrolować domenę. Żaden urząd certyfikacji nie sprawdza, czy strona jest uczciwa, czy zamierza wyłudzać dane.
Przeglądarki przestały traktować HTTPS jako wyróżnik. We wrześniu 2023 roku Google Chrome (wersja 117) usunął ikonę kłódki z paska adresu. Zastąpił ją neutralną ikoną ustawień (dwa suwaki). Powód? Badania Google z 2021 roku wykazały, że zaledwie 11% użytkowników rozumiało, co kłódka oznacza. Reszta mylnie zakładała, że kłódka potwierdza wiarygodność strony – a nie tylko szyfrowanie połączenia. Gdy HTTPS stał się standardem (ponad 95% stron), trzymanie symbolu „bezpieczeństwa” dla czegoś powszechnego straciło sens i dawało fałszywe poczucie ochrony.
Jak w takim razie oceniać bezpieczeństwo strony? Specjaliści od bezpieczeństwa od lat powtarzają prostą zasadę: najpierw domena, potem kłódka. Szyfrowanie (HTTPS) mówi, że nikt po drodze nie podsłuchuje. Ale ważniejsze jest to, do kogo wysyłasz dane – a to określa domena w pasku adresu. Sprawdź, czy adres strony jest dokładnie taki, jak powinien (np. mbank.pl, a nie mbank-logowanie.com). Jeśli domena jest podejrzana, szyfrowanie nie ma znaczenia – wysyłasz dane prosto do oszusta.
Więcej o rozpoznawaniu fałszywych stron: jak sprawdzić, czy link jest bezpieczny, czym jest phishing i co zrobić po kliknięciu w podejrzany link.
HTTPS a VPN – czym różni się ochrona
HTTPS i VPN szyfrują dane, ale na różnych poziomach i w różnym zakresie.
HTTPS szyfruje komunikację z konkretną stroną internetową. Gdy otwierasz stronę banku przez HTTPS, zaszyfrowane są dane między Twoją przeglądarką a serwerem banku. Ale Twój dostawca internetu nadal widzi, że łączysz się z domeną banku (choć nie widzi treści). Pozostałe aplikacje na Twoim urządzeniu – poczta, komunikatory, gry – nie są objęte szyfrowaniem HTTPS.
VPN działa inaczej. Szyfruje cały ruch internetowy wychodzący z Twojego urządzenia – ze wszystkich aplikacji i przeglądarek jednocześnie. Dostawca internetu nie widzi ani adresów stron, które odwiedzasz, ani treści Twojej komunikacji. VPN ukrywa też Twój adres IP i kieruje zapytania DNS przez własne serwery.
HTTPS i VPN nie wykluczają się wzajemnie – wręcz się uzupełniają. Gdy łączysz się ze stroną banku przez VPN, masz podwójną ochronę: VPN szyfruje cały ruch (w tym fakt, że łączysz się z bankiem), a HTTPS dodatkowo zabezpiecza samą sesję bankową. Nawet gdyby serwer VPN został naruszony i przejęty przez przestępcę, HTTPS nadal chroni Twoje dane do logowania.
Jak wdrożyć HTTPS na swojej stronie
Jeśli prowadzisz stronę internetową, wdrożenie HTTPS w 2026 roku zajmuje kilka minut – i jest obowiązkowe, jeśli zależy Ci na widoczności w Google i zaufaniu użytkowników.
Darmowy certyfikat Let’s Encrypt – najszybsza droga. Let’s Encrypt to darmowy, automatyczny urząd certyfikacji, który wystawia certyfikaty DV (Domain Validation). Większość firm hostingowych integruje Let’s Encrypt w panelu zarządzania – włączenie HTTPS sprowadza się do kliknięcia jednego przycisku. Certyfikat odnawia się automatycznie co 90 dni. Let’s Encrypt odpowiada za ponad 60% wszystkich wydanych certyfikatów SSL na świecie.
CDN z wbudowanym HTTPS – np. Cloudflare. Oprócz szyfrowania, Cloudflare przyspiesza stronę (caching, optymalizacja) i chroni przed atakami DDoS. Darmowy plan Cloudflare obejmuje certyfikat SSL i podstawową ochronę.
Certyfikaty płatne (OV i EV) mają sens, gdy prowadzisz sklep internetowy lub instytucję, w której zależy Ci na rozszerzonej weryfikacji tożsamości. Certyfikat OV (Organization Validation) potwierdza istnienie firmy. EV (Extended Validation) wymaga pełnej weryfikacji podmiotu. W przeglądarce oba wyglądają identycznie jak certyfikat DV – różnica widoczna jest dopiero po kliknięciu ikony w pasku adresu i sprawdzeniu szczegółów certyfikatu.
Po wdrożeniu HTTPS zadbaj o przekierowanie wszystkich adresów z http:// na https:// (przekierowanie 301), zaktualizuj linki wewnętrzne i sprawdź, czy strona nie ładuje elementów (np. obrazków, skryptów) przez HTTP – to tzw. mixed content, który obniża bezpieczeństwo i może wywoływać ostrzeżenia przeglądarki.
Najczęstsze pytania
Czy strona bez HTTPS jest niebezpieczna?
Strona bez HTTPS nie szyfruje danych przesyłanych między przeglądarką a serwerem. Jeśli jest to blog, na którym nic nie wpisujesz – ryzyko jest niewielkie. Ale jeśli strona wymaga logowania, podania danych osobowych lub płatności – brak HTTPS oznacza, że Twoje dane mogą zostać przechwycone, szczególnie w publicznych sieciach Wi-Fi.
Co oznacza ikona w pasku adresu przeglądarki Chrome?
Od września 2023 roku Chrome nie wyświetla ikony kłódki. Zamiast niej znajdziesz ikonę dwóch suwaków – kliknięcie w nią pokazuje informacje o połączeniu, certyfikacie i uprawnieniach strony. Jeśli strona nie ma HTTPS, zobaczysz ostrzeżenie „Niezabezpieczona” z trójkątem wykrzyknika. Inne przeglądarki (Firefox, Safari, Edge) stosują podobne rozwiązania, choć szczegóły interfejsu się różnią.
Czy HTTPS spowalnia stronę?
Nie. Narzut szyfrowania TLS jest minimalny – rzędu milisekund. Jednocześnie HTTPS umożliwia korzystanie z HTTP/2 i HTTP/3, nowszych wersji protokołu, które przyspieszają ładowanie strony dzięki równoczesnym połączeniom i kompresji nagłówków. Strona na HTTPS bywa szybsza niż ta na HTTP.
Jakiego portu używa HTTPS, a jaki HTTP?
HTTP domyślnie działa na porcie 80, HTTPS na porcie 443. Porty można porównać do numerów drzwi w budynku – określają, przez które „wejście” przeglądarka łączy się z serwerem. W codziennym użytkowaniu nie musisz o tym pamiętać – przeglądarka wybiera właściwy port automatycznie na podstawie tego, czy adres zaczyna się od http:// czy https://.
