Переход сайта на HTTPS: для чего это необходимо сделать

При передаче информации, которая отображается на веб-странице, используют протоколы двух типов — HTTP и HTTPS. Вы можете увидеть один из них в адресной строке, в самом начале, перед доменом. Во многих браузерах рядом с адресом, начинающимся на «https://» размещен «замочек», указывающий на то, что передача данных защищена.

Использование HTTPS стало стандартом для русскоязычного сегмента Интернета: сейчас уже сложно найти сайты, применяющие обычный протокол. И на то есть причины.

О том, что такое HTTPS и HTTP, чем они отличаются друг от друга и когда стоит использовать защищенное соединение, мы расскажем в этой статье.

Переход сайта на HTTPS

Что такое HTTP?

Все данные в Сети передаются от компьютера к компьютеру особым образом — с помощью протоколов. Протоколы позволяют формировать данные так, чтобы их можно было максимально быстро передать и получить.

Для отображения веб-страниц изначально использовали протокол HTTP — HyperText Transfer Protocol. Под «гипертекстом» понимают, например, html-документы, то есть текстовую информацию.

Данные при передаче по протоколу HTTP не зашифровываются — при желании любой злоумышленник может их перехватить. Возможность перехвата не всегда критична для сайта (в конце концов, на обычную веб-страницу можно заглянуть стандартным методом — с помощью браузера). Но если речь идет о страницах с ограниченным доступом и передаче личных данных, уязвимость сайта, использующего HTTP, становится серьезной угрозой.

Когда возникают риски?

Все мы беспокоимся о сохранности данных, которые имеются на портале «Госуслуги» и в интернет-банкингах, но серьезные уязвимости могут появиться и у обычных сайтов — например, интернет-магазинов. Злоумышленники могут:

  1. Перехватить информацию о банковских картах (номер карты, дата окончания срока действия, CVV-код) и использовать ее для кражи денег. В этом случае серьезно рискуют пользователи.
  2. Перехватить данные для доступа в «Личные кабинеты» зарегистрированных пользователей, модераторов, администраторов. Перехватив пароль и логин, злоумышленник может зайти на сайт, оставить вредоносный код, украсть информацию разного рода.

Уязвимый сайт бьет по репутации владельца. Если это компания и сайт приводит клиентов, о безопасности нужно позаботиться.

Подпишитесь на авторский телеграм-канал про предпринимательство в России.

Что такое протокол HTTPS?

HTTPS (HyperText Transfer Protocol Secure) — это расширенная версия протокола HTTP. Данные здесь передаются в зашифрованном виде. Для этого используются механизмы SSL и TLS.

Перехватить данные, которые идут через протокол HTTPS, злоумышленники тоже могут. Но без ключа шифрования они будут представлять собой бессмысленный набор символов, который ничего не даст взломщикам.

SSL и TLS: что это за механизмы?

SSL (Secure Sockets Layer) — правила, которые регламентируют процесс шифрования данных.

TLS (Transport Layer Security) — специальный протокол, созданный на основе SSL 3.0.

На практике вам не придется разбираться, чем отличаются эти механизмы, и как-либо ими управлять. Все, что нужно сделать пользователю (администратору сайта), — это установить SSL-сертификат, который позволит серверу устанавливать https-соединение.

SSL-сертификат — это цифровая подпись сайта. Она уникальна для каждого ресурса. Сертификат устанавливает приватные и публичные ключи шифрования, а также содержит в себе информацию о своей версии, серийном номере, издателе, сроке действия.

Все данные имеют значение:

  • Публичный ключ присутствует в запросе и позволяет браузеру клиента расшифровывать информацию.
  • Приватный ключ находится на сервере и используется для кодирования информации.
  • Информация об издателе, серийном номере и сроке действия необходима браузерам, которые проверяют, валиден ли ключ. Если срок вышел или издатель неизвестен, браузер предупреждает пользователя о том, что пользоваться сайтом небезопасно.

При подмене сертификата пользователь будет предупрежден об опасности.

Виды SSL-сертификатов

При переходе на HTTPS вы можете установить сертификат одного из следующих типов:

  1. Самоподписанный. Такой сертификат абсолютно бесплатен, однако у него есть огромный недостаток: браузеры предупреждают пользователя об отсутствии защищенного соединения и рисках. Дело в том, что злоумышленники при взломе сайтов часто заменяют настоящие сертификаты на собственные (самоподписанные). Даже если вы — владелец сайта, вашему сертификату не будут доверять, а пользователь увидит страницу-заглушку. Поэтому, если вы хотите сэкономить, проще вообще не переходить на HTTPS, чем использовать самоподписанный сертификат.
  2. Сертификат, валидированный по домену (Domain Validated). Это так называемый сертификат начального уровня доверия, при выдаче которого проверяется только домен. Он стоит недорого, выпускается в течение суток и подходит большинству сайтов. Его стоимость составляет 800–3000 рублей в год, в зависимости от издателя.
  3. Сертификат повышенной надежности (Organization Validation). В данном случае издатель проверяет саму компанию, которая хочет получить сертификат. Издателю важно убедиться, существует ли организация на самом деле. Такой сертификат доступен только юридическим лицам, а для его получения потребуются документы (например, свидетельство ОГРН и ИНН/КПП). Стоимость уже заметно выше и может достигать десятков тысяч рублей.
  4. Сертификат с расширенной валидацией (Extended Validation). Это наиболее защищенный вид сертификата, который подойдет только крупным организациям. Стоимость может достигать 150 000 рублей в год.

Помимо перечисленных, существует и сертификат Wildcard, который используется для сайтов с большим количеством поддоменов. Он защищает страницы на всех поддоменах. Стоимость — такая же, как у сертификата повышенной надежности.

Почему важно перейти на HTTPS?

Важность защищенного соединения сложно переоценить. Протокол HTTPS:

  • Гарантирует безопасность передачи данных (не важно, передают ли ее пользователи или сервер). HTTPS не исключает перехват данных, но делает их абсолютно непригодными для использования злоумышленниками.
  • Влияет на репутацию вашего сайта и компании в конечном итоге. Уязвимости, которыми пользуются злоумышленники, бьют в первую очередь по имиджу вашей компании и только потом — по кошельку.
  • Влияет на поисковую выдачу Google. Наличие подтвержденного сертификата — один из факторов, повышающих позиции вашего сайта на странице результатов выдачи.
  • Повышает уровень доверия к сайту. Сайты, использующие HTTP, браузер Google Chrome (один из самых популярных в мире) помечает как «небезопасные».
  • Исключает различные санкции со стороны поисковых систем и крупных площадок-агрегаторов. Например, сейчас на сервисе «Яндекс.Видео» не показывают ролики с сайтов, которые используют незащищенное соединение.

Использование HTTPS стало нормой. Пользователи уже неохотно переходят на сайты с HTTP-протоколом. А это серьезно влияет на количество посетителей и лидов.

Влияние HTTPS на количество покупок и заявок

Если вы работаете над коммерческим сайтом, обязательно купите SSL-сертификат. Он повлияет на развитие вашего бизнеса:

  1. Ваш сайт будет выше в поисковой выдаче. HTTPS для SEO имеет большое значение: поисковые системы доверяют таким сайтам больше, чем тем, которые используют HTTP.
  2. Ваш сайт увидят больше людей, и, как следствие, на него перейдет больше пользователей. Число посетителей вырастет.
  3. Чем больше аудитория у сайта, тем больше заявок или покупок. Конечно, на их количество влияют и другие факторы, но число посетителей — самый важный.

Значение HTTPS при развитии и продвижении коммерческого сайта велико, и отказываться от защищенного протокола не стоит. Тем более что многие издатели и хостинги предлагают недорогие SSL-сертификаты.

Как перейти на HTTPS: простая инструкция для новичков

Идеальное решение — установить SSL-сертификат непосредственно при открытии сайта. В этом случае вы сможете сразу пользоваться защищенным соединением. Проще всего купить такой сертификат у хостинг-провайдера и, пользуясь простым руководством, установить его на сайте.

Переезд с HTTP на HTTPS в случае с работающим сайтом, который уже приносит заявки и имеет какую-то аудиторию, несколько сложнее. Такой переезд займет некоторое время, и в этот период сайт может быть недоступен. Поэтому лучше всего выбрать сезон, когда активность пользователей снижается. Идеальное время для большинства компаний — длинные новогодние праздники. В начале января практически во всех сферах затишье. Исключение — бизнес, связанный с туризмом и развлечениями. Оценить активность пользователей в течение года вы можете с помощью «Яндекс.Метрики» или аналогичных систем.

Как перейти на HTTPS

Этапы переезда

Этап 1. Покупка и установка сертификата

  1. Выберите и купите SSL-сертификат. Начальный сертификат выпускается в течение суток. Если у вас небольшая компания, мы советуем использовать именно его.
  2. Зайдите в панель управления на хостинге и установите сертификат там. Можно использовать доступ ssh. Если возникнут сложности, обратитесь в техподдержку — там помогут с установкой.

Внимание! Не нужно настраивать редирект с HTTP.

  1. Откройте файл robots.txt и внесите туда изменения. Найдите директиву Host и измените протокол с http на https.

Этап 2. Работа с «Яндекс.Вебмастером»

Итак, основные изменения вы внесли. Теперь нужно зайти в «Яндекс.Вебмастер». Там:

  1. Подтвердите права на сайт, если они еще не подтверждены. Как именно это сделать, в сервисе подробно описано.
  2. Перейдите в раздел «Настройка индексирования», выберите пункт «Переезд сайта». Поставьте галочку в чекбокс «Добавить HTTPS» и сохраните изменения.
  3. Подождите около 2 недель. За это время изменения должны вступить в силу.

После этого вам нужно будет вернуться на сайт и настроить там 301 редирект. Обязательно измените все ссылки, которые найдете в коде, если они абсолютные. Относительные ссылки (те, в которых не указаны протокол и домен) менять не нужно. Не забудьте проверить карту сайта .xml и изменить ссылки там. После карту нужно будет загрузить в «Яндекс.Вебмастер».

Обратите внимание: вам придется пересматривать сайт в любом случае. Все абсолютные ссылки на внутренние страницы сайта должны содержать в себе «https://». Если ссылка останется старой, она не приведет пользователя или поискового робота на нужную страницу.

Этап 3. Работа в Google

Зайдите в свой аккаунт, затем:

  1. Перейдите в Google Search Console и добавьте туда новую версию сайта.
  2. Зайдите в настройки сайта и укажите основной домен.
  3. Переведите все настройки с http на https.

Раздел «Изменение адреса» трогать не нужно.

Этап 4. Последние штрихи

Внутренние ссылки и настройки в поисковых системах вы уже изменили, но остались внешние ссылки — те, что размещены на других сайтах. Если вы пользовались сервисами контекстной или баннерной рекламы, измените ссылки в соответствующих сервисах. Не забудьте написать владельцам площадок, у которых вы покупали прямую рекламу, и изменить ссылки в собственных группах и на страницах в социальных сетях.

Автор:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

telegram
Обратная связь
Свяжитесь с нами
Реквизиты

Фактический адрес: г. Москва, шоссе Энтузиастов, дом 56, строение 26, офис 304

Юридический адрес: 115191, г. Москва, 4-й Рощинский проезд д.7/16