Manapság a HTTPS az interneten keresztül történő adatátvitel alapértelmezett szabványa – nemcsak a biztonság, hanem a keresőoptimalizálás, a felhasználói bizalom és a jogszabályi megfelelés (GDPR és NIS2) szempontjából is. Ugyanakkor léteznek olyan speciális esetek, amikor a HTTP használata még mindig indokolt lehet, sőt néha az egyetlen működőképes megoldás.
Ebben a cikkben összegyűjtöttük azokat a kivételes helyzeteket, ahol a HTTP alkalmazása technikai, gyakorlati vagy környezeti okok miatt elfogadható – például zárt hálózatokon, erőforrás-korlátos eszközöknél vagy tesztkörnyezetekben. Fontos azonban tudni: ezek kivételek, nem szabályok – és minden esetben körültekintően kell mérlegelni a biztonsági kockázatokat.
Ha egy rendszer soha nem kapcsolódik az internethez, például:
- helyi fejlesztőkörnyezet (localhost),
- belső vállalati hálózaton futó adminfelület,
- automatizált mérőrendszerek vagy IoT eszközök vezérlőpanele,
akkor előfordulhat, hogy nem érdemes tanúsítványt beállítani, főleg ha az SSL/TLS menedzsment túl nagy overhead-et generál.
Például: Egy gyártósor PLC-vezérlője beépített webes felülettel rendelkezik, amit eleve csak belső IP-címről lehet elérni.
Egyes olcsó vagy régebbi IoT-eszközök nem képesek hatékonyan kezelni az SSL/TLS titkosítást:
- túl alacsony a számítási kapacitás,
- túl kicsi a memória,
- nincs valós időóra, ami a tanúsítvány érvényességéhez szükséges.
Például: Egy szenzoros rendszer csak HTTP-n keresztül továbbít adatokat a központi egység felé.
Fontos, hogy ilyen esetekben a hálózat többi részét szigorúan védeni kell (pl. VPN, tűzfal, MAC-szűrés).
Olyan környezetekben, ahol:
- a szerver nem képes automatikusan megújítani az SSL-t (pl. nem támogatja Let's Encrypt-et),
- nincs egyszerű hozzáférés a tanúsítvány feltöltéséhez,
- vagy nincs domainnév (csak IP-n fut a szerver),
ott a HTTPS bevezetése nehézkes lehet.
Például: régi firmware-rel rendelkező routerek, vagy NAT mögött futó eszközök.
Bizonyos hibakeresési vagy oktatási helyzetekben célszerű lehet HTTP-t használni, mert:
- könnyebb megfigyelni az adatforgalmat (pl. Wireshark, Fiddler),
- nem kell a tanúsítványhitelesítéssel bajlódni,
- gyorsabb konfiguráció.
Előfordulhatnak olyan elavult API-k, webkamerák vagy egyedi szoftverek, amelyek nem támogatják a HTTPS-t, így ha kommunikálni akarunk velük, kénytelenek vagyunk HTTP-t használni.
Ezek ritka és kivételes helyzetek. A legtöbb interneten publikált weboldal, webshop, admin felület vagy űrlap esetében a HTTPS:
- nemcsak ajánlott, hanem elvárt,
- és a Google, a böngészők és a GDPR is megköveteli.
Még belső használatra is egyre több rendszer ajánlja az SSL tanúsítványt és a HTTPS protokoll használatát, mivel ez ma már sok esetben automatizált és ingyenes szolgáltatás.
A Nethely Kft. minden ügyfele számára ingyenesen biztosítja a Let's Encrypt tanúsítványt és az SSL-es webcím használatát, amely az ügyfélszolgálati felületen egyszerűen, mindössze néhány kattintással bekapcsolható.
