Переезд сайта на HTTPS: доступно об SSL/TLS-сертификатах для владельцев сайтов

В 2018 году вашему сайту необходим SSL-сертификат. Точка. Антон Соловьёв из «Эврики» рассказал, зачем нужны сертификаты, какие они бывают и где взять надёжный.

Что такое SSL-сертификат

SSL-сертификат позволяет формировать надёжное соединение между пользователем и сервером. При соединении с сайтом браузер определяет, соответствуют ли данные посещаемого сайта данным, указанным в сертификате. Если нет — появится предупреждение.

Сертификат также позволяет передавать введённую клиентом информацию (логин-пароль, платёжные данные) в зашифрованной форме по протоколу HTTPS. Сам сайт при этом не защищается от вирусов или хакерских атак, но персональным данным пользователей безопасность гарантируется.

Важно: сегодня используются в основном TLS-сертификаты — это тот же SSL, только более поздняя версия. Однако название SSL употребляется чаще.

Зачем сайту протокол HTTPS

В первую очередь, к сайту, защищённому HTTPS-протоколом, больше доверия — до минимума снижен риск его подмены мошенниками и кража введённых данных. Фактором риска в этом случае могут быть лишь вирусы на устройстве пользователя или же недобросовестность владельца сайта, который может сам присвоить данные клиентов.

Весь интернет-маркетинг за 19 недель!

Cossa рекомендует: онлайн-курс по интернет-маркетингу от Ingate — digital-агентства с 17-летним опытом.

  • 17 учебных блоков по ключевым вопросам интернет-маркетинга
  • Поддержка менторов
  • Диплом
  • Cтажировка в топовых агентствах России
  • Помощь в трудоустройстве
Узнать больше >>
Реклама

Безопасность сайта подтверждает браузер

Хотя основной целевой аудиторией такого протокола являются собирающие платёжные реквизиты интернет-магазины, сегодня он необходим и всем остальным: вы просто будете терять посетителей, которые предпочтут безопасный сайт вашему.

Для чего ещё нужен SSL-сертификат

  1. Лучшее ранжирование в поисковых системах. Хотя ни Яндекс, ни Google не называют протокол прямым фактором ранжирования, но всячески его рекомендуют. К тому же, его наличие косвенно влияет на поведенческие факторы, а значит — и на позиции сайта в поисковых системах.
  2. Онлайн-оплата. При попытке подключить оплату через Яндекс.Деньги, сервис запрашивает сертификат, без которого операции не проводятся. Согласно тенденциям, скоро эти требования станут весьма масштабными и будут прописаны в условиях практически всех платёжных систем.
  3. Защита при входе в админ-панель. Данные о сайте не смогут украсть при входе в админку через общественную Wi-Fi сеть.
  4. Отсутствие лишней рекламы. В сайт на HTTP (особенно это касается просмотра с мобильных) нетрудно встроить рекламу без ведома владельца. Защищённый протокол исключает эту возможность.

Что об этом думают Google, Mozilla и Яндекс

Официальная позиция Google: вес сайтов с SSL-сертификатами не увеличивается. Однако с июля 2018 года в версии Chrome 68 все HTTP-сайты помечаются как небезопасные.

Не стоит забывать, что браузером от Google пользуется более половины пользователей рунета. А если вы даёте рекламу в Google AdWords, то из-за отсутствия сертификата её показы могут быть ограничены.

Второй по популярности браузер — Mozilla Firefox — также помечает сайты на HTTP как ненадёжные. Вместе с Chrome это значит, что уже более 70% всех пользователей получат повод не доверять такому сайту.

Яндекс не высказывается категорически за шифрование соединения, однако, как и Google, уже давно перевёл все свои продукты на защищённый протокол. Доля защищённых сайтов в топе Яндекса пока не преобладает (около 50% против 70% в Google), но заметна тенденция на рост. Такими темпами скоро в топ поисковиков без HTTPS будет уже не попасть.

Виды SSL-сертификатов

Рассмотрим доступные в 2018 году SSL-сертификаты. Они делятся на подвиды по методу проверки и по сертифицируемым доменам.

Сертификаты по доменам

  1. Unified Communications / SAN. Такой сертификат позволяет защитить разные домены, принадлежащие одной компании.
  2. Wildcard SSL. Этот сертификат действителен как для основного домена, так и для второстепенных поддоменов (sub1.aevrika.ru, sub2.aevrika.ru, sub3.aevrika.ru и подобных) и площадок на распределённых серверах.
  3. Single Certificate. Такой тип сертификата действителен только для одного домена, указанного при оформлении заказа.

Сертификаты по способу проверки

  1. Domain Validation (DV) осуществляет валидацию домена. Этот сертификат с проверкой домена утверждает обслуживающий сервер. Проще говоря, он гарантирует, что юзер будет совершать покупку именно на том сайте, на который он и переходил. Однако для проведения коммерческих операций Domain Validation считается надёжным лишь условно, так как не содержит достоверных сведений о владельце сайта. Такой сертификат не защищает от действий злоумышленников и подходит тем площадкам, на которых строгая гарантия безопасности не является ключевым фактором.
  2. Organization Validation (OV) осуществляет валидацию домена и организации. Такой сертификат, помимо доменного имени, удостоверяет также и организацию, которая владеет указанным веб-сайтом. Подлинность компании проходит проверку сразу по нескольким показателям. При оформлении протокола HTTPS юридическое лицо должно предоставить провайдеру все необходимые регистрационные данные.
  3. Extended Validation (EV) осуществляет расширенную валидацию домена и организации. Такая серьёзная проверка обеспечивает высокий уровень доверия не только со стороны пользователей, но и других площадок. Extended Validation будет оптимальным выбором для сайтов, которые нуждаются в строгой конфиденциальности — например, имеют дело с крупными финансовыми транзакциями. При этом расширенная проверка является не разовой, а периодической: такой подход позволяет защитить пользователей от подмены данных даже со стороны недобросовестного владельца сайта.

Платить или не платить?

Получение SSL-сертификата бесплатно

Самым популярным бесплатным сертификатом на сегодняшний день является Let’s Encrypt. Получить его можно:

Сегодня в Let’s Encrypt доступен базовый Domain Validation, а также Wildcard, поэтому защитить можно будет все поддомены сайта.

Мы рекомендуем получать бесплатный SSL-сертификат только для тех сайтов, где нет онлайн-оплаты.

Покупка SSL-сертификата

Конечно, платные сертификаты гораздо надёжнее своих бесплатных аналогов и необходимы в первую очередь интернет-магазинам и любым сервисам с онлайн-оплатой.

Какой выбрать?

Купить SSL-сертификат можно в авторизованном сервисе сертификации. Важно, чтобы он был не только известным и надёжным, но и русскоязычным — это, в частности, ускорит общение со службой поддержки. Из популярных: comodo.com (есть русскоязычная версия сайта) и firstssl.ru (российский реселлер сертификатов от зарубежных поставщиков — Thawte, Symantec, Comodo и другие).

Важно: для кириллических сайтов (в домене .рф) у сертификата должна быть опция IDN (Internationalized Domain Names).

Как безопасно перейти на HTTPS

Для корректного перехода на HTTPS нужно:

Лучше всего доверить покупку и установку SSL-сертификата вашему SEO-подрядчику. Временной потери позиций в поисковой выдаче, скорее всего, не избежать, но правильная схема действий позволит свести их к минимуму и быстрее восстановить.

Пример проекта, который мы переносили на HTTPS: после завершения работ по переносу (отмечено красной чертой) позиции просели на полтора месяца, затем начался активный рост

Однако всё равно нужно быть готовым к тому, что на период около месяца или чуть больше трафик из поиска может резко упасть, поэтому рекомендуется планировать переход на время низкого сезона в вашем бизнесе.

Проверка SSL-сертификата

Убедиться, что установка SSL-сертификата прошла корректно, можно тут.

Если вы видите ошибки (красные зоны), обратитесь к SEO-специалисту для их устранения.

Не забывайте, что получить бесплатно или купить SSL-сертификат можно на определённый срок (обычно это год или два), после чего его необходимо продлевать. Если вовремя этого не сделать, сайт будет недоступен.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.