Безопасный протокол HyperText Transfer Protocol Secure (https)
Перед тем как приступить к разбору темы – маленькое отступление: в январе 2017 года многие сайты переходят на безопасный протокол https (и вам советуют). В связи с этим они ожидают просадку по трафику. Зачем? Как это сделать? И какой период лучше всего выбрать? Вот об этом сейчас и расскажем.
В статье пойдет речь о переезде сайтов на безопасный протокол HyperText Transfer Protocol Secure (https). Тема на сегодняшний день считается «заезженной» и рассмотрена на многих ресурсах, но от этого она не становится менее актуальной. Читатели нашего блога и постоянные клиенты часто интересуются – как переехать на https? Зачем мне переходить на https? Нужен ли https для моего сайта? Чтобы ответить на все вопросы разом и помочь тем, кто все еще не разобрался в вопросе, мы и написали эту статью.
Для начала давайте разберемся, что такое https? HyperText Transfer Protocol Secure – это безопасный расширенный протокол http с ключом шифрования для передачи данных или гипертекста (термин «гипертекст» был введен в 1965 американский социологом, философом и первооткрывателем в области информационных технологий Нельсоном, Теодором Холмом), примером гипертекста являются веб-страницы – документы HTML.
HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные механизмы SSL и TLS.
Теперь давайте разбираться, что такое SSL и TLS
SSL – (secure sockets layer – уровень защищённых сокетов) – набор правил с более безопасной связью, регламентирующих применение шифровальных (криптографических) преобразований и алгоритмов в информационных процессах.
TLS – (Transport Layer Security – безопасность транспортного уровня) – протокол, основанный на спецификации протокола SSL версии 3.0. Хотя имена SSL и TLS взаимозаменяемы, они всё-таки отличаются, так как каждое описывает другую версию протокола.
С терминологией более менее разобрались, теперь переходим к тому, как заставить наш сайт работать на https.
Для того, чтобы заставить наш веб-сервер принимать и обрабатывать https-соединение, необходимо установить в систему SSL сертификат.
SSL сертификат – уникальная цифровая подпись вашего сайта, основанная на двух типах криптографических ключей – приват и паблик.
Публичный ключ не является секретным и он присутствует в запросе.
Приватный ключ располагается на вашем сервере и должен быть известен только вам.
Помимо паблик ключа, в сертификате содержатся также и другие сведения: версия, серийный номер, время действия сертификата, издатель и другие данные.
В частности, время действия сертификата очень важно. Браузеры не будут считать ключ валидным, если время действия ключа еще не наступило или (что случается чаще) уже закончилось.
Более подробную информацию об уже установленном на сайте сертификате вы можете посмотреть с помощью специальных сервисов, таких как:
https://www.ssllabs.com/ssltest/index.html – он передоставит расширенную техническую информацию о сертификате.
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp – проверит, насколько верно установлен сертификат.
Типы SSL сертификатов по валидации
Что такое SSL сертификат и зачем он нужен вроде разобрались ).
Теперь давайте разберем их типы по валидации:
Самоподписанный сертификат. Оговорюсь сразу, данный вид сертификата НЕ подойдет 99% пользователям. Плюс у данного сертификата один – цена (он совершенно бесплатен). Самый весомый минус – при переходе на ваш сайт из поисковой системы или по любому другому заходу пользователю будут показаны вот такие сообщения:
В Chrome:
В Яндекс браузере:
В Opera:
В Mozilla Firefox:
Вид в адресной строке:
Валидация по домену (Domain Validated) – SSL-сертификат, при оформлении которого производится только проверка доменного имени. Также данные сертификаты называют сертификатами начального уровня доверия. Подойдут практически 90% владельцев сайтов. Являются самыми распространенными. Подходят как физическим, так и юридическим лицам. Выдача данного сертификата, как правило, производится в течение суток.
Вид в адресной строке:
Цена: может колебаться от 800 руб./год до 3000 руб./год (хотя эта цифра не предел).
Валидация организации (Organization Validation) – сертификат с повышенной надежностью. При выдаче сертификата производится проверка компании, проверяется не только право владения доменом и принадлежность веб-сайта организации, но и существование компании как таковой. Доступен только юридическим лицам. При выдаче данного сертификата могут быть запрошены следующие документы: свидетельство ИНН/КПП, свидетельство ОГРН, свидетельство о регистрации доменного имени, и.т.д.
Вид в адресной строке:
Цена: может колебаться от 2000 руб./год до 35000 руб./год.
Расширенная валидация (Extended Validation) сертификат с самым высоким уровнем аутентификации между всеми типами SSL сертификатов. Не подойдет 99% смертных из-за своей цены и способа проверки. Предназначен для крупных корпораций. Доступен только юридическим лицам. Зеленая адресная строка браузера отображает название компании и обеспечивает визуальное подтверждение безопасности вашего сайта.
Вид в адресной строке:
Цена: может колебаться от 12000 руб./год до 150000 руб./год.
Еще существует отдельный вид сертификатов, о котором нельзя не сказать. это сертификаты Wildcard. Данный вид сертификата стоит выбрать, если у вас структура сайта представлена в виде поддоменов. Или требуется защита передаваемой информации на субдоменах. На некоторых хостингах данный вид представлен в виде опции.
Цена: может колебаться от 1500 руб./год до 35000 руб./год.
Также для реализации https соединения на некоторых хостингах требуется оплата выделенного IP, цена которого может быть равна
1200 руб./год.
Если у вас возникнут проблемы с установкой или выбором SSL сертификата, вы всегда можете обратиться к своей хостинг-компании.
Теперь давай разберем, для чего вы прочитали 5716 байт предыдущего текста, и ответим на вопрос - для чего нам нужно переходить на https.
Для чего нужно переходить на https?
Причин несколько и все весомые:
- Протокол https обеспечивает безопасность передаваемой информации.
- С 2014 года наличие https соединения на сайте для поисковой системы Google является фактором ранжирования. Если сайт все еще не на https, его позиции в поиске будут снижены.
- C начала 2017 года браузер Google Chrome версии 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как «небезопасные».
- Если вы владелец сайта, содержащего видео контент, то следующая информация для вас:
Подходим к завершающей части и ответу на вопрос – как корректно переехать на https с минимальными потерями.
Инструкция по переезду на https
1. Выбираем сезон, в котором посещение вашего сайта минимально (если ваш сайт не связан с тематикой «всё для праздника», то, возможно, лучшее время для вас – новогодние праздники, когда покупательская активность в Сети снижается). Проверить сезонность можно с помощью систем аналитики Google Analytics или Яндекс.Метрика.
2. Выбираем подходящий нам SSL сертификат.
3. Устанавливаем сертификат на хостинг, используя панель управления, доступ ssh или помощь администратора хостинга, при этом никаких редиректов с http не настраиваем.
4. Открываем файл robots.txt и прописываем директиву host с протоколом https
User-agent: Yandex
…
Host: https://site.ru
5. Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса).
6. Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить».
7. После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели.
8. Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации.
9. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными.
10. Смотрим, чтобы в карте сайта .xml присутствовал только протокол https.
11. Добавляем карту в Вебмастер.Яндекса.
12. Добавляем все версии сайта в Google Search Console.
13. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше).
14. Переносим все настройки (если такие имелись) с версии сайта http на https.
15. Инструмент изменения адресов НЕиспользуем.
16. Сразу после переноса сайта попробуйте обновить все входящие ссылки, в том числе: Внешние ссылки, Ссылки на профили, например в Google+ ⃰, Facebook ⃰, Twitter ⃰, Vk и т.д. Автор Дмитрий Кудинов Руководитель отдела Технического SEO
Facebook ⃰ - РКН: сайт нарушает закон РФ