Http или https

Введение

Вопрос переезда сайтов с HTTP на HTTPS волнует все больше пользователей. Тех, чей сайт занимает лидирующие позиции в поисковиках, больше всего пугает подобное изменение – а вдруг позиции сайта значительно просядут? О том, как правильно организовать переход на HTTPS, и будет рассказано в этой статье.

Начнем с того, зачем это вообще нужно? Если кратко и в пределах поисковых систем, то использование на вашем сайте протокола HTTPS повышает рейтинг сайта в глазах Google и Яндекс. Это логично – сайты, обеспечивающие надежную передачу данных, вызывают большее доверие, чем остальные, и поэтому имеют право получать некое преимущество в поисковых системах.

Сейчас, если у сайта есть две версии (HTTP и HTTPS), то Google в первую очередь показывает версию сайта с безопасным протоколом. Более того, в январе 2017 года браузер Chrome начнет помечать как небезопасные все сайты, которые передают данные о паролях и банковских картах, и при этом работают по протоколу HTTP (по крайней мере, такая информация в сентябре появилась в блоге компании). Но это будет лишь шаг к тому, чтобы в будущем помечать как сомнительные все сайты с небезопасным протоколом.

Переход на HTTPS – это уже не возможность, а необходимость, если вы хотите развивать свой сайт и привлекать на него новых пользователей.

Следующим будет логичный вопрос: почему смена протокола так важна для поисковых систем? Дело в том, что хотя чисто внешне меняется немногое (название-то сайта остается прежним, как и его содержание!), но передающиеся по двум разным протоколам (HTTP и HTTPS) сайты поисковая система воспринимает как два разных ресурса. Поэтому происходит то же самое, что и при смене одного домена на другой – позиции сайта могут просесть, количество страниц в выдаче и их позиции также могут измениться.

Что такое http и https?

Прежде чем разбираться в том, чем отличается https от http, необходимо понять, что же означают эти аббревиатуры. Сразу отметим, что между ними много общего. По сути, это одно и то же понятие, но с одной поправкой

Именно она является существенной и принципиально важной

Понятие HTTP

Расшифровка http звучит так: HyperText Transfer Protocol. Людям, которые плохо знают английский язык, такое словосочетание ни о чем не скажет, поэтому приведем его перевод: «протокол передачи гипертекста».

Теперь вкратце рассмотрим вопрос, как это работает. Схему функционирования этого протокола можно описать двумя словами: «клиент – сервер». Клиентом является интернет-пользователь, который использует поисковые запросы для дальнейшего подключения к серверу. Таким образом, он становится инициатором соединения.

После этого в работу включается ранее упомянутый сервер. Получая запрос от пользователя, он автоматически его обрабатывает, после чего выдает результат.

На заметку. Любые действия в интернете, которые мы совершаем, базируются на обмене данными между нами (пользователями) и серверами. Но только теми, на которых хранится интересующая нас информация. Обмен данными происходит в незащищенном порядке, и именно в этом заключается главное отличие http от https.

Понятие и особенности HTTPS

Теперь рассмотрим вопрос, что такое протокол https. Первые четыре буквы аббревиатуры имеют такую же расшифровку и перевод, что и в предыдущем варианте. Но в данном случае в сокращении присутствует еще и буква S. Она обозначает Secure, что переводится как «безопасный» или «защищенный». То есть, данный протокол обеспечивает безопасное соединение с сервером и оперирование данными.

Важно! В рассматриваемом случае передача информации от клиента к серверу и наоборот осуществляется в режиме шифрования. А это не свойственно протоколу http

Таким образом, даже если хакерам удастся перехватить данные, они получат только набор символов, которые не смогут использовать в преступных (преимущественно) или личных целях. В этом и заключается суть работы протокола https.

Где и зачем нужен протокол сайта https? Он необходим для безопасного обмена данными на:

• сайтах, осуществляющих денежные переводы и платежи;
• ресурсах, работающих в режиме онлайн конвертеров;
• почтовых сервисах;
• других интернет-страницах, где хранится вся финансовая или конфиденциальная информация.

Стоит ли подключать https шифрование? Это должен решать каждый владелец сайта самостоятельно. Но если ваш проект связан с финансами, секретными или стратегически важными данными, использование защищенного протокола https является обязательной мерой безопасности.

Что даёт HTTPS в поисковой выдаче

После установки и проверки работоспобности сертификата следует указать поисковым машинам на новый статус вашего сайта. Начнем с изменения robots.txt, пропишите в нем адрес с указанием протокола — Host: https://yoursite.ru

Далее следует открыть Яндекс.Вебмастер, Google Search Console и прочие панели поисковых роботов. Добавьте вручную https://yoursite.ru в поисковую выдачу. Для Яндекса укажите это в разделе переезд сайта

Защищенный протокол увеличивает рейтинг сайта в выдаче. Особенно сильно это правило действует на сайты, где важна конфиденциальность и сохранность личных данных.

Чем отличается HTTP от HTTPS

Предположим, вам нужно отправить посылку другу в Тулу — пару книг и пакетик кошачьего корма. Все это стоит недорого. Да и вряд ли кто-то станет воровать корм для котов из бандероли. Просто обычное почтовое отправление. Это — HTTP.

Другая ситуация — вы отправляете в курьером кейс, в котором лежат очень ценные вещи. Например, бриллиантовое колье. Для надежности вы вешаете на кейс замок, а курьеру говорите, что это просто для красоты, а в кейсе просто бумаги. Зашифровали содержимое. Это — HTTPS.

Буква “S” в названии протокола HTTPS означает “Secure” — защита. Этот протокол используется для передачи зашифрованных данных.

В протоколе HTTPS используется асимметричная схема шифрования за счет использования гибридной системы TLS (усовершенствованный SSL). Во всей сложной системе в роли замка выступает как раз он.

Определение защищенного протокола HTTPS и недостатки HTTP-протокола

Для перемещения информации в сети Интернет используются так называемые протоколы. Они направляют данные от вашего домашнего компьютера к сайту, с которым вы работаете, от одного сервера к другому.

Протоколы бывают разными, но используются они всегда и при любых обстоятельствах. У каждого из них есть свои признаки и свойства, связанные с передачей данных и их качеством.

Протоколы HTTP и HTTPS применяются в работе с Интернет-ресурсами наиболее часто. HTTP переводится как протокол перемещения гипертекста.

Этот протокол необходим для работы с информацией html страниц, с которыми мы ежедневно сталкиваемся в сети.

Данные протоколы встречаются в начале каждой веб-ссылки. Ссылка устроена таким образом, что перед адресом всегда указывается http или https.

В зависимости от того, какой протокол вы вводите, обычный или защищенный, сайт открывает или обычную версию, или безопасную.

Если у интернет-домена есть сертификат SSL, браузер сможет открыть HTTPS-версию сайта, но об этом мы расскажем чуть ниже, а сейчас более подробно объясним, что такое безопасное соединение.

Стандартное Интернет-соединение HTTP совсем не защищено от вирусов и кражи информации или ее замены. При взаимодействии с сервером по такому протоколу во время обмена данными вы рискуете получить недостоверную информацию.

При этом всегда есть шанс утратить данные, передаваемые на сайт с HTTP-протоколом. Хакерские атаки подразумевают, что во время подключения к серверам для передачи данных информация может быть скопирована и использована не по назначению без получения авторских прав и вашего согласия.

Приведем такую аналогию: если на каком-то ресурсе вы расплачиваетесь вашей пластиковой картой, или вводите личные пароли от почтовых ящиков, заполняете анкеты с контактными данными и так далее, всю эту информацию могут украсть.

Профессионалы знают, при помощи каких манипуляций можно вторгнуться в процесс передачи данных между вашим компьютером и интернет-сервером, и знают, куда потом можно продать полученную информацию.

И это еще не самое страшное. Каждый хотя бы раз сталкивался с заражением компьютера вредоносными программами и вирусами, например, знаменитым «трояном».

В некоторых случаях хакерские атаки способны полностью уничтожить информацию на вашем устройстве и вывести его из строя.

Чаще всего от этого страдают корпоративные сети или банковские серверы. Это также относится и к хранилищам личной информации пользователей.

Для большей наглядности можно привести другой драматичный пример — коммерческий банк, веб-страницы и серверы которого функционируют на обычном HTTP без защиты соединения или антивирусных программ.

Конечно, этот банк в скором времени подвергнется взлому, во время которого со счетов могут исчезнуть все денежные средства.

Как известно, на банковских счетах могут находиться не только активы самого банка, но и денежные средства его клиентов. Кто-то вносит платежи по кредитам, кто-то открыл сберегательный счет и получает проценты по вкладу, а кто-то просто хранит свои деньги на пластиковой карте, выпущенной банком.

Однажды мошенники взламывают сервер с незащищенным протоколом, и все клиенты банка теряют свои средства, а банк не способен возместить убытки, так как сам является банкротом.

Все это говорит о том, что самая очевидная уязвимость способна спровоцировать целую цепочку крайне неблагоприятных событий.

Поэтому такая незначительная вещь, как протокол передачи данных, может быть причиной огромных проблем как у предпринимателей, так и у обычных пользователей.

Незащищенный протокол HTTP может быть опасен для тех серверов, на которых используется. Безопасный протокол HTTPS поможет вам не столкнуться с такими проблемами.

Важные преимущества https для монетизации

Вот еще несколько положительных сторон от внедрения HTTPS, благодаря которым он положительно
влияет на доход:

1. Быстрая отрисовка рекламы. На HTTP-сайта реклама подгружается при помощи http 1.1, что существенно снижает скорость загрузки веб-ресурса и отрисовки рекламы, соответственно и доходы с нее меньше. Переход на https позволяет установить протокол HTTP/2, ускоряющий работу сайта и показ рекламы.
2. Нет посторонней рекламы. HTTP-ресурсы часто страдают от встраивания провайдерами своей рекламы или перехвата сетевого трафика. К примеру, осенью 2017 года некоторые абоненты мобильного оператора «МегаФон» обратились с жалобами касательно того, что при посещении некоторых ресурсов с мобильных устройств у них отображалась реклама в местах, где ее в принципе не должно быть.
3. PUSH-подписки. Не переведя сайт на защищенный протокол, вы лишили себя возможности напрямую собирать push-подписки, которые можно монетизировать. Например, партнерской программой MajorPush.pro
4. Предупреждение от Браузеров. Практически во всех популярных браузерах при открытии http сайта будут показываться предупреждения, что он является небезопасным. А это влияет на конверсию вашего трафика.

В любом случае, протокол HTTPS – это будущее, и наверняка в
дальнейшем продолжат внедрять новые алгоритмы и рекламные сети, для которых в
приоритете будут веб-ресурсы, поддерживающие HTTPS. Пуши яркий тому пример.

Использование протокола HTTPS, области применения

Не всегда есть необходимость шифровать передаваемые данные. При шифровании увеличивается объем передаваемой информации, поэтому нужна достаточно большая скорость Интернета и пропускная способность канала. В каких случаях действительно необходимо использовать защищенное соединение, а когда без этого можно обойтись?

Личные блоги, новостные и любые справочные сайты могут обойтись без HTTPS протокола. Он необходим там, где есть:

• личный кабинет пользователя;
• услуги почтового сервера;
• обмен персональными данными;
• передача конфиденциальной информации.

Например, вы хотите написать сообщение в Фейсбуке или пообщаться с друзьями в Контакте. Вы вводите свой логин и пароль, чтобы зайти на личную страницу. Это конфиденциальная информация, привязанная к вашему номеру мобильного телефона и адресу электронной почты. В тот момент, когда вы нажимаете кнопку «Вход», открывается страница защищенного соединения. Узнать ее несложно – в левой части адресной строки появляется зеленый закрытый замок, а сам адрес зеленого цвета и начинается с HTTPS.

Как правило, браузеры сами сообщают пользователю об отсутствии безопасного соединения или сертификата безопасности у владельца сайта. На экране появляется сообщение, согласны ли вы перейти на небезопасную страницу:

Аналогичные требования по защите информации для удаленных сотрудников, которым нужен доступ к внутренним ресурсам компании – например, почтовому серверу, финансовым отчетам, системе управления. С начала сессии ваше устройство обменивается данными с сервером по незащищенному HTTP протоколу. Как в этом случае добиться безопасного соединения? Здесь на помощь приходит многоступенчатое шифрование передаваемых данных через криптографический протокол SSL/TLS. SSL можно сравнить с «фантиком», в который заворачивают данные HTTP, чтобы скрыть их от посторонних.

И снова https соединение

Когда работает https соединение, между ноутбуком или другим гаджетом и сервером осуществляется «договоренность». То есть, они в буквальном смысле этого слова согласовывают уникальный ключ. После чего и осуществляется передача данных в зашифрованном формате.

Подобрать такой шифр практически нереально. Чтобы окончательно быть уверенными в защищенности данных, нужно лишь понимать, что с другой стороны соединения находится именно тот, кого вы там ожидаете увидеть.

Почему?

Все просто!

И снова возвращаются к примеру с посылками. Вашу коробку может перехватить злоумышленник и повесить на нее свой замок. Когда она вернется к вам, вы решите, что это замок вашего друга и снимите свой. В результате – злоумышленник получит шифр.

Как избежать такого варианта развития событий? Предусмотрено использование специальных цифровых сертификатов. Они предназначены для того, чтобы проверять и подтверждать конечного адреса.

Такой сертификат – как подтверждение, что замок на коробке повесил ваш друг, а не злоумышленник.

Разновидности SSL-сертификатов

Итак, SSL — это цифровая подпись ресурса, которая обеспечивает работу протокола безопасной передачи информации. Эта подпись обеспечивает шифрование данных между потребителем и интернет-сайтом.

Есть несколько видов сертификатов SSL:

• Базовый сертификат (DV);
• Сертификат бизнес-уровня (OV);
• Расширенная версия SSL (EV).

Базовый уровень доступен практически каждому владельцу интернет-ресурса. Для его получения необходимо подтверждение того, что вы являетесь владельцем сайта.

Это можно сделать с помощью отметок в DNS, загруженных в корень сайта документов или другими способами. Ваш ресурс не будут проверять на достоверность и законность данных и наличие вредоносных программ.

Это самый распространенный вид сертификата из-за его доступности. Он стоит недорого и устанавливается практически сразу. Крупные компании, как правило, пользуются более продвинутыми изданиями сертификатов.

Бизнес-версию получить уже нелегко. Необходимы доказательства того, что организация, желающая оформить этот вид SSL, действительно существует.

Также необходимо подтвердить, что домен является собственностью именно этой компании. После этого вам подтвердят возможность установки SSL-сертификата.

Фирмы с таким сертификатом надежнее, так как для его получения требуется финансовые вложения и время на проверку информации с ресурса.

Такой SSL недоступен злоумышленникам, так как для его получения нужно хотя бы зарегистрировать фирму, указав настоящие данные. Это может скомпрометировать мошенников, поэтому сразу исключается.

Расширенный сертификат — наиболее надежный с точки зрения защиты вид. Он характерен тем, что перед его установкой производится тщательная и длительная проверка, а также одной чертой, которая будет выгодно подчеркивать ваш сайт.

Это префикс, он отображается в строке браузера. Префикс, часто это название компании, повышает статус ресурса для его пользователей. Этот вид сертификата стоит гораздо дороже двух предыдущих, и его получение — технически сложный процесс.

Главным признаком расширенной версии SSL-сертификата является невозможность его получения физическим лицом. Этот вид выдается только юридическим лицам.

Эта особенность также объясняется безопасностью. Риск мошенничества в интернете среди юридических лиц гораздо ниже.

При наборе сайта компании в браузере, в поисковой строке вы увидите полное ее название. Это говорит о подлинности ресурса в отличие от сайтов-подделок.

Еще одной особенностью для обладателей премиум-сертификата станет некая индивидуальность, которой лишены обладатели двух предыдущих видов SSL.

В начальном и бизнес-сертификате при его использовании для какого-либо домена, все поддомены также получают сертификат. Доступ будет производиться через защищенный протокол HTTPS, что исключает возможность появления проблем.

В случае использования расширенного сертификата вам придется регистрировать отдельно каждый поддомен. Создаваемые на базе главного домена, они не смогут пользоваться одним и тем же сертификатом. Обычно для регистрации поддоменов расширенная версия SSL не нужна, ведь она обходится в круглую сумму.

Что касается других аспектов данного вида сертификата, он ничем особенно не отличается от двух предыдущих версий: зашифровка информации происходит с помощью самых новых технологий, домены поддерживаются на латинице и кириллице.

Сертификаты SSL подразделяются также на бесплатные и платные. Платные могут различаться по стоимости, которая, в свою очередь, зависит от центра сертификации и его уровня.

Бесплатные работают на базе Let`sEncrypt — компании, которая занимается выдачей криптографических сертификатов в автоматизированном режиме. Компания продвигает идею открытого исходного кода. Получить такой сертификат достаточно легко.

Все функции установки, конфигурации и обновления происходят в автоматическом режиме, а все методы кодирования данных отвечают современным стандартам.

Также бесплатный сертификат от Let`sEncrypt есть у посредников. В этом случае вам нужно будет вручную добавить домен, подтвердить, что он принадлежит именно вам и получить ключ от сертификата. Ключи необходимы для установки на сервер или хостинг регистратора.

У бесплатных сертификатов есть и недостатки. Это:

• Кратковременность использования. Бесплатный сертификат рассчитан всего на 90 дней.
• Каждый сертификат рассчитан на защиту только одного домена без проверки компании.
• Let`sEncrypt не дают никаких финансовых гарантий использования своего продукта при взломе.

Какой SSL-сертификат выбрать для сайта? Объясняем простыми словами

SSL-сертификаты выдают специальные удостоверяющие центры. В зависимости от типа сертификата они проверяют разные данные у владельца сайта и выдают сертификат, подтверждающий определенную информацию.

Выделяют следующие типы SSL-сертификатов:

• Самый простой сертификат — DV (Domain Validation). Он подтверждает только домен сайта. В этом случае сертификат показывает, что пользователь обменивается зашифрованными данными с определенным сайтом, но кому принадлежит проект — неизвестно. DV сертификат можно получить бесплатно. Об этом подробно расскажем ниже.
• Второй уровень сертификатов — OV (Organization Validation). Здесь проверяется не только домен, но и его владелец. Пользователь, зайдя на сайт, может посмотреть в информации о сертификате, кому принадлежит ресурс (какой компании или частному лицу). Доверия к таким сайтам больше.
• Третий уровень — EV (Extended Validation). Такие SSL-сертификаты подтверждают не только домен и владельца сайта, но и регистрационные данные компании. При заходе на сайт, имеющий сертификат EV, строка браузера окрашивается в зеленый цвет. Установка EV SSL рекомендуется для банков, финансовых организаций, компаний, работающих с чувствительными персональными данными.

Как правило, сертификат привязывается к определенному домену или субдомену. Если на вашем сайте много субдоменов, то можно купить Wildcard сертификат. Он может работать для всех субдоменов в рамках одного домена.

Также есть SAN сертификаты. Они могут работать для разных доменов, находящихся на одном сервере и также позволяют экономить деньги при наличии у компании большого числа сайтов.

SSL-сертификаты c поддержкой IDN — это тип сертификатов, которые поддерживают интернациональные доменные имена, например, русскоязычные (в зоне .рф). Если у вас такой домен, то нужно покупать сертификат с поддержкой IDN.

Бесплатные и платные виды SSL-сертификатов, их плюсы и минусы:

Сертификаты SSL выдаются специальными центрами сертификации по всему миру. Наиболее известные из них: Symantec, Trustwave, Comodo, eKey, Tensor. Отличие между ними: в цене услуги и количестве браузеров, в которых установлен корневой сертификат центра. Если в браузере нет корневого сертификата данного центра, то он будет выдавать ошибку при заходе на сайт.

Ошибка может выдаваться браузером и в других случаях:

• Устарел корневой сертификат.
• Отсутствие корневого сертификата в файле на сервере.
• Ошибка обновления сертификата.

Ради интереса вы можете посмотреть все корневые сертификаты, установленные в вашем браузере. Для этого зайдите в настройки браузера, найдите там раздел “Управление сертификатами” и посмотрите “Доверенные центры сертификации”.