Внедрение https-протокола на сайте

https secureКомпания Google еще в 2014 году объявила о том, что сайты, использующие защищенный протокол HTTPS, будут иметь преимущества в поисковой выдаче. Но Google не остановился на этом, 8 сентября 2016 года в блоге Google, посвященном безопасности, появилось сообщение о том, что начиная с января 2017 года браузер Google Chrome (c версии 56) будет отображать пометку «not secure» (небезопасно) в адресной строке браузера для сайтов, на которых производится ввод паролей или данных кредитных карт.

В этой статье мы рассмотрим немного подробнее, чем это может обернуться для сайтов, и приведём рекомендации к действию.

Немного справочной информации об HTTP/HTTPS

HTTP (HyperText Transfer Protocol)HTTP (HyperText Transfer Protocol) — это протокол передачи гипертекста, который используется для получения информации с веб-сайтов. HTTP никак не защищает передачу данных от «прослушивания». Например, данные могут быть перехвачены вредоносным ПО, работающем на компьютере пользователя (клиента) или на сервере (с которым происходит обмен данных), или при ответвлении траффика и направлении его копии на средство прослушивания.

Кроме «прослушивания» HTTP-траффика, возможна его подмена вклинившимся в разрыв злоумышленником или вредоносным ПО (так называемые атаки «Man in the middle»).


HTTPS (HyperText Transfer Protocol Secure)HTTPS (HyperText Transfer Protocol Secure) — это расширение протокола HTTP, поддерживающее шифрование по протоколам SSL и TLS. Он был изобретен для защиты от атак, основанных на прослушивании сетевого соединения — от снифферских атак и атак типа man-in-the-middle. При использовании HTTPS, в случае перехвата данных, злоумышленник или вредоносное ПО не смогут воспользоваться этими данными, потому что все данные передаются в зашифрованном виде с применением алгоритмов, устойчивых к взлому/расшифровке.

Отображение протокола в браузерах

Если обмен данных с сайтом производится по безопасному протоколу HTTPS, то в адресной строке браузера, слева от названия сайта выведется значок замка.  Если нажать на этот замок, то можно узнать информацию о сертификате и компании, которая его выдала.

При использовании протокола HTTP браузер Google Chrome (самый популярный браузер в мире) вместо замка выводит значок с буквой i. C января 2017 в новых версиях Google Chrome сайты с формами, в которых вводятся пароли или данные банковских карт, будут помечаться в адресной строке, как «небезопасные», чтобы предупреждать более явно пользователя о том, что данные, которые он вводит на этом сайте, могут быть перехвачены третьими лицами.

В той же статье блога сообщается, что Google планирует помечать так в будущем все сайты, работающие по небезопасному протоколу HTTP, а не только те, на которых передаются личные данные пользователя. Однако не сообщается, когда именно произойдут эти изменения.

Итак, мы настоятельно рекомендуем владельцам сайтов, работающих по протоколу HTTP и использующих формы с паролями и уж тем более принимающих такие важные данные пользователей, как данные банковских карт, перейти на HTTPS как можно скорее.

Теперь давайте разберёмся в нюансах, связанных с переходом с HTTP на HTTPS.

К плюсам использования HTTPS, как правило, относят:

  • защиту передаваемых данных;
  • доверие к сайту со стороны пользователей;
  • преимущества в поисковой выдаче.


Минусы HTTPS:

  • дополнительные расходы на покупку SSL-сертификата;

Если у вас есть собственный сервер или VPS, то можно обойтись бесплатными и, кроме того, автоматически возобновляемыми ssl-сертификатами letsencrypt.org.
На обычном же shared-хостинге, на практике, это не возможно, и придётся раскошелиться на SSL-сертификат.


Иногда в качестве минусов приводят еще следующее:

  • существование риска проседания сайтов в выдаче поисковиков при переходе на https;
    На самом деле, никакого риска тут нет, если корректно задать редиректы со старых урлов с HTTP на новые с HTTPS. Браузеры автоматически переиндексируют страницы сайта и никаких потерь траффика не будет.
  • понижение скорости работы сервера из-за того, что большая часть ресурсов уходит на кодирование информации.
    На самом деле, в большинстве случаев ресурсы на шифрование/расшифрование незначительны – не более нескольких процентов сверх по сравнению с HTTP, так что для сайтов среднего уровня это не является проблемой. При правильной настройке серверной части возможно даже ускорить в несколько раз загрузку сайтов по HTTPS по сравнению с HTTP (http://www.httpvshttps.com/)

Итог:

Есть ли смысл перевода вашего сайта на https? Однозначно, да — если на вашем сайте  используются формы для ввода паролей или личных данных пользователей.

Для остальных сайтов — спешки нет, но всё же этот перевод желательно сделать в недалёком будущем, тем более если для вас актуальны хорошая выдача сайта в поисковиках и доверие посетителей.

Если у вас остались вопросы по необходимости внедрения https-протокола на своем сайте — обратитесь к нам. Мы подскажем правильное решение!

Обратный звонок

Отправка заявки

Ваш запрос успешно отправлен!
Мы свяжемся с вами в ближайшее время