У статті піде мова про таких моментах:
- питання необхідності його використання для різних сайтів;
- деякі тонкощі вибору і установки сертифіката;
- вплив https на просування.

Технічних деталей не буде, їх повно в інтернеті. Чітко, по пунктам, з важливими і неочевидними для новачків нюансами і деталями.

Коли Гугл заявив, що ресурси з SSL-сертифікат ранжируватимуться, при інших рівних умовах, вище інших, кількість таких сторінок у видачі істотно зросла. І це вірно - безпека клієнтських даних понад усе. Це не панацея, природно, зловмисники винахідливі і знаходять безліч методів викрадання цих даних. Але потурбуватися безпекою як своєї, так і своїх відвідувачів, все ж варто. Тим більше, якщо цей фактор впливає на розкрутку.

Отже, головне питання - навіщо і кому потрібен SSL-сертифікат. Основною його метою є шифрування інформації, що передається від користувача до сервера і навпаки. Трафік проходить безліч стадій, на кожній може бути потенційна витік даних; протокол HTTPS захищає від цього в більшості випадків.

Варто відзначити, що якщо атака йде цілеспрямовано на вас, або, що куди небезпечніше, саме на якісь конкретні ваші дані, то захиститися від цього буде вкрай складно.

Для користувача наявність дійсного сертифікату означає впевненість в тому, що він реєструється, залишає свої дані і робить оплату саме на необхідному сайті, дані компанії-власника якого було перевірено довіреної компанією, що видала сертифікат.

В першу чергу, SSL-сертифікат однозначно потрібен сайтам, що обробляють фінансові потоки. Це можуть бути інтернет-магазини, платіжні системи та шлюзи і т. Д., У фінансовій сфері безпека стоїть на першому місці. Використання HTTPS в даних випадках повинно бути обов'язковим з першого ж дня роботи сервісу!

Особисті дані клієнтів теж слід захистити на рівні сервера. HTTPS не врятує, звичайно, від зломів (для цього є інші методи), але значно підвищить рівень безпеки передачі інформації та, як наслідок, довіру до сайту. Витоку персональних даних зазвичай чреваті зіпсованою репутацією і судовими процедурами. Соціальні мережі, великі форуми повинні мати сертифікат.

Якщо сайт невеликий, на ньому не обробляються призначені для користувача дані, не приймаються платежі, то в перший час можна залишатися на старому HTTP. Однак я вважаю, в перспективі перехід на безпечне з'єднання обов'язковий. Це не потрібно хіба що для чисто інформаційних ресурсів, хоча, з урахуванням того, що на них теж розміщується реклама, сертифікат може стати в нагоді саме для її фільтрації.

Існує, в загальному випадку, три види сертифікатів:

- з перевіркою домену;

- з перевіркою компанії;

- з розширеною перевіркою компанії.

Для сайтів, які належать приватним особам, підходить тільки перший варіант. Процес отримання проходить в автоматичному режимі, перевіряється тільки електронна пошта або DNS-запис. Другий варіант підходить юридичним особам; тут проводиться перевірка назви і телефону компанії (контрольний дзвінок, до речі, може бути англійською). Ці дані будуть публічними. Третій, найскладніший, потрібен серйозним організаціям для підвищення рівня довіри. Центр сертифікації перевіряє юридичні документи компанії, а користувачі бачать її назву і зелену позначку в адресному рядку браузера.

Також сертифікати бувають на один домен, на все його піддомени (WildCard) і Мультидоменні (один на весь список доменів, вказаний при його отриманні).

Є поширена помилка, що HTTPS працює значно повільніше, ніж звичайний HTTP. Насправді затримки мінімальні і переважна більшість відвідувачів їх не помітять. Навантаження на сервер, втім, може зрости, і це потрібно враховувати.

Веб-майстер при переході на HTTPS повинен пам'ятати про такі моменти:

- для сайту потрібен виділений IP-адреса. Якщо це VPS або виділений сервер - не проблема.

- всі внутрішні посилання на сторінках повинні бути відносними, без вказівки протоколу.

- всі зовнішні посилання повинні бути на HTTPS. Якщо зі сторінки хоч одне посилання буде вести на незахищену сторінку, HTTPS в даному випадку буде працювати некоректно. Це стосується і, наприклад, банерів і рекламних матеріалів, які завантажуються зі сторонніх ресурсів. Вони теж повинні бути HTTPS. Це відноситься до медіа-матеріалів - зображення, аудіо, відео і т. Д. Варто також перевірити посилання в підвантажуваних скриптах.

- потрібно поставити 301 (постійний) редирект зі старих сторінок на нові. Це робиться за допомогою файлу htaccess.

- необхідно включити на сервері HSTS (Strict Transport Security). Завдяки цьому вся робота з сайтом буде проходити по протоколу HTTPS, незалежно від того, з якої посиланням зайде відвідувач.

- для прискорення роботи високонавантаженого проекту можна використовувати keep-alive (постійне з'єднання).

- пошуковим системам потрібно повідомити, що основна версія сайту тепер з HTTPS. Наприклад, можна додати нову адресу в панель вебмастера.

- дуже бажано захистити даними протоколом головну сторінку! Це складно для сайтів з великою відвідуваністю, але якщо цього не зробити, залишиться ще одна лазівка ​​для зловмисників.

Підготовка сайту однозначно займе більше часу, ніж придбання самого сертифіката. Для великого порталу це може зайняти тижні роботи декількох відділів. Частина витрат піде на розширення серверних ресурсів.

Багато суперечок точиться з приводу того, в якому саме центрі отримувати сертифікати. Мало того, не так давно з'явилися компанії, що видають їх абсолютно безкоштовно, що викликало у багатьох сумніви з приводу їх надійності. Я сперечатися не буду і просто скажу - це не грає абсолютно ніякої ролі. Уважно читайте умови, додаткові сервіси і самі вирішуйте.

З додаткових умов можна виділити гарантію від центру сертифікації. Якщо відвідувач зайде на сайт з цим сертифікатом і попадеться на розлучення, йому компенсують гроші. Правда, якщо і були прецеденти, то поодинокі, так що на це можна не звертати увагу.

Після заяви Гугла про включення HTTPS в алгоритм ранжирування, стали помітні зміни (за даними аналізу компанії Stickyeyes) в топах за деякими тематиками - фінанси, ігрові сайти, онлайн-казино і т. П. Як і з іншими алгоритмами і фільтрами, Гугл відноситься по різному до різних напрямків. Особливо помітне зростання сайтів із захищеним з'єднанням в особливо "улюбленої" їм темі - мікрокредитування, короткострокові позики. Практично весь топ тепер заповнений сервісами, що використовують HTTPS. Очевидно, що для вищезазначених тематик отримання SSL-сертифікатів є строго рекомендованим.

Втім, зустрічаються дослідження (наприклад, від SearchMetrics), які не показують ніякої кореляції позицій і наявності захищеного протоколу. Як мені здається, це питання в методології проведення досліджень, і перший варіант більш наближений до реальності. Поки що зміни торкнулися не всі тематики і дуже невеликий відсоток сторінок, тому в загальній статистичної масі зміни можуть бути не помітні.

З недоліків переходу на HTTPS іноді відзначають падіння доходів від Google Adsense, який перестане показувати посилання на незахищені сайти.

Версія протоколу SSL 3.0 виявилася ненадійною, тому від неї поступово відмовляються. Є безліч атак, нехай і досить складних, "пробивають" цей захист. А найпростіший і неприємний варіант - коли влада змушує провайдерів або власників дата-центрів ставити системи для перехоплення даних після того, як вони будуть розшифровані сервером.

Також провайдери або зловмисники можуть підміняти сертифікат сервера, тим самим перенаправляючи весь трафік користувача на себе з можливістю його читання.