17 февраля 2018
20 февраля 2018
СОДЕРЖАНИЕ
Кому нужно переходить на https?
Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?
Теперь о том, как обстоят дела с Яндексом
Теперь коротко про виды SSL-сертификатов
Почему не стоит использовать бесплатные сертификаты
Подготовка к переходу на https
Уведомляем поисковые системы Яндекс и Google о переезде
Что будет, если не переходить на https, а остаться на http?
Все больше «скандалов, интриг и расследований» крутится вокруг темы перехода сайтов с http на https. Мы решили дать подробную информацию о том, что это такое, кому стоит делать переход сайта с http на https в экстренном порядке, кому в мегаэкстренном, а кому это надо было сделать «еще вчера».
Чуточку истории
Тема про переход сайтов с HTTP на HTTPS затрагивалась Google’ом еще в 2014 году. Тогда они сказали, что «все-таки безопасность передачи данных должна быть приоритетной». Тогда же пообещали повысить ранжирование за использование HTTPS-протоколов. В 2015 году Google объявил, что если сайт доступен и в http и в https версиях, то индексироваться будет последняя. Далее, в 2016 году этим же Google’ом было объявлено, что наличие в адресе https:// вместо http:// уже достаточно для того, чтоб повысить ранжирование сайта, даже если протокол «прикручен» криво и работает с ошибками, т. е. тупо «есть – и ладно». А вот с января 2017 года великое русское «есть – и ладно» уже не работает, но об этом чуть позже.
Для чего используется https?
Https используется для того, чтобы никто не мог «перехватить» передаваемые данные и использовать их в своих злых целях. К таким данным относится абсолютно все, что пользователь вводит на сайте – Ф.И.О., адрес электронной почты, физический адрес для доставки, номер телефона, данные своей банковской карты при оплате заказа (наиболее вкусная информация для мошенников) и т. д. С помощью https-протоколов данные становятся зашифрованы, а потому защищены от перехвата. Как следствие – более высокий уровень доверия к сайту и со стороны поисковых систем, и со стороны пользователей. Если Вы хотели узнать как улучшить поведенческие факторы, тогда это один из способов.
Кому нужно переходить с http на https?
Ответ прост – всем. Всем без исключения. Если сайт является интернет-магазином, где сотни людей ежедневно оплачивают свои покупки с помощью WebMoney, Яндекс.Денег, QIWI, банковской картой и другими способами – то HTTPS у Вас должен быть реализован «еще вчера». Если у Вас просто новостной блог, где народ оставляет комментарии к статьям – переезд на https защитит логины-пароли Ваших читателей от «угона», а также защитит сайт от навешивания всякой ненужной рекламы «на лету» (таким навязыванием рекламы страдает, например, Московский Метрополитен).
Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?
Для начала рассмотрим ситуацию с http-сайтами.
В январе 2017 года Google Chrome (а это, если кто не в курсе, один из самых популярных в России браузеров) изменился (речь о 56 версии), начав помечать красным фоном и словом «ненадежный» http-сайты, где требуется ввод логина-пароля либо каких-то других данных (адрес, платежные реквизиты, и т. д.). Выглядело это - вот так:
И вот тут уже идет психология. Пользователь заходит на сайт, видит «ненадежный», по незнанию ситуации пугается и уходит, принимая сайт за мошеннический! Позже такая пометка немного видоизменилась:
Но факт остается фактом – такие сайты по-прежнему помечаются. И будут помечаться дальше.
Теперь рассмотрим ситуацию с https-сайтами, где протокол реализован не так, как нужно, т. е. работает с ошибками. Если в случае с http-сайтами содержимое сайта хотя бы загружалось, то с криво реализованным https все еще хуже:
Увидев красный замок с крестом, пользователь даже не утруждает себя чтением текста, а просто уходит с сайта, по привычке думая, что сайт просто «отвалился». Разумеется, в следующих версиях браузера данное уведомление тоже видоизменили.
И третий вариант – когда https «прикручен» корректно. В этом случае Хром просто помечает сайт, как «надежный».
И это самое слово «надежный» отображается в адресной строке и в более поздних версиях браузера Google Chrome.
Т. е. Google нам, таким образом, отчетливо дал понять, что http-сайты будут просто задавлены.
Вот Вам и ответ на вопрос «С каких это пор переход на HTTPS стал обязательным?». Правильно – с января 2017 года.
Это коротко о том, как дела обстоят с Google.
Теперь о том, как обстоят дела с Яндексом
Если коротко – Яндекс тоже рекомендует сделать переход сайта на https. Но никаких привилегий за это пока не обещает. Тем не менее Яндекс многие свои сервисы перевел на https, дабы показать их надежность и защищенность SSL сертификатов.
Что касается привилегий – это, скорее всего, временно. Наиболее вероятно, что Яндекс тоже будет поощрять переход с http на https..
Т. е. переезд на https нужен всем: и Вам (чтобы не потерять позиции и защитить данные от перехвата) и пользователям (для которых, собственно, данные и защищаются), правда, они еще не в курсе. Также, некоторые владельцы сайтов бояться переносить свой сайт, так как где-то на форумах читали, что у кого-то после перехода на https упали позиции.
Теперь коротко про виды SSL-сертификатов
Сертификат DV (Domain Validated). Выдается либо бесплатно (опасно), либо приобретается за небольшую сумму. Защищает данные, но не гарантирует, что владельцу сайта можно доверять. Такой сертификат наиболее подойдет сайтам-одностраничникам, блогам, форумам, сайтам-визиткам и т. п. Т. е. оптимальный вариант для сайтов, где требуется ввод, разве что, логина-пароля почты.
Сертификат OV (Organization Validated). Этот сертификат могут получить только юридические лица и индивидуальные предприниматели. При этом неважно коммерческие или нет. Выдается только после соответствующих проверок. Наиболее оптимален для интернет-магазинов и сервисов предоставления услуг.
EV (Extendex Validated). Это самый, можно сказать, элитный (но и самый дорогой) сертификат. В адресной строке будет указано на зеленом фоне наименование организации:
Для получения данного сертификата требуется гораздо более тщательная проверка. Т. е. само наличие данного сертификата дает 100% гарантию того, что сайт действительно принадлежит именно этой организации, и что такая организация действительно существует. Оптимальный вариант для банков, платежных систем, а также для крупных порталов.
Особенности SSL-сертификатов
SSL-сертификаты можно условно разделить на 4 группы:
- обычные - 1 сертификат = 1 домен
- WildCard - 1 сертификат = 1 сайт, включая несколько имеющихся поддоменов. Например, есть основной сайт, а у него есть еще мобильная версия на поддомене.
- с поддержкой IDN – специально для доменов, название которых пишется русскими буквами.
- мультидоменные – т. е. на несколько сайтов, принадлежащих одной и той же организации.
Ну а технические аспекты (подготовка сайта, сам процесс перехода на https, и т. д.) – это уже совершенно другая история.
Почему не стоит использовать бесплатные сертификаты
Ответ на этот вопрос элементарен: где бывает бесплатный сыр? Правильно – в мышеловке. Во-первых, использование такого сертификата ставит под сомнение защиту передачи данных. Во-вторых, сайт запросто может выдать уведомление:
Что сделает посетитель, увидев такое уведомление? Правильно – уйдет с сайта.
Правильный переход на https без потери позиций
Самое первое, что нужно сделать – это сделать полный бэкап сайта. Если это и не поможет, то как минимум не повредит.
Затем, нужно переделать ВСЕ внутренние ссылки с абсолютных на относительные. Для тех, кто не в курсе:
Абсолютные ссылки:
http://hogwards.academy/absolut-link/
https://hogwards.academy/absolut-link/
Т. е. [протокол]://[домен]/[адрес_документа]/
Относительные же могут содержать либо /[адрес документа]/, либо //[домен]/[адрес_докумета]/:
/absolut-link/
//hogwards.academy/absolut-link/ (для перехода на https это самый предпочтительный вариант).
Объем работ в этом случае напрямую зависит от количества страниц на сайте.
Далее. Пока программист занимается заменой ссылок, необходимо выяснить поддерживает ли Ваш хостер SSL. Если нет – придется менять хостера.
После этого идем в админку хостинг-провайдера и ищем, где располагается кнопка «сделай мне хорошо». Она может называться «Настройки SSL», «Настройки HTTPS», «Перевести сайт на HTTPS», «Установить SSL-сертификат» ну или как-то так. Все что осталось – выбрать нужный SSL-сертификат, нажать «Готово», теперь дело за хостинг-провайдером – он должен выпустить и установить SSL-сертификат. После этого сайт будет переведен на https.Также нужно проверить работоспособность как основных страниц, так и всех форм и кнопок, ведь иногда бывает такое, что сайт после перехода на https не работает.
Итак, сайт теперь у нас доступен в версиях http и https. Но http-версия нам больше не нужна, ее надо убрать. Для этого необходимо настроить редирект с http на https-страницы. Каким образом это делается – напрямую зависит от самого сайта, поэтому тут нельзя дать универсальных рекомендаций.
После настройки редиректа необходимо «погулять» по сайту и протестировать различные страницы как в http, так и в https вариантах. Должен происходить автоматический редирект на https-страницу даже в том случае, если в адресной строке мы пишем http.
Исключение – файлы sitemap.xml и robots.txt – они должны быть доступны по обоим протоколам.
Нелишним будет еще и проверить сайт на сервисе https://www.ssllabs.com/ssltest/.
Все, сайт теперь у нас работает по защищенному https-протоколу. Но и этого мало.
Уведомляем поисковые системы Яндекс и Google о переезде
Идем в Яндекс.Вебмастер выбираем там Ваш сайт, в левой колонке «Настройки индексирования» – «Переезд сайта» – устанавливаем галочку «Добавить HTTPS», «Сохранить». Все – мы уведомили Яндекс о том, что сайт переехал на https. ВАЖНО!!! Переклейка главного адреса может занимать несколько недель!!! Ускорить эту процедуру, к сожалению, невозможно. В течение этого времени сайт в выдаче может адски колбасить. Чтобы минимизировать потери настоятельно рекомендуем сначала провести переезд в панели вебмастера Яндекс, а затем уже ставить редиректы!! Это позволит на 100% сделать перенос сайта на https без потери позиций в Яндекс и Google.
Также специально для Яндекса необходимо исправить файл robots.txt – в строке host добавить https://
Было: Host: hogwards.academy
Стало: Host: https://hogwards.academy
Аналогичную операцию проводим в строке, где указан адрес карты сайта.
И вот теперь с Яндексом всё.
Теперь идем в Google Search Console, где вносим соответствующие изменения в адрес Вашего сайта (т. е. меняем http на https). Но чтобы изменения вступили в силу, нужно повторно подтвердить права на сайт. Останавливаться на этом не будем, т. к. Вы это, скорее всего, ранее уже делали.
Следует также отметить тот факт, что переход на https в WordPress, Joomla, Bitrix (Битрикс), ModX или любой другой CMS делается по такому же принципу. То есть основная работа по настройке SSL сертификатов проводится на хостинге и в сервисах Яндекс Вебмастер, Google Search Console, а движок сайта или Интернет-магазина особой роли не играет. Просто при переходе с http на https в Joomla, WordPress и т.д. необходимо будет в коде движка изменить все ссылки с абсолютных на относительные.
Вот, собственно, и все – переезд сайта на https закончен.
Финальная шлифовка
Все что осталось – найти оставшиеся http-ссылки и заменить их на относительные, а также подправить скрипты, «тянущиеся» с других страниц. Это две основные причины, по которым после перехода на https может выдаваться уведомление «соединение не защищено».То же самое необходимо сделать с «языковыми» ссылками (если сайт мультиязычный).
Вот теперь действительно все. Ждем переиндексации.
Что будет, если не переходить на https, а остаться на http?
Отчасти, мы на этот вопрос уже ответили – потеря позиций, понижение доверия со стороны поисковиков, поведенческие факторы. Но может быть и хуже.
Представьте себе такую ситуацию – человек заходит в кафе, где есть Wi-Fi, открывает ноутбук, заходит на Ваш интернет-магазин (который по каким-то причинам все еще на http), логинится через номер телефона и пароль, добавляет в избранное пару товаров, допивает кофе, закрывает ноутбук, собирается и уходит. Все это время Wi-Fi- траффик сканируется другим человеком за соседним столиком – он из отсканированного трафика выдергивает номер телефона и пароль, за счет чего получает доступ, например, к кошелькам жертвы в платежных системах Qiwi, Rapida и др. Что подумает жертва? Правильно – он решит, что это Вы обеспечили слив его персональных данных, расскажет об этом везде, где можно, а в качестве бонуса еще и заявление в правоохранительные органы напишет. Итог – подрыв репутации (в лучшем случае) Вашего магазина. Именно Вашего магазина, а не кафе, где все и произошло. А теперь представьте, что будет, если жертва еще и оплатит заказ, засветив данные своей банковской карты, а злоумышленник потом эту же карту «обчистит». Переход на https полностью исключает такие ситуации.
Немногие знают, но данные, передаваемые по http, можно не только перехватить, но еще и отредактировать. Поэтому рассмотрим другую ситуацию.
То же самое кафе. Человек смотрит товары в Вашем интернет-магазине, но кто-то перехватил трафик. Перехватчик «на лету» меняет код одного из баннеров Вашего магазина, жертва жмет на этот баннер, переходит на сайт злоумышленника (который является визуальным клоном Вашего сайта) и ловит вирус, который вымогает деньги. Кто будет виноват в глазах жертвы? Правильно, Вы. Итог – снова подрыв репутации. Думаете такого не бывает? Примерно таким способом ранее упоминавшийся Московский Метрополитен и навешивает свои рекламные баннеры на http-сайты. Т. е. Вы заходите в интернет-магазин автозапчастей, а тут опаньки – реклама женских прокладок.
Ну и третий «бонус». Разработчики браузера Mozilla FireFox заявили, что через пару лет вообще уберут поддержку http. Т.е. http-сайты в браузере FireFox просто перестанут работать. Тревожный звоночек, правда? Вот и не тяните с переходом.
