Переезд сайта на HTTPS: доступно об SSL/TLS-сертификатах для владельцев сайтов

Что такое SSL-сертификат

SSL-сертификат позволяет формировать надёжное соединение между пользователем и сервером. При соединении с сайтом браузер определяет, соответствуют ли данные посещаемого сайта данным, указанным в сертификате. Если нет — появится предупреждение.

Сертификат также позволяет передавать введённую клиентом информацию (логин-пароль, платёжные данные) в зашифрованной форме по протоколу HTTPS. Сам сайт при этом не защищается от вирусов или хакерских атак, но персональным данным пользователей безопасность гарантируется.

Важно: сегодня используются в основном TLS-сертификаты — это тот же SSL, только более поздняя версия. Однако название SSL употребляется чаще.

Зачем сайту протокол HTTPS

В первую очередь, к сайту, защищённому HTTPS-протоколом, больше доверия — до минимума снижен риск его подмены мошенниками и кража введённых данных. Фактором риска в этом случае могут быть лишь вирусы на устройстве пользователя или же недобросовестность владельца сайта, который может сам присвоить данные клиентов.

Безопасность сайта подтверждает браузер

Хотя основной целевой аудиторией такого протокола являются собирающие платёжные реквизиты интернет-магазины, сегодня он необходим и всем остальным: вы просто будете терять посетителей, которые предпочтут безопасный сайт вашему.

Для чего ещё нужен SSL-сертификат

1. Лучшее ранжирование в поисковых системах. Хотя ни Яндекс, ни Google не называют протокол прямым фактором ранжирования, но всячески его рекомендуют. К тому же, его наличие косвенно влияет на поведенческие факторы, а значит — и на позиции сайта в поисковых системах.
2. Онлайн-оплата. При попытке подключить оплату через Яндекс.Деньги, сервис запрашивает сертификат, без которого операции не проводятся. Согласно тенденциям, скоро эти требования станут весьма масштабными и будут прописаны в условиях практически всех платёжных систем.
3. Защита при входе в админ-панель. Данные о сайте не смогут украсть при входе в админку через общественную Wi-Fi сеть.
4. Отсутствие лишней рекламы. В сайт на HTTP (особенно это касается просмотра с мобильных) нетрудно встроить рекламу без ведома владельца. Защищённый протокол исключает эту возможность.

Что об этом думают Google, Mozilla и Яндекс

Официальная позиция Google: вес сайтов с SSL-сертификатами не увеличивается. Однако с июля 2018 года в версии Chrome 68 все HTTP-сайты помечаются как небезопасные.

Не стоит забывать, что браузером от Google пользуется более половины пользователей рунета. А если вы даёте рекламу в Google AdWords, то из-за отсутствия сертификата её показы могут быть ограничены.

Второй по популярности браузер — Mozilla Firefox — также помечает сайты на HTTP как ненадёжные. Вместе с Chrome это значит, что уже более 70% всех пользователей получат повод не доверять такому сайту.

Яндекс не высказывается категорически за шифрование соединения, однако, как и Google, уже давно перевёл все свои продукты на защищённый протокол. Доля защищённых сайтов в топе Яндекса пока не преобладает (около 50% против 70% в Google), но заметна тенденция на рост. Такими темпами скоро в топ поисковиков без HTTPS будет уже не попасть.

Виды SSL-сертификатов

Рассмотрим доступные в 2018 году SSL-сертификаты. Они делятся на подвиды по методу проверки и по сертифицируемым доменам.

Сертификаты по доменам

1. Unified Communications / SAN. Такой сертификат позволяет защитить разные домены, принадлежащие одной компании.
2. Wildcard SSL. Этот сертификат действителен как для основного домена, так и для второстепенных поддоменов (sub1.aevrika.ru, sub2.aevrika.ru, sub3.aevrika.ru и подобных) и площадок на распределённых серверах.
3. Single Certificate. Такой тип сертификата действителен только для одного домена, указанного при оформлении заказа.

Сертификаты по способу проверки

1. Domain Validation (DV) осуществляет валидацию домена. Этот сертификат с проверкой домена утверждает обслуживающий сервер. Проще говоря, он гарантирует, что юзер будет совершать покупку именно на том сайте, на который он и переходил. Однако для проведения коммерческих операций Domain Validation считается надёжным лишь условно, так как не содержит достоверных сведений о владельце сайта. Такой сертификат не защищает от действий злоумышленников и подходит тем площадкам, на которых строгая гарантия безопасности не является ключевым фактором.
2. Organization Validation (OV) осуществляет валидацию домена и организации. Такой сертификат, помимо доменного имени, удостоверяет также и организацию, которая владеет указанным веб-сайтом. Подлинность компании проходит проверку сразу по нескольким показателям. При оформлении протокола HTTPS юридическое лицо должно предоставить провайдеру все необходимые регистрационные данные.
3. Extended Validation (EV) осуществляет расширенную валидацию домена и организации. Такая серьёзная проверка обеспечивает высокий уровень доверия не только со стороны пользователей, но и других площадок. Extended Validation будет оптимальным выбором для сайтов, которые нуждаются в строгой конфиденциальности — например, имеют дело с крупными финансовыми транзакциями. При этом расширенная проверка является не разовой, а периодической: такой подход позволяет защитить пользователей от подмены данных даже со стороны недобросовестного владельца сайта.

Платить или не платить?

Получение SSL-сертификата бесплатно

Самым популярным бесплатным сертификатом на сегодняшний день является Let’s Encrypt. Получить его можно:

• у своего хостинг-провайдера (самый удобный способ — настроить сертификат можно будет прямо в админ-панели сайта);
• вручную на SSL For Free;
• через открытый протокол ACME (так можно будет автоматизировать процессы верификации и перевыпуска).

Сегодня в Let’s Encrypt доступен базовый Domain Validation, а также Wildcard, поэтому защитить можно будет все поддомены сайта.

Мы рекомендуем получать бесплатный SSL-сертификат только для тех сайтов, где нет онлайн-оплаты.

Покупка SSL-сертификата

Конечно, платные сертификаты гораздо надёжнее своих бесплатных аналогов и необходимы в первую очередь интернет-магазинам и любым сервисам с онлайн-оплатой.

Какой выбрать?

• Платный Domain Validation обеспечивает базовую защиту и отличается от бесплатного тем, что в таком случае компания-эмитент обычно даёт финансовые гарантии безопасности.

  Важно: если у вас стоит сторонняя платёжная система (Робокасса, Яндекс.Деньги или другая), то у неё есть свой EV для платёжных операций, поэтому большинству интернет-магазинов будет вполне достаточно базового DV.

• Крупной компании лучше позаботиться о более высокой степени защиты и приобрести Organization Validation. Для получения такой валидации юридическому лицу нужно отправить в выбранный сервис заверенные документы на компанию.
• Extended Validation чаще всего заказывают только очень серьёзные компании (банки, страховые организации, платёжные системы). Объясняется это тем, что для получения сертификата требуется большой пакет документов, а стоимость в несколько раз превышает цену Organization Validation. Есть тут и имиджевый момент: с EV-сертификатом в браузере будет отображаться название компании.

  

Купить SSL-сертификат можно в авторизованном сервисе сертификации. Важно, чтобы он был не только известным и надёжным, но и русскоязычным — это, в частности, ускорит общение со службой поддержки. Из популярных: comodo.com (есть русскоязычная версия сайта) и firstssl.ru (российский реселлер сертификатов от зарубежных поставщиков — Thawte, Symantec, Comodo и другие).

Важно: для кириллических сайтов (в домене .рф) у сертификата должна быть опция IDN (Internationalized Domain Names).

Как безопасно перейти на HTTPS

Для корректного перехода на HTTPS нужно:

• заказать выбранный тип SSL-сертификата у хостинг-провайдера или компании-эмитента;
• установить сертификат на сервер;
• настроить админку для начала работы с HTTPS;
• заменить адреса на безопасные HTTPS в технических файлах типа robots.txt и sitemap.xml, а также в 301-редиректах;
• заменить адреса на всех страницах, на которых используются скрипты, медиаматериалы, счётчики и консультанты (в противном случае даже при наличии сертификата такие страницы будут считаться небезопасными);
• после переноса подать заявку в Яндекс.Вебмастере, чтобы начался процесс переиндексации и было переопределено главное зеркало сайта;
• ещё раз проверить, что на сайте не осталось внутренних абсолютных ссылок на HTTP (исправить, если такие ссылки найдены).

Лучше всего доверить покупку и установку SSL-сертификата вашему SEO-подрядчику. Временной потери позиций в поисковой выдаче, скорее всего, не избежать, но правильная схема действий позволит свести их к минимуму и быстрее восстановить.

Пример проекта, который мы переносили на HTTPS: после завершения работ по переносу (отмечено красной чертой) позиции просели на полтора месяца, затем начался активный рост

Однако всё равно нужно быть готовым к тому, что на период около месяца или чуть больше трафик из поиска может резко упасть, поэтому рекомендуется планировать переход на время низкого сезона в вашем бизнесе.

Проверка SSL-сертификата

Убедиться, что установка SSL-сертификата прошла корректно, можно тут.

Если вы видите ошибки (красные зоны), обратитесь к SEO-специалисту для их устранения.

Не забывайте, что получить бесплатно или купить SSL-сертификат можно на определённый срок (обычно это год или два), после чего его необходимо продлевать. Если вовремя этого не сделать, сайт будет недоступен.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.