Переїзд сайту на HTTPS: доступно про SSL / TLS-сертифікатах для власників сайтів
- Що таке SSL-сертифікат SSL-сертифікат дозволяє формувати надійне з'єднання між користувачем і сервером....
- Весь інтернет-маркетинг за 19 тижнів!
- Для чого ще потрібен SSL-сертифікат
- Види SSL-сертифікатів
- Сертифікати по доменах
- Купівля SSL-сертифіката
- Як безпечно перейти на HTTPS
- Перевірка SSL-сертифіката
Що таке SSL-сертифікат
SSL-сертифікат дозволяє формувати надійне з'єднання між користувачем і сервером. При з'єднанні з сайтом браузер визначає, чи відповідають дані відвідуваного сайту даним, зазначеним у сертифікаті. Якщо немає - з'явиться попередження.
Сертифікат також дозволяє передавати введену клієнтом інформацію (логін-пароль, платіжні дані) в зашифрованою формі по протоколу HTTPS. Сам сайт при цьому не захищається від вірусів або хакерських атак, але персональних даних користувачів безпеку гарантується.
Важливо: сьогодні використовуються в основному TLS-сертифікати - це той же SSL, тільки більш пізня версія. Однак назва SSL вживається частіше.
Навіщо сайту протокол HTTPS
В першу чергу, до сайту, захищеному HTTPS-протоколом, більше довіри - до мінімуму знижений ризик його підміни шахраями і крадіжка введених даних. Фактором ризику в цьому випадку можуть бути лише віруси на пристрої користувача або ж несумлінність власника сайту, який може сам присвоїти дані клієнтів.
Весь інтернет-маркетинг за 19 тижнів!
Cossa рекомендує: онлайн-курс по інтернет-маркетингу від Ingate - digital-агентства з 17-річним досвідом.
- 17 навчальних блоків з ключових питань інтернет-маркетингу
- підтримка менторів
- диплом
- Стажування в топових агентствах Росії
- Допомога в працевлаштуванні
Реклама
Безпека сайту підтверджує браузер
Хоча основною цільовою аудиторією такого протоколу є збирають платіжні реквізити інтернет-магазини, сьогодні він необхідний і всім іншим: ви просто будете втрачати відвідувачів, які віддадуть перевагу безпечний сайт вашому.
Для чого ще потрібен SSL-сертифікат
- Краще ранжування в пошукових системах. Хоча ні Яндекс, ні Google не називають протокол прямим фактором ранжирування, але всіляко його рекомендують. До того ж, його наявність побічно впливає на поведінкові фактори, а значить - і на позиції сайту в пошукових системах.
- Онлайн-оплата. При спробі підключити оплату через Яндекс.Деньги, сервіс запитує сертифікат, без якого операції не проводяться. Згідно тенденціям, скоро ці вимоги стануть вельми масштабними і будуть прописані в умовах практично всіх платіжних систем.
- Захист при вході в адмін-панель. Дані про сайт не зможуть вкрасти при вході в адмінку через громадську Wi-Fi мережу.
- Відсутність зайвої реклами. У сайт на HTTP (особливо це стосується перегляду з мобільних) неважко вбудувати рекламу без відома власника. Захищений протокол виключає цю можливість.
Що про це думають Google, Mozilla і Яндекс
Офіційна позиція Google: вага сайтів з SSL-сертифікатами не збільшується. Однак з липня 2018 року в версії Chrome 68 все HTTP-сайти позначаються як небезпечні.
Не варто забувати, що браузером від Google користується більше половини користувачів рунету. А якщо ви даєте рекламу в Google AdWords, то через відсутність сертифікату її покази можуть бути обмежені.
Другий за популярністю браузер - Mozilla Firefox - також позначає сайти на HTTP як ненадійні. Разом з Chrome це означає, що вже більше 70% всіх користувачів отримають привід не довіряти такому сайту.
Яндекс не висловлюється категорично за шифрування з'єднання, однак, як і Google, вже давно перевів всі свої продукти на захищений протокол. Частка захищених сайтів в топі Яндекса поки людина не перемагає (близько 50% проти 70% в Google), але помітна тенденція на зростання. Такими темпами скоро в топ пошукових систем без HTTPS буде вже не потрапити.
Види SSL-сертифікатів
Розглянемо доступні в 2018 році SSL-сертифікати. Вони діляться на підвиди за методом перевірки і по сертифікується доменів.
Сертифікати по доменах
- Unified Communications / SAN. Такий сертифікат дозволяє захистити різні домени, що належать одній компанії.
- Wildcard SSL. Цей сертифікат дійсний як для основного домену, так і для другорядних піддоменів (sub1.aevrika.ru, sub2.aevrika.ru, sub3.aevrika.ru і подібних) і майданчиків на розподілених серверах.
- Single Certificate. Такий тип сертифіката дійсний тільки для одного домену, вказаного при оформленні замовлення.
Сертифікати по способу перевірки
- Domain Validation (DV) здійснює валідацію домену. Цей сертифікат з перевіркою домену стверджує обслуговуючий сервер. Простіше кажучи, він гарантує, що користувач буде здійснювати покупку саме на тому сайті, на який він і переходив. Однак для проведення комерційних операцій Domain Validation вважається надійним лише умовно, тому що не містить достовірних відомостей про власника сайту. Такий сертифікат не захищає від дій зловмисників і підходить тим майданчикам, на яких сувора гарантія безпеки не є ключовим фактором.
- Organization Validation (OV) здійснює валідацію домену та організації. Такий сертифікат, крім доменного імені, засвідчує також і організацію, яка володіє зазначеним веб-сайтом. Справжність компанії проходить перевірку відразу за кількома показниками. При оформленні протоколу HTTPS юридична особа повинна надати провайдеру всі необхідні реєстраційні дані.
- Extended Validation (EV) здійснює розширену валідацію домену та організації. Така серйозна перевірка забезпечує високий рівень довіри не тільки з боку користувачів, але і інших майданчиків. Extended Validation буде оптимальним вибором для сайтів, які потребують суворої конфіденційності - наприклад, мають справу з великими фінансовими транзакціями. При цьому розширена перевірка є не разовою, а періодичної: такий підхід дозволяє захистити користувачів від підміни даних навіть з боку недобросовісного власника сайту.
Платити чи не платити?
Отримання SSL-сертифіката безкоштовно
Найпопулярнішим безкоштовним сертифікатом на сьогоднішній день є Let's Encrypt. Отримати його можна:
- у свого хостинг-провайдера (найзручніший спосіб - налаштувати сертифікат можна буде прямо в адмін-панелі сайту);
- вручну на SSL For Free ;
- через відкритий протокол ACME (так можна буде автоматизувати процеси верифікації та перевипуску).
Сьогодні в Let's Encrypt доступний базовий Domain Validation, а також Wildcard, тому захистити можна буде все піддомени сайту.
Ми рекомендуємо отримувати безкоштовний SSL-сертифікат тільки для тих сайтів, де немає онлайн-оплати.
Купівля SSL-сертифіката
Звичайно, платні сертифікати набагато надійніше своїх безкоштовних аналогів і є необхідними в першу чергу інтернет-магазинах і будь-яким сервісів з онлайн-оплатою.
Який вибрати?
- Платний Domain Validation забезпечує базовий захист і відрізняється від безкоштовного тим, що в такому випадку компанія-емітент зазвичай дає фінансові гарантії безпеки.
Важливо: якщо у вас стоїть стороння платіжна система (Робокасса, Яндекс.Деньги або інша), то у неї є свій EV для платіжних операцій, тому більшості інтернет-магазинів буде цілком достатньо базового DV.
- Великої компанії краще подбати про більш високий ступінь захисту і придбати Organization Validation. Для отримання такої валідації юридичній особі потрібно відправити в обраний сервіс завірені документи на компанію.
- Extended Validation найчастіше замовляють тільки дуже серйозні компанії (банки, страхові організації, платіжні системи). Пояснюється це тим, що для отримання сертифіката потрібен великий пакет документів, а вартість в кілька разів перевищує ціну Organization Validation. Є тут і іміджевий момент: з EV-сертифікатом в браузері буде відображатися назва компанії.
Купити SSL-сертифікат можна в авторизованому сервісі сертифікації. Важливо, щоб він був не тільки відомим і надійним, але і російськомовним - це, зокрема, прискорить спілкування зі службою підтримки. З популярних: comodo.com (Є російськомовна версія сайту) і firstssl.ru (Російський реселлер сертифікатів від зарубіжних постачальників - Thawte, Symantec, Comodo і інші).
Важливо: для кириличних сайтів (в домені .рф) у сертифіката повинна бути опція IDN (Internationalized Domain Names).
Як безпечно перейти на HTTPS
Для коректного переходу на HTTPS потрібно:
- замовити обраний тип SSL-сертифіката у хостинг-провайдера або компанії-емітента;
- встановити сертифікат на сервер;
- налаштувати адмінку для початку роботи з HTTPS;
- замінити адреси на безпечні HTTPS в технічних файлах типу robots.txt і sitemap.xml, а також в 301-редирект;
- замінити адреси на всіх сторінках, на яких використовуються скрипти, мультимедійні матеріали, лічильники і консультанти (в іншому випадку навіть при наявності сертифіката такі сторінки будуть вважатися небезпечними);
- після перенесення подати заявку в Яндекс.Вебмастере, щоб почався процес переиндексации і було перевизначити головне дзеркало сайту;
- ще раз перевірити, що на сайті не залишилося внутрішніх абсолютних посилань на HTTP (виправити, якщо такі посилання знайдені).
Найкраще довірити покупку і установку SSL-сертифіката вашому SEO-підряднику. Тимчасової втрати позицій в пошуковій видачі, швидше за все, не уникнути, але правильна схема дій дозволить звести їх до мінімуму і швидше відновити.
Приклад проекту, який ми переносили на HTTPS: після завершення робіт з перенесення (відзначено червоною рискою) позиції просіли на півтора місяці, потім почався активний ріст
Однак все одно потрібно бути готовим до того, що на період близько місяця або трохи більше трафік з пошуку може різко впасти, тому рекомендується планувати перехід на час низького сезону у вашому бізнесі.
Перевірка SSL-сертифіката
Переконатися, що установка SSL-сертифіката пройшла коректно, можна тут .
Якщо ви бачите помилки (червоні зони), зверніться до SEO-фахівця для їх усунення.
Не забувайте, що отримати безкоштовно або купити SSL-сертифікат можна на певний термін (зазвичай це рік або два), після чого його необхідно продовжувати. Якщо вчасно цього не зробити, сайт буде недоступний.
Думка редакції може не збігатися з думкою автора. Ваші статті надсилайте нам на [email protected] . А наші вимоги до них - ось тут .
Платити чи не платити?Який вибрати?