Что такое https защищенный протокол
Здравствуйте, уважаемые читатели сайта Uspei.com. Статья большая, так как тема важная. Постарался озвучить все важные моменты по переходу на https протокол, поэтому наберитесь терпения и дочитайте до конца.
Прежде чем говорить о необходимости переезда давайте вообще обсудим, что такое защищенный протокол https. https протокол – это по сути расширение основного протокола http, который используется большинством сайтов, а «s» это security – безопасность сайта, так как он поддерживает шифрование данных.
Проще говоря данные по не защищенному протоколу http передаются в открытом виде и при желании могут быть доступны третьим лицам, например, злоумышленникам. В случае использования https с защищенного протокола данные шифруются, то есть получить их и дешифровать гораздо сложнее.
В чем опасность использования незащищенного протокола?
Вот представим себе, что у вас есть сайт и на него заходит посетитель из какого-то там интернет-кафе. Вот он зашел, обратился к вашему сайту, информация от вашего сайта пришла в сеть вашего провайдера. Оттуда на точку обмена трафиком, оттуда на провайдера, к которому подключено интернет-кафе. Потом попала в локальную сеть кафе, потом попала на вайфай-роутер и уже с вайфай-роутера эта информация (страничка) попала пользователю.
Это обычная ситуация ничего там плохого нет. Но если вдруг на этой странице содержится какая-то финансовая, медицинская или секретная информация, или наоборот вы передаете пароль или кредитной картой, оплачиваете что-то, то вы получаете риск того, что ваш контент он будет перехвачен неким злоумышленником. Например, злобным администратором интернет-кафе, который сидит и ему нечем заняться. Вот он поставил программу, которая мониторит трафик и скидывает ему данные и пароли всех, кто приходит, например, на страницу “вконтакте”.
Это происходит потому, что данные в интернете передаются открытым способом. Для защиты от таких злобных администраторов был придуман защищенный протокол https. В чем его суть? Когда вы по этому защищенному протоколу соединяйтесь с сервером вы отправляете какой-то запрос, либо просто вы обращаетесь к нему, либо хотите передать какие-то данные (подробнее о том, как работает интернет). Эти данные шифруются на вашем компьютере (на ноутбуке или на телефоне, на чем угодно) и в зашифрованном виде они отправляются на сервер.
Сервер их расшифровывает, понимает, что там написано и дает вам страницу, которая вам нужна тоже в зашифрованном виде. И ваш компьютер уже это все дело расшифровывает. При этом защищенный протокол построен так, что пока информация идет от точки А к точке Б, нигде расшифровать эти данные нельзя. Только на том сайте, куда вы обращаетесь и соответственно наоборот.
И вторая опасность, связанная с такими злобными администраторами, состоит в том, например, что администратор может попытаться подменить ваш домен. Это можно сделать легко. Вот вы зашли через, например, интернет-кафе на “вконтакте”. Вы вводите пароль и логин и оказываетесь на “вконтакте”, но не знаете, что на самом деле эта страничка, которую вы видите, это уже не “вконтакте”, а это подмененная на одном из этих этапов левая страница.
https решает и эту проблему. Вашему сайту, ну или в данном случае сайту “вконтакте”, нужно приобрести сертификат. Это такой сертификат, имеющий цифровую подпись своего рода, которая доказывает, что вот именно этот сайт является тем, кто он есть. Подделать этот сертификат считается невозможно и поэтому если у сайта есть такой сертификат, то ваш пользователь может быть уверен, что он находится именно на вашем сайте.
Причины, по которым стоит переходить на https
- Поэтому первая причина, по которой стоит переходить на защищенный протокол это конечно же, как я уже сказал, защита информации, которую передают ваши пользователи вашему сайту. Например, если у вас на сайте используются различные формы регистрации, куда пользователи передают свои личные данные, либо они оплачивают товар непосредственно на вашем сайте с помощью банковских карт – стоит использовать защищенное соединение для того, чтобы эти данные не попали в руки злоумышленников.
- Вторая причина, по которой многие вебмастера переходят на защищенный протокол, это уведомление в различных браузерах о защите соединения. Уведомления могут выглядеть по-разному, например, на скриншоте. Может быть серенький замочек либо зеленый замочек. То есть пользователи видят это предупреждение и понимают, что соединение с сайтом, на котором они находятся, сейчас защищено и бояться нечего. Поэтому 2 причина, по которой стоит переходить на защищенное соединение это доверие к сайту со стороны ваших пользователей.
- В третьих, если вы планируете отправлять вашим пользователям push-уведомления, например, о том, что у вас проходит какая-то новая акция или появился новый пост на сайте, стоит перейти на защищенный протокол потому, что данная возможность доступна только https сайтам, а она реально полезная.
- Некоторые поисковые системы используют факт наличия защищенного соединения в качестве одного из факторов ранжирования – на мой взгляд тоже немаловажная причина.
Вероятно, всем придется переезжать на https, если не в этом году, то в следующем. Поэтому чем раньше мы все переедем, тем это лучше для нас будет в дальнейшем. А когда все сайты вынуждены будут резко переходить на https – это даст вам какое-то конкурентное преимущество.
Еще в 2016 году google официально заявил о том, что с января 2017 года он будет снабжать пользователя в браузере chrome сообщением о том, что все сайты, которые работают на протоколе http (на вполне привычном протоколе, на котором работают большинство сайтов), что сайт небезопасен.
А поскольку браузер chrome это самый популярный браузер, плюс google уже несколько лет последовательно говорит о необходимости переезда на https, встал остро вопрос о переезде всех сайтов на этот протокол. И все крупные сайты начали последовательно переезжать на https еще с двухтысячных годов.
Для сторонников теории заговора у меня есть версия зачем google это делает. Google это коммерческая организация, которая стремится к тому, чтобы получать как можно больше денег, о пользователях она думает во вторую очередь.
И в безопасности google тоже стремится быть монополистом. В обладании информацией о пользователях, о том, какие сайты они посещают, какие запросы они задают, как долго и на каких страницах они проводят время. Эту информацию только в большом количестве продают рекламодателям. Рекламодатели уже более точечно рекламируют свои товары или услуги.
И google хочет, чтобы этой информацией о пользователях обладал только он. Именно поэтому он стал шифровать по какому запросу перешли на сайт из поиска, именно поэтому у нас стоит google-analytics и яндекс-метрика. А использование безопасного протокола шифрует всю информацию и уже невозможно будет ее перехватить.
Какие ssl сертификаты безопасности бывают
Итак, мы поговорили о том, что такое https и зачем нужно на него переходить. Теперь давайте поговорим о том, какие сертификаты бывают.
– В зависимости от глубины проверки
- Во первых, есть сертификаты с проверкой администратора домена. Как раз вся задача такого сертификата проверить ваш сайт и вас как его администратора. То есть просто факт того, что вы являетесь администратором домена (тут все о доменах). По адресу почты отправляется проверочное письмо с кодом и это будет таким образом подтверждать, что вы администрируете данный домен.
- Плюс есть сертификаты с проверкой организации – проверяется контактная информация в домене и проверяются желтые страницы о том, что есть такая организация. Плюс могут попросить свидетельство о регистрации.
- И существуют сертификаты с расширенной проверкой. После установки такого сертификата в адресной строке появится не просто зеленый замочек, а название вашей организации. Но здесь идет проверка расширенная, то есть проверяется факт того, что вы находитесь по данному адресу, запрашивается документы и так далее.
Соответственно, по стоимости самые дешевые сертификаты – это сертификаты с проверкой домена. Они выдаются наиболее быстро и чем серьезнее проверка, тем дороже сертификаты, тем дольше они выдаются.
– В зависимости от функционала
Если у вас несколько поддоменов, то вам нужен специальный сертификат, который распространяет свое действие и на поддомены. Причем, если у вас небольшое количество поддоменов, то иногда выгоднее покупать отдельный сертификат на каждый из поддоменов.
Если большое количество поддоменов тогда нужен совсем специальный сертификат. Плюс есть сертификат, который устанавливается на сервер и действует на несколько отдельных доменов. И есть сертификаты которые поддерживают кириллические домены.
Проблемы перехода (переезда) на https
Но мы с вами говорим не только о причинах перехода, но еще проблематике, с которой можно столкнуться из-за перехода на https. Основная проблема, к которой может привести не корректная настройка сертификата – это недоступность вашего сайта для пользователей.
То есть пользователи, переходя на сайт по защищенному протоколу, могут видеть предупреждение о том, что сертификат отсутствует или какие-то другие ошибки (смотри скриншот выше).
Во вторых, при некорректном переходе на защищенный протокол у сайта могут измениться позиции в результатах поиска либо упадет его посещаемость из поисковой выдачи.
У кого-то это 50% у кого-то без потерь вообще, но чаще всего в районе 10-20% трафика теряется. Но в течение двух недель месяца 2 месяцев трафик возвращается.
Также потеряются какие-то корректные настройки, необходимые для индексирования, для того, чтобы ваш сайт находился в поисковой выдаче.
Для того, чтобы минимизировать вот эти все потери мы с вами будем работать таким понятием как зеркала сайта. По сути зеркала это два адреса одного и того же сайта. В нашем случае зеркала это:
- Сайт по протоколу http
- Сайт по протоколу https
!То есть для поисковой системы это два разных сайта, которые по сути индексируются независимо друг от друга.
Как раз объединение таких адресов в группу зеркал позволит минимизировать возможные потери, избежать рисков, связанных с переходом на защищенное соединение. Этот момент самый главный при переезде и мы его обязательно рассмотрим!
Обратите внимание, когда мы говорим о переезде на https мы подразумеваем переезд всего сайта, то есть корректно переехать только частью сайта, каким-либо определенным разделом, не получится.
Ну собственно, давайте подготавливать ресурс к переезду на защищенный протокол. Подготовку можно разделить на три этапа:
- Во-первых, получение и установка сертификата.
- Во вторых, работа непосредственно над содержимым вашего сайта
- И в третьих, это непосредственно добавление вашего https сайта в поиск.
Покупка и установка ssl сертификата безопасности
Есть два пути – оформить сертификат через своего хостинг-провайдера (дело буквально 5 минут) и получить ssl сертификат самостоятельно.
– Самостоятельная покупка сертификата
Сама по себе процедура самостоятельного получения сертификата тоже достаточно простая. Вам нужно отправить формализованный запрос в специальную организацию и в ответ вы получите сертификат, который будете в дальнейшем использовать.
В качестве организации, выдающей сертификаты, могут выступать специальный центры сертификации, которые свои услуги предоставляют на платной основе. Но сейчас в интернете полно сервисов, которые позволяют получить бесплатный сертификат. Вы также можете обратиться к ним, то есть выбрать любой из вариантов на свое усмотрение.
Давайте перейдем непосредственно к покупке и к установке и настройке сертификата. Сразу предвижу ваш вопрос: а как же бесплатные сертификаты? Я не рекомендую их использовать потому, что в ряде случаев браузер пользователям будет сообщать о том, что соединение небезопасное и пользователи будут уходить. Поэтому давайте потратим 10 долларов в год, но получим рабочий проверенный инструмент. Можно временно взять бесплатный сертификат, все оформить и протестировать, после чего перейти на платный.
Итак, все начинается с покупки сертификата. Для начала выбираете центр сертификации. Можете просто выдачу посмотреть, можете посмотреть предложения на вашем хостинге. Здесь обычно не возникает никаких вопросов.
Первым делом при покупке мы генерируем открытый ключ. Мы указываем наше имя должность департамент телефон почту и генерируем ключ. Ключ выглядит как большой блок текста. При генерации ключа (открытого ключа) вам также выдадут приватные ключи, которые обязательно нужно сохранить на компьютере. Потому, что если мы его не сохраним тогда вам нужно будет перевыпускать сертификат.
Далее мы пополняем баланс центра сертификации для того, чтобы получить как раз ssl сертификат. Вставляем открытый ключ ( все настройки по умолчанию) и нажимаем получить сертификат.
Следующим шагом нам нужно подтвердить адрес электронной почты нашего домена. Уходит специальное письмо (обычно на admin@ваш-сайт.ru) и мы должны это письмо получить, перейти по ссылке, ввести код. Причем если у нас нет этого почтового ящика его нужно заблаговременно создать. И далее обычно в течение нескольких минут к нам на почту приходит как раз сертификат.
– Установка ssl сертификата безопасности
После того, как вы получили сертификат от центра сертификации стоит его установить непосредственно на ваш сайт. В 90% случаев это делается в личном кабинете вашего хостинг-провайдера, то есть панель администрирования вашего сайта. Если вы используете какой-либо конструктор это также можно сделать в панеле администрирования.
И если вы начинающий пользователь, то берем архив, берем приватный ключ и с этой информацией идем к хостеру (как выбрать хороший и надежный хостинг читайте здесь). Пишем тикет : здравствуйте, я хочу установить ssl сертификат на такой-то домен, прикладываем приватный ключ и сертификат. Обычно вопросов не возникает никаких и хостер бесплатно это сертификат устанавливает. После этого ваш сайт будет доступен по адресу http и по адресу https.
– Покупка и установка через своего хостера (на примере Timeweb)
Настройка внутренних и внешних ссылок при переходе на https
– Относительные и абсолютные ссылки
Если ваш сайт работает корректно по новому протоколу стоит непосредственно начать работу с содержимым вашего сайта. А именно для начала заменить ссылки внутренних страниц с абсолютных адресов на относительные. То есть абсолютный адрес этот адрес, в котором указан протокол и полный адрес вашего сайта. Обычно этот момент вызывает больше всего проблем и на это тратится больше всего времени.
В данном случае мы убираем протокол и адрес сайта и делаем ссылку полностью относительной. Сделать это можно различными способами. Если вы используете, например, стандартные cms, то есть куча плагинов, позволяющих сделать это в несколько кликов. Также можно это сделать с помощью sql запросов.
– Переводим все исходящие внешние ссылки в https (делаем замочек зеленым)
Все внутреннее содержимое вашего нового сайта стоит перевести на защищенный протокол. Речь идет об изображениях, какие-то видео файлы, контент партнеров (если вы используете его). Обратите внимание, что скрипты, которые установлены на вашем сайте, также должны работать по защищенному протоколу. В общем, на странице абсолютно не должно быть ничего с http-адресом. Ну и конечно же, если вы используете canonical на своем сайте, он должен вести на страницы по защищенному протоколу, то есть наш https.
Мы это делаем для того, чтобы при открытии сайта замочек был зеленым и не была проблема со смешанным содержимым. Это касается также изображений (незабываем оптимизировать) и других файлов, которые вы откуда-то подгружаете. Если у вас популярная cms вроде вордпресса переезд на https делается очень быстро. Просто заходите в настройки и пишите https//название домена/ и все ссылки автоматически поменяются. Напомню, что также можно это сделать с помощью sql запросов.
Еще раз смотрим на цвет замочка, который отображается рядом с названием сайта (url адресом), чтобы он был зеленым. Если он серый, то открываем консоль и смотрим откуда и что подгружается по http, либо правой клавишей мыши и “просмотреть код страницы”, а там через окно поиска на странице ищем все http. Плюс мы открываем сайт с разных браузеров с разных устройств, с мобильных телефонов, с планшетов. Везде все должно корректно работать, нигде не должно быть никаких ошибок.
– Ссылки с других сайтов (301 редирект на https)
Вы спросите: а что с входящими внешними ссылками (ссылки на ваш сайт с других сайтов)? Конечно, 301 редирект (о котором мы поговорим позже) передает какой-то вес, но все равно лучше ссылки делать прямыми, так ссылочные факторы ранжирования хоть постепенно и уходят в небытие, но все равно еще очень важны. Поэтому все ссылки, до которых мы можем дотянуться, желательно исправить и указать протокол https.
Поэтому во всех профилях, где мы оставляли ссылку, меняем ее на https. Просим поменять ссылку на сайтах партнеров, меняем ссылку в наших группах и пабликах в соцсетях если вы осуществляете там smm-продвижение.
Плюс если мы занимались ссылочным продвижением и покупали ссылки, например, в gogetlinks, то пишем вебмастерам, которые размещали, ссылку с просьбой изменить протокол. Часть не ответит, часть откажется, но какая-то часть эту ссылку поменяет и плюс другие площадки, где мы размещали ссылку, стараемся изменить ее на https.
Проверка работы сертификата ssl
После установки сертификата ssl стоит проверить остался ли доступен сайт по протоколу http. Заметьте именно по старому адресу потому, что большинство хостеров после установки ssl сертификата могут автоматически включить перенаправление со старого протокола http на https. В результате чего, сайт по старому адресу становится недоступен для индексирующих роботов и посетителей.
Проверить доступность http версии можно с помощью соответствующих инструментов Яндекс-вебмастере (подробнее мы разберем этот вопрос в статье про настройку Яндекс-вебмастера при переезде на https). Здесь все очень просто – ввели адрес по http протоколу, нажали кнопочку проверить и смотрим код ответа. Если как в нашем случае сайт отвечает кодом ответа 200 – значит все в порядке, сайт по-прежнему доступен, нормально индексируется и будет участвовать в поиске.
Во-вторых, стоит проверить корректность полученного ssl сертификата. Начать можно с того, что откройте сайт по новому адресу на всех доступных вам браузерах на десктопе на мобильных устройствах. Попросите своих коллег чтоб они зашли на новый сайт, чтобы посмотреть, что он открывается и нет никаких предупреждений. Ну и есть в интернете также большое количество сервисов, которые предлагают протестировать установленный ssl сертификат.
В нашем случае будем использовать ssllabs.com. Указываете адрес своего сайта и получаете результат теста. В нашем случае, если сертификат установлен некорректно, сайту присваивается низкий рейтинг (подсвечивается красным), видно большое количество предупреждений и рекомендаций, над которыми стоит поработать для того, чтобы рейтинг сайта (его сертификата) увеличить.
Если же ssl сертификат корректен и современен, то будет присвоен высокий рейтинг. Видно, что он подкрашиваться зеленым. Возможно будут какие-то дополнительные рекомендации для того, чтобы еще лучше защитить соединение.
И в-третьих, стоит проверить непосредственно те страницы, ради которых и замышлялся переезд. То есть это страницы авторизации на вашем сайте, регистрации и страницу оплаты, чтобы они также работали по защищенному протоколу. В случае если не проверить и не починить – ваши пользователи могут видеть различные предупреждения в своем браузере.
Если с содержимым все в порядке, необходимо индексирующему роботу также сообщить о том, что у вас есть страницы по защищенному протоколу. Для этого стоит создать отдельный файл sitemap, в котором перечислить адреса страниц именно по https протоколу и сообщить роботу о наличии этого файла, например, с помощью Яндекс-вебмастера. Но об этом в следующей статье, так как там тоже много нюансов.
И, чтобы у вас вообще не осталось никаких вопросов, посмотрите видео от уважаемого Devaka об особенностях проблемах и их решениях при переходе на HTTPS.