Привет уважаемые читатели seoslim.ru! Вы знаете, что представители поисковой системы Google заявили, что вскоре новая версия веб-браузера Chrome может начать блокировать загрузку веб-сайтов, осуществляющих обмен данными по небезопасному протоколу HTTP?
Содержание:
В чем разница между протоколами Https и Http
— Где они применяются
Что такое SSL и как он работает
Виды сертификатов
— Бесплатные
— Платные
Какое влияние оказывает на ранжирование сайта защищенный протокол
Во всяком случае, веб-проекты, не способные или не желающие позаботиться о защите данных свои пользователей в процессе взаимодействия, будут ранжироваться на странице результатов поиска (SERP) существенно ниже конкурентов, принявших все меры для внедрения современного безопасного протокола передачи данных HTTPS.
Кому же хочется, чтобы его ресурс блокировался в самом популярном браузере или понижался в выдаче за ТОП-20 или даже ТОП-30.
Всем, кто работает в сети, хорошо известно, что за пределами ТОП-10 жизни нет, тому что 90% трафика идет строго с первой страницы поисковых результатов.
Читайте также: 10 ошибок на сайте, которые не надо допускать
Правда, вскоре появилось существенное уточнение, после которого владельцы информационных проектов вздохнули с облегчением.
- Обязательным безопасный протокол HTTPS будет только для проектов, на которых активно осуществляется обмен пользовательскими данными.
Например, платежные данные покупателя в интернет-магазинах, данные клиента в онлайн-банке, кредитной или микрофинансовой организации, на сайте электронной биржи, маркетплейса, а еще персональные данные зарегистрированных участников многопользовательских порталов.
Если у вас обычный блог, где посетители могут только читать статьи или скачивать программы без регистрации, персональным или платежным, коммерческим данным пользователей и так ничего не угрожает. Так что и нет особой надобности в дополнительных мерах защиты.
Однако такие успокоительные увещевания мы всегда слышим на этапе внедрения какой-либо инновации, касающейся многих людей.
Как показывает опыт, с течением времени ужесточение правил, изначально заявленных как «только для ограниченного специфического контингента» практически гарантированно становятся обязательным к исполнению для всех.
Поэтому давайте разбираться, что такое HTTP и чем оно отличается от HTTPS, пока не стало слишком поздно.
Чем отличается HTTPS от HTTP
Чтобы разобраться этой теме, придется сделать ряд терминологических расшифровок и даже сделать небольшой экскурс в историю становления и развития всемирной сети интернет.
Чтобы не упустить нить мысли, рекомендуем прочитать все пункты внимательно, не перескакивая, иначе будет нарушена логика.
- Еще в далеком 1994-ом году разработчики компании Netscape Communications позаботились созданием безопасной среды коммуникаций для пользователя браузера Netscape Navigator и придумали защищенный протокол обмена данными HTTPS при помощи криптографического протокола SSL.
- К сожалению, в результате «Войны браузеров» поистине замечательный веб-обозреватель, во многом опередивший время, был повержен могуществом маркетологов корпорации Microsoft. В результате чего компания Netscape обанкротилась, а браузер Netscape Navigator перестал обновляться.
- Наступила эра глобализма браузера Internet Explorer.
- Hyper Text Transfer Protocol переводится как «трансферный протокол гипертекста» или «протокол трансфера внутри гипертекста». Говоря простыми словами – протокол передачи данных между гипертекстовыми документами.
- В данном контексте под протоколом следует понимать некий набор правил функционирования сетевого интерфейса.
- Под интерфейсом помается некая аппаратно-программная прослойка между функциональными единицами всемирной сети.
- SSL – Secure Sockets Layer переводится как «слой защищенных сокетов». Речь идет о алгоритме передачи данных между сетевыми интерфейсами, основанном на криптографическом шифровании.
- Правила обмена данными шифруются криптографическим образом для обеспечения невозможности третьих сторон получить доступ к передаваемым данным.
Если бы в свое время компания Netscape Communications не пала жертвой Войны Браузеров, мы бы имели безопасный протокол HTTPS внедренным уже двадцать лет назад.
Не углубляясь в тонкости искусства программирования, защищенный протокол передачи данных HTTPS – это самый обычный открытый протокол HTTP, но, правила и данные в этом случае шифруются посредством сертификации SSL.
- HTTPS – способ обмена данными на базе открытого протокола HTTP интегрированного в слои криптографического протокола SSL.
В результате этого блокируется несанкционированный доступ к транслируемой информации.
- HTTPS – это не есть какой-то новый или отдельный протокол.
Это HTTP, в котором защищенность от внешнего считывания достигается за счет передачи данных по шифрованным каналам или слоям криптографического протокола SSL.
Применение
HTTPS используется для обеспечения конфиденциальности в процессе обмена данными между документами или клиентами сети гипертекстовых документов.
Изначально защищенный протокол разрабатывался конкретно для защиты персональных данных пользователей веб-браузеров. В общем плане может использоваться для шифрования любых сетевых трансферов по глобальной или локальной сети.
В практическом смысле применение HTTPS целесообразно только в случаях, когда между субъектами обмена передаются сведения, которые не должны стать публичным достоянием.
К примеру, нет смысла тратить деньги на обеспечения шифрования общедоступной информации, которую можно свободно найти на каждом сайте в интернете.
Для каких интернет-проектов протокол HTTPS необходим?
Для проектов, в процессе функционирования которых по сети проходят персональные или коммерческие данные пользователей.
- Онлайн-банки.
- Интернет-магазины.
- Сервисные сайты.
- Онлайн-казино и игровые сайты.
- Валютные, криптовалютные, фондовые и товарные биржи.
- Порталы Госуслуг с возможностью создания личных кабинетов граждан.
- Социальные сети и сайты знакомств.
Информационно-тематическому блогу, автор которого занимается исключительно размещением статей для публичного чтения, шифрованный протокол HTTPS не обязателен.
Вспомним историю, компания Netscape Communications создавала HTTPS для защиты конфиденциальности пользователей своего браузера Netscape Navigator.
По какому принципу работает SSL сертификат и почему он безопасный
Цифровой SSL сертификат обеспечивает невозможность перехвата пользовательских данных в момент передачи информации из веб-браузера на удаленный сервер.
- Когда клиент в интернет-магазине заполняет форму оплаты покупки и нажимает кнопку «Купить», платежным и персональным данным этого гражданина предстоит пересечь всемирную сеть.
- Информация по транзакции шифруется программными криптографическими средствами SSL и интегрируется в стандартный протокол передачи данных в среде гипертекста.
- Вот такой «гибридный» протокол и называется HTTPS. То есть, HTTP, но только с опцией обеспечения безопасности – Secure.
Принцип работы криптографического сертификата довольно прост.
- В процессе сеанса (например, когда клиент онлайн-банка производит денежный перевод, оплату услуг или иную транзакцию) веб-браузер отравляет на удаленный сервер (на котором размещен сайт банка) специальный запрос на наличие сертификата безопасности SSL.
- Если на сервере сертификат SSL для данного сайта банка установлен – сервер отправляет в браузер реквизиты сертификата (для подтверждения его действенности и подлинности) и публичный ключ.
- Браузер своими средствами проверяет подлинность и действительность (не истек ли строк действия сертификата) и, если сертификат не вызывает сомнений, генерируется одноразовый ключ текущего сеанса связи, шифруется при помощи публичного ключа, полученного от сервера, после чего информация пересылается на сервер.
- На сервере полученные данные расшифровываются, сервер убеждается в подлинности транзакции и только после этого между пользователем в браузере и сайтом на сервере устанавливается защищенное соединение по протоколу HTTPS.
- После этого клиент банка видит в поисковой адресной строке браузера уведомление о безопасном соединении HTTPS. Если кликнуть по значку замочка, откроется окно с реквизитами действующего сертификата SSL.
Если же браузер сочтет реквизиты сертификата устаревшими или подозрительными, не соответствующими действительности – веб-страница будет заблокирована и не сможет загрузиться.
Все пользователи могли видеть уведомление при попытке зайти на какой-либо сайт – «Сертификат недействителен, установить соединение невозможно».
Внимание! Качество проверки SSL-сертификата завит от того, каким именно браузером вы пользователь.
Например, обозреватели Chrome или Opera строго проверяют действительность сертификатов. А вот браузеры от неизвестных разработчиков вполне могут и не проверить надежность сертификата и впустить пользователя на мошеннический сайт либо на фишинговую страницу.
Последствия вполне предсказуемы, кража средств с электронных кошельков, банковских счетов и прочие неприятности. Вот почему критически важно пользоваться только надежными обозревателями и регулярно их обновлять.
Далее разберемся, какие бывают сертификаты и где их взять.
Виды SSL сертификатов
Надежные сертификаты криптографического обмена данными предоставляются на платной основе, чем надежнее, тем дороже.
Чтобы не тратить лишних денег за чрезмерный уровень защиты, владельцу интернет-проекта следует проанализировать свои потребности и выбрать оптимально-подходящий сертификат.
Бесплатные SSL с доверенной подписью
На самом деле сертификат SSL можно совершенно бесплатно сделать в панели управления сайтов на хостинге. Однако есть проблема, такие «самодельные» сертификаты не отвечают требованиям ведущих разработчиков браузеров.
Сайты с такими сертификатами часто рассматриваются обозревателями Chrome, Opera Internet Explorer, Mozilla Firefox как подозрительные, не доверенные. В итоге сайты блокируются и не загружаются в самых распространенных браузерах.
К счастью, бесплатный SSL-сертификат с удостоверяющей подписью, которую браузеры рассматривают как надежную, можно получить бесплатно у спонсорских провайдеров.
Например, на сайте letsencrypt.org/ru/ выдаются бесплатно сертификаты, которые все популярные браузеры из «большой пятерки» рассматривают как надежные.
Вот как выглядит адресная строка с сертификатом Let’s Encrypt. Если кликнуть на замочек, выпадает окно с информацией о сертификате.
Теперь кликните по пункту «Сертификат» и в появившемся интерфейсе вы сможете изучить все подробности, какой сертификат, кем выдан и какие имеет параметры защиты.
Бесплатные сертификаты предназначены для некоммерческих веб-проектов, где нет особой необходимости шифровать данные пользователей, поскольку не ведется активная предпринимательская деятельность.
Платные SSL
Для сайтов e-commerce, интернет-магазинов, сайтов услуг, онлайн-банков следует приобретать надежные платные сертификаты. Это является наглядной демонстрацией клиентам и партнерам, поисковым системам, что ваш бизнес заботится о безопасности своих покупателей, заказчиков, поставщиков.
Надежный коммерческий SSL-сертификат вызывает больше доверия, а доверие – это двигатель торговли. Никто не хочет вести дела с организациями, которым нельзя доверять. Ведь речь идет о деньгах, а иногда и о больших деньгах.
Поэтому, чем более крупные суммы в обороте у компании, тем более надежный и дорогой сертификат SSL следует выбирать.
Платные SSL выдаются авторитетными центрами сертификации.
В их числе:
- Symantec,
- Norton,
- Comodo,
- Trustwave,
- Thawte.
Почему все иностранные? Суть в том, что и все популярные веб-браузеры разрабатываются в зарубежных странах. Поэтому и сертификаты в браузерах применяются свои.
С проверкой домена
Сертификат типа DV (Domain Validation — валидация домена) переназначен для того, чтобы пользователь мог быть уверен, что попадает именно на заявленный сайт, а не на фишинговую копию.
На скриншоте выше сертификат с валидацией домена.
С проверкой компании
Сертификат OV (Organization Validation – валидация организации) подтверждает посещение сайта по правильному домену и что сайт точно принадлежит заявленной компании или организации.
С расширенной проверкой
Сертификат EV (Extendet Validation – расширенная валидация). Такие сертификаты осуществляют проверку как по перечисленным выше параметрам, так и дополнительные тесты, в том числе периодические.
Сертификация EV обозначается в адресной строке замочком, где рядом видно название компании.
Такой сертификат требуется в случаях, когда необходимо максимальная защита клиентских данных. Например, в онлайн-банках.
Что дает HTTPS в поиске Яндекс и Google
На скриншоте ниже можно видеть, что на странице результатов поиска Яндекса сайты с безопасным обменом данными и сертификацией SSL отмечены зеленым замочком.
Пользователь может узнать, насколько безопасен ресурс еще до перехода на сайт. Понятно, что сниппеты с замочком имеют более высокую кликабельность и обеспечивают более высокий трафик.
Безопасный обмен пользовательскими данными на сайте – это вопрос репутации бизнеса. Допустим, гражданин решил получить некие финансовые услуги в разрекламированном банке.
Черед поиск Яндекса или Google находится официальный сайт онлайн-банка, страница загружается в браузер, а в адресной строке указано, что сайт не может обеспечить защищенную передачу данных.
У потенциального клиента мгновенно возникает сомнение: «Как это так? Вроде бы солидный, банк, а не удосужились позаботиться о защите клиентов? Может быть это вовсе и не такая респектабельная и надежная финансовая организация, как сама себя позиционирует?»
Не солидно серьезному банку работать по устаревшему проколу HTTP. Может, у вас и сейфы старого образца? Может, у вас кассирами работает неизвестно кто? Такая беззаботность обойдется организации потерей тысяч клиентов, которые хотели, да не решились доверить свои деньги банку, не уделяющему достаточно внимания безопасности клиентов.
Второй вопрос – наличие HTTPS с недавних пор входит в список наиболее влиятельных факторов поискового ранжирования. Поисковым компаниям вовсе не хочется, чтобы пользователи жаловались на то, что, найдя некий сервис или интернет-магазин через Яндекс или Google, люди в итоге наткнулись на мошенников и потеряли деньги.
«Если эта поисковая система навела меня на мошенников – лучше я воспользуюсь услугами другого поисковика».
Почему корпорация Google решила полностью блокировать загрузку веб-ресурсов без HTTPS в своем фирменном обозревателе Chrome?
Очень просто и логично. Основной рынок для Google – это США. Америка известна тем, что ее граждане по каждому поводу бегут судиться. По числу адвокатов на душу населения США впереди планеты всей.
Вполне вероятно, что Google уже привлекался к судным разбирательствам за то, что американский гражданин или компания, воспользовавшись услугами поиска Гугл, наткнулись на жуликов, потеряли персональные и коммерческие данные, понесли финансовый и репутационный ущерб.
Опытный адвокат сможет выбить из Google миллионы долларов компенсации за моральный и финансовый ущерб.
Вот почему поисковые компании будут вполне жестко требовать от сайтовладельцев обеспечения безопасности и приватности. Ведь речь идет о больших деньгах, которые могу либо заработать, либо потерять Яндекс и Google.
Ну и репутация безопасной поисковой системы – это тоже инвестиция на миллионы долларов.
Требуя от владельцев интернет-проектов внедрения HTTPS Яндекс и Google заботятся о наполнении своего кармана.
Хоть многие и утверждают, что этот протокол нужен только коммерческим сайтам, но я всё же свой сайт тоже перевёл на безопасный протоком. Думаю, что лишним это не будет.
Конечно же не будет лишним, тем более SSL сертификат можно подключить бесплатно.
Вот приеду с отпуска и буду переводить сайты на https: тянуть дальше уже нельзя))
Согласен Николай. Я сам не понимаю почему тянут 2 года эту процедуру. Давно бы уже все перевел и забыл.
Хотел зарегистрироваться на letsencrypt. Но я так понял, что без пожертвования, бесплатно SSL там не получить. Или может я просто что-то недосмотрел, или не туда нажал? На некоторых хостингах эту услугу предоставляют бесплатно. На моём же, хостинге, SSL сертификаты только платные. Я хоть сайт и не развиваю, но всё равно задумался над переводом его на безопасный протокол.
Я переводил сайты на Https через свой хостинг Макхост, там можно бесплатно включать SSL от letsencrypt. Если в твоем хостере этой функции нет, меня хостинг.
Не знал, что можно нормальный SSL бесплатно сделать, поэтому устанавливал платный. Деньги небольшие, но всё же... Спасибо за статью. Пересмотрю этот момент при продлении SSL
Я сам раньше создавал свой первый блог без SSL сертификата, так как думал что он мне вообще не нужен. В этом и была моя ошибка, отдельно спасибо за статью!
Мне было довольно важно разобраться во всех этих http, https, ssl…что это такое, в чем разница и так далее. Для меня это все темный лес) Нашла в интернете статью, в которой довольно подробно все описано, еще и с наглядным примером, который кто угодно поймет))