Защищенный протокол HTTPS. Что это и почему вам нужно его использовать

Поскольку любая активность в сети подразумевает передачу каких-либо данных (то есть всегда есть какой-то запрос к серверу и ответ от него), то нужны правила такой передачи, а также канал и транспортный механизм. Всё это в себе совместил протокол HTTP – он стал стандартом, который используется повсеместно. Именно HTTP позволяет браузеру ПК или гаджета загрузить и отобразить содержимое веб-ресурса.

Но у HTTP есть один (большой) недостаток: никакие передаваемые данные не защищаются и не шифруются. Если на пути к серверу и обратно есть точка, которую контролирует злоумышленник, то он легко их перехватит. Такой расклад надо было менять, поэтому на смену пришел защищенный протокол HTTPS:

• HTTPS – это модифицированный HTTP, обеспечивающий криптозащиту данных. Информация, которую вы передаете, защищена от третьих лиц.
• Все случайные и намеренные изменения или искажения данных, которые пользователь передает, фиксируются.
• Наличие HTTPS – фактор продвижения сайта в поисковой выдаче в Google, по сути это одно из стандартных требований в SEO. 
  

Каждый раз, когда пользователь заходит на сайт с HTTPS или переходит по страницам этого сайта, этот протокол формирует случайный секретный код. Подобрать его невозможно – в нем более 100 символов. Этот код известен только серверу и компьютеру пользователя. Благодаря этому ключу шифруются все передаваемые данные, т.е. на основе этого ключа создаются ключи для всех данных. Поэтому браузер и сервер могут представить отобразить сообщение или перевести сумму.

Если вы оплачиваете пиццу онлайн через сайт на HTTP, ваши платежные данные передаются по открытому каналу, их можно перехватить. Если сайт на HTTPS, то данные зашифрованы.

Дополнительная составляющая защиты – цифровой сертификат, который нужен, чтобы идентифицировать сервер ресурса. Сертификат сам по себе пользователю не нужен, но если сайт или сервер хочет установить соединение с пользователем, сертификат необходим, чтобы:

1. Подтвердить, что лицо, на которое он выпущен, существует на самом деле (там есть цифровая подпись).
2. Доказать, что это лицо действительно управляет сайтом / сервером.

Цифровой сертификат – критически важный документ для сайта, его выдают центры сертификации. Подлинность сертификата – первое, что проверяет браузер при соединении с сайтом на HTTPS, и только в случае, если сертификат действителен, начинается обмен данными.

Наличие HTTPS крайне важно для ресурсов, которые обрабатывают различную приватную информацию, например, для платежных систем, банковских сайтов и вообще сайтов, где пользователь вносит персональную информацию.

• DV или Domain Validated (с проверкой домена) – сертификат, доступный физлицам и организациям, которые защищает данные, но не является доказательством того, что сам владелец сайта – проверенное лицо, которому можно доверять. Подходит для личных сайтов (блог, портфолио, визитка).
• OV или Organization Validated (с проверкой организации) – доступен только организациям (коммерческим, некоммерческим, государственным), проверяет документы существования юридического лица, а также кому принадлежит домен. Подходит интернет-магазинам, поставщикам услуг.
• EV SSL – Extended Validation SSL (с расширенной проверкой организации) – визуально выделяется в браузере, поскольку такой домен прошел многоэтапную тщательную проверку. Поэтому его используют онлайн-ресурсы банков, платежных сервисов и крупные сайты.

Как мы написали выше, наличие HTTPS для Google – сигнал к более высокому ранжированию. Позиция компании по этому вопросу предельно прозрачна: Google хочет привести весь интернет к «безопасному стандарту» – наличие HTTPS должно стать правилом, об исключениях из которого нужно предупреждать пользователей. Именно поэтому Google убрал положительный сигнал о защищенном сайте и стал вместо этого сообщать о незащищенных ресурсах.

Поэтому если вы продвигаете свой сайт на http в Google, переезд на HTTPS необходим.

Яндекс по этому вопросу только собственным примером демонстрирует предпочтение: все сервисы Яндекса – на HTTPS. Яндекс утверждает, что сайты на обоих протоколах ранжируются на равных условиях, при этом отмечает, что стоит ориентироваться на безопасность пользователя и его данных. Возможно, что переход к единому безопасному стандарту – лишь вопрос времени.

Правильный переезд с HTTP на HTTPS

Конечно, требование о наличии SSL-сертификата лучше всего учитывать на этапе разработки сайта. Однако если вышло иначе, переезд сайта на HTTPS должен проходить под контролем SEO-специалиста. Особенно, если хотите сохранить позиции в поиске.

По опыту нашей компании лучше начинать переезд на HTTPS в Яндексе, поскольку с ним сложностей большее, чем с Google. Специалисты Яндекс.Вебмастер переезд на https подробно охарактеризовали в блоге, а также они ответили на часто возникающие вопросы.

Для Search Console (Гугл Вебмастер) переезд на HTTPS регламентируется рекомендациями, изложенными в Справке, а также можно задать вопрос на форуме для вебмастеров.

Больше информации о переезде сайта на HTTPS в Гугл и Яндексе, об особенностях этих поисковых систем и возможных проблемах, связанных с новым доменом, вы можете узнать из нашей статьи.