Внедрение https-протокола на сайте

Компания Google еще в 2014 году объявила о том, что сайты, использующие защищенный протокол HTTPS, будут иметь преимущества в поисковой выдаче. Но Google не остановился на этом, 8 сентября 2016 года в блоге Google, посвященном безопасности, о том, что начиная с января 2017 года браузер Google Chrome (c версии 56) будет отображать пометку «not secure» (небезопасно) в адресной строке браузера для сайтов, на которых производится ввод паролей или данных кредитных карт.

В этой статье мы рассмотрим немного подробнее, чем это может обернуться для сайтов, и приведём рекомендации к действию.

HTTP (HyperText Transfer Protocol) — это протокол передачи гипертекста, который используется для получения информации с веб-сайтов. HTTP никак не защищает передачу данных от «прослушивания». Например, данные могут быть перехвачены вредоносным ПО, работающем на компьютере пользователя (клиента) или на сервере (с которым происходит обмен данных), или при ответвлении траффика и направлении его копии на средство прослушивания. Кроме «прослушивания» HTTP-траффика, возможна его подмена вклинившимся в разрыв злоумышленником или вредоносным ПО (так называемые атаки «Man in the middle»).

HTTPS (HyperText Transfer Protocol Secure) — это расширение протокола HTTP, поддерживающее шифрование по протоколам SSL и TLS. Он был изобретен для защиты от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle. При использовании HTTPS, в случае перехвата данных, злоумышленник или вредоносное ПО не смогут воспользоваться этими данными, потому что все данные передаются в зашифрованном виде с применением алгоритмов, устойчивых к взлому/расшифровке.

Если обмен данных с сайтом производится по безопасному протоколу HTTPS, то в адресной строке браузера, слева от названия сайта выведется значок замка.  Если нажать на этот замок, то можно узнать информацию о сертификате и компании, которая его выдала.

При использовании протокола HTTP браузер Google Chrome () вместо замка выводит значок с буквой i. C января 2017 в новых версиях Google Chrome сайты с формами, в которых вводятся пароли или данные банковских карт, будут помечаться в адресной строке, как «небезопасные», чтобы предупреждать более явно пользователя о том, что данные, которые он вводит на этом сайте, могут быть перехвачены третьими лицами.

В той же статье блога сообщается, что Google планирует помечать так в будущем все сайты, работающие по небезопасному протоколу HTTP, а не только те, на которых передаются личные данные пользователя. Однако не сообщается, когда именно произойдут эти изменения.

К плюсам использования HTTPS, как правило, относят:

• защиту передаваемых данных;
• доверие к сайту со стороны пользователей;
• преимущества в поисковой выдаче.

Минусы HTTPS:

• дополнительные расходы на покупку SSL-сертификата;

Если у вас есть собственный сервер или VPS, то можно обойтись бесплатными и, кроме того, автоматически возобновляемыми ssl-сертификатами letsencrypt.org. На обычном же shared-хостинге, на практике, это не возможно, и придётся раскошелиться на SSL-сертификат.

Иногда в качестве минусов приводят еще следующее:

• существование риска проседания сайтов в выдаче поисковиков при переходе на https;
  На самом деле, никакого риска тут нет, если корректно задать редиректы со старых урлов с HTTP на новые с HTTPS. Браузеры автоматически переиндексируют страницы сайта и никаких потерь траффика не будет.
• понижение скорости работы сервера из-за того, что большая часть ресурсов уходит на кодирование информации.
  На самом деле, в большинстве случаев ресурсы на шифрование/расшифрование незначительны – не более нескольких процентов сверх по сравнению с HTTP, так что для сайтов среднего уровня это не является проблемой. При правильной настройке серверной части возможно даже ускорить в несколько раз загрузку сайтов по HTTPS по сравнению с HTTP (http://www.httpvshttps.com/)