Часть 3. протоколы http/https

Применение HTTPS

В некоторых сервисах, например, в электронных платёжных системах, защита данных исключительно важна, поэтому в них используется только HTTPS. Этот протокол также очень часто применяется и в других сервисах, которые обрабатывают приватную информацию, в том числе любые персональные данные. Многие сервисы Яндекса работают только по протоколу HTTPS: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги, а также все формы обратной связи, имеющие дело с персональными данными пользователей.

Все современные браузеры поддерживают протокол HTTPS. Его не нужно специально настраивать — он автоматически включается в процесс, когда это необходимо и возможно.

Что такое протокол HTTPS и как он работает?

HTTPS – это протокол, который обеспечивает защищенное соединение между сайтом и пользователем. При обмене информации данные шифруются, что не позволяет прочитать их при перехвате.

Когда информация идет от сайта пользователю и обратно, она проходит множество узлов в сети Интернет. На любом узле информацию могут перехватить и посмотреть, какими данными обменивается сервер и пользователь. Так могут узнать пароли, финансовую информацию и другие данные. При передаче информации по протоколу HTTPS пакеты шифруются, что значит: без ключа невозможно посмотреть передаваемую информацию.

SSL — это криптографический протокол, который используется для шифрования данных и организации защищенного соединения.

Если ваш сайт не собирает конфиденциальную информацию, на нем нет базы пользователей, посетители не вводят логины, пароли, не оставляют адреса электронной почты, то можете спокойно работать по протоколу HTTP. Но если вы собираете данные и тем более принимаете платежи, вам нужно обязательно перевести сайт на безопасный HTTPS-протокол. Здесь тоже множество нюансов. Ниже о них поговорим.

Как перевести сайт на HTTPS

Чтобы получить защитный сертификат, достаточно приобрести его у регистратора домена, компании хостинг-провайдера или сторонних разработчиков. Многие фирмы, предоставляющие сервер для размещения сайта в аренду, предлагают бесплатное подключение HTTPS. Такие сертификаты справляются со своей функцией, однако сайт может работать медленнее, чем при использовании платного SSL/TLS на выделенном IP-адресе. Подключение HTTPS для старого и большого сайта стоит доверить специалисту, поскольку при переходе могут возникнуть сложности с доступностью страниц: некоторые разделы сайта и вовсе могут не открываться из-за неправильных настроек.

Как скачать Историю с компьютера

Downloader for Instagram

Расширение для браузера Chrome, которое позволяет скачать Истории с веб-версии Инстаграма.

Через расширение Downloader for Instagram можно сделать новое окно в браузере в виде мобильного приложения

Как скачать Историю с компьютера через браузер Хром:

1. Устанавливаем расширение Downloader for Instagram в Магазине приложений Chrome.
2. Заходим в свой профиль Инстаграм через браузер Chrome.
3. Над полосой с иконками Историй появилось вкладка «Истории расширения»
4. Нажимаем на нужную Историю и сохраняем одну или все актуальные сторис с аккаунта.

InstaSaver

<a href=»/rassirenia-opera/»>Расширение для браузера Opera или Яндекс, которое добавляет иконку скачивания на сторис и посты в ленте веб-версии Инстаграм.

Иконка загрузки расширения InstaSaver

Как скачать Историю с компьютера через Яндекс.Браузер:

1. Устанавливаем расширение InstaSaver в Магазине приложений Opera.
2. Заходим в свой профиль Инстаграм через Яндекс.Браузер.
3. Выбираем Историю и нажимаем на кнопку со значком загрузки.

Instasaved

Бесплатный онлайн-сервис для загрузки Историй через браузер. Работает как на компьютере, так и на телефоне.

Как скачать историю онлайн

Как скачать Историю онлайн:

1. Заходим на сайт Instasaved.
2. Вводим имя профиля в Инстаграм и нажимаем «Загрузить».
3. Выбираем нужную Историю и сохраняем на устройство.

Кстати, больше полезных онлайн-сервисов (более 25!) для работы в Инстаграм есть в статье «Топ-25 сервисов для работы в Инстаграм».

Чем отличается HTTPS от HTTP

Чтобы разобраться этой теме, придется сделать ряд терминологических расшифровок и даже сделать небольшой экскурс в историю становления и развития всемирной сети интернет.

Чтобы не упустить нить мысли, рекомендуем прочитать все пункты внимательно, не перескакивая, иначе будет нарушена логика.

1. Еще в далеком 1994-ом году разработчики компании Netscape Communications позаботились созданием безопасной среды коммуникаций для пользователя браузера Netscape Navigator и придумали защищенный протокол обмена данными HTTPS при помощи криптографического протокола SSL.
2. К сожалению, в результате «Войны браузеров» поистине замечательный веб-обозреватель, во многом опередивший время, был повержен могуществом маркетологов корпорации Microsoft. В результате чего компания Netscape обанкротилась, а браузер Netscape Navigator перестал обновляться.
3. Наступила эра глобализма браузера Internet Explorer.
4. Hyper Text Transfer Protocol переводится как «трансферный протокол гипертекста» или «протокол трансфера внутри гипертекста». Говоря простыми словами – протокол передачи данных между гипертекстовыми документами.
5. В данном контексте под протоколом следует понимать некий набор правил функционирования сетевого интерфейса.
6. Под интерфейсом помается некая аппаратно-программная прослойка между функциональными единицами всемирной сети.
7. SSL – Secure Sockets Layer переводится как «слой защищенных сокетов». Речь идет о алгоритме передачи данных между сетевыми интерфейсами, основанном на криптографическом шифровании.
8. Правила обмена данными шифруются криптографическим образом для обеспечения невозможности третьих сторон получить доступ к передаваемым данным.

Если бы в свое время компания Netscape Communications не пала жертвой Войны Браузеров, мы бы имели безопасный протокол HTTPS внедренным уже двадцать лет назад.

Не углубляясь в тонкости искусства программирования, защищенный протокол передачи данных HTTPS – это самый обычный открытый протокол HTTP, но, правила и данные в этом случае шифруются посредством сертификации SSL.

HTTPS – способ обмена данными на базе открытого протокола HTTP интегрированного в слои криптографического протокола SSL.

В результате этого блокируется несанкционированный доступ к транслируемой информации.

HTTPS – это не есть какой-то новый или отдельный протокол.

Это HTTP, в котором защищенность от внешнего считывания достигается за счет передачи данных по шифрованным каналам или слоям криптографического протокола SSL.

Применение

HTTPS используется для обеспечения конфиденциальности в процессе обмена данными между документами или клиентами сети гипертекстовых документов.

Изначально защищенный протокол разрабатывался конкретно для защиты персональных данных пользователей веб-браузеров. В общем плане может использоваться для шифрования любых сетевых трансферов по глобальной или локальной сети.

В практическом смысле применение HTTPS целесообразно только в случаях, когда между субъектами обмена передаются сведения, которые не должны стать публичным достоянием.

К примеру, нет смысла тратить деньги на обеспечения шифрования общедоступной информации, которую можно свободно найти на каждом сайте в интернете.

Для каких интернет-проектов протокол HTTPS необходим?

Для проектов, в процессе функционирования которых по сети проходят персональные или коммерческие данные пользователей.

Информационно-тематическому блогу, автор которого занимается исключительно размещением статей для публичного чтения, шифрованный протокол HTTPS не обязателен.

Вспомним историю, компания Netscape Communications создавала HTTPS для защиты конфиденциальности пользователей своего браузера Netscape Navigator.

Рекомендации поисковых систем по изменению протокола

Проблема, перед которой веб-мастера могут оказаться при переходе на HTTPS – это понижение позиций в выдаче и некоторое уменьшение трафика. Для корректного перевода можно почитать рекомендации от компании Google на странице перенос веб-сайта с изменением URL. Осуществляется это методом настройки 301-редиректа со страниц HTTP ресурса на равнозначные страницы HTTPS. Другого способа пока нет.

При правильном перенаправлении, все seo-показатели будут переданы. Что же касается повышения позиции при ранжировании – изменения действительно есть, правда, незначительные. При этом нужно не забыть добавить веб-сайт с новым url в панель веб-мастеров и внести главное зеркало ресурса.

Важно, чтобы все ссылки на загружаемый контент проходили через HTTPS. К ним относятся картинки, скрипты, файлы стилей и даже web-шрифты

Если HTTPS сайт загружает какие-либо файлы через http соединение, пользователям может выводиться уведомление, что защита https не функционирует на 100%. Кроме того, некоторые веб-обозреватели могут и вовсе не отображать комбинированное содержимое, что повлечет потерю работоспособности ресурса.

Яндекс предоставляет 2 метода перехода на HTTPS:

• С помощью директивы Host в файле robots.txt;
• За счет обработки серверного перенаправления со старого ресурса на новый (этот вариант является более предпочтительным, когда новый сайт не является главным зеркалом).

При использовании 301-редиректа в Яндексе велика вероятность негативного исхода – перенос займет определенное время, при котором можно лишиться всех имеющихся позиций. Отдел технической поддержки Яндекс комментирует это так:

• Временное обнуление является характерной особенностью склеивания зеркал;
• ТИЦ вернется к прежнему значению по адресу основного зеркала, после процедуры склеивания, во время очередного пересчета.

Чтобы не терять время, Яндекс рекомендует использовать инструмент «Главное зеркало», который доступен на сервисе «Яндекс.Вебмастер». В разделе «Настройка индексирования» существует панель «Установить протокол https».

Заключение

И все же, стоит переводить сайты на защищенное соединение HTTPS или нет? Переходить на HTTPS исключительно ради поисковой оптимизации не стоит. Но когда существует острая необходимость в безопасном соединении, например, во время работы с личными данными клиентов, HTTPS – это пока лучший метод защиты от злоумышленников. Так как лоббирование перехода исходит как от поисковиков, так и от разработчиков браузеров, лучше не упускать момент и перейти на безопасное соединение. Ну хотя бы только на самых важных проектах.

Теперь есть над чем задумать. Подписываемся на обновления и всем успехов.

В чем разница между HTTP и HTTPS и как они работаю

Когда вы открываете сайт в браузере, то происходит обмен данными между браузером и сервером, на котором находится сайт. Браузер делает запросы, сервер отвечает, эти процессы вы не видите. Зато вы видите, как загружается сайт, подгружаются картинки, стили и так далее. Всё это процесс обмена данными между браузером и сервером.

Так вот, на обычных сайтах, с протоколом http, передача данных в запросах осуществляется без шифрования, а на сайтах с протоколом https в зашифрованном виде.

Это означает, что когда на обычном сайте вы входите в личный кабине, вводите логин и пароль, то запрос на сервер оправляется в таком не защищённом виде. А учитывая, что запрос идёт не напрямую, а через посредников, то злоумышленники могут легко перехватить эти данные. А дальше вы понимаете.

Вот что выдаёт сейчас браузер при просмотре незащищённых сайтов.

Что же происходит, когда сайт работает на протоколе https?

На таких сайтах передача данных защищена, она передаётся в шифрованном виде.

Как происходит обмен шифрованными данными?

При переходе на сайт, на запрос браузера, сервер отправляет SSL-сертификат, в котором содержится информация о сертификате (кто выдал, на какой срок), информация о сайте и самое главное – открытый ключ шифрования. С помощью этого ключа браузер будет шифровать, и расшифровывать данные отправляемые и получаемые с сервера.

На сервере же находится второй ключ (приватный), с его помощью сервер шифрует, и расшифровывает данные браузера.

Если браузер проанализировал сертификат, и всё в порядке, в браузере вы сможете наблюдать замочек в адресной строке.

Цветом он может быть зелёным или серым. В разных браузерах по-разному. Если замочек закрыт, всё хорошо, и данные будут передаваться в зашифрованном виде.

Думаю, теперь разница между протоколами понятна.

Как выбрать тип сертификата?

Выбор конечного типа сертификата зависит от самого проекта, который переходит на защищенный формат передачи данных — HTTPS. Типовые задачи:

1. Переход на HTTPS одного домена. Если сайт представляет компанию (юридическое лицо), то используется стандартный вариант — Organisation Validation сертификат. Если физическое лицо — Domain Validation, примеры: Thawte SSL123 (недорогой), Geotrust RapidSSL Wildcard.

2. Перевод на HTTPS для нескольких поддоменов одного сайта (региональные или тематические поддомены, дочерние проекты). Используется сертификат Wildcard, примеры: Geotrust RapidSSL Wildcard, Thawte SSLWildCard и другие.

3. Для списка доменов / группы проектов. Задачу решают сертификаты SAN, проверяются — список доменов и компания. Примеры: Geotrust True BusinessID SAN. Используется достаточно редко.

4. Для банка, финансовых учреждений, холдинга, сайта с биллингом. Чаще всего используются сертификаты с расширенной проверкой — Extended Validation, примеры: Thawte SSLWebServerEV, Symantec Secure Site EV.

Цена самого сертификата может варьироваться в зависимости от компании, где вы осуществляете его приобретение (как при покупке доменного имени). Стандартный срок действия — 1 год.

Преимущества перехода на HTTPS

Ценность протокола HTTPS строится еще и на следующих факторах.

Увеличение рейтинга

Утверждается, что Google подтвердил небольшое повышение рейтинга сайтов с HTTPS. Как и большинство ранжирующих сигналов, довольно сложно выделить его отдельно, однако о нем все-таки нужно помнить. Преимуществом ситуации является значение перехода на HTTPS, которое должно увеличиваться в течение определенного времени.

Реферальная информация

Когда трафик доставляется на HTTPS-сайт, сохраняются конфиденциальные реферальные данные. Это происходит по-другому, чем при получении трафика по протоколу HTTP. В последнем случае поток посетителей воспринимается не как реферальный, а как прямой.

Конфиденциальность и приватность

HTTPS влияет на конфиденциальность несколькими способами:

• Он проверяет, является ли сайт тем, с которым должен связаться сервер.
• Он предотвращает изменения со стороны других пользователей.
• Это делает ваш сайт более конфиденциальным для пользователей.
• Он шифрует любые коммуникации, включая URL-адреса, которые обеспечивают такие вещи, как история просмотров и номера кредитных карт.

Рекомендации по работе с протоколом HTTPS от Google

Google активно выступает за распространение защищенного протокола – сайты с HTTPS получают небольшое преимущество в результатах поиска. А чтобы работа с интернет-протоколом HTTPS не вызывала сложностей Google советует придерживаться следующих рекомендаций:

• Использовать надежный сертификат безопасности,
• При необходимости использовать 301 редирект,
• Не закрывать HTTPS-страницы от сканирования и индексации файлом robots.txt,
• Не использовать на HTTPS-страницах теги noindex,
• Использовать технологию HSTS, которая снизит вероятность показа пользователям незащищенного содержания. В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет HTTPS в адресной строке.

Определение HTTPS

HTTPS – протокол защищенной передачи данных. Это набор команд и инструкций, которым сервер должен следовать, когда передаются какие-либо данные от пользователя на сайт. Если объяснять простыми словами, исходя из определения HTTPS (от англ. HyperText Transfer Protocol Secure – безопасный протокол передачи гипертекста), его можно назвать защитным барьером, через который злоумышленникам не добраться к личным данным посетителей веб-ресурсов. Информация, передаваемая на защищенный сайт с HTTPS, шифруется специальными криптографическими протоколами – SSL и TLS. В их основе лежит секретный алгоритм, по которому данные преобразуются в набор зашифрованных символов. Их можно расшифровать только при помощи специального ключа. Поэтому злоумышленники не могут взломать сайт или аккаунты пользователей на сайтах с HTTPS.

Завершение перехода с HTTP на HTTPS

Проводим техническую настройку

После установки у вас впереди склейка зеркал, то есть копий сайта. Ссылочный вес нужно будет перенести на главное зеркало, это можно сделать в кабинетах вебмастеров поисковиков. Переход займет большое количество времени – до нескольких месяцев. Придется потерпеть, ускорить процесс никак нельзя, мы проверяли.

Пока идет склейка, сайт нужно оставить доступным по обоим адресам. При доступности обеих версий Google сразу будет показывать версию с HTTPS, а Яндекс будет делать это после склейки.

Кроме того, нужны некоторые завершающие действия:

1.Настройте постраничный 301 редирект.

Когда склейка завершится, следует настроить постраничный 301 редирект на страницы с новым протоколом.

Для перенаправления подойдут строчки кода в файле .htaccess:

RewriteCond %{SERVER_PORT} !^443$ 
RewriteRule ^(.*)$ <a href="<a href=" <a="">https://site.ru/</a>">https://site.ru/$1">https://site.ru/$1 
Либо такой вариант:
RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) <a href="about:blank">https://{HTTPS_HOST</a>}%{REQUEST_URI} 

Код должен сработать для большинства серверов, если для вашего он не подошел, проконсультируйтесь с хостером.

2.Настройте robots.txt, чтобы роботы индексировали сайт только по одному новому протоколу, то есть укажите, что версия с HTTPS — главная. Для этого в файле robots в директиве host добавьте https://.

3.Настройте sitemap.xml, аналогично добавив https://.

4. Проверьте rel=»canonical» и rel=»alternate», там также должны быть ссылки с HTTPS.

5. Поработайте со внутренними ссылками, включая URL всех статических файлов. В HTML-коде абсолютных ссылок замените HTTP на HTTPS.

Это можно сделать при помощи специальных скриптов, но если вы не ищете легких путей, то вполне можно сделать и вручную. Для объемных ресурсов можно использовать также сервисы SEO-анализа сайтов.

6. Настройте метатег для реферального трафика.

Если на вашем сайте есть рекламные баннеры, ведущие на сайты без HTTPS, то метрики могут не распознавать ваш сайт с сертификатом как источник трафика. Переходы на такие сайты с вашего ресурса Яндекс.Метрика или Google Analytics могут относить к прямому трафику.

Чтобы такого не произошло, добавьте метатег на страницы до тега . Часть «origin» будет означать передачу протокола и домена.

Теперь об изменениях нужно оповестить поисковики – они должны быть в курсе смены протокола.

Оповещаем Яндекс и Google о смене протокола

Оповещаем поисковики. Яндексу о смене протокола можно рассказать
здесь:

Сделайте пометку на добавлении HTTPS

А Google –
здесь:

Нужно добавить сайт с новым протоколом в Search Console

Добавьте в Search Console адрес сайта, использующего HTTPS. Помните, что Search Console расценивает страницы HTTP и HTTPS как разные, поэтому их данные не совпадают. Если на вашем сайте используются оба протокола, то в Search Console следует добавить два ресурса.

Основные действия вы завершили, теперь остается только ждать. И готовиться к снижению трафика и ТИЦ – при переходе это нормальная история. Не бойтесь, со временем позиции восстановятся и скорее всего улучшатся, благо лояльность поисковиков к HTTPS сайтам только повышается день ото дня.

Центры сертификации и виды сертификатов

Центр сертификации — специализированная организация, которая осуществляет выдачу цифровых сертификатов и проверку данных, перед и после его выдачи.

Различия SSL-сертификатов заключаются в проверке той информации, которая осуществляется центром, это:

• Domain Validation сертификаты — позволяют удостоверить наличие прав на управление доменом. Посетитель, просмотрев данный тип сертификата, может убедиться, что он находится на том сайте/домене, адрес которого введен в браузерной строке (не было перенаправления его злоумышленниками на подложный сайт).

• Organisation Validation сертификат — центр проверяет не только наличие прав на домен, но и существование организации / владельца, у которых есть эти права.

  Посетитель, который находится на сайте с использованием сертификата данного типа может убедиться в корректности самого сайта и определить, кому принадлежит ресурс. Для установки сертификата данного типа — требуется дополнительно подтвердить идентификационные данные владельца.

• Extended Validation сертификат — удостоверяет домен и владельца, но предоставляются центром только после расширенной проверки самой организации.

Какие бывают SSL-сертификаты и в чём их отличие

Как вы уже поняли, SSL-сертификат нужен для подтверждения безопасности сайта и обеспечения шифрования данных между браузером и сервером.

Сертификаты существуют двух видов: — Самоподписанные и Доверительные.

Доверительные, в свою очередь, подразделяются по уровню проверки и количеству доменов, на которые распространяются.

1. Самоподписанные (самозаверенные) сертификаты (Self-Signed)

Это скорей проблема, чем её решение. Такие сертификаты не воспринимаются большинством браузеров, как безопасные, так как в них не указан центр сертификации, или он неизвестен браузеру.

Подпись такого сертификата проверяется публичным ключом, который является частью самого сертификата. То есть сертификат сам себя подтверждает.

Именно по этой причине браузеры не доверяют таким сертификатам и выдают предупреждение, что сертификат не удалось проверить и следует, покинут этот сайт.

Тут уж лучше совсем без сертификата.

Так что такие сертификаты для публичных сайтов не подходят.

1. Доверительные (Trusted)

Эти сертификаты надёжны и выдаются центрами сертификации. А это значит, что такие сертификаты официально признаны во всём мире и распознаются всеми браузерами, так как это происходит через систему корневых сертификатов, которые установлены и обновляются в браузерах.

Каждый выданный сертификат гарантирует денежную компенсацию в случае его взлома.

Эти сертификаты подразделяются по уровню проверки и количеству доменов. От этого зависит их надёжность и цена.

SSL-сертификат с проверкой домена (Domain Validated или DV).

Сертификат доступен физическим лицам — в том числе ИП и компаниям, государственным учреждениям. Подтверждает тот факт, что домен принадлежит вам. Для его выпуска не требуется представлять документы, что ускоряет процесс получения.

Этот сертификат шифрует обмен данными, но не даёт гарантии, что владельцу можно доверять.

По стоимости это самый дешёвый сертификат, так в FirstSSL можно купить этот сертификат от 470 рублей в год. А в некоторых случаях и получить бесплатно.

Получаете вы такой сертификат в течение 5 минут.

А главное, этот сертификат отлично подходит для обычных сайтов, где нет приёма персональных данных и оплаты.

SSL-сертификат с проверкой организации (Organization Validated или OV)

Для получения этого сертификата нужно пройти более тщательную проверку. Занимает она примерно 2-5 дней. Нужно будет предоставить регистрационные данные компании или ИП и подтвердить законное владение доменом.

Физическим лицам этот вид сертификатов недоступен. Как и следующий.

SSL-сертификат с расширенной проверкой (Extended Validation или EV)

Это самый дорогой сертификат и получить его сложнее всего. Этот сертификат, помимо замочка в адресной строке ещё отображает название организации, получившей сертификат.

Такие сертификаты имеют наивысший уровень доверия, так как подтверждают не только владение доменом, но и факт реального существования компании. Это достигается за счёт тщательных проверок организации.

Алгоритм проверок строго регламентирован, и проверка может продолжаться от 3 до 9 дней.

Такие сертификаты используются на платёжных системах, банках и других серьёзных организациях.

Сертификаты отличаются по количеству доменов, на которые распространяются.

SSL-сертификат для одного домена — защищает домен с www и без www.

SSL-сертификат для нескольких доменов – защищает до 100 доменных имён.

SSL-сертификат Wildcard – защищает домен и все его поддомены.

Теперь вы знаете, какие бывают сертификаты, и можете определиться, какой нужен именно вашему сайту.

Так, если вы не используете поддомены, не осуществляете платежи через сайт и не храните персональные данные, то следует остановить свой выбор на доверительном сертификате с проверкой домена (DV).

Когда сайту нужно переходить на HTTPS протокол? Чек-лист для принятия решения

Протокол https необходим, если на сайте:

• Есть регистрация пользователей.
• Имеются формы обратной связи, формы заказа звонка и иные формы, куда пользователи могут добавлять личные данные (адрес почты, номер телефона, имя и т.д.).
• Сайт собирает, хранит или передает конфиденциальную информацию, такую как: личные данные пользователей (имена, паспортные данные, номера банковских карт, личные сообщения, почта и т.д.).
• Имеется возможность оставлять комментарии.

Обязательно необходимо перейти на протокол HTTPS следующим сайтам:

Желательно, но не обязательно использовать протокол HTTPS:

Информационным сайтам и блогам, имеющим функцию комментирования постов без регистрации пользователей.

Не нужен протокол HTTPS в случае, если:

Распространение HTTPS

Одна из самых популярных рекомендаций любых интернет-сервисов — всегда использовать последние версии программного обеспечения. Если вы никогда не задумывались о том, зачем это нужно, то вот вам одна из причин — поддержка последних разработок в области безопасности.

Распространение HTTPS и вообще новых технологий в интернете во многом зависит от того, насколько быстро появляется инфраструктура для их использования. К примеру, если бы у половины пользователей интернета браузеры не поддерживали HTTPS, многие сайты просто не смогли бы его использовать. Это привело бы к тому, что сайт какого-нибудь банка, полностью перешедший на HTTPS, был бы недоступен у половины клиентов.

Кроме того, в криптографических протоколах, в том числе и в SSL/TLS, время от времени находят уязвимости, которые позволяют перехватывать даже зашифрованную информацию. Для устранения этих уязвимостей протоколы регулярно обновляют, и каждая следующая версия, как правило, надёжнее предыдущей. Поэтому чем больше людей устанавливают современные версии браузеров и других важных программ, тем надёжнее они будут защищены.

Различия SSL сертификатов

SSL-сертификаты имеют несколько разновидностей. Они классифицируются следующим доверительным факторам:

1. Проверка в упрощенном виде — DV (domain validation). Подтверждение права на пользование доменом. Обычно такой сертификат можно получить бесплатно.

2. Стандартная проверка OV (organization validation). Кроме права на владение доменом, подтверждается фактическое существование организации.

3. Расширенная проверка EV (extended validation). Подтверждает большую степень доверия – к перечисленным выше факторам прибавляется правомерное осуществление работы компании.

Как работает

Стандартный протокол HTTP передает данные без изменений. Злоумышленники могут подключиться к каналам передачи и перехватить информацию. В HTTPS для таких случаев создается закодированный канал. В этом случае последовательность работы с сайтом имеет следующий вид:

• пользователь нажимает ссылку, ведущую на сайт, защищенный SSl/TLS-сертификатом;
• браузер посылает к сайту запрос;
• в ответ на это сайт отправляет копию сертификата;
• браузер проверяет, является ли сертификат подлинным.

Если сертификат не подделан, между браузером и сайтом возникает соединение, защищенное секретным ключом, который шифрует данные. Все эти действия происходят за доли секунды, поэтому пользователь даже не замечает этого. Зная о HTTPS – что это такое и как используется, владельцы сайтов и начинающие вебмастера могут обезопасить своих посетителей, а также улучшить некоторые SEO-показатели.

Мнение Google о HTTPS

Не для кого не секрет, что Google больше любит защищенные и сертифицированные сайты.

Причина такого отношения – факт, что пользователи получают гарантию шифрования своих данных c дополнительным уровнем конфиденциальности. Но следует понимать, что получение защищенного сертификата может стать причиной дополнительных проблем (именно из-за этого ему дается более высокий рейтинг).

Когда веб-сайт проходит через все этапы получения сертификата, пользователь становится третьей стороной. Когда ваш браузер обнаруживает защищенный сайт, он проверяет данные сертификата, чтобы установить, является ли сайт тем, что декларируется.

Согласно заявлению, которое сделано в самом начале, Google сегодня использует HTTPS как один из факторов ранжирования. Благодаря анализу информации становится понятно, что веб-сайты с HTTPS имеют преимущество по сравнению с HTTP-URL-адресами. Именно поэтому переключение на него принесет выгоду всем компаниям, вне зависимости от того используются ли конфиденциальные данные или нет.

Также отмечают, что информация, предоставляемая с помощью HTTPS, передается более надежно через протокол безопасности транспортного уровня (TLS). Он гарантирует три основных уровня безопасности:

• Шифрование. При шифровании меняется информация, чтобы сохранить ее надежность.
• Целостность данных. Информация не может быть обнаружена или повреждена во время доставки, если ее не раскроют.
• Аутентификация устанавливает, что у ваших пользователей есть связь с сайтом.

Google объявил, что веб-ресурсы с HTTPS, получат небольшое преимущество при ранжировании именно из-за этих вопросов конфиденциальности.

Тем не менее, само влияние HTTPS не так значительно по сравнению с другими факторами ранжирования (например, высококачественным контентом).

Какой SSL-сертификат выбрать для сайта? Объясняем простыми словами

SSL-сертификаты выдают специальные удостоверяющие центры. В зависимости от типа сертификата они проверяют разные данные у владельца сайта и выдают сертификат, подтверждающий определенную информацию.

Выделяют следующие типы SSL-сертификатов:

• Самый простой сертификат — DV (Domain Validation). Он подтверждает только домен сайта. В этом случае сертификат показывает, что пользователь обменивается зашифрованными данными с определенным сайтом, но кому принадлежит проект — неизвестно. DV сертификат можно получить бесплатно. Об этом подробно расскажем ниже.
• Второй уровень сертификатов — OV (Organization Validation). Здесь проверяется не только домен, но и его владелец. Пользователь, зайдя на сайт, может посмотреть в информации о сертификате, кому принадлежит ресурс (какой компании или частному лицу). Доверия к таким сайтам больше.
• Третий уровень — EV (Extended Validation). Такие SSL-сертификаты подтверждают не только домен и владельца сайта, но и регистрационные данные компании. При заходе на сайт, имеющий сертификат EV, строка браузера окрашивается в зеленый цвет. Установка EV SSL рекомендуется для банков, финансовых организаций, компаний, работающих с чувствительными персональными данными.

Как правило, сертификат привязывается к определенному домену или субдомену. Если на вашем сайте много субдоменов, то можно купить Wildcard сертификат. Он может работать для всех субдоменов в рамках одного домена.

Также есть SAN сертификаты. Они могут работать для разных доменов, находящихся на одном сервере и также позволяют экономить деньги при наличии у компании большого числа сайтов.

SSL-сертификаты c поддержкой IDN — это тип сертификатов, которые поддерживают интернациональные доменные имена, например, русскоязычные (в зоне .рф). Если у вас такой домен, то нужно покупать сертификат с поддержкой IDN.

Бесплатные и платные виды SSL-сертификатов, их плюсы и минусы:

Сертификаты SSL выдаются специальными центрами сертификации по всему миру. Наиболее известные из них: Symantec, Trustwave, Comodo, eKey, Tensor. Отличие между ними: в цене услуги и количестве браузеров, в которых установлен корневой сертификат центра. Если в браузере нет корневого сертификата данного центра, то он будет выдавать ошибку при заходе на сайт.

Ошибка может выдаваться браузером и в других случаях:

• Устарел корневой сертификат.
• Отсутствие корневого сертификата в файле на сервере.
• Ошибка обновления сертификата.

Ради интереса вы можете посмотреть все корневые сертификаты, установленные в вашем браузере. Для этого зайдите в настройки браузера, найдите там раздел “Управление сертификатами” и посмотрите “Доверенные центры сертификации”.

Где можно купить сертификат

Здесь ситуация обстоит так же, как и с регистрацией доменных имён. Есть центры сертификации, и есть их партнёры. Так вот через партнёров приобретать сертификаты гораздо дешевле. Партнёры закупают сертификаты оптом и поэтому у них цены ниже. Надёжность сертификата от этого не страдает.

Для себя я нашёл наиболее подходящий FirstSSL. Здесь самая адекватная ценовая политика.

А также сертификат можно приобрести у хостинг-провайдера. Но, у них цены выше.

А ещё у некоторых хостингах нет возможности установить сторонний сертификат, только купленный у них. На моём хостинге сейчас случилась именно такая засада.

Выводы

Перевод сайта на безопасный HTTPS-протокол является обязательной процедурой начиная с 2017 года (тем более, в 2018 и 2019 годах) для всех коммерческих сайтов, проектов с формой авторизации и обратной связи.

Лидирующие показатели браузера Google Chrome в рунете и радикальная позиция о необходимости перехода на HTTPS — сильно ускоряют процесс и делают покупку SSL-сертификата обязательной и для всех остальных типов проектов. Более того, доля сайтов на HTTPS в ТОП-10 выдачи Яндекса существенно выше аналогичной в ТОП-100, что говорит о том, что авторитетные ресурсы уже перешли на защищенный протокол обмена.

Приведенные выше рекомендации позволят быстро выбрать наиболее подходящий сертификат, избежать критических ошибок при переносе сайта и смене главного зеркала. Удачи в самостоятельном повышении безопасности проектов, роста трафика и конверсии!

Другие статьи рубрики

← Баден-Баден от Яндекса

Ключевые SEO-термины →