Нужен ли сайту HTTPS? Немного теории, реальный опыт и подводные камни
Всем привет, друзья! Сегодня мы поговорим о протоколах передачи данных HTTP и HTTPS, а также затронем наболевшую тему перехода на HTTPS.
Аббревиатура HTTP знакома многим, кто хоть как-то связан с вебом – это протокол передачи гипертекста (HyperText Transfer Protocol) . Изначально протокол использовался для передачи гипертекстовых документов HTML (HyperText Markup Language ), в настоящее-же время, он может быть использован для передачи практически любого типа данных.
Поделиться
Твитнуть
Поделиться
Класснуть
Запинить
Для лучшего понимания темы, давайте немного углубимся в механику работы транспорта. Протокол имеет в своей основе технологию «Клиент-Сервер», которая предполагает наличие «потребителей» или клиентов, которые посылают запрос на сервер, находящийся в режиме ожидания для совершения каких-либо действий. В частности, если мы говорим о таком простом примере, как загрузка веб-странички — клиентом здесь выступает ваш браузер, сервером — собственно говоря, хост. Это, конечно, очень простой пример, так как HTTP в настоящее время, может выступать в качестве транспорта и для других протоколов прикладного уровня, таких, как SOAP, XML-RPC, WebDAV и т. д.
Поговорим о HTTPS. Как вы уже могли заметить, аббревиатура данного протокола имеет в окончании литеру «S», что как бы намекает на то, что речь пойдёт о безопасном соединении — последняя буква расшифровывается как Secure — «Безопасное». Данные в протоколе передачи HTTPS передаются уже не в чистом виде, а в зашифрованном, с использованием специальных надстроек — криптографических протоколов. Зачастую — это SSL. Это слово вы могли слышать или видеть в дополнительных опциях вашего хостинга или наблюдать в настройках VPS/VDS, которые можно подключить к вашему сайту как дополнительную услугу.
Поговорим о HTTPS. Как вы уже могли заметить, аббревиатура данного протокола имеет в окончании литеру «S», что как бы намекает на то, что речь пойдёт о безопасном соединении — последняя буква расшифровывается как Secure — «Безопасное». Данные в протоколе передачи HTTPS передаются уже не в чистом виде, а в зашифрованном, с использованием специальных надстроек — криптографических протоколов. Зачастую — это SSL. Это слово вы могли слышать или видеть в дополнительных опциях вашего хостинга или наблюдать в настройках VPS/VDS, которые можно подключить к вашему сайту как дополнительную услугу.
Криптографический протокол SSL имеет подпись и он, как правило, не бесплатен. Его можно приобрести либо у специализированного удостоверяющего центра (напрямую), либо у партнёра (собственно, хостера), который выступает посредником. Второй вариант, как правило, удобнее, ведь выпустить и настроить сертификат можно в одном месте и практически в один клик.
Важное дополнение! В настоящее время всё больше хостеров начинают поддерживать бесплатное подключение и автоматическое продление сертификатов Let’s Encrypt. Это бесплатные сертификаты начального уровня. Если вы решили приобрести сертификат, обязательно уточните в техподдержке — есть ли возможность подключения такого сертификата. Очень часто хостеры не афишируют эту информацию, публично предлагая только платные варианты. Let’s Encrypt будет достаточно, если вам не нужна особо мощная защита и вы желаете просто перевести ваш сайт на https.
Изначально, SSL-сертификаты выпускают специализированные центры под собственным брендом. И, чем жирнее «бренд» у производителя сертификатов, чем более сложный протокол шифрования он предлагает, тем сертификат дороже. Стоимость сертификата может варьироваться от десятков до тысяч долларов в год. Как вы уже догадались, дорогие друзья, речь идёт об аренде сертификата.
Давайте поговорим о целесообразности аренды именно доступного и недорогого SSL-сертификата для вашего домена, которому требуется относительно невысокий уровень безопасности передачи данных. Бесплатно их, к сожалению уже никто не раздаёт, разве что некоторые площадки могут предоставить вам сертификат типа DV (domain validation) бесплатно на один год. Через год, такой сертификат придётся продлевать за деньги. Но услуга, безусловно, полезная, так как стоимость сертификата через год, зачастую уже известна и это позволит вам сэкономить.
Углубляться дальше в техническую сторону работы протокола HTTPS, думаю, смысла особого нет, этой информации достаточно для понимания базы. А вот далее мы поговорим о том, так ли необходима покупка сертификата на ваш домен? Когда покупка сертификата действительно обоснована, а когда в этом нет особого смысла? Кроме того, я расскажу о подводных камнях, с которыми вы, дорогие друзья, можете столкнуться, начав использование протокола HTTPS на ваших сайтах и поделюсь своим опытом в этом вопросе.
Понять, защищён сайт или нет, можно взглянув на значок, который появился слева от адреса сайта:
Значок замочка говорит о том, что соединение защищено, если на каком-либо сайте вы увидите восклицательный знак — это говорит о том, что соединение не защищено, а красный треугольник предупреждает об опасности.
Обратите внимание, что в табличке безопасности подключения вы можете получить сообщение «Подключение защищено не полностью» с символом восклицательного знака в кружочке даже в том случае, если вы используете протокол https на всём сайте. Если вы получили такое сообщение — проверьте, нет ли в исходниках внешних или внутренних ссылок, использующих простой http. Если такие ссылки обнаружены — поменяйте их на https. Если ваш сайт защищён, никаких проблем с внутренними ссылками быть не должно и вы получите значок замочка.
Если сайт защищён, он будет вместо обычного http протокола, иметь защищённый протокол https:
Итак, теперь мы знаем, что такое SSL-сертификат, знаем, как максимально быстро установить сертификат на домен, если вы пользователь хостинга, предоставляющего такую услугу, и имеете представление о том, как этот сертификат работает.
Вопрос — нужен ли SSL-сертификат вашему сайту? Какие привилегии вы получите отдавая немалую сумму ежегодно на продление сертификата?
Давайте начнём с того, для чего именно разрабатывалась дополнительная защита протокола передачи данных — это повышение уровня безопасности. Если ваш сайт использует секретные пользовательские данные, а именно — данные кредитных карт (в случае интернет-магазина, сервисов с приёмом оплаты и т.д.). Другими словами — все страницы, которые участвуют в обработке и передаче важных данных в обязательном порядке должны использовать сертификат безопасности.
Что-же касается простых контентных сайтов, то здесь всё не так однозначно. С одной стороны, защищать здесь особо нечего — клиент запрашивает текстовый материал и получает его в первозданном виде. Однако, крупные игроки на рынке поисковых систем — Яндекс и Google считают необходимостью защищать абсолютно любые данные, передаваемые по сети. Подобное лоббирование и выведение в тренды использования SSL-сертификатов поисковиками поголовно на всех сайтах, как бы намекает нам на то, что ресурты, работающие по протоколу https будут ранжироватьться в выдаче лучше. По моим наблюдениям — это не так и сейчас я расскажу вам об одном небольшом эксперименте, в котором я на пол-года отключил сертификат от одного из своих сайтов. Что из этого получилось, я расскажу вам.
Итак, небольшая предыстория. Имея контентный сайт, на который ещё не был установлен сертификат, я, как и любой уважающий себя веб-мастер, решил немного поднять доверие поисковиков к ресурсу, улучшить показатели выдачи и понаблюдать за тем, что получится.
На тот момент, это была середина 2017 года, сайт уже имел какой-то вес и среднюю суточную посещаемость около 4000. Установив сертификат, я продолжал работать над ресурсом в обычном режиме, не ожидая каких-то заоблачных результатов, серьёзных изменений со стороны поисковых систем. Под управлением сертификата сайт проработал около года и знаете, какой суточный прирост уникальных посетителей я получил, спустя более, чем 8 месяцев благодаря сертификату? Никакого. Развитие шло естественным путём и я более, чем уверен, без него результат был бы тот-же.
Единственное, что я получил — дополнительную статью расходов на сертификат ежегодно, так как просто так взять и отказаться от однажды установленного сертификата уже нельзя. Нет, вы, конечно можете его просто отключить и не продлевать, но готовьтесь наблюдать стремительное падение трафика. И происходить оно будет не потому, что поисковики, вдруг обнаружив отсутствующий сертификат на вашем текстовике внезапно примутся всесторонне пессимизировать ваш ресурс. Причина проста, как три рубля. За этот год ваш сайт обрастает внешней ссылочной массой, пользователи делятся информацией, статьями, добавляют в закладки. И все эти ссылки уже имеют протокол https. Все эти замечательные добрые люди, которые искренне заинтересовались вашим проектом, после отключения SSL, просто не смогут зайти на ваш сайт, из раза в раз получая это холодное и безжизненное «Подключение на защищено»:
Вывод можно сделать только один. На сегодняшний день, если ваш сайт собирает или обрабатывает конфиденциальные данные пользователей — покупка сертификата обязательна. Если вы имеете обычный контентный сайт, Landing Page или какой-то несложный домашний проект — стоит задуматься перед покупкой. Назад дороги уже не будет, как видно из моего личного примера. Ну, а если в ближайшем будущем каждый проект обяжут использовать SSL, а на сайты без сертификата будут вешать огромный красный шильдик — впору готовить дополнительную статью расходов на каждый проект.
Премиум уроки от WebDesign Master
Другие уроки по теме «Хостинг»
Нужен ли сайту протокол https: помогаем принять решение SiteClinic.ru
Тема переезда на https, наверное, самая обсуждаемая в Рунете. Живой интерес к ней поднялся с 2014 года.
По заявлениям представителей поисковых систем, бонус в ранжировании должны получить все, кто заботится о пользователе, его безопасности. Поэтому переходить на защищённый протокол стоит всем сайтам.
На Западе, по исследованиям MozCast, процент защищённых результатов в ТОП–10 по 10K запросов составляет более 83,7%.
Вопрос целесообразности переезда не один год мучает тысячи владельцев сайтов. Пожертвовать посещаемостью, которую вы так долго растили на своём сайте, нелегко. Конечно, хочется иметь гарантии, что за временной просадкой последует грандиозный прирост трафика и конверсий, ведь вы следуете рекомендациям ПС.
Ниже приведены «за» и «против» миграции на https, которые могут помочь в принятии решения.
Вам нужно переезжать на https, если:
1. Вы продаёте. Для интернет-магазинов, где производятся онлайн-оплаты, сертификат необходим. Отсутствие такового ваши пользователи рано или поздно заметят, ведь слава о https распространяется не только в веб-мастерской среде. Также задуматься о переезде нужно сайтам услуг, информационным, развлекательным порталам – всем, кто предлагает заполнить формы обратной связи, регистрации, собирает любые персональные данные.
2. Вы боитесь пометки «Not secure». Современные браузеры помечают сайты на старом протоколе как небезопасные. Разработчики Google Chrome планируют сделать такое предупреждение ярче и заметнее для пользователя, что грозит ухудшением поведенческих показателей.
Google стал помечать сайты ещё с 56 версии Chrome. В 2017 он утверждал, что уведомления о небезопасных сайтах станут ярче и заметнее. Ниже показано, как выглядит пометка сегодня (в 64 версии Chrome), какой она будет в Chrome 68 и как будет выглядеть в будущих версиях.
Что касается Яндекса, компания не так часто высказывалась о необходимости переезда, но позиция поисковика в вопросе безопасности понятна. Безопасность соединения легла в основу недавней рекламной кампании Яндекс.Браузера.
Год назад компания заявляла, что браузер тщательно борется с перехватом трафика даже на https-сайтах, проверяя подлинность сертификата каждого сайта, который открывает пользователь.
3. Вы хотите сделать интернет безопасным, как стремится и Google.
Сначала Google заговорил о важности безопасности в интернете и https как сигнале ранжирования.
В 2015 Google заявляет, что приоритет в индексировании будет теперь отдан https-версии, если сайт доступен по двум протоколам.
Конец 2016 – Google с пониманием отнёсся к попыткам некоторых сайтов переехать на https. ПС прощает им совершённые на этом пути ошибки, публикует часто задаваемые вопросы и продолжает призывать всех сделать интернет безопасным.
В этом же году Google обещает помечать http-сайты в Chrome 56 как «небезопасные». По этому поводу веб-мастеры получали сообщения в GSC.
Сегодня вопрос переезда остаётся актуальным, а количество сайтов на https растёт с каждым месяцем.
4. Вы стремитесь идти в ногу со временем. Миграция на https популярна уже четвёртый год. Авторитетные компании, банки, крупные интернет-магазины уже успели переехать. Центры сертификации выпустили разные виды сертификатов для бизнеса любого масштаба.
Пример Facebook
Пример Amazon
Если вы крупный игрок на рынке, делите ТОП в конкурентной нише, а все ваши соседи по выдаче уже переключились на защищённое соединение, покупайте сертификат и ищите исполнителя. Чтобы этот процесс прошёл с малыми потерями, учтите период пиковой посещаемости своего ресурса. Смена протокола сопровождается падением трафика в среднем на 2 месяца. Как правило, позиции и посещаемость проседают, но после – возвращаются.
Вам не нужно думать о миграции, если:
1. Сейчас или через несколько месяцев начинается сезон продаж. Если в ближайшее время вы ждёте продажи наиболее маржинальных товаров, лучше повременить с https и вернуться к вопросу в период наименьшей активности. Пока позаботьтесь об удобстве пользователей на сайте – рекомендации в статье «Базовые ошибки юзабилити сайта».
2. Нет технического специалиста, который сможет организовать переезд. Без специальных знаний сменить протокол тяжело и опасно, опытный программист крайне желателен. Подробные рекомендации о миграции приведены в нашей статье «Безопасный переезд сайта с http на https в Яндексе и Google».
3. У вашего сайта нет элементарной оптимизации. Если вы давно не прописывали базовые SEO-теги, не боролись с дублями, не наблюдали за сканированием сайта в Вебмастерах Google или Яндекса (ваш сайт вообще не подключён к этим панелям), вряд ли защищённое соединение поможет выйти в ТОП. https – только один из сотен сигналов, влияющих на ранжирование. Исправить ситуацию поможет следование нашим рекомендациям: «20 банальных ошибок внутренней оптимизации, которые мешают сайту выйти в ТОП» или «Страницы низкого качества или как понять, что твой сайт “не очень”».
4. Вы дорожите скоростью загрузки. Безопасный протокол добавляет операцию шифрования между сайтом и браузером, поэтому время загрузки (например, TTFB) может увеличиться. Стоит заметить, что скорость загрузки – более значимый фактор ранжирования, чем https.
5. Вы не хотите покупать сертификат. Есть бесплатная альтернатива – самоподписанные сертификаты, но их использование может иметь неприятные последствия. Например, популярные браузеры новых версий могут с недоверием отнестись к самодельному защищённому протоколу и на весь экран вывести предупреждение.
Пример Яндекс.Браузера
Пример предупреждения в Google Chrome
Только самые упрямые пойдут дальше по кнопке «Подробности» или «Дополнительные», чтобы всё-таки попасть на ваш сайт. Остальные вернутся в выдачу.
К тому же, если настоящий доверенный сертификат взломают, у вас есть шанс получить компенсацию от продавца.
6. Вы не хотите сталкиваться с проблемой смешанного содержимого. Если на https-сайте найдены компоненты, подключённые на http, браузер может уведомить пользователя об опасности. Избежать этого поможет тщательный поиск http-ссылок на сайте и их замена на https.
7. Вы не верите в силу https и не готовы рисковать трафиком ради мнимого преимущества в ранжировании, которое регулярно ставят под сомнения.
Часто веб-мастеры жалуются, что не заметили прироста после переезда, даже если в технической части всё было сделано правильно.
Поисковики также не обещают многого сайтам с https. Например, в 2017 представитель Google Дж. Мюллер сказал, что https – это очень слабый сигнал ранжирования.
Яндекс не отдаёт приоритет сайтам с https. Об этом в блоге компании рассказал Платон.
Вместе с тем Яндекс упростил технологию переезда: отменил переклейку зеркал через Host в robots.txt. Теперь вам остаётся выбрать сертификат, оплатить его и заняться технической частью переезда.
В своих проектах мы не заметили грандиозного роста трафика.
Сравнение трафика: апрель 2017 года и апрель 2018 года.
Скриншот трафика из Яндекс.Метрики (увеличить)
Скриншот посещаемости из Яндекс.Метрики (увеличить)
Вывод
Переезд необходим ресурсам, которые заботятся о безопасности пользователей. Если у вас коммерческий сайт, где пользователям предлагается ввести свои личные данные, в том числе платёжные, без защищённого протокола вы можете потерять часть конверсий.
Рост популярности браузера Chrome, отмечающего сайты без https, и общемировое стремление к защите данных вынуждают владельцев сайтов всех типов смотреть в сторону перехода. Стимулирует переезд и радикальная позиция Google, доля которого даже в России с каждым годом растёт.
Однако миграцию сайтов с сезонной тематикой нужно планировать на период «затишья». В это время, даже столкнувшись с проблемами неработающего сайта, вы всё равно потеряете меньше клиентов, чем могли бы в сезон.
Перед переездом обязательно проанализируйте посещаемость из поиска. Если всё сделать правильно во время, когда визитов на сайт минимум, возрастают шансы получить в несколько раз больше конверсий в будущем.
Хотите повысить посещаемость сайта своими силами, но не знаете, что именно нужно делать? Обращайтесь к нам — мы проанализируем сайт и составим подробные инструкции по достижению ваших целей!
Получить инструкции
Подписаться на рассылкуЕще по теме:
Ольга С.
SEO-аналитик
Работала в рекламе, занималась копирайтингом.
Дожила до своих лет, предсказала будущее, вывела в ТОП сайт ветеринарной клиники.
Сейчас помогаю развивать клиентские проекты в SiteClinic.
Девиз: Рано или поздно это придется сделать, поэтому лучше рано.
Есть вопросы?
Задайте их прямо сейчас, и мы ответим в течение 8 рабочих часов.
«Стоит ли переводить сайт на https? Позиции не потеряю?» – Яндекс.Знатоки
С февраля 2019 года Яндекс начал присылать уведомления о том, что на сайтах не используются протоколы HTTPS. В Яндекс.Вебмастере стали появляться уведомления с «возможной проблемой», где говорилось, что главное зеркало сайта использует незащищенный протокол.
Гугл подобные предупреждения высылает уже давно и предупреждает в браузере Хром, что сайт небезопасный. Теперь и Яндекс стал открыто «говорить» пользователем, что нужно переезжать со старого протокола на новый.
Переход на HTTPS-протокол — оправданный шаг. Если сайт планируется продвигать и он находится не на защищенном протоколе — нужно переходить. Пока нельзя сказать точно, учитывает ли алгоритм Яндекса этот фактор, но факт в том, что большинство качественных сайтов — как в западном сегменте, так и в русскоязычном — уже перешли на защищенный протокол. И так как и в Яндексе и в Гугл самообучающийся алгоритм, то, даже если сейчас этот фактор не учитывается, то скоро наверняка будет. Так что нет смысла ждать и лучше переходить сейчас.
Риски и проблемы
Раньше переход на защищенный протокол был рискованным шагом, потому что у Яндекса этот переезд сопровождался проблемами с ранжированием — то есть сайт проседал, потом не всегда возвращался и так далее. Сейчас ситуация с этим намного лучше. Есть, конечно, случаи, когда даже при правильном переезде позиции проседают и надолго, но они достаточно редки. В основном все проходит без последствий, максимум на несколько дней трафик становится нестабильным, но вскоре возвращается. Поэтому, принимая и понимая все риски, все же собирайтесь с духом и переезжайте.
Как правильно перейти с HTTP на HTTPS?
В самом Яндекс.Вебмастере есть ссылка на инструкцию.
Если раньше это было достаточно трудоемкая процедура, то, после того, как Яндекс отказался от директивы Host, она упростилась. И теперь состоит из нескольких шагов.
Купить и установить на сервер SSL-сертификат.
Поменять все ссылки внутри сайта со старого протокола на новые, если они были абсолютные (т. е., если протокол был указан во всех ссылках).
Проверить, доступен ли сайт на защищенном протоколе. Причем, желательно пройтись по всем страницам краулером (например, используя Screaming Frog, NetPeak Spider или другой) и проверить, все ли в порядке, везде ли стоит защищенный протокол.
Установить перенаправление с HTTP на HTTPS, обязательно использовать именно редирект 301.
И последний важный этап, которому в инструкции от Яндекс не удивляют внимание. Заходим в Яндекс.Вебмастер, слева будет пункт «переезд сайта». Нужно зайти на этот раздел и указать, что хотите переехать с HTTP на HTTPS.
После выполнение этих пяти шагов состоится «переезд». Делать это нужно сейчас — риски небольшие есть, но переходить все равно придется, и лучше раньше, чем позже.
Рассказываю об этом здесь: https://www.youtube.com/watch?v=ETOhuNak1FA
Почему вашему сайту нужен HTTPS (SSL)
admin
Если вы хотя бы раз задумывались о своей безопасности, тогда вы примерно понимаете, что это такое. Ведь каждое посещение сайтов в сети Интернет по факту является не безопасным, где-то могут быть вирус, а некоторые сайты воруют данные. До середины 2018 года, большая часть сайтов работает на протоколе старого поколения — HTTP. А это значит, что все передаваемые данные браузера происходят в незащищенном виде, и каждый может перехватить их.
Чтобы обезопасить пользователей выпустили HTTPS протокол защиты. Если вы не знаете, что такое HTTPS — это протокол передачи данных, обеспечивающий безопасный и конфиденциальный обмен информацией между веб-сайтом и устройством, которое использует пользователь для доступа в сеть.
Зачем нужен HTTPS?
- Шифрование. Вся передаваемая информация будет шифроваться, тем самым сторонние лица не получат доступ к ней.
- Передаваемые данные. Система защиты может зафиксировать любые изменения передаваемых данных, будет это сделано намерено или случайно.
- Защита от атак. Ваш пользователь на сайте будет полностью защищен от любых атак, тем самым это дает гарантию безопасности аутентификации пользователя на ресурсе.
- Уровень доверия. Повышается доверие со стороны пользователя и поисковых машин к сайту, который работает на HTTPS.
- Влияние HTTPS на продвижение сайта — да, есть официальные данные от гугла.
Как работает защищенный протокол?
- SSL/TLS — есть два вариант использования защиты данных (информации). В любом из идет подключение к стандартному протоколу, после чего делается безопасное подключение к веб-сайту, что и делает после невозможным для просмотра данных сторонними лицами.
- Секретные ключи. Когда установлено соединение с протоколом HTTPS создаются случайные секретные ключи, которые известны будут только вашему ПК и серверу к которому подключаетесь. Каждый раз посещая сайт, вы генерируете новый ключ, тем самым идет шифрование данных. Код состоит из 100 символов (рандомных), тем самым подобрать доступ к нему на данный момент нереально.
- Безопасность. Цифровой сертификат повышает уровень доверия и дает дополнительную безопасность соединения для веб-сайта. Всегда можно узнать кем был выдан сертификат, какая информация в нем есть о владельце, и какая подпись подлинности.
- Обмен данных. Только после получения подлинности вашего сертификата сервера начинается обмен данных между сайтом и пользователем.
Где применяются (поддерживаются) HTTPS протоколы?
- Государственные организации
- Сайты банков, или другие финансовые системы
- Сайты, где есть обработка частной информации или персональных данных (электронные почты)
- Веб-сайты вебмастеров, которые хотят сохранить информацию и получить доверие от пользователя
Обязательно ли использовать этот протокол безопасности
Раньше данный момент можно было выбрать, использовать или нет. Теперь такой возможности нет, например Google понижает выдачу для сайтов на незащищенном протоколе (есть информация в сети), а другие сайты поднимает. После выхода Chrome 69 в котором идет проверка защищенного протокола и чуть ли не полное отключение от небезопасного, стоит задумываться о том, что это все таки нужно.
Когда вы уже знаете, зачем нужен HTTPS протокол, то перед созданием своего нового сайта или сайта клиента задумывайтесь о том, чтобы его использовать сразу. Переход на HTTPS всегда будет полезен сайту, чаще всего это увеличивает его трафик на 15-20% после правильно переезда.
Переход на https — плюсы и минусы перехода на https
Автор Александр Брушкивский На чтение 4 мин. Просмотров 633 Опубликовано
В этой статье я бы хотел просто выразить свою точку зрения на счет перехода на https. Но для начала давайте разберемся с тем, что же такое https и с чем его едят.
HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP, для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.
Протокол был разработан компанией Netscape Communications для браузера Netscape Navigator в 1994 году. HTTPS все шире используется в мире веб и поддерживается всеми популярными браузерами.
Итак, мы разобрались с тем что из себя представляет защищенное соединение https, но встает очевидный вопрос — нужно ли всем сайтам поголовно переходить на https?
Мое мнение, что защищенный протокол https нужен только компаниям с онлайн финансовыми операциями. Например сайты банков, сайты заказов авиабилетов, платежные системы и подобные сложные, нагруженные проекты и онлайн платежами и переводами. Простым же сайтам компаний и тем более обычным блогам это вовсе не нужно.
Нужен ли переход на https обычным сайтам
Специалисты в области SEO разделились на 2 фронта — те кто сломя голову бежит переводит все свои сайты и сайты клиентов на https и те, кто ждет и смотрит результаты.
Я отношусь ко вторым и нас к сожалению меньшинство. В любой сфере, будь то SEO или программирование какие-то лидирующие компании, от действия которых может много поменяться в специфике работы, придумывают и вводят что-то новое.
В SEO глобальные изменения в методах ранжирования можно ожидать от поисковых систем примерно раз в год — иногда полгода. Но не всегда, то что они вводят стоит лететь со всех ног и срочно внедрять.
Еще в начале 2016 года Google серьезно заявил что с начала 2017 года все сайты что не перешли на https будут хуже ранжироваться и скорее всего как-то помечаться. Эта новость конечно же гремела и активно обсуждалась на всех тематических форумах. Уже там было было видно что были сторонники как перехода на https, так и игнорирования этого момента.
Всю эту ситуацию с переездом на https подогревали известные блогеры в сфере SEO (такого уровня как devaka), публикуя у себя в блогах инструкцию с пошаговым руководство перехода сайта на протокол https.
В каких-то случаях это делалось с целью получить трафик на сайт по актуально теме, а где-то просто по собственной уверенности в необходимости перехода на защищенное шифрование.
Последствия и результаты перехода на https
Что же получили те счастливчики, что в срочном порядке побежали переводить свои сайты на протокол https? А получили они множество проблем, последствий.
Во-первых, это неизбежное проседание трафика и конечно же позиций сайта, даже при правильно настроенных редиректах. В среднем такие потери длятся от 2-3 месяцев до полугода. А представьте что сайт коммерческий (действующий интернет-магазин) и потеря позиций, а с ними и трафика означает потерю большого количества денег. Клиенты не скажут Вам спасибо за это!
Во-вторых, подавляющее большинство использовали простые бесплатные ssl сертификаты. которые предоставляют собственно сами хостинги. С бесплатным как правило часто много проблем появляются в процессе работы. К тому же, многие просто напросто неправильно все настраивали с сертификатами и отсюда больше срок проседания позиций и другие минусы из этого вытекающие.
А что же получили те, кто не спешил с переходом на https?
Как и ожидалось ничего негативного на сайты с начала 2017 года со стороны поисковых систем не было наложено. Никаких фильтров и потери позиций или трафика. Наоборот, пока все конкуренты мучились с переездом, мои сайты и сайты клиентов успешно росли по трафику и позициям и на сегодняшний день продолжают расти.
Единственный минус, который получили сайты что остались на http — это еле заметный зачеркнутый замочек пере ссылкой на сайт и то не во всех браузерах, а только в Mozilla Firefox если не ошибаюсь. Это никаких образом негативно не сказалось на сайты и они также отлично развиваются.
Думаю, я через полгода напишу дополнение к данной статье, и там будет лишь доказательство того что весь этот кипишь вокруг перехода всех сайтов повально на https напрасная трата времени и денег в отдельных случаях. Не стоит гнаться за мнением толпы — нужно хотя бы иногда включать голову иметь свое собственное мнение — нужно экспериментировать в конце концов!
Нужен ли вашему сайту переезд на HTTPS?
Здравствуйте, с вами Вадим Твердохлеб. Сегодня все больше сайтов переезжают на протокол HTTPS. Эту модную тенденцию спровоцировали поисковые системы: Google первым заявил о том, что отныне сайты, работающие по безопасному протоколу HTTPS, ранжируются выше. То есть в выдаче поиска при равных условиях, сайт, работающий по протоколу HTTPS, будет выше, чем сайт, работающий по старинке на HTTP. Сейчас мы с вами рассмотрим, что такое этот новый протокол, преимущества и недостатки переезда и вообще, нужно это вам или нет.
Что такое HTTP и S чем его едят
Для начала несколько слов о том, что такое старый добрый HTTP. Это HyperText Transfer Protocol. То есть протокол передачи гипертекста. Набор правил, по которым ваш браузер обменивается данными с веб-сервером. Это все, что нам нужно знать.
Ну а HTTPS получили, добавив одну букву S — Secure. Защищенный. Да, обмен данными по протоколу HTTPS является безопасным для пользователей, то есть полезным. А поисковики Google и Яндекс не так давно провозгласили правило: «Всё, что юзеру полезно, в ТОПы выдачи пролезло»
Безопасность обеспечивается шифрованием с использованием сертификатов криптографических протоколов SSL или TLS. Непосвященному не стоит забивать себе этим голову, ему важно решить — нужен его сайту переезд и как переехать без потерь.
Преимущества HTTPS
Конфиденциальность
Протокол обеспечивает безопасность передаваемых данных. Злоумышленнику практически невозможно украсть важную информацию. Например, реквизиты банковской карты, которой пользователь рассчитывается на сайте. Или логин и пароль для входа.
Поэтому все интернет-магазины должны обеспечивать безопасность и сохранность передаваемых данных. Для этого они обязательно должны использовать как минимум протокол HTTPS. Почему как минимум? Потому что есть протоколы безопасности более высокого уровня, но их используют уже мега-компании типа Сбербанк и тому подобных. Простому же интернет-магазину HTTPS будет вполне достаточно.
Сохранность
Протокол не дает возможности изменить передаваемые данные. Ваш сайт получит и передаст данные в неискаженном виде. То есть никто не вставит в него «левую» рекламу, не сожмет или заменит ваши картинки и так далее.
Подлинность
Использование сертификатов SSL или TSL подтверждает подлинность сайта. Сертификат устанавливается на веб-сервере, неким образом «привязывается» к вашему домену. Когда пользователь заходит на ваш сайт, сервер, где он расположен, и браузер пользователя обмениваются специальными файлами-ключами. Таким образом устанавливается защищенное соединение, которое подтверждает подлинность вашего сайта.
Выдача в поиске
Еще в марте 2015 года исследования компании SearchMetrics подтвердили, что Google начал ранжировать сайты по протоколу HTTPS выше своих олдскульных собратьев. А Яндекс по секрету сообщил веб-мастерам, что в будущем вообще перестанет выдавать в результатах поиска сайты с протоколом HTTP.
Недостатки HTTPS
Как, у него еще и недостатки есть? Естественно.
Смешанный контент
Если на сайте будет использоваться смешанный контент, например, на ваш сайт будут подгружаться скрипты JS или таблицы стилей CSS со сторонних сайтов, использующих старый протокол HTTP, то ваш сайт также будет признан работающим по протоколу HTTP.
Избежать данную проблему можно. Например, указывая ссылки в коде неявным образом или используя систему HSTS.
Подмена сертификата
Если в схеме «запрос от клиента — ответ сервера с открытым ключом — проверка подлинности сертификата» будет присутствовать так называемый «сертификат, не заслуживающий доверия», то браузер выдаст вам об этом сообщение. Но если вы все равно решите продолжить работу с таким сайтом, то злоумышленнику ничего не стоит перехватить сертификат и заменить его своим. Сервер будет отправлять свой сертификат, хакер будет его перехватывать и заменять своим, браузер клиента будет думать, что работает с доверенным сертификатом и отправлять данные… хакеру. Такое возможно, если вы сами подтвердите своему сомневающемуся браузеру, что в любом случае доверяете такому сайту. Обычно такие ситуации происходят с веб-ресурсами в корпоративных (локальных) сетях.
Вам не стоит этого бояться, потому что вы или веб-мастер, который будет переводить ваш сайт на HTTPS, закажет именно доверенный сертификат, который не даст возможности никакому плохому дядьке украсть ваш сложный логин «admin» и пароль «qwerty».
Потеря трафика после переезда
Да, если вашему сайту уже несколько лет, то при неправильно организованном переезде вы можете потерять до 20% трафика, а то и выше. Поскольку сайт на протоколе HTTP и сайт на HTTPS для поисковиков — это два разных сайта. И переезд получается сродни смене домена. Поэтому важно разобраться в схеме переезда, заказать и получить сертификат SSL, правильно организовать редирект в файле htaccess. Для CMS WordPress или другой существуют специальные плагины перевода на HTTPS, там изменять htaccess ручками не придется. Затем обязательно нужно перерегистрировать сайты у поисковиков. В общем, процедура не очень легкая, но осуществимая своими руками.
Кстати, именно из-за этого пункта я рекомендую переводить сайт на HTTPS сразу же после создания. А получать сертификат SSL сразу же при покупке домена. Например, мой любимый хостер beget выдает бесплатный SSL-сертификат Let’s Encrypt. Я подключаю его при покупке новых доменов.
Вывод: так нужен переезд или нет?
Мое мнение однозначно — да! Таким образом вы обеспечите уровень доверия к своему ресурсу, поднимите его в выдаче поисковиков, обезопасите личные данные и будете идти в ногу со временем.
Для новых сайтов установка сертификата SSL должна быть действием по умолчанию!
Инструкция по переезду на HTTPS для сайтов на WordPress
Краткая инструкция для специалистов или хотя бы разбирающихся в терминах. Остальные могут перескочить и прочитать мое коммерческое предложение ниже.
- Создаем архив БД на хостинге.
- В общих настройках в админ-панели меняем URL на https, перелогиниваемся.
- Устанавливаем плагин Better Search Replace и активируем его. Меняем в первых двух строках http на https. Отмечаем все таблицы, ставим две из трех галок (нижней нет). Запускаем поиск и замену.
- Устанавливаем плагин WordPress Force Https и активируем его.
- В Яндексе и Гугле регистрируем права на новый ресурс с https.
Для тех, кто в этом не разбирается, мы можем помочь с переездом. Для этого напишите мне Вконтакте или позвоните нам в студию по телефону 8 800 200 75 68 или +7 918 627 6504
Еще одна полезная статья Как установить на свой сайт онлайн-консультант
С уважением, Вадим Твердохлеб, руководитель веб-студии ИВЦ 8 бит — Бизнес.Интернет.Технологии
Зачем сайту нужен переход с http на https
Содержание поста
В последнее время, вокруг темы безопасности в Интернете много шума, но не все пользователи, да и многие владельцы сайтов не до конца понимают что к чему.
Ранее мы говорили о целесообразности заводить блог о туризме и путешествиях. Продолжаю серию постов про сайтостроение, сегодня рассмотрим тему ssl сертификатов на примере туристического сайта in-trips.ru.
В этом посте поговорим о том, надо или не надо переводить обычный туристический (информационный) сайт на безопасный протокол https, какая от этого выгода владельцу сайта и что получит от безопасного соединения обычный читатель сайта.
На безопасный протокол https сайт я перевёл, а какой профит получил (и получил ли), так же про всю хронологию событий, читайте по ссылке
Большая часть поста будет интересна владельцам сайтов, а самое начало статьи, будет полезно почитать всем без исключения.
Зачем нужен переход на https, разъяснения для читателей
Для обычного читателя туристического сайта, нет никакой разницы по какому протоколу (http или https) он получает информацию с сайта к себе на монитор. Большинство пользователей просто не обращают на это никакого внимания. Читать мои травел отчеты вполне безопасно как на http, так и на https (в скором будущем).
В таких действиях нет ничего плохого, ведь на большинстве информационных сайтов, от читателя не требуют вводить данные банковских карт, логинов, паролей и прочих данных, которые могут быть перехвачены злоумышленниками.
Единственное, чем рискует читатель инфо сайта на незащищенном сайте — это перехват той информации, что он вводит в формы обратной связи и формы комментирования постов. Однако следует понимать, что воровство таких данных с травел сайтов и форумов весьма редкое явление. Злоумышленникам попросту не нужна подобная информация, ведь её ценность намного меньше чем ценность информации о банковской карте, так что пользователи блога in-trips.ru могут не переживать.
Но тут приходят браузеры и начинают нам всем напоминать, что сайт может быть небезопасным, рисовать всякие красные замочки и выдавать надоедливые предупреждения, которые мешают читать сайт. Именно поведения браузеров вызывает у читателей раздражение, а не то что сайт работает на незащищенном протоколе.
Таким образом можно сказать, что если вы читаете туристический сайт, или любой другой информационный сайт по протоколу http (незащищенный), то никакой опасности для вас он не представляет.
Основным бонусом для читателя сайта на безопасном протоколе https, является отсутствие всевозможных пугающих надписей про безопасность, всплывающих подсказок браузеров и прочего шума, который создают современные браузеры. Вот пожалуй и вся выгода для обычного пользователя. Если я что упустил, то поправьте меня в комментариях к этому посту.
Зачем нужен переход на https, разъяснения для владельцев информационных сайтов
Для владельцев информационных сайтов, к коим относятся большинство туристических блогов и форумов про путешествия, вопрос перехода на протокол https стоит ребром. С одной стороны, поисковые системы (в основном Гугл) требуют что бы сайты работали по безопасному протоколу, обещая лучшие позиции в поисковой выдаче. С другой стороны, браузеры начинают пакостить вебмастерам и выдавать пользователям всяческие пугающие предупреждения.
Но самое противное, что всё это сказывается на пользователях, читатели сайта видят все эти предупреждения и не понимают как быть, то ли на сайте безопасно, то ли не безопасно и т.д.
О том как я переводил блог с http на https и что из этого вышло, читайте по ссылке.
Плюсы от перехода сайта с http на https
Рассмотрим основные плюсы, ради которых стоит перейти на безопасный протокол https. Сразу оговорюсь, тут не будет указано проблем с которыми сталкиваются интернет магазины, сайты банковского сегмента и прочие сайты где к безопасности передачи данных следует относиться очень внимательно.
Поговорим про сайты туристического сектора, которые не сильно подвержены хакерским атакам и в общем-то могут спокойно обойтись и без шифрования трафика.
Протокол https как фактор ранжирования. Поисковая система Google — заявляет что наличия подписанного SSL-сертификата у сайта является одним из факторов ранжирования. Яндекс чуть скромнее, но есть информация, что наличие у сайта SSL-сертификата уже учитывается в ранжировании (с 2011 года), но пока только на коммерческих сайтах.
Повышение конверсии в некоторых браузерах. На сегодняшний день, Google Chrome является лидером среди браузеров, и именно Google Chrome помечает страницы, которые собирают персональную информацию (пароли, данные оплаты, формы обратной связи, комментарии и т.д.) и не имеют защищенного соединения как небезопасные — конверсия таких страниц падает.
Повышение уровня доверия у пользователей. Когда на пользователя не сыплются всякие пугающие оповещения «Небезопасно» и прочие страшилки, то пользователь чувствует себя спокойно.
Повышение безопасности при обмене данными в Интернете. Использование протокола https позволяет защитить данные от перехвата при передаче через Интернет, и практически сводит к нулю атаку по принципу «Человек посередине» (англ. Man in the middle (MITM)).
Минусы от перехода сайта с http на https
Сертификат может временно отвалиться или его могут отозвать. Иногда можно видеть ошибки, даже на очень крутых сайтах (google.com, mail.ru и т.д), которые появляются из-за проблем с сертификатом (смотрите скрин экрана, на котором проблемы с сертификатом у гугла). В следствии подобных ошибок, браузер не пускает пользователя на небезопасный сайт.
Проблемы со скоростью. Протокол https требует дополнительного обмена информацией между браузером пользователя и серверами, это может незначительно замедлить сайт. Если сайт настроен криво, то это заметно, во всех остальных случаях пользователь не заметит изменения в скорости загрузки сайта.
Проблемы с лайками на сайте. Если ваш сайт набрал много лайков в соц. сетях, а на сайте размещены социальные кнопки, то после перехода с http на https счетчики на социальных кнопках обнуляться.
Высокая цена на сертификат. Если вы решили купить сертификат, а не юзать бесплатный от Let’s Encrypt, то приготовьте от 100 долларов за год использования.
Настройка сайта для перехода на https. Так как для поисковой системы ваш сайт с http и ваш сайт на https — это два разных сайта, то следует правильно настроить сайт ещё до перехода на безопасный протокол. Это достаточно муторный и кропотливый труд.
Могут ухудшиться позиции в поиске. Иногда позиции сайта в поиске могут немного просесть (поисковые системы это не отрицают), в основном это происходит из-за неправильного перехода на новый протокол, так что следует внимательно подготовить сайт перед переездом.
Есть вероятность что отвалятся некоторые внешние ссылки. Это пожалуй одна из основных проблем, которая заботит большинство вебмастеров. Дело в том что часть внешних ссылок может попросту отвалиться при переезде, с этим ничего не поделать. Как правило, у туристических сайтов внешних ссылок много, и терять их нет никакого желания.
Бесплатный ssl сертификат letsencrypt для сайта
Существует множество разновидностей сертификатов, от самоподписанных, до сертификатов с расширенной проверкой (Thawte SSLWebServerEV, Symantec Secure Site EV). Точные цены на SSL–сертификаты Thawte, Comodo, GlobalSign и Symantec, можно посмотреть по ссылке.
Для использования на обычном информационном сайте подойдет и самый простой ssl сертификат от letsencrypt, он выпускается бесплатно (продляется тоже бесплатно), в установке прост и достаточно надежен.
Уже проверено на многих туристических сайтах, что бесплатные сертификаты от letsencrypt отлично работают и никаких проблем с ними нет. Если ваш сайт не принимает онлайн платежи, а является информационным ресурсом, то это лучший выбор.
Не стоит сомневаться в его надежности бесплатных сертификатов, а стоит посмотреть кто стоит на стороне letsencrypt. Проект под названием Let’s Encrypt поддерживают такие именитые бренды как Linux Foundation, Mozilla, Facebook, Akamai, Cisco и т.д. Я планирую при переходе блога на hhtps использовать именно этот сертификат.
Если ваш сайт размещен на хорошем хостинге (по ссылке хостин, которым я пользуюсь), то бесплатный сертификат Let’s Encrypt можно установить в пару кликов прямо из панели управления вашего хостинг аккаунта. В следующем посте напишу про переход сайта с http на https.
Безопасного вам Интернета.