Создание и продвижение сайтов Реклама в интернете
8 (800) 201-52-18
Заказать звонок
Написать нам
zakaz@nnov.ru
#РАЗРАБОТКА  #SEO продвижение

Протокол HTTPS: что это и как это работает

Сегодня HTTPS обязателен для каждого web-сайта: пользователи ищут зеленый замочек в адресной строке, когда передают личные данные; браузеры недвусмысленно помечают как небезопасные веб-сайты с формами на страницах без HTTPS; это влияет на позиции в поисковой выдаче и оказывает серьёзное влияние на приватность в целом. Кроме того, сейчас имеется несколько вариантов получить бесплатный сертификат, так что переход на HTTPS — всего лишь вопрос желания.
Что это?
Протокол HTTPS – технология, обеспечивающая безопасный обмен данными в Интернете. Суть ее заключается в том, что информация, передаваемая с помощью HTTPS, шифруется и становится недоступной для посторонних лиц.
1.
Преимущества использования HTTPS
  • повышается безопасность передачи данных между пользователем и сайтом;
  • уменьшается риск перехвата паролей и логинов пользователей и администраторов сайтов, что снижает вероятность взлома системы администрирования (CMS) и аккаунтов;
  • снижается риск утечки информации, касающейся банковских карт, заказов клиентов, адресов доставки и других персональных данных пользователей;
  • оказывает положительное влияние на SEO-продвижение.
Поисковые системы выделяют сайты, которые используют HTTPS. Google уже начал учитывать наличие защищенного соединения как фактор ранжирования. Yandex рекомендует вебмастерам переходить на защищенный протокол. В дальнейшем Yandex также может рассматривать наличие HTTPS в ранжировании. Использование HTTPS повышает доверие к сайту, улучшает поведенческие факторы и, как следствие, приводит к повышению позиций ресурса в поиске.

Такие преимущества объясняются, технологиями, которые применяются для создания защищенного соединения.

2.
Как работает HTTPS
Работа HTTPS обеспечивается SSL-сертификатом, который является своеобразным «удостоверением» сайта и представляет собой набор файлов, размещенных на сервере. Прежде чем установить защищенное соединение, браузер проверяет подлинность «удостоверения», для чего обращается к центру сертификации.

Если все в порядке, браузер считает ресурс безопасным и отмечает его «замочком». Эту иконку пользователь видит в адресной строке. При наведении курсора на «замочек», появляется информация, что подключение к данному сайту безопасно, то есть здесь можно без опасений вводить номера банковских карт, пароли и другую личную информацию. Убедившись в подлинности «удостоверения», браузер начинает обмениваться зашифрованными данными.
3.
Особенности шифрования
При заполнении пользователем контактной информации на сайте с сертификатом, браузер превращает набранный текст в случайный набор символов и передает это сообщение на сервер. Далее специальная программа преобразовывает полученное сообщение в обычный текст.

Для кодирования текста используются два вида шифрования:
  • Симметричное – для шифровки/расшифровки используется один ключ.
  • Ассиметричное – используется публичный и приватный ключ. Публичный только кодирует сообщения, его видит любой браузер. Приватный участвует только в расшифровке и хранится в секрете на сервере.
Симметричное кодирование более удобно, но ключ необходимо знать обеим сторонам. Реализовать это сложно, так как браузеров много, а сервер, где установлен SSL-сертификат, один. В этом случае серверу каждый раз пришлось бы отправлять ключ в открытом виде, что ненадежно. Для этого и необходимо ассиметричное шифрование – чтобы передать симметричный ключ.

Каждый раз, когда пользователь заходит на сайт, браузер создает единственно возможный симметричный ключ, зашифровывает его публичным ключом и передает на сервер. Компьютер сопоставляет приватный ключ с публичным и расшифровывает сообщение. Весь процесс занимает не более одной секунды.

Благодаря шифрованию, посторонние лица не могут получить доступ к информации, которой обмениваются пользователи сайта, а также отследить их действия на других страницах.
4.
Каким сайтам необходим HTTPS
Учитывая уровень безопасности, который предоставляет защищенного соединение, использование протокола становится необходимым всем, кто хочет обеспечить свой ресурс надежной защитой.

Обязательный переход на HTTPS рекомендован:
  • платежным сервисам;
  • онлайн-банкам;
  • интернет-магазинам;
  • коммерческим ресурсам, где есть формы заявок, обратной связи и функция онлайн-заказа;
  • информационным сайтам, где необходима регистрация пользователей и есть возможность оставлять комментарии.
Желательно, но не обязательно использовать защищенное соединение:
  • информационным сайтам, где пользователям разрешено комментировать посты без регистрации.
Нет необходимости переходить на протокол HTTPS, если:
  • сайт только размещает информацию без регистрации пользователей и возможности оставлять комментарии;
  • ресурс не собирает и не хранит персональные данные пользователей.
Чтобы ресурс начал работать по защищенному протоколу, необходимо получить один из видов SSL-сертификатов, которые выдают удостоверяющие центры.
5.
Виды SSL-сертификатов
VD (Domain Validaition)
Самый простой вариант. Подтверждает домен сайта и показывает, что пользователь обменивается зашифрованной информацией с определенным ресурсом, но определить принадлежность сайта невозможно. Выдается бесплатно. Срок действия – не более 90 дней, после чего надо перевыпускать.

Сертификат подойдет для небольших проектов, вроде личного блога, промо страницы с формой приема заказов, или личного сайта с приемом платежей.
OV (Organization Validation)
Второй уровень сертификации. В этом случае проверку проходит не только домен, но и его владелец. Может выдаваться на несколько лет. Зайдя на сайт, пользователь в информации о сертификате может посмотреть какой организации или частному лицу принадлежит ресурс.

OV сертификат – отличный вариант для форумов, социальных сетей, интернет-магазинов и других ресурсов, где есть прием платежей.
EV (Extended Validation)
Третий уровень предусматривает сложную и длительную проверку домена, его владельца и регистрационных данных организации. Сертификат может выдаваться на несколько лет. При посещении ресурса с EV сертификатом, адресная строка окрашивается в зеленый цвет, и если кликнуть на «замочек», то появляется название компании.

EV сертификаты доступны только юридическим лицам. Рекомендуется для финансовых учреждений, страховых компаний, корпоративным сайтам и другим крупным организациям.
6.
Как перевести сайт на HTTPS
Обеспечить ресурс защищенным протоколом можно самостоятельно или обратиться в специализированную компанию. Для установки своими силами необходимо получить бесплатный сертификат и установить его на свой хостинг. Настроить главное зеркало и редиректы. При выборе следует учесть, что для любого ресурса, где есть прием заказов или платежей, бесплатный сертификат – не лучшее решение.

Услуги профильных компаний включают:
  • выбор и установку сертификата на сервер;
  • настройку редиректа со страниц на HTTP протоколе на соответствующие страницы на HTTPS протоколе;
  • настройку переезда ресурса на HTTPS протокол в Yandex.Webmaster;
  • настройку главного зеркала для вебмастеров в Google.
Обычно, в результатах поиска адреса меняются на HTTPS в течение 1-2 недель, гораздо реже – в течение одного месяца или немного дольше. За этот период сайт успевает переиндексироваться.

Иногда процесс переиндексации или смены зеркала может вызвать снижение позиций сайта. Но после финализации процесса перемещения сайта на HTTPS показатели восстанавливаются до уровня, который был до перемещения и даже повышаются за счет улучшения ПФ.