Переход на HTTPS. Мотивы и методики

Печать

Учитывая публикацию Google двухлетней (!) давности и поднятого вокруг шума, переход на HTTPS — это основное мероприятие для поддержания на плаву и дальнейшего развития любого интернет-проекта в 2017 году. Сторонников перехода на шифрованный протокол передачи данных уже сейчас достаточно много, но хватает и противников.

Себя же я отношу к первым, поэтому сегодня мы достаточно подробно поговорим о том, что означает зелёный замок в адресной строке браузера и для чего он нам нужен. Кроме того, в конце данной статьи я поделюсь с вами отличными инструкциями по переводу сайта на протокол HTTPS, которые использовал сам. И так, начнём.

Что такое HTTPS

HTTPS — это привычный нам протокол передачи данных HTTP, расширенный криптографическими протоколами SSL или TLS. Оба протокола используют принципы аунтефикации и шифрования данных, но так сложилось, что для установки защищённого соединения традиционно используется SSL.

Не буду погружать вас в детали разницы между двумя протоколами, скажу лишь, что TLS (Transport Layer Security) — это своеобразное продолжение спецификации SSL 3.0, т. е. более новый стандарт шифровки данных.

Хотите очень быстро и наглядно разобраться, как работает HTTPS-соединение? Рассказываю (спасибо блогерам из Яндекса). Понятно, что посещение любого сайта — это обмен данными между пользователем (вами) и сервером (сайтом). Кликнув по ссылке, например, вы отправляете на сервер определённый пакет с данными. Открывшаяся страничка свидетельствует о том, что и вы получили определённый пакет данных от сервера.

Как работает HTTPS

Так вот, представьте, что данные — это обычная почтовая посылка, а вы и сайт — получатели посылок. После формирования посылки вы (получатель А) закрываете её на замок и отправляете получателю Б. Получив посылку, получатель Б, естественно, не может её открыть, так как ключ от замка есть только у получателя А.

Что же делает получатель Б в этом случае? Он просто вешает на посылку второй замок, ключ от которого есть только у него, и отправляет её обратно получателю А. Получатель А, в свою очередь, открывает и снимает свой замок, а посылку со вторым замком снова отправляет получателю Б. После этого получатель Б открывает свой замок своим же ключом и достаёт содержимое посылки.

Таким образом, отправка пользователем данных на сервер — это один вышеописанный цикл, а получение данных от сервера — другой. Вот таким нехитрым способом и формируется безопасное HTTPS-соединение. Ничего сложного для понимания, правда?

Виды SSL-сертификатов

Для того, чтобы сайт работал по протоколу HTTPS, необходим SSL-сертификат (Secure Sockets Layer). Он может быть как самоподписным, так и выданным центром сертификации. Конечно, в ряде случаев мы можем самостоятельно сгенерировать на хостинге и подписать свой SSL-сертификат, но по уровню подлинности и надёжности, если честно, он будет похож на паспорт, нарисованный своими руками.

Поэтому не будем заниматься ерундой и обратим внимание на центры сертификации, которые могут выпускать как бесплатные, так и платные сертификаты. Да-да, сейчас (на момент написания статьи) существуют и бесплатные сертификаторы, которые помогают популяризировать интернет-безопасность. Хотя это, скорее, явление временное, ведь за всё нужно платить.

Лидер и единственный бесплатный сертификатор сегодня — это компания Let's Encrypt. Именно здесь я рекомендую приобретать самые простые SSL-сертификаты для некоммерческих проектов. Анализ показал, что Let's Encrypt выдаёт вполне качественные сертификаты класса А, распознаваемые как безопасные абсолютным большинством браузеров.

SSL

Есть ещё сертификаты, выпускаемые компаниями StartCom (StartSSL) и WoSign, но эти продукты я вам не советую, так как несколько разработчиков известных браузеров считают сертификаты данных производителей недостаточно безопасными. Хотя в будущем всё может измениться.

А если у вас коммерческий проект — есть смысл приобрести более функциональный платный SSL-сертификат. Хороших компаний, выпускающих такие сертификаты, на самом деле немало. Хотя я бы обратил внимание на производителей антивирусных решений с мировым именем, таких, как Symantec и Comodo (у последнего, кстати, весьма демократичные цены — от 600 рублей за сертификат, выданный на 1 год).

В зависимости от количества поддерживаемых доменных имён SSL-сертификаты делятся на:

  • простые (однодоменные) — обеспечивают безопасность одного доменного имени и подходят для небольших сайтов (блогов);
  • с защитой поддоменов — прекрасно подходят для сайтов с более сложной структурой, так как поддерживают до ста поддоменов;
  • мультидоменные — наиболее выгодное решение для крупных компаний, имеющих несколько ресурсов на разных доменах.

HTTPS в строке браузера

В зависимости от уровня предоставляемой защиты SSL-сертификаты бывают:

  • с проверкой домена — наиболее дешёвые (или вообще бесплатные), так как не нуждаются в валидации сайта. Соответственно, выдаются такие сертификаты в течение нескольких минут и, в отличие от других типов, подходят как для физических, так и для юридических лиц. Но я бы не рекомендовал такое решение крупным компаниям, принимающим оплату за товары или услуги при помощи платёжных систем, так так этот тип сертификатов не поддерживает верификацию домена — основу доверительного отношения клиента к бренду. В этом случае стоит присмотреться к двум следующим типам;
  • с проверкой компании — более серьёзное решение. При выдаче таких сертификатов производится валидация не только домена, но и компании, которой он принадлежит. Соответственно продвинутые пользователи могут запросто убедиться, что посещаемый сайт принадлежит именно вашей компании, а не другим лицам;
  • с расширенной проверкой компании — сертификаты самого высокого уровня, которые подходят для крупного бизнеса. Сертификаты именно данного типа обеспечивают показ названия вашей компании в адресной строке многих браузеров рядом с зелёным замком. «Сбербанк Онлайн» Сбербанка России — классический пример визуализации SSL-сертификата с расширенной проверкой компании.

Рейтинг SSL A

Ещё SSL-сертификаты различаются по битности шифрования, но этот параметр сегодня надёжный практически во всех центрах сертификации и неспециалистам такие тонкости особого не интересны. А вот классность сертификата — показатель первоочередной.

Важно, чтобы ваш сертификат был класса А или А+. Проверить установленный сертификат можно при помощи сервиса SSLShopper. Срок действия сертификатов составляет от нескольких месяцев до нескольких лет. А многие хостинговые компании обеспечивают автоматическое продление сертификатов. Согласитесь, это очень удобно!

Переход на HTTPS. Да или нет?

Этот вопрос сейчас волнует многих веб-мастеров. Есть мнение, что защищённое соединение вовсе не нужно таким ресурсам, как новостные сайты или блоги. Лично я с этим не согласен и вот почему. Дело в том, что на любом сайте тем или иным образом пользователь вводит свои личные данные. Это может быть логин, имя или фамилия, адрес электронной почты и т. д.

И все эти сведения должны шифроваться, чтобы на пути от пользователя до сайта и обратно они не попали в руки злоумышленников. А для интернет-магазинов, например, вопрос установки SSL-сертификатов вообще не обсуждается, так как на таких ресурсах клиенты вводят в платёжные формы данные своих банковских карт.

Более того, злоумышленники могут запросто перехватить ваши данные через сеть Wi-Fi, поэтому посещать сайты по незащищённому протоколу в публичных местах крайне нежелательно. Да и в целом, с развитием новых технологий интернет становится более безопасным, поэтому я однозначно за переход на HTTPS.

HTTPS в строке браузера

Как получить зелёный замок

Друзья, сейчас в интернете есть немало информации о том, как перевести сайт с HTTP на HTTPS. На самом деле это не так уж и сложно, если у вас есть опыт создания, администрирования и продвижения сайтов. Но авторы многих публикаций дают либо весьма поверхностную информацию, либо уж сильно ударяются в теорию.

Поэтому ниже я предлагаю вашему вниманию материалы только проверенных авторов, где простым и доступным языком расписан пошагово перевод сайта (WordPress и не только) на HTTPS. А вы уж сами определитесь, изложение какого автора вам ближе и понятнее. Лично я изучил все приведённые статьи, и именно эти знания помогли мне без проблем получить зелёный замок для своего блога.

  1. Как перевести ваш сайт на HTTPS и почему это важно.
  2. Как перейти с HTTP на HTTPS?
  3. Как перенести сайт на HTTPS. Пошаговая инструкция.
  4. Сертификат SSL — как перенести сайт на HTTPS. Пошаговая инструкция.

Подводим итоги

Думаю, вы успешно осуществили переход на HTTPS (самостоятельно или при помощи хостера) и теперь пора подвести итоги. Что же получили посетители в результате перехода на HTTPS? А вот что — повышение безопасности пользования ресурсом примерно на порядок!

Если вы обнаружили, что многие страницы вашего ресурса выпали из поиска Яндекса (Google) или обнулился тИЦ сайта, не расстраивайтесь. Через несколько недель ситуация изменится (в случае корректного и полного перехода), и все разрешённые к индексации страницы снова появятся в поисковой выдаче, но уже с префиксом https.

Конечно, всех проблем безопасности установленный сертификат не решит и нужно понимать, что HTTPS-соединение обеспечивает сохранность и неизменность лишь передаваемых данных между сайтом и пользователем. Другие уязвимости протокол SSL не закрывает, поэтому для надёжной защиты интернет-ресурсов от киберугроз необходимо применять комплексные меры.

Кстати, если не поторопиться с переходом, то уже в скором времени ваш сайт браузер Chrome от Google будет помечать как небезопасный, даже если никакого вредоносного содержимого в нём нет. И это обстоятельство будет здорово отпугивать потенциальных посетителей ресурса. Я уже не говорю о банальном понижении в индексе поисковых систем сайтов без SSL-сертификатов.

HTTPS не защищено

А может получиться и так, что Chrome просто откажется открывать страницы, использующие устаревающий протокол HTTP. Имейте это в виду, так как за интернет-гигантом могут последовать и другие разработчики популярных браузеров.

И напоследок хочу рассказать об одной фишке. Знаете, почему некоторые SSL-сертификаты стоят немалых денег? Дело в том, что в стоимость сертификатов с расширенным функционалом закладывается страховка от случаев взлома. При этом страховая выплата может достигать десятки и сотни тысяч долларов!

Вероятность несанкционированной расшифровки ключей и перехвата данных, конечно же, стремиться к нулю, но знать об этом следует. На этом, пожалуй, всё. Если остались вопросы — жду вас в комментариях!

Замок на фоне цифровой матрицы

Просмотров: 790 Чтобы поделиться записью в социальных сетях и мессенджерах, воспользуйтесь кнопками:

Понравилась статья? Оцените!
Всего голосов: 18 Средняя оценка: 5

47
Отправить ответ

avatar
28 Цепочка комментария
19 Ответы по цепочке
28 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
27 Авторы комментариев
СветланаСветланаГалинаВикторИгорь Авторы недавних комментариев
  Подписаться  
Подписаться
Дмитрий
Дмитрий

Тема реально актуальная, я пока еще не совершил полный переход, но после установки сертификата и обязательного прописывания canonical с https гугл в поиске показывает адреса защищенные сертификатом шифрования. Пока так... Говорят, вроде нужный плагин скоро появится и процесс станет проще!

Игорь
Игорь

Я перевел свои сайты на протокол https, хотя сейчас понимаю, что обычному блогу это и не нужно. К тому же протокол никак не влияет в выдачи поисковых систем. Скорее всего отдал дань моде, ведь сейчас это модно )) Да ладно у меня бесплатный сертификат Let's Encrypt, так что я ничего не потерял ))

Игорь
Игорь

Перевёл уже два ресурса на https. Для интернет-магазина это очень важно, особенно в последнее время, когда некоторые браузеры при вводе почты и пароля стали выдавать сообщение, что это небезопасное соединение. Перед переводом обязательно смотрите подробную справку от Яндекса и делайте всё по инструкции. Само собой падение ТИЦ и посещалки на время склейки доменов неизбежно, но чтобы это минимизировать, читайте мануалы.