Переход на протокол HTTPS
Переход на протокол HTTPS

В статье пойдет речь о таких моментах:

- вопросы необходимости его использования для разных сайтов;

- некоторые тонкости выбора и установки сертификата;

- влияние https на продвижение.

Технических деталей не будет, их полно в интернете. Четко, по пунктам, с важными и неочевидными для новичков нюансами и деталями.

Когда Гугл заявил, что ресурсы с SSL-сертификатом будут ранжироваться, при прочих равных условиях, выше других, количество таких страниц в выдаче существенно возросло. И это верно - безопасность клиентских данных превыше всего. Это не панацея, естественно, злоумышленники изобретательны и находят множество методов похищения этих данных. Но озаботиться безопасностью как своей, так и своих посетителей, все ж стоит. Тем более, если этот фактор влияет на раскрутку.

Итак, главный вопрос - зачем и кому нужен SSL-сертификат. Основной его целью является шифрование информации, передаваемой от пользователя к серверу и наоборот. Трафик проходит множество стадий, на каждой может быть потенциальная утечка данных; протокол HTTPS защищает от этого в большинстве случаев.

Стоит отметить, что если атака идет целенаправленно на вас, или, что куда опаснее, именно на какие-то конкретные ваши данные, то защититься от этого будет крайне сложно.

Для пользователя наличие действительного сертификата означает уверенность в том, что он регистрируется, оставляет свои данные и совершает оплату именно на требуемом сайте, данные компании-владельца которого были проверены доверенной компанией, выдавшей сертификат.

В первую очередь, SSL-сертификат однозначно нужен сайтам, обрабатывающим финансовые потоки. Это могут быть интернет-магазины, платежные системы и шлюзы и т. д., в финансовой сфере безопасность стоит на первом месте. Использование HTTPS в данных случаях должно быть обязательным с первого же дня работы сервиса!

Личные данные клиентов тоже следует защитить на уровне сервера. HTTPS не спасет, конечно, от взломов (для этого есть другие методы), но значительно повысит уровень безопасности передачи информации и, как следствие, доверие к сайту. Утечки персональных данных обычно чреваты испорченной репутацией и судебными издержками. Социальные сети, крупные форумы должны иметь сертификат.

Если сайт небольшой, на нем не обрабатываются пользовательские данные, не принимаются платежи, то в первое время можно оставаться на старом HTTP. Однако я считаю, в перспективе переход на безопасное соединение обязателен. Это не нужно разве что для чисто информационных ресурсов, хотя, с учетом того, что на них тоже размещается реклама, сертификат может пригодиться именно для ее фильтрации.

Существует, в общем случае, три вида сертификатов:

- с проверкой домена;

- с проверкой компании;

- с расширенной проверкой компании.

Для сайтов, которые принадлежат частным лицам, подходит только первый вариант. Процесс получения проходит в автоматическом режиме, проверяется только электронная почта или DNS-запись. Второй вариант подходит юридическим лицам; тут проводится проверка названия и телефона компании (контрольный звонок, кстати, может быть на английском). Эти данные будут публичными. Третий, самый сложный, нужен серьезным организациям для повышения уровня доверия. Центр сертификации проверяет юридические документы компании, а пользователи видят ее название и зеленую пометку в адресной строке браузера.

Также сертификаты бывают на один домен, на всего его поддомены (WildCard) и мультидоменные (один на весь список доменов, указанный при его получении).

Есть распространенное заблуждение, что HTTPS работает значительно медленнее, чем обычный HTTP. На самом деле задержки минимальны и подавляющее большинство посетителей их не заметят. Нагрузка на сервер, впрочем, может возрасти, и это нужно учитывать.

Вебмастер при переходе на HTTPS должен помнить о таких моментах:

- для сайта нужен выделенный IP-адрес. Если это VPS или выделенный сервер - не проблема.

- все внутренние ссылки на страницах должны быть относительными, без указания протокола.

- все внешние ссылки должны быть на HTTPS. Если со страницы хоть одна ссылка будет вести на незащищенную страницу, HTTPS в данном случае будет работать некорректно. Это касается и, например, баннеров и рекламных материалов, которые подгружаются со сторонних ресурсов. Они тоже должны быть HTTPS. Это относится к медиаматериалам - изображения, аудио, видео и т. д. Стоит также проверить ссылки в подгружаемых скриптах.

- нужно поставить 301 (постоянный) редирект со старых страниц на новые. Это делается при помощи файла htaccess.

- необходимо включить на сервере HSTS (Strict Transport Security). Благодаря этому вся работа с сайтом будет проходить по протоколу HTTPS, независимо от того, по какой ссылке зайдет посетитель.

- для ускорения работы высоконагруженного проекта можно использовать keep-alive (постоянное соединение).

- поисковым системам нужно сообщить, что основная версия сайта теперь с HTTPS. Например, можно добавить новый адрес в панель вебмастера.

- очень желательно защитить данным протоколом главную страницу! Это сложно для сайтов с большой посещаемостью, но если этого не сделать, останется еще одна лазейка для злоумышленников.

Подготовка сайта однозначно займет больше времени, чем приобретение самого сертификата. Для крупного портала это может занять недели работы нескольких отделов. Часть затрат уйдет на расширение серверных ресурсов.

Много споров ведется по поводу того, в каком именно центре получать сертификаты. Мало того, не так давно появились компании, выдающие их совершенно бесплатно, что вызвало у многих сомнения по поводу их надежности. Я спорить не буду и просто скажу - это не играет совершенно никакой роли. Внимательно читайте условия, дополнительные сервисы и сами решайте.

Из дополнительных условий можно выделить гарантию от центра сертификации. Если посетитель зайдет на сайт с этим сертификатом и попадется на развод, ему компенсируют деньги. Правда, если и были прецеденты, то единичные, так что на это можно не обращать внимание.

После заявления Гугла о включении HTTPS в алгоритм ранжирования, стали заметны изменения (по данным анализа компании Stickyeyes) в топах по некоторым тематикам - финансы, игровые сайты, онлайн-казино и т. п. Как и с другими алгоритмами и фильтрами, Гугл относится по-разному к разным направлениям. Особенно заметен рост сайтов с защищенным соединением в особо "любимой" им теме - микрокредитование, краткосрочные займы. Практически весь топ теперь заполнен сервисами, использующими HTTPS. Очевидно, что для вышеупомянутых тематик получение SSL-сертификатов является строго рекомендуемым.

Впрочем, встречаются исследования (например, от SearchMetrics), которые не показывают никакой корреляции позиций и наличия защищенного протокола. Как мне кажется, это вопрос в методологии проведения исследований, и первый вариант более приближенный к реальности. Пока что изменения затронули не все тематики и очень небольшой процент страниц, поэтому в общей статистической массе изменения могут быть не заметны.

Из недостатков перехода на HTTPS иногда отмечают падение доходов от Google Adsense, который перестанет показывать ссылки на незащищенные сайты.

Версия протокола SSL 3.0 оказалась ненадежной, поэтому от нее постепенно отказываются. Есть множество атак, пусть и довольно сложных, "пробивающих" эту защиту. А самый простой и неприятный вариант - когда власти заставляют провайдеров или владельцев дата-центров ставить системы для перехвата данных после того, как они будут расшифрованы сервером.

Также провайдеры или злоумышленники могут подменять сертификат сервера, тем самым перенаправляя весь трафик пользователя на себя с возможностью его чтения.


27 Июля 2016
Количество показов: 3228
Автор:  Сергей Коломиец
Комментарии:  2

Возврат к списку


(Голосов: 3, Рейтинг: 3.48)

Комментарии пользователей:


Это нравится:0Да/0Нет
Вячеслав Шаров
Сергей будьте добры посмотрите на мой сайт worldgamenews точка com есть ли необходимость переходить? Ответ если можно в личку
Это нравится:0Да/0Нет
Геннадий Лавринов
Здравствуйте, Сергей !Будьте добры, посмотрите одним глазом мой сайт, надо ли мне переходить на 
защищённый режим работы ?
weblavr.ru/
Новые темыОбъявленияСвободное общение
10:35 22 сентября 2017 : Текстовый апдейт и обновление базы 
10:19 Нужно ли делать зеркало сайта в зоне ру для лучшей индексации 
09:48 Как решить проблему смешанного контента 
09:45 какой вид ссылок в индексе лучше? 
08:22 Перелинковка страниц 
00:10 Adsense личный опыт 
22:43 Прогон по Твиттеру 
09:55 Куплю дорого группу в контакте от 20000 посетителей в сутки 
08:55 Наш сайт Bit-Exchanger.ru более 200+ направлений обмена 
08:45 Профильный прогон 200 рублей, ТИЦ от 10, проверен Checktrust 
08:41 Прогон по профилям 300 рублей, 170 сайтов, ТИЦ от 10 
07:41 Ссылки в ваших статьях 
20:15 200 открытых анкорных ссылок всего за 100 рублей 
18:44 Рассылка сообщений на стены групп Вконтакте , Одноклассники по любым критериям. 
09:44 Что такое не везет и как с этим бороться (РОСТЕЛЕКОМ) 
09:35 Осторожно! Криптовалюта 
09:24 Создание сайта 
08:15 Бесплатный информер валют для вашего сайта 
01:55 Роковые ошибки поисковых систем, кому верить? 
00:02 Страница профилей пользователей Wordpress 
23:09 Куплю лиды на промышленное оборудование