Протокол HTTPS: что это такое, зачем нужен HTTPS и для чего переводить сайт на защищенное соединение | AdBlogger.ru


виджет ВКонтакте




что такое протокол https

Принято считать, что каждый сайт нужно переводить на HTTPS протокол. Хостеры подливают масла в огонь, порой навязчиво предлагая установить SSL-сертификат. На самом деле не каждому сайту это нужно. В данной статье мы расскажем, что такое протокол HTTPS и зачем он нужен. Какой сертификат выбрать и где взять бесплатный SSL, если требуется перевести сайт на безопасное соединение.

Содержание статьи:

В статье будут полезные чек-листы и инструкции. Вы сможете их сохранить, добавив статью в избранное.

Что такое протокол HTTPS и как он работает?

HTTPS – это протокол, который обеспечивает защищенное соединение между сайтом и пользователем. При обмене информации данные шифруются, что не позволяет прочитать их при перехвате.

Когда информация идет от сайта пользователю и обратно, она проходит множество узлов в сети Интернет. На любом узле информацию могут перехватить и посмотреть, какими данными обменивается сервер и пользователь. Так могут узнать пароли, финансовую информацию и другие данные. При передаче информации по протоколу HTTPS пакеты шифруются, что значит: без ключа невозможно посмотреть передаваемую информацию.

SSL — это криптографический протокол, который используется для шифрования данных и организации защищенного соединения.

Если ваш сайт не собирает конфиденциальную информацию, на нем нет базы пользователей, посетители не вводят логины, пароли, не оставляют адреса электронной почты, то можете спокойно работать по протоколу HTTP. Но если вы собираете данные и тем более принимаете платежи, вам нужно обязательно перевести сайт на безопасный HTTPS-протокол. Здесь тоже множество нюансов. Ниже о них поговорим.

Для чего нужен HTTPS протокол и зачем переводить сайт на защищенное соединение?

  • HTTPS повышает безопасность передачи данных между сайтом и посетителями.
  • Снижает риски перехвата логинов и паролей пользователей и администраторов ресурса, что снижает риски взлома аккаунтов или системы администрирования (CMS).
  • Снижает риски утечки конфиденциальной информации, такой как: номера банковских карт, личные данные пользователей, иная важная информация (заказы клиентов, адреса доставки и другие).

Если злоумышленник перехватит информацию, переданную по защищенному соединению, то не сможет ее прочитать. Это будет несвязанный набор символов. При этом тот, кому был адресован документ, увидит его без изменений и сможет его открыть в браузере.

Когда сайту нужно переходить на HTTPS протокол? Чек-лист для принятия решения

Протокол https необходим, если на сайте:

  • Есть регистрация пользователей.
  • Имеются формы обратной связи, формы заказа звонка и иные формы, куда пользователи могут добавлять личные данные (адрес почты, номер телефона, имя и т.д.).
  • Сайт собирает, хранит или передает конфиденциальную информацию, такую как: личные данные пользователей (имена, паспортные данные, номера банковских карт, личные сообщения, почта и т.д.).
  • Имеется возможность оставлять комментарии.

Обязательно необходимо перейти на протокол HTTPS следующим сайтам:

  • Онлайн-банки.
  • Платежные сервисы.
  • Интернет-магазины.
  • Интернет-сервисы.
  • Большинство информационных проектов, где есть регистрация пользователей или возможность оставлять комментарии.
  • Коммерческие ресурсы, где есть функция онлайн-заказа, формы обратной связи, формы заявок.

Желательно, но не обязательно использовать протокол HTTPS:

  • Информационным сайтам и блогам, имеющим функцию комментирования постов без регистрации пользователей.

Не нужен протокол HTTPS в случае, если:

  • На сайте только публикуется информация без возможности ее комментировать. Нет регистрации пользователей, форм и другого функционала. Проект не собирает и не хранит конфиденциальную информацию или личные данные пользователей.

Пример сайта, которому не обязательно переходить на HTTPS-протокол: вы увлекаетесь выращиванием домашних растений и сделали проект-хобби о домашних цветах. На своем ресурсе выкладываете статьи, ведете каталог растений, делитесь полезными советами. Регистрации пользователей или функции комментирования нет. Вы можете работать на HTTP протоколе и это не будет проблемой.

Что дает HTTPS для ранжирования сайта?

В Google наличие https-протокола является положительным сигналом для ранжирования.

Яндекс рекомендует вебмастерам переходить на защищенный протокол. Если он не установлен, в Яндекс.Вебмастер выводится соответствующая рекомендация. В будущем Яндекс также может учитывать наличие HTTPS-протокола в ранжировании.

Наша практика показывает, что наличие HTTPS не оказывает очень сильного влияния на позиции. Вряд ли это является сильным сигналом, по крайней мере для обычных корпоративных сайтов, каталогов или информационных проектов.

Для интернет-магазинов, сервисов и финансовых проектов важность этого фактора может быть выше. Интернет-магазины принимают заказы и платежи, что повышает к ним требования по безопасности.

Однако косвенно переход на HTTPS может влиять и на позиции, и на поведение пользователей, и на конверсию сайта:

  • Информация о том, что сайт работает не на https-протоколе, отображается в адресной строке браузеров.
  • Многие браузеры при этом предупреждают, что соединение является незащищенным и небезопасным.
  • Это может отпугнуть пользователей. Они могут уйти с вашего сайта, испортив его поведенческие факторы. Это в свою очередь может негативно отражаться на позициях в поиске.
  • Если сайт работает по безопасному протоколу, указанные выше проблемы не наблюдаются.

Как перевести сайт на протокол HTTPS? Пошаговая инструкция

  1. Получить бесплатный или купить платный SSL-сертификат. Сертификат можно приобрести через хостера. О типах сертификатов, которые лучше покупать в разных случаях, расскажем ниже.
  2. Сделать все внутренние ссылки на сайте с относительными адресами. Для автоматизации процесса можно обратиться к веб-программистам. Они исправят адреса в базе быстро и недорого (вручную править ничего не придется).
  3. Исправить адреса картинок и другого медиаконтента, размещенного на сайте, на относительные. Иначе после переезда на защищенный протокол картинки перестанут открываться.
  4. Установить SSL-сертификат на хостинг и сделать необходимые настройки.
  5. Настроить 301-редирект со страниц на http-протоколе на соответствующие страницы на https-протоколе.
  6. После настройки редиректа поменять главное зеркало сайта на вариант с https в Яндекс.Вебмастере и Центре для вебмастеров в Google.
  7. Проверить сайт на наличие ошибок и исправить их.

Какой SSL-сертификат выбрать для сайта? Объясняем простыми словами

SSL-сертификаты выдают специальные удостоверяющие центры. В зависимости от типа сертификата они проверяют разные данные у владельца сайта и выдают сертификат, подтверждающий определенную информацию.

Выделяют следующие типы SSL-сертификатов:

  • Самый простой сертификат — DV (Domain Validation). Он подтверждает только домен сайта. В этом случае сертификат показывает, что пользователь обменивается зашифрованными данными с определенным сайтом, но кому принадлежит проект — неизвестно. DV сертификат можно получить бесплатно. Об этом подробно расскажем ниже.
  • Второй уровень сертификатов — OV (Organization Validation). Здесь проверяется не только домен, но и его владелец. Пользователь, зайдя на сайт, может посмотреть в информации о сертификате, кому принадлежит ресурс (какой компании или частному лицу). Доверия к таким сайтам больше.
  • Третий уровень — EV (Extended Validation). Такие SSL-сертификаты подтверждают не только домен и владельца сайта, но и регистрационные данные компании. При заходе на сайт, имеющий сертификат EV, строка браузера окрашивается в зеленый цвет. Установка EV SSL рекомендуется для банков, финансовых организаций, компаний, работающих с чувствительными персональными данными.

Как правило, сертификат привязывается к определенному домену или субдомену. Если на вашем сайте много субдоменов, то можно купить Wildcard сертификат. Он может работать для всех субдоменов в рамках одного домена.

Также есть SAN сертификаты. Они могут работать для разных доменов, находящихся на одном сервере и также позволяют экономить деньги при наличии у компании большого числа сайтов.

SSL-сертификаты c поддержкой IDN — это тип сертификатов, которые поддерживают интернациональные доменные имена, например, русскоязычные (в зоне .рф). Если у вас такой домен, то нужно покупать сертификат с поддержкой IDN.

Бесплатные и платные виды SSL-сертификатов, их плюсы и минусы:

Вид сертификата

Особенности, преимущества и недостатки

Кому рекомендуется выбирать

Бесплатный самоподписной (self-signed), т.е. сгенерированный самим владельцем сайта, без проверки в центре

  • Его можно сгенерировать прямо на веб-сервере.Это один из самых простых способов настроить зашифрованный обмен данными между сайтом и пользователем.
  • Браузеры воспримут его как незащищенный и выдадут сообщение о небезопасном соединении.

Только для внутренних систем. Для публичных сайтов не подходит (пользователи будут получать ошибку при попытке зайти на сайт).

Бесплатный DV-сертификат, например, Let’s Encrypt (есть и другие центры, выдающие бесплатные SSL-сертификаты)

  • Краткосрочность (действует не более 90 дней, после чего нужно перевыпускать).
  • Подтверждает только домен.
  • Не все хостеры позволяют устанавливать бесплатные сертификаты на свои сервера.

Личные сайты, блоги, небольшие информационные проекты, где не принимаются платежи и не хранится чувствительная информация, например, паспортные данные пользователей.

Платный DV-сертификат

  • Подтверждает домен.
  • Стоит денег (примерно от 3 т.р. в год при покупке через хостера).
  • Позволяет установить на сайт печать доверия — значок, который указывает на безопасность сайта.

Личные сайты, блоги, информационные сайты, проекты частных мастеров, сайты микро и малого бизнеса.

Платный OV-сертификат

  • Подтверждает домен и его собственника.
  • Более высокий уровень доверия, чем у DV-сертификатов.
  • Может выдаваться на несколько лет.
  • В адресной строке браузера появляется название компании и зеленый замок.

Интернет-магазины, интернет-сервисы, сайты, где принимаются платежи.

Платный EV-сертификат

  • Может выдаваться на несколько лет.
  • Более сложная и длительная проверка домена, его владельца и регистрационных данных компании.
  • В адресной строке появляется название компании и вся строка окрашивается в зеленый цвет.

Сайты банков, финансовых организаций, страховых компаний, сайты крупных корпораций.

Сертификаты SSL выдаются специальными центрами сертификации по всему миру. Наиболее известные из них: Symantec, Trustwave, Comodo, eKey, Tensor. Отличие между ними: в цене услуги и количестве браузеров, в которых установлен корневой сертификат центра. Если в браузере нет корневого сертификата данного центра, то он будет выдавать ошибку при заходе на сайт.

Ошибка может выдаваться браузером и в других случаях:

  • Устарел корневой сертификат.
  • Отсутствие корневого сертификата в файле на сервере.
  • Ошибка обновления сертификата.

Ради интереса вы можете посмотреть все корневые сертификаты, установленные в вашем браузере. Для этого зайдите в настройки браузера, найдите там раздел “Управление сертификатами” и посмотрите “Доверенные центры сертификации”.

Сколько стоит перевести сайт на https-протокол? Как это сделать бесплатно?

Можно самостоятельно и бесплатно перевести сайт на https протокол. Для этого вам необходимо выпустить бесплатный сертификат Let’s Encrypt и установить его на свой хостинг. Настроить редиректы и главное зеркало. Однако для интернет-магазинов и сервисов бесплатный сертификат – не лучшее решение.

Провести установку сертификата на сервер и настройку редиректов можно при помощи программистов. Стоит такая услуга недорого — от 500-1000 руб. при заказе работы у частного программиста на бирже Кворк до 5 тыс. руб. при заказе услуги в студии, например, в компании 1PS.ru.

Обычно данная услуга включает следующие работы:

  • Выбор и установка сертификата на сервер. Можете выбрать бесплатный сертификат или платный, если у вас интернет-магазин.
  • Настройка редиректов со страниц на http протоколе на соответствующие страницы на https протоколе.
  • Настройка переезда сайта на https протокол в Яндекс.Вебмастер.
  • Настройка главного зеркала в Центре для вебмастеров в Google.

Как правило, в результатах поиска адреса меняются на https в течение 1-2 недель, реже — в течение месяца или чуть дольше. За это время сайт успевает переиндексироваться.

Иногда в процессе переиндексации и смены главного зеркала позиции сайта могут снижаться. Но после завершения процесса переезда на https они обычно восстанавливаются до уровня, который был до переезда, или немного улучшаются (за счет улучшения ПФ).




Rss Commenti

2 Ответов

  1. Подскажите уровень SSl-сертификата как-то влияет на ранжирование или нет?

    #1 Александр
  2. Александр, интересный вопрос. Информации о том, что уровень сертификата как-то влияет на позиции сайта, не встречал. Скорее всего, не влияет.

    #2 Сергей Антропов

Оставить комментарий










Наши авторы   |   Чек-листы и шаблоны   |   Биржи ссылок   |   Каталог софта


AdBlogger.ru – справочник SEO-специалиста.
© 2007 – 2024