Переезд сайта на HTTPS: доступно об SSL/TLS-сертификатах для владельцев сайтов
В 2018 году вашему сайту необходим SSL-сертификат. Точка. Антон Соловьёв из «Эврики» рассказал, зачем нужны сертификаты, какие они бывают и где взять надёжный.

Что такое SSL-сертификат
SSL-сертификат позволяет формировать надёжное соединение между пользователем и сервером. При соединении с сайтом браузер определяет, соответствуют ли данные посещаемого сайта данным, указанным в сертификате. Если нет — появится предупреждение.
Сертификат также позволяет передавать введённую клиентом информацию (логин-пароль, платёжные данные) в зашифрованной форме по протоколу HTTPS. Сам сайт при этом не защищается от вирусов или хакерских атак, но персональным данным пользователей безопасность гарантируется.
Важно: сегодня используются в основном TLS-сертификаты — это тот же SSL, только более поздняя версия. Однако название SSL употребляется чаще.
Зачем сайту протокол HTTPS
В первую очередь, к сайту, защищённому HTTPS-протоколом, больше доверия — до минимума снижен риск его подмены мошенниками и кража введённых данных. Фактором риска в этом случае могут быть лишь вирусы на устройстве пользователя или же недобросовестность владельца сайта, который может сам присвоить данные клиентов.

Корпоративный пакет COSSA-2023
Самый выгодный релкмный формат Cossa.ru
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Безопасность сайта подтверждает браузер
Хотя основной целевой аудиторией такого протокола являются собирающие платёжные реквизиты интернет-магазины, сегодня он необходим и всем остальным: вы просто будете терять посетителей, которые предпочтут безопасный сайт вашему.
Для чего ещё нужен SSL-сертификат
- Лучшее ранжирование в поисковых системах. Хотя ни Яндекс, ни Google не называют протокол прямым фактором ранжирования, но всячески его рекомендуют. К тому же, его наличие косвенно влияет на поведенческие факторы, а значит — и на позиции сайта в поисковых системах.
- Онлайн-оплата. При попытке подключить оплату через Яндекс.Деньги, сервис запрашивает сертификат, без которого операции не проводятся. Согласно тенденциям, скоро эти требования станут весьма масштабными и будут прописаны в условиях практически всех платёжных систем.
- Защита при входе в админ-панель. Данные о сайте не смогут украсть при входе в админку через общественную Wi-Fi сеть.
- Отсутствие лишней рекламы. В сайт на HTTP (особенно это касается просмотра с мобильных) нетрудно встроить рекламу без ведома владельца. Защищённый протокол исключает эту возможность.
Что об этом думают Google, Mozilla и Яндекс
Официальная позиция Google: вес сайтов с SSL-сертификатами не увеличивается. Однако с июля 2018 года в версии Chrome 68 все HTTP-сайты помечаются как небезопасные.
Не стоит забывать, что браузером от Google пользуется более половины пользователей рунета. А если вы даёте рекламу в Google AdWords, то из-за отсутствия сертификата её показы могут быть ограничены.
Второй по популярности браузер — Mozilla Firefox — также помечает сайты на HTTP как ненадёжные. Вместе с Chrome это значит, что уже более 70% всех пользователей получат повод не доверять такому сайту.
Яндекс не высказывается категорически за шифрование соединения, однако, как и Google, уже давно перевёл все свои продукты на защищённый протокол. Доля защищённых сайтов в топе Яндекса пока не преобладает (около 50% против 70% в Google), но заметна тенденция на рост. Такими темпами скоро в топ поисковиков без HTTPS будет уже не попасть.
Виды SSL-сертификатов
Рассмотрим доступные в 2018 году SSL-сертификаты. Они делятся на подвиды по методу проверки и по сертифицируемым доменам.
Сертификаты по доменам
- Unified Communications / SAN. Такой сертификат позволяет защитить разные домены, принадлежащие одной компании.
- Wildcard SSL. Этот сертификат действителен как для основного домена, так и для второстепенных поддоменов (sub1.aevrika.ru, sub2.aevrika.ru, sub3.aevrika.ru и подобных) и площадок на распределённых серверах.
- Single Certificate. Такой тип сертификата действителен только для одного домена, указанного при оформлении заказа.
Сертификаты по способу проверки
- Domain Validation (DV) осуществляет валидацию домена. Этот сертификат с проверкой домена утверждает обслуживающий сервер. Проще говоря, он гарантирует, что юзер будет совершать покупку именно на том сайте, на который он и переходил. Однако для проведения коммерческих операций Domain Validation считается надёжным лишь условно, так как не содержит достоверных сведений о владельце сайта. Такой сертификат не защищает от действий злоумышленников и подходит тем площадкам, на которых строгая гарантия безопасности не является ключевым фактором.
- Organization Validation (OV) осуществляет валидацию домена и организации. Такой сертификат, помимо доменного имени, удостоверяет также и организацию, которая владеет указанным веб-сайтом. Подлинность компании проходит проверку сразу по нескольким показателям. При оформлении протокола HTTPS юридическое лицо должно предоставить провайдеру все необходимые регистрационные данные.
- Extended Validation (EV) осуществляет расширенную валидацию домена и организации. Такая серьёзная проверка обеспечивает высокий уровень доверия не только со стороны пользователей, но и других площадок. Extended Validation будет оптимальным выбором для сайтов, которые нуждаются в строгой конфиденциальности — например, имеют дело с крупными финансовыми транзакциями. При этом расширенная проверка является не разовой, а периодической: такой подход позволяет защитить пользователей от подмены данных даже со стороны недобросовестного владельца сайта.
Платить или не платить?
Получение SSL-сертификата бесплатно
Самым популярным бесплатным сертификатом на сегодняшний день является Let’s Encrypt. Получить его можно:
- у своего хостинг-провайдера (самый удобный способ — настроить сертификат можно будет прямо в админ-панели сайта);
- вручную на SSL For Free;
- через открытый протокол ACME (так можно будет автоматизировать процессы верификации и перевыпуска).
Сегодня в Let’s Encrypt доступен базовый Domain Validation, а также Wildcard, поэтому защитить можно будет все поддомены сайта.
Мы рекомендуем получать бесплатный SSL-сертификат только для тех сайтов, где нет онлайн-оплаты.
Покупка SSL-сертификата
Конечно, платные сертификаты гораздо надёжнее своих бесплатных аналогов и необходимы в первую очередь интернет-магазинам и любым сервисам с онлайн-оплатой.
Какой выбрать?
-
Платный Domain Validation обеспечивает базовую защиту и отличается от бесплатного тем, что в таком случае компания-эмитент обычно даёт финансовые гарантии безопасности.
Важно: если у вас стоит сторонняя платёжная система (Робокасса, Яндекс.Деньги или другая), то у неё есть свой EV для платёжных операций, поэтому большинству интернет-магазинов будет вполне достаточно базового DV.
- Крупной компании лучше позаботиться о более высокой степени защиты и приобрести Organization Validation. Для получения такой валидации юридическому лицу нужно отправить в выбранный сервис заверенные документы на компанию.
- Extended Validation чаще всего заказывают только очень серьёзные компании (банки, страховые организации, платёжные системы). Объясняется это тем, что для получения сертификата требуется большой пакет документов, а стоимость в несколько раз превышает цену Organization Validation. Есть тут и имиджевый момент: с EV-сертификатом в браузере будет отображаться название компании.
Купить SSL-сертификат можно в авторизованном сервисе сертификации. Важно, чтобы он был не только известным и надёжным, но и русскоязычным — это, в частности, ускорит общение со службой поддержки. Из популярных: comodo.com (есть русскоязычная версия сайта) и firstssl.ru (российский реселлер сертификатов от зарубежных поставщиков — Thawte, Symantec, Comodo и другие).
Важно: для кириллических сайтов (в домене .рф) у сертификата должна быть опция IDN (Internationalized Domain Names).
Как безопасно перейти на HTTPS
Для корректного перехода на HTTPS нужно:
- заказать выбранный тип SSL-сертификата у хостинг-провайдера или компании-эмитента;
- установить сертификат на сервер;
- настроить админку для начала работы с HTTPS;
- заменить адреса на безопасные HTTPS в технических файлах типа robots.txt и sitemap.xml, а также в 301-редиректах;
- заменить адреса на всех страницах, на которых используются скрипты, медиаматериалы, счётчики и консультанты (в противном случае даже при наличии сертификата такие страницы будут считаться небезопасными);
- после переноса подать заявку в Яндекс.Вебмастере, чтобы начался процесс переиндексации и было переопределено главное зеркало сайта;
- ещё раз проверить, что на сайте не осталось внутренних абсолютных ссылок на HTTP (исправить, если такие ссылки найдены).
Лучше всего доверить покупку и установку SSL-сертификата вашему SEO-подрядчику. Временной потери позиций в поисковой выдаче, скорее всего, не избежать, но правильная схема действий позволит свести их к минимуму и быстрее восстановить.
Пример проекта, который мы переносили на HTTPS: после завершения работ по переносу (отмечено красной чертой) позиции просели на полтора месяца, затем начался активный рост
Однако всё равно нужно быть готовым к тому, что на период около месяца или чуть больше трафик из поиска может резко упасть, поэтому рекомендуется планировать переход на время низкого сезона в вашем бизнесе.
Проверка SSL-сертификата
Убедиться, что установка SSL-сертификата прошла корректно, можно тут.
Если вы видите ошибки (красные зоны), обратитесь к SEO-специалисту для их устранения.
Не забывайте, что получить бесплатно или купить SSL-сертификат можно на определённый срок (обычно это год или два), после чего его необходимо продлевать. Если вовремя этого не сделать, сайт будет недоступен.
Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.