17.11.2019
Переход на HTTPS ссылки

Переход на HTTPS

Всем привет! Основатель знаменитого интернет-браузера Firefox, международная корпорация Mozilla начнет помаленьку отказываться от использования протокола HTTP в сторону зашифрованного протокола HTTPS. Данное решение родилось в результате многосторонних, а также яростных споров в масштабной электронной переписке.

Что такое HTTPS

Для тех, кто не в курсе, что это такое. HTTPS (Secure Hyper Text Transfer Protocol) — расширение протокола HTTP с включенной функцией защиты передаваемых данных. Сохранность данных достигается с помощью протоколов SSL (Secure Sockets Layer) или TLS (Transport Layer Security) — протоколов безопасности, гарантирующих конфиденциальную связь внутри Интернета. Благодаря этим протоколам информация, передаваемая между клиентом и сервером, не может быть перехвачена.

HTTPS служит для передачи криптографической (недоступной для посторонних) информации внутри WWW. Стандарт был разработан для поддержки передачи данных в HTTP (внутри которого данные с web-сервера передаются браузеру клиента в открытом виде). HTTPS — это метод аутентификации web-сервера, который использует цифровые сертификаты для обеспечения надежности целой области Интернета или отдельного web-сервера. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, благодаря чему обеспечивается защита этих данных.

Глобальный переход на HTTPS

Период широкого перевода на шифрование начнет происходить в две стадии. Вначале выберут число, по наступлению которого абсолютно весь новоиспеченный функционал станет поддерживаться исключительно на HTTPS-вебсайтах. После этого плавно будет производиться отсоединение классических функций. Ну и понятное дело, что о том, какие конкретно опции интернета необходимо относить к новейшим, дополнительно будет обсуждаться в обществе разрабов.

Порядок никак не отклоняет целиком и полностью применение прежних ссылок в виде http протокола – взамен этого все они начнут преобразовываться в HTTPS используя HSTS а также атрибут upgrade-insecure-requests (правила, какие использует сервер для осуществления переадресации всех подряд запросов по безопасным каналам). Компания Mozilla настоятельно рекомендует разработчикам энергичнее подсоединяться к указанному движению по повышению безопасной работы в сети интернет, а также задумывает продемонстрировать собственные стандарты консорциуму W3C.

Ради стабильной эксплуатации на личном веб-сайте безопасного протокола HTTPS админу нужно получить сертификат в какой-нибудь из уполномоченных организаций. Mozilla свидетельствует, что даже если, как правило, такие сертификаты реализуются за денежные средства, уже на сегодняшний день возможно заполучить бесплатные сертификаты от StartSSL и WoSign. Во второй половине 2015 года начнет работать интернет-проект от самой организации Mozilla, под названием Let’s Encrypt, в котором будет позволено в автоматическом режиме приобретать дармовые сертификаты.

Впоследствии того, как прецеденты глобальной слежки за интернет-юзерами оказались доказаны, абсолютно все веб-разработчики непрерывно увеличивают меры, призванные увеличить защищенность пользователей. К примеру, Google поднимает в рейтинге поисковой выдачи веб-сайты, функционирующие по HTTPS.

Ну а теперь коротко обо всем, что написано выше и не только.

Для чего нужен HTTPS

  1. Самое главное — он нужен посетителям вашего сайта
  2. Нужен для повышения доверия со стороны пользователей и поисковых систем
  3. Увеличивается репутация вашего сайта
  4. Статистика переходов на ваш сайт становится гораздо точнее
  5. HTTPS добавлен в факторы ранжирования поисковых систем
  6. HTTP скоро вообще исчезнет

Принцип действия HTTPS

Для шифрования используется специальный сертификат, состоящий из паблик ключа и приватного ключа. Один из которых используется клиентом, а второй сервером, для шифровки/расшифровки данных. Длина ключа может быть 40, 56, 128 и 256 бит. Некоторые старые версии браузеров используют длину ключа 40 бит, что связано с экспортными ограничениями в США. Вместе с этим используются и другие методы, такие как:

  • алгоритм сжатия
  • параметры шифрования
  • идентификационный номер сессии

Виды сертификатов:

  • Обычные — используются для одного домена
  • Wildcard — мультидоменный сертификат
  • EV сертификаты (Extended Validation) — наивысший уровень доверия и защиты
  • IDN сертификаты (Internationalized Domain Names) — с поддержкой национальных доменов.

При приобретении сертификата рекомендую обращаться к проверенным и популярным центрам сертификации. Использовать длину ключа не менее 256 бит. Если вам не требуется расширенная проверка, то можно смело брать и бесплатный SSL сертификат.

Если вам будут говорить, что HTTPS нельзя кешировать, для него нужен отдельный IP либо HTTPS медленный и его надо устанавливать только на страницах регистрации или оплатыНЕ ВЕРЬТЕ! Это все сказки.

Краткая пошаговая инструкция по переходу на HTTPS

  1. Изменение ссылок на сайте и приведение их к относительному виду. Убираем название протокола http://site.com, меняем его на //site.com 
  2. Изменяем расположение медиа. Применяем HTTPS или относительные ссылки, как в первом пункте, ко всем видео, презентациям, подкастам, картинкам…
  3. Проверяем подключение внешних скриптов, если они будут с HTTP, то будет показываться значок о «Небезопасном соединении».
  4. Покупаем сертификат или регистрируем бесплатно
  5. Устанавливаем на сервер и настраиваем директиву Host, а так же 301 редирект с HTTP на HTTPS. В файле robots.txt поменяйте директиву Host на https://site.com, а в файле .htaccess пропишите:
    RewriteEngine On
    RewriteCond %{HTTPS} =on 
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]
    

     

  6. Прописываем новую версию сайта в панель Вебмастеров Яндекса и Google, т.е. просто добавляем https-версию сайта, старую версию не удаляем.
  7. Устанавливаем главное зеркало сайта на HTTPS версию (для Яндекса).

На этом все. Стоит приготовится на обнуление ТИЦ и обвал позиций сайта, но это не на долго, не волнуйтесь. Вот ответ Яндекса на запрос о выпадении сайта из выдачи:

В связи с особенностями процесса смены главного зеркала мы не исключаем заметное изменение позиций сайта в результатах поиска, которое может наблюдаться в течение нескольких обновлений поисковых баз. Вам необходимо немного подождать.

С уважением, Платон Щукин
Служба поддержки Яндекса
http://help.yandex.ru/

20 комментариев к «Переход на HTTPS»

  1. Может и не торопиться покупать SSL, подождать полгодика, пока бесплатно раздавать начнут?

  2. Надо будет на своем хостинге заказать HTTPS, точнее переход на новое расширение, а то походу мои сайты понизят в поисковой выдачи.

  3. касательно гугла поднимающего https есть какие то кейсы или пруфлинки?

  4. А есть кто-то, может действительно показать, что до перехода была одна посещаемость, после перехода другая, и за этот промежуток не было никакой сео/смм активности, чтобы наглядны доказательства были?

  5. Думаю пока не стоит торопиться. Еще не известно что из этого выйдет.

  6. Не буду пока переходить, а то мало ли что, лучше останусь на старом добром http)))

  7. Ну если как написано в статье, что скоро сертификаты станут бесплатными, тогда я думаю стоит подождать. Сейчас они я скажу не из дешевых удовольствий.

  8. Я много интересовался переходом на HTTPS с кем не разговаривал, огромной потребности в протоколе HTTPS ни кто не ощущает, может со временем но сейчас и своего HTTP за глаза. Спасибо за пост.

  9. Я тоже думаю пока торопиться еще рано с переходом. Но за информацию спасибо!

  10. Вопросы безопасности становятся всё более актуальными. Безопасность можно продавать. То что можно продавать — будут продавать. Так что покупайте раньше — дешевле будет.

  11. Давно пора. Я только за такие перемены, ибо безопасность это хорошо.

  12. У меня работает антивирус когда я перехожу на сайты с https.

  13. Давно пора. Я только за такие перемены, ибо безопасность это хорошо.

  14. Думаю переходить пока рано и паниковать раньше времени не стоит, все может поменяться в любую минуту, в другую сторону.

  15. У меня начинают глючить сайты с https, когда захожу на них со смартфона. По этой причине пока не тороплюсь, но хотелось бы знать, часто ли это случается или просто проблема в моем устройстве?

  16. Добрый день, Ольга! Скорее всего, проблема в вашем устройстве. Попробуйте следующее:

    • Сервис/Свойства обозревателя/Дополнительно тыкаете до Безопасность и проверяете галочки на SSL 2.0 и 3.0.
    • Если есть антивирус или фаервол, проверьте их настройки или хотя бы для пробы отключите на время.
  17. Перевел блог на https, доволен.

    Со смартфона тоже есть проблема, думаю виноват старый андроид, заказал новый фаблет с леденцом, посмотрим как на нем будет работать.

  18. Зачем простому информационному сайту HTTPS? В любом случае если государство захочет оно будет читать данные юзеров вне зависимости он шифрования.

  19. Переход на https не дает особого эффекта в продвижении сайтов, читал по этому поводу много статей с экспериментальными выкладками. Есть результаты что наоборот на некоторое время позиции падают, видимо от того что ссылки сайта меняются. Быть может будет смысл при создании новых интернет-магазинов, т.к. в этом случае важно шифрование, для чего это и задумывалось.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *