Здравствуйте, дорогие друзья! Сегодня поговорим о протоколе HTTPS и о сертификатах безопасности SSL. Разберём важные вопросы, которые тревожат многих владельцев сайтов и блогов, в преддверии 2017 года. Так как Google сообщил о том, что в браузере Google Chrome сайты без SSL-сертификатов будут отмечаться как небезопасные.
И сегодня я постараюсь объяснить, нужно ли переходить на новый протокол, какие бывают сертификаты и где их брать.
В чем разница между HTTP и HTTPS и как они работаю
Когда вы открываете сайт в браузере, то происходит обмен данными между браузером и сервером, на котором находится сайт. Браузер делает запросы, сервер отвечает, эти процессы вы не видите. Зато вы видите, как загружается сайт, подгружаются картинки, стили и так далее. Всё это процесс обмена данными между браузером и сервером.
Так вот, на обычных сайтах, с протоколом http, передача данных в запросах осуществляется без шифрования, а на сайтах с протоколом https в зашифрованном виде.
Это означает, что когда на обычном сайте вы входите в личный кабине, вводите логин и пароль, то запрос на сервер оправляется в таком не защищённом виде. А учитывая, что запрос идёт не напрямую, а через посредников, то злоумышленники могут легко перехватить эти данные. А дальше вы понимаете.
Вот что выдаёт сейчас браузер при просмотре незащищённых сайтов.
Что же происходит, когда сайт работает на протоколе https?
На таких сайтах передача данных защищена, она передаётся в шифрованном виде.
Как происходит обмен шифрованными данными?
При переходе на сайт, на запрос браузера, сервер отправляет SSL-сертификат, в котором содержится информация о сертификате (кто выдал, на какой срок), информация о сайте и самое главное – открытый ключ шифрования. С помощью этого ключа браузер будет шифровать, и расшифровывать данные отправляемые и получаемые с сервера.
На сервере же находится второй ключ (приватный), с его помощью сервер шифрует, и расшифровывает данные браузера.
Если браузер проанализировал сертификат, и всё в порядке, в браузере вы сможете наблюдать замочек в адресной строке.
Цветом он может быть зелёным или серым. В разных браузерах по-разному. Если замочек закрыт, всё хорошо, и данные будут передаваться в зашифрованном виде.
Думаю, теперь разница между протоколами понятна.
Какие сайты нужно переводить на безопасный протокол HTTPS
Ситуация складывается так, что со временем придётся перевести все сайты на этот протокол. Так как никто не хочет клеймо «Небезопасный» и реакции со стороны поисковиков.
Но, это в перспективе. Сейчас же нужно переводить сайты, на которых происходит передача паролей, персональных и платёжных данных. Но, такие сайты и так уже работают на https.
Так что время пока ещё есть и для обычных сайтов и блогов никто ультиматум не выдвигал.
Какие бывают SSL-сертификаты и в чём их отличие
Как вы уже поняли, SSL-сертификат нужен для подтверждения безопасности сайта и обеспечения шифрования данных между браузером и сервером.
Сертификаты существуют двух видов: — Самоподписанные и Доверительные.
Доверительные, в свою очередь, подразделяются по уровню проверки и количеству доменов, на которые распространяются.
- Самоподписанные (самозаверенные) сертификаты (Self-Signed)
Это скорей проблема, чем её решение. Такие сертификаты не воспринимаются большинством браузеров, как безопасные, так как в них не указан центр сертификации, или он неизвестен браузеру.
Подпись такого сертификата проверяется публичным ключом, который является частью самого сертификата. То есть сертификат сам себя подтверждает.
Именно по этой причине браузеры не доверяют таким сертификатам и выдают предупреждение, что сертификат не удалось проверить и следует, покинут этот сайт.
Тут уж лучше совсем без сертификата.
Так что такие сертификаты для публичных сайтов не подходят.
- Доверительные (Trusted)
Эти сертификаты надёжны и выдаются центрами сертификации. А это значит, что такие сертификаты официально признаны во всём мире и распознаются всеми браузерами, так как это происходит через систему корневых сертификатов, которые установлены и обновляются в браузерах.
Каждый выданный сертификат гарантирует денежную компенсацию в случае его взлома.
Эти сертификаты подразделяются по уровню проверки и количеству доменов. От этого зависит их надёжность и цена.
SSL-сертификат с проверкой домена (Domain Validated или DV).
Сертификат доступен физическим лицам — в том числе ИП и компаниям, государственным учреждениям. Подтверждает тот факт, что домен принадлежит вам. Для его выпуска не требуется представлять документы, что ускоряет процесс получения.
Для получения этого сертификата нужно подтвердить владение доменом. Для этого нужен ящик с доменом сайта, или же тот email, что использовался при регистрации домена и указан в информации WHOIS, на него придёт письмо со ссылкой на подтверждение.
Этот сертификат шифрует обмен данными, но не даёт гарантии, что владельцу можно доверять.
По стоимости это самый дешёвый сертификат, так в FirstSSL можно купить этот сертификат от 470 рублей в год. А в некоторых случаях и получить бесплатно.
Получаете вы такой сертификат в течение 5 минут.
А главное, этот сертификат отлично подходит для обычных сайтов, где нет приёма персональных данных и оплаты.
SSL-сертификат с проверкой организации (Organization Validated или OV)
Для получения этого сертификата нужно пройти более тщательную проверку. Занимает она примерно 2-5 дней. Нужно будет предоставить регистрационные данные компании или ИП и подтвердить законное владение доменом.
Такие сертификаты стоят дороже и подходят для интернет-магазинов и других сайтов, которые связаны с платежами, обработкой и хранением персональных данных.
Физическим лицам этот вид сертификатов недоступен. Как и следующий.
SSL-сертификат с расширенной проверкой (Extended Validation или EV)
Это самый дорогой сертификат и получить его сложнее всего. Этот сертификат, помимо замочка в адресной строке ещё отображает название организации, получившей сертификат.
Такие сертификаты имеют наивысший уровень доверия, так как подтверждают не только владение доменом, но и факт реального существования компании. Это достигается за счёт тщательных проверок организации.
Алгоритм проверок строго регламентирован, и проверка может продолжаться от 3 до 9 дней.
Такие сертификаты используются на платёжных системах, банках и других серьёзных организациях.
Сертификаты отличаются по количеству доменов, на которые распространяются.
SSL-сертификат для одного домена — защищает домен с www и без www.
SSL-сертификат для нескольких доменов – защищает до 100 доменных имён.
SSL-сертификат Wildcard – защищает домен и все его поддомены.
Теперь вы знаете, какие бывают сертификаты, и можете определиться, какой нужен именно вашему сайту.
Так, если вы не используете поддомены, не осуществляете платежи через сайт и не храните персональные данные, то следует остановить свой выбор на доверительном сертификате с проверкой домена (DV).
Совет: если у вас несколько сайтов (3-5), то дешевле купить для каждого сертификат, чем брать один с поддержкой сотри доменов.
Где можно купить сертификат
Здесь ситуация обстоит так же, как и с регистрацией доменных имён. Есть центры сертификации, и есть их партнёры. Так вот через партнёров приобретать сертификаты гораздо дешевле. Партнёры закупают сертификаты оптом и поэтому у них цены ниже. Надёжность сертификата от этого не страдает.
Для себя я нашёл наиболее подходящий FirstSSL. Здесь самая адекватная ценовая политика.
А также сертификат можно приобрести у хостинг-провайдера. Но, у них цены выше.
А ещё у некоторых хостингах нет возможности установить сторонний сертификат, только купленный у них. На моём хостинге сейчас случилась именно такая засада.
Совет: прежде чем покупать сертификат, поинтересуйтесь в технической поддержке, можно ли установить сертификат, купленный не у них.
Как получить SSL-сертификат бесплатно
Можно получить сертификат для своего сайта или блога совершенно бесплатно. Но, нужно учитывать, что можно получить сертификат только для одного домена (DV) без поддоменов. И такой сертификат будет от центров сертификации с меньшим рейтингом. Но, это никак не влияет на работу сертификата.
Вот несколько центров сертификации, которые предоставляют бесплатные сертификаты.
- WoSign
- StartSSL
- GoGetSSL
- Let’s Encrypt
Кстати, на хостинге Бегет можно получить бесплатный сертификат от Let’s Encrypt прямо из панели управления и быстро его установить.
Процесс покупки и установки сертификата я расскажу и покажу в отдельной статье. А здесь отвечу ещё на один вопрос.
Примечание: для бесплатных SSL-сертификатов не нужен выделенный IP, а это значит нет дополнительных расходов при переходе на новый протокол.
Нужно ли делать изменения на сайте до и после перехода на протокол HTTPS
- Прежде чем приступить к изменению протокола, вы должны узнать у своего хостинга особенности переезда, как я сказал, не все хостинги предоставляют возможность установки сторонних сертификатов.
- Обязательно сделайте резервную копию сайта и базы данных.
- Перед сменой протокола нужно исправить все ссылки на сайте с абсолютных на относительные, не зависящие от протокола.
- После покупки и установки SSL-сертификата сайт будет доступен по протоколу http и https. Поэтому нужно настроит 301 редирект.
- Нужно внести изменения в файл robots.txt, в директиву Host. К доменному имени нужно добавить протокол (Host: https://site.ru).
- В кабинетах вебмастеров добавить новый протокол. Причём в Яндекс.Вебмастере достаточно нажать один чек-бокс, чтобы сообщить о новом протоколе, в то время, как в Гугле нужно добавить сайт заново.
- Заново добавить карты сайта в кабинетах вебмастеров и перенести настройки с предыдущей версии сайта, если были такие (например, исключённые url или запреты).
- Изменения в настройках контекстной или тизерной рекламе делать не придётся. Рекламные сети не учитывают протокол при добавлении сайта.
Вот, пожалуй, и все основные моменты, на которые нужно обращать внимание при смене протокола.
Более подробно процесс переезда с http на https рассмотрим в ближайшее время.
Друзья, если у вас есть дополнения или вопросы, давайте обсудим их в комментариях. Желаю вам успехов и хорошего настроения.
С уважением, Максим Зайцев.
Максим, почитала и поняла, что для меня это очередной»темный лес» ), конечно, если сайт приносит хороший доход, то однозначно нужно всё это внедрять. А сколько сайтов в сети, на которых посещаемость не превышает и ста человек в сутки, вряд ли их владельцы захотят, что то менять , да ещё и платить дополнительные средства…
Елена, добрый день. Да, изначально это может показаться сложным, но на самом деле не сложнее чем приготовить борщ! Я вот помню, когда в институте первый раз готовил борщ, — это было нечто! Я там такого наготовил А вот уже второй раз получилось лучше! И так далее.
Здесь принцип тот же. Нужно брать и пробовать, разбираться. Для владельцев сайтов и блогов это необходимо, — разбираться в технических вещах. Пусть не досконально, но хотя бы html и css нужно изучить! А с низкой посещаемостью нужно работать и не сдаваться. И посещаемость можно увеличить в разы! Я вот ничего не делаю для продвижения блога, и то посещаемость за 1000. А буквально на днях купил курс Е.Попова «Практическое SEO», начал изучать, так как в СЕО у меня большой пробел. И понял, что я не просто не продвигал свой блог, я в некоторых позициях просто вредил его продвижению. Для меня это тоже сложно, но я беру и делаю и всем советую!
Согласен с вами, не все так просто с этими сертификатами, кажется только настроил блог, только бери и выкладывай новые статьи, но нет снова какая-то проблема, которую нужно изучать Но что делать, как говорит Максим придется учиться варить борщ
Сергей, всё верно сказано! Некоторые проекты переезжают на новый протокл легко, а с некоторомы нужно повозиться. Сайты у всех разные, изображения, настройки, плагины и так далее. Но, попыхтев один раз всё настраивается и забывается. Тут главное, правильно подготовиться!
Сергей привет хочу сказать тебе спасибо за видео которые ты записываешь, была проблема с котёнком, твои видео очень помогли.
Целых 10 баксов, Карл!
Когда переезжала, провозилась часов 6. Теперь больше 15-ти минут не займет. Мой сайт вообще никакого дохода не приносит. Просто захотелось надпись «надежный» в адресной строке и зеленый замочек, ну и заодно разобраться, что это такое и с чем его едят, так, для общего развития
Ребята, кто-нибудь подскажет, где ошибка?
Было:
<meta name="description" content="» />
Исправила на:
<meta name="description" content="ID, ‘description’, true); ?>» />
Коды обрезает форма комментариев(
Елена, коды лучше на почту присылать. В комментариях они обрезаются в целях безопасности. Или добавляйте в тегах PRE.
Максим, привет! А если я только запускаю сайт и поддомен и планирую сразу же их по защищенному протоколу запустить, тоже что-то переделывать придется? Или достаточно будет в поисковых системах в панели вебмастера зарегистрировать https? В файле роботс прописать директиву хостс?
Лариса, привет. Да, если сайт новый для него нужно установить SSL-сертификат, сразу добавить сайт с протоколом https в кабинеты вебмастеров и про роботс не забыть. Также проверить доступность сайта по протоколу http, если доступен, настроить редирект.
Добрый день. Подскажите, пожалуйста, с точки зрения SEO продвижения существует разница между htpp и htpps?
Заранее благодарю, Елена
Здравствуйте, Елена. Нет, протокол не влияет на продвижение.
Здравствуйте, а вот что делать в этом случае: Взял домен вчера и заказал сертификат lets encrypt, дадут завтра. Но сайт нужно как можно быстрее быстрее запустить и настроить! Что делать то ? как правильно что делать то ? Чтоб все правильно было. Не понял в этом случае как поступить… Не сидеть же и ждать завтра когда придет сертификат… Что можно уже сейчас начать делать ? … Чтобы не навредить продвижению…… Тексты готовы , все на старте..
Busan, если сайт готов (установлен движок, настроена тема и т.д.) можно приступать к наполнению статьями. А настройку https можно выполнить когда получите сертификат.
Странно, а кто то порекомендовал подождать ssl , не сказали как делать то правильно,,,роботс какой?, файл, httss нужно ли устанавлиыать с редиректом,..к сожалению ваш ответ не до конца помог