Сегодня речь пойдет о протоколе безопасности HTTPS

Прежде всего, давайте определимся, что такое SSL и HTTPS.

SSL-сертификат (Secure Sockets Layer, «уровень защищённых cокетов») – сертификат, подтверждающий безопасность действий на сайте, надежность соединений и защиту передачи данных.

HTTPS-протокол – расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Это обычный HTTP-протокол, работающий через шифрованные механизмы SSL и TLS. (S) (от Secure, «защищенный»).

Не всегда понятно, зачем нужен протокол HTTPS и какие плюсы открывает его наличие. Выделим основные моменты:

• Шифрование данных во избежание перехвата.
• Сохранность данных, любое изменение фиксируется.
• Аутентификация. Защита от атаки посредника
• Положительное влияние на ранжирование сайтов в ПС.
• Увеличение уровня доверия пользователя.
• Увеличение CTR в поисковой выдаче.
• PUSH-уведомления.

Не будем рассказывать всю техническую составляющую, которая участвует в защите передаваемой информации, просто примем тот факт, что хороший сертификат безопасности свидетельствует о защищенной передаче данных.

Перейдем к пунктам, которые наиболее интересны вебмастеру.

Отношение поисковых систем и браузеров

Поисковые системы уже давно объявили о том, что наличие SSL-сертификата является положительным фактором при ранжировании. ПС хотят не только максимально угодить пользователю и дать полезную информацию, но также чтобы пользователь был в максимальной безопасности при использовании Всемирной паутины.

Google объявил об этом в 2014 году, хотя, по словам разработчиков Google, потребность в обновлении протокола появилась еще в 2010 году под угрозами безопасности персональной информации.

Оригинальная статья Google

В декабре 2015 года Google объявил о том, что при наличии HTTPS-версии она будет индексироваться по умолчанию при доступности 2-х протоколов.

В январе 2016 года появилась информация о том, что ПС дает преимущество в ранжировании даже сайтам с некорректно реализованным переездом.

В 2017 году браузер Google Chrome начал помечать сайты на HTTP-протоколе, где требуется ввод пароля или данные карты как небезопасные для пользователя.

Изначально поддержка HTTPS не имела особой важности, потому что было плавное внедрение. Сейчас уже можно говорить о большей роли при ранжировании в поисковых системах, но, конечно, не настолько, как качественный контент на сайте.

Появляется пометка "Не защищено":

По многим успешным кейсам в Яндексе, при смене протокола посещаемость увеличивается в 3 раза.

Вот как относится Яндекс к сайтам, использующим HTTPS:

Переход на HTTPS

Просто ли самому перейти на защищенный протокол соединения?

Для качественной работы сайта и положительного ранжирования недостаточно купить сертификат и поставить его на сервер, нужно еще произвести полную настройку. При некачественной настройке очень велик риск, что после переезда на защищенный протокол вы получите больше проблем в SEO, чем было до смены протокола.

Для переезда на новый протокол мы используем следующий чек-лист:

1. Приобретение сертификата.
2. Подготовка к большой нагрузке на хостинг.
3. Настройка Вебмастерских и метрик. Нужно добавить новый сайт и указать переезд со старого.
4. Настройка внутренних абсолютных путей вручную.
5. Настройка канонических ссылок.
6. Настройка отображения JS и изображений.
7. Обновление файлов robots.txt и sitemap.xml
8. Настройка редиректа.

Выбор сертификата

Давайте разберемся, в чем разница между сертификатами и какие они бывают.

Сертификат безопасности выдается специальными центрами сертификации, которые подтверждают, что ваш сайт принадлежит именно вашей организации, обеспечивая защитой от атак с перехватом.

Чтобы обеспечить высокий уровень защиты, при настройке сертификата выберите 2048-битный ключ. Даже если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный.

Получайте сертификат в надежном центре сертификации, который может предоставить техническую поддержку.

Сертификаты можно разделить по количеству доменов:

• Одиночный сертификат.
• Wildcard. Многодоменный сертификат для нескольких известных защищенных источников.
• Мультидоменный сертификат. Сертификат-шаблон для защищенного источника с динамическими поддоменами.

По типу доменов:

• С проверкой домена (DV, или Domain Validated). Защищает информацию, но не дает гарантии, что владельцу сайта можно доверять.
• С проверкой организации (Organization Validated, или OV). Проводится проверка документов и существования ИП или юридического лица, а также принадлежность домена.
• С расширенной проверкой организации (Extended Validation SSL, или EV SSL). Дает заметную зеленую строку с названием организации. Таким сайтам можно доверять больше, так как компания точно существует (проводится тщательная проверка) и домен точно принадлежит ей.

Небольшой бонус HTTPS

Все мы сталкивались с всплывающим окном, которое предлагает нам разрешить отправлять уведомления.

Данный вид уведомлений запрашивается для дальнейшей рассылки Push-сообщений.

Push-сообщения – это сообщения, отправляемые владельцем сайта, на котором вы дали согласие.

Данный вариант рассылки доступен для корректного отображения только сайтам, где установлен SSL-сертификат.