Переход на протокол HTTPS
Переход на протокол HTTPS

В статье пойдет речь о таких моментах:

- вопросы необходимости его использования для разных сайтов;

- некоторые тонкости выбора и установки сертификата;

- влияние https на продвижение.

Технических деталей не будет, их полно в интернете. Четко, по пунктам, с важными и неочевидными для новичков нюансами и деталями.

Когда Гугл заявил, что ресурсы с SSL-сертификатом будут ранжироваться, при прочих равных условиях, выше других, количество таких страниц в выдаче существенно возросло. И это верно - безопасность клиентских данных превыше всего. Это не панацея, естественно, злоумышленники изобретательны и находят множество методов похищения этих данных. Но озаботиться безопасностью как своей, так и своих посетителей, все ж стоит. Тем более, если этот фактор влияет на раскрутку.

Итак, главный вопрос - зачем и кому нужен SSL-сертификат. Основной его целью является шифрование информации, передаваемой от пользователя к серверу и наоборот. Трафик проходит множество стадий, на каждой может быть потенциальная утечка данных; протокол HTTPS защищает от этого в большинстве случаев.

Стоит отметить, что если атака идет целенаправленно на вас, или, что куда опаснее, именно на какие-то конкретные ваши данные, то защититься от этого будет крайне сложно.

Для пользователя наличие действительного сертификата означает уверенность в том, что он регистрируется, оставляет свои данные и совершает оплату именно на требуемом сайте, данные компании-владельца которого были проверены доверенной компанией, выдавшей сертификат.

В первую очередь, SSL-сертификат однозначно нужен сайтам, обрабатывающим финансовые потоки. Это могут быть интернет-магазины, платежные системы и шлюзы и т. д., в финансовой сфере безопасность стоит на первом месте. Использование HTTPS в данных случаях должно быть обязательным с первого же дня работы сервиса!

Личные данные клиентов тоже следует защитить на уровне сервера. HTTPS не спасет, конечно, от взломов (для этого есть другие методы), но значительно повысит уровень безопасности передачи информации и, как следствие, доверие к сайту. Утечки персональных данных обычно чреваты испорченной репутацией и судебными издержками. Социальные сети, крупные форумы должны иметь сертификат.

Если сайт небольшой, на нем не обрабатываются пользовательские данные, не принимаются платежи, то в первое время можно оставаться на старом HTTP. Однако я считаю, в перспективе переход на безопасное соединение обязателен. Это не нужно разве что для чисто информационных ресурсов, хотя, с учетом того, что на них тоже размещается реклама, сертификат может пригодиться именно для ее фильтрации.

Существует, в общем случае, три вида сертификатов:

- с проверкой домена;

- с проверкой компании;

- с расширенной проверкой компании.

Для сайтов, которые принадлежат частным лицам, подходит только первый вариант. Процесс получения проходит в автоматическом режиме, проверяется только электронная почта или DNS-запись. Второй вариант подходит юридическим лицам; тут проводится проверка названия и телефона компании (контрольный звонок, кстати, может быть на английском). Эти данные будут публичными. Третий, самый сложный, нужен серьезным организациям для повышения уровня доверия. Центр сертификации проверяет юридические документы компании, а пользователи видят ее название и зеленую пометку в адресной строке браузера.

Также сертификаты бывают на один домен, на всего его поддомены (WildCard) и мультидоменные (один на весь список доменов, указанный при его получении).

Есть распространенное заблуждение, что HTTPS работает значительно медленнее, чем обычный HTTP. На самом деле задержки минимальны и подавляющее большинство посетителей их не заметят. Нагрузка на сервер, впрочем, может возрасти, и это нужно учитывать.

Вебмастер при переходе на HTTPS должен помнить о таких моментах:

- для сайта нужен выделенный IP-адрес. Если это VPS или выделенный сервер - не проблема.

- все внутренние ссылки на страницах должны быть относительными, без указания протокола.

- все внешние ссылки должны быть на HTTPS. Если со страницы хоть одна ссылка будет вести на незащищенную страницу, HTTPS в данном случае будет работать некорректно. Это касается и, например, баннеров и рекламных материалов, которые подгружаются со сторонних ресурсов. Они тоже должны быть HTTPS. Это относится к медиаматериалам - изображения, аудио, видео и т. д. Стоит также проверить ссылки в подгружаемых скриптах.

- нужно поставить 301 (постоянный) редирект со старых страниц на новые. Это делается при помощи файла htaccess.

- необходимо включить на сервере HSTS (Strict Transport Security). Благодаря этому вся работа с сайтом будет проходить по протоколу HTTPS, независимо от того, по какой ссылке зайдет посетитель.

- для ускорения работы высоконагруженного проекта можно использовать keep-alive (постоянное соединение).

- поисковым системам нужно сообщить, что основная версия сайта теперь с HTTPS. Например, можно добавить новый адрес в панель вебмастера.

- очень желательно защитить данным протоколом главную страницу! Это сложно для сайтов с большой посещаемостью, но если этого не сделать, останется еще одна лазейка для злоумышленников.

Подготовка сайта однозначно займет больше времени, чем приобретение самого сертификата. Для крупного портала это может занять недели работы нескольких отделов. Часть затрат уйдет на расширение серверных ресурсов.

Много споров ведется по поводу того, в каком именно центре получать сертификаты. Мало того, не так давно появились компании, выдающие их совершенно бесплатно, что вызвало у многих сомнения по поводу их надежности. Я спорить не буду и просто скажу - это не играет совершенно никакой роли. Внимательно читайте условия, дополнительные сервисы и сами решайте.

Из дополнительных условий можно выделить гарантию от центра сертификации. Если посетитель зайдет на сайт с этим сертификатом и попадется на развод, ему компенсируют деньги. Правда, если и были прецеденты, то единичные, так что на это можно не обращать внимание.

После заявления Гугла о включении HTTPS в алгоритм ранжирования, стали заметны изменения (по данным анализа компании Stickyeyes) в топах по некоторым тематикам - финансы, игровые сайты, онлайн-казино и т. п. Как и с другими алгоритмами и фильтрами, Гугл относится по-разному к разным направлениям. Особенно заметен рост сайтов с защищенным соединением в особо "любимой" им теме - микрокредитование, краткосрочные займы. Практически весь топ теперь заполнен сервисами, использующими HTTPS. Очевидно, что для вышеупомянутых тематик получение SSL-сертификатов является строго рекомендуемым.

Впрочем, встречаются исследования (например, от SearchMetrics), которые не показывают никакой корреляции позиций и наличия защищенного протокола. Как мне кажется, это вопрос в методологии проведения исследований, и первый вариант более приближенный к реальности. Пока что изменения затронули не все тематики и очень небольшой процент страниц, поэтому в общей статистической массе изменения могут быть не заметны.

Из недостатков перехода на HTTPS иногда отмечают падение доходов от Google Adsense, который перестанет показывать ссылки на незащищенные сайты.

Версия протокола SSL 3.0 оказалась ненадежной, поэтому от нее постепенно отказываются. Есть множество атак, пусть и довольно сложных, "пробивающих" эту защиту. А самый простой и неприятный вариант - когда власти заставляют провайдеров или владельцев дата-центров ставить системы для перехвата данных после того, как они будут расшифрованы сервером.

Также провайдеры или злоумышленники могут подменять сертификат сервера, тем самым перенаправляя весь трафик пользователя на себя с возможностью его чтения.


27 Июля 2016
Количество показов: 8161
Автор:  Сергей Коломиец
Комментарии:  2

Возврат к списку


(Голосов: 18, Рейтинг: 2.33)

Комментарии пользователей:


Вячеслав Шаров
Сергей будьте добры посмотрите на мой сайт worldgamenews точка com есть ли необходимость переходить? Ответ если можно в личку
Геннадий Лавринов
Здравствуйте, Сергей !Будьте добры, посмотрите одним глазом мой сайт, надо ли мне переходить на 
защищённый режим работы ?
weblavr.ru/
Новые темыОбъявленияСвободное общение
22:18 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
19:46 Стоит ли добавлять сайт в Rambler топ 100? 
12:41 AntiBot Cloud - бесплатный скрипт и сервис защиты сайтов 
22:57 DreamCash.tl - заработок на онлайн-видео. До 95% отчислений, отличный конверт! 
17:52 AviTool - мощный инструмент для автоматизации работы с Avito 
15:49 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 
11:13 Adfinity - Ваш надежный партнер в монетизации трафика 
13:39 Linken Sphere – браузер-антидетект нового поколения 
11:31 Belurk — высокоскоростные анонимные прокси от 0,24 рублей 
04:40 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 
01:55 Swap-line.com – это сервис быстрого обмена криптовалют на различные цифровые активы, а также на наличные средства во многих городах Украины! 
21:37 Приватные мобильные прокси Украины безлимиты 4g UA Водафон Киевстар Лайф 
20:34 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 
15:51 Европейский эквайринг 
17:30 Половина скидок на распродажах — фейк 
11:58 Подтягиваем физкультурку 
02:42 Точные прогнозы на футбол 
18:22 Осторожно! Криптовалюта 
07:49 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 
17:23 Не храните данные на жёстких дисках 
08:46 Пятница 13-ое: VK принял радикальное решение и закрыл доступ к порно контенту