Перехід сайту з HTTP на HTTPS

Онлайн-покупки і банківські операції в інтернеті засновані на довірі користувачів до конкретного сайту. Захищене з’єднання дає важливі гарантії безпеки і говорить про надійність веб-ресурсу, тому перехід з HTTP на HTTPS стає все більш масовим. Постараємося з’ясувати, які є переваги і недоліки у протоколу нового зразка, що потрібно для переведення HTTPS і чому пора відмовитися від ненадійного з’єднання.

Що таке HTTPS?

HTTPS (Hypertext Transport Protocol Secure) — протокол, завдяки якому забезпечується конфіденційний обмін даними між пристроєм користувача і веб-ресурсом. Забезпечення безпеки сприяють криптографічні протоколи SSL / TLS, які характеризуються трьома захисними рівнями:

• шифруванням даних з метою уникнення перехоплення;
• збереженням інформації за допомогою фіксації кожної зміни;
• аутентификацией, що захищає від втручання у встановлений канал зв’язку.

HTTPS є розширенням HTTP, що використовують сучасні стандарти шифрування. У новому протоколі застосовується порт 443, в той час як HTTP використовує порт 80.

У чому переваги сайту на HTTPS?

Щоб гарантувати максимальну безпеку з’єднання користувача з сервером, в HTTPS задіяні сертифікати SSL і TLS. Передача інформації за допомогою такого протоколу дає наступні переваги:

• поліпшення репутації — маленький замок зеленого кольору, який з’явиться в адресному рядку, стане для більшості користувачів вагомим аргументом на користь співпраці з онлайн-майданчиком, що піклується про безпеку;
• підвищення ранжирування — пошукові системи націлені направляти користувачів на безпечні веб-ресурси, наявність протоколу HTTPS дозволить підвищити позиції сайту в ведучих;
• цілісність інформації — завдяки захищеному з’єднанню з’являється гарантія, що дані будуть передані з точки А в точку Б без редагування або підміни;
• ідентифікація — SSL-сертифікат підтверджує, що інформація приходить в браузер з необхідного домену, а вихідні дані направляються адресату, а не третій стороні (шахраям).

За допомогою HTTPS-з’єднання користувачі отримують впевненість, що конфіденційні дані не будуть відслідковуватися. Вся інформація перед відправкою шифрується і декодується під час отримання, а також проходить перевірку на цілісність.

Для яких сайтів особливо важливий перехід на HTTPS?

Перш за все в переході на HTTPS повинні бути зацікавлені веб-сайти, діяльність яких передбачає передачу користувачами особистих даних. Наприклад, це інтернет-магазини, поштові сервіси, банківські сайти, онлайн-ресурси платіжних систем. Також зробити вибір на користь захищеного протоколу варто представникам сайтів з функціоналом особистих кабінетів користувачів.

Всі інтернет-ресурси, пов’язані з онлайн-платежами, введенням прізвища та імені, паспортних даних та будь-який інший інформації, яка може використовуватися зловмисниками в корисливих цілях, повинні перейти на HTTPS.

Цікаво, що представники Google озвучили тезу, згідно з яким, на їхню думку, застосовувати HTTPS-протокол слід абсолютно всім веб-сайтам без винятків, незалежно від тематики та специфіки. Таку позицію аргументують бажанням компанії Google ставити в якості головного пріоритету безпеку користувачів. У зв’язку з цим керівники пошукової системи відкрито заявляють, що сайти з захищеним протоколом отримують бонуси у вигляді підвищених позицій ранжирування.

Що потрібно для переходу на HTTPS?

HTTPS-з’єднання використовує обраний сервером і комп’ютером користувача загальний секретний ключ, що генерується для кожного окремого сеансу. Підробка при такому рівні захисту неможлива, тому що все шифри є унікальними і включають понад сто знаків.

Щоб перейти на HTTPS, необхідно придбати SSL-сертифікат. Цей протокол гарантує безпечне інтернет-з’єднання і вважається унікальною цифровим підписом веб-сайту. У ньому міститься інформація про доменне імени, власника, фізичне розташування і терміни дії. Часто SSL-сертифікат надає сама компанія, у якій ви орендуєте хостинг.

Готуючи сервер до обробки HTTPS-з’єднань, слід отримати і встановити сертифікат SSL, умовно розділений на публічну (для шифровки трафіку від користувача до сервера в з’єднанні) і приватну (для шифровки безпосередньо на сервері трафіку, який отриманий від клієнта).

Купівля SSL-сертифікатів, їх види

Отже, головною умовою для переходу на HTTPS-з’єднання є придбання SSL-сертифіката. Для цього необхідно звернутися в центр сертифікації або до посередників. Не менш важливо переконатися, що ви вибрали надійний хостинг, представники якого нададуть кваліфіковану підтримку, якщо з тієї чи іншої причини сертифікат не працюватиме.

Перед покупкою треба зрозуміти, який саме вид сертифіката про захищеному з’єднанні вам підходить. Залежно від типу перевірки виділяють дві такі різновиди:

• з перевіркою домену (DV-сертифікати) — є підтвердженням, що юзер знаходиться саме на тому ресурсі, перехід на який хотів здійснити, але інформації про власника веб-сайту в цьому варіанті немає;
• з розширеною перевіркою (EV-сертифікати) — припускають глибоку постійну перевірку інформації, щоб запобігти підміну даних, забезпечують максимально високий рівень захисту.

Перша версія підійде для онлайн-ресурсів, які не потребують серйозному завіренні безпеки. Якщо ж на сайті здійснюються грошові операції і вводяться особисті дані, слід придбати EV-сертифікати.

Ще одна класифікація сертифікатів виділена в залежності від доменів:

• Single Certificate — діє на одне доменне ім’я, яке було зазначено під час реєстрації;
• Wildcard SSL — застосовується не тільки для зареєстрованого домену, але і для всіх піддоменів, також підтримує функціонування веб-сайту на серверах;
• Unified Communications або Subject Alternative Name — використовуються одночасно на декількох доменах і серверах.

Більш докладно про SSL-сертифікати та особливості ви можете прочитати в нашій статті.

Варто відзначити, що в деяких випадках для збереження аутентифікації можуть знадобитися специфічні сертифікати. Наприклад, якщо на веб-ресурсі кирилична доменна зона, доведеться скористатися сертифікатами з підтримкою IDN (Internationalized Domain Name). Для національних ідентифікаторів типу .укр ця вимога є ключовим з точки зору забезпечення безпеки.

Які технічні налаштування потрібно здійснити на сайті?

Щоб перевести інтернет-ресурс на HTTPS, необхідно зробити наступні дії:

1. Отримати та встановити SSL сертифікат — процедура встановлення сертифіката залежить від того який web-сервер Ви використовуєте.
2. Додавання сайтовий домену із захищеним протоколом в Яндекс.Вебмайстер — додатково треба переконатися, що не відбулося склейки в групу дзеркал з іншими інтернет-ресурсами. Якщо ж подібна ситуація все-таки зафіксована, варто застосувати інструмент «відклеювання дзеркал».
3. Налаштування серверного 301-редиректу з небезпечних HTTP-сторінок — важливо упевнитися, що у всіх дзеркалах групи здійснюється переадресація на головне необхідне дзеркало. Після внесення налаштувань можна відправляти заявку про переїзд в панелі Яндекс.Вебмастер.
4. Завершення процесу склеювання — процес буде відрізнятися для Яндекса і Google. У першому випадку успішне прийняття заявки (як правило, від кількох днів до кількох тижнів) буде свідчити про коректне виконання налаштувань. Однак це не означає, що абсолютно всі сторінки старого незахищеного веб-ресурсу миттєво отримають редирект. Деякий час застарілі вихідні все-таки братимуть участь в пошукових ведучих, поки не проиндексируется аналогічні захищені варіанти.

Якщо ж мова йде про Google, досить додавання захищеного веб-сайту як нового ресурсу із зазначенням HTTPS-протоколу і підтвердженням прав. Пошукова система швидко реєструє доступність нової захищеної версії, після чого починає заміну старих сторінок на нові у всіх ведучих.

При проведенні процедури налаштування серверного 301-редиректу треба звертати увагу на кілька принципових моментів:

• структурний збіг сторінок сайтів незахищеного і захищеного зразків — перенаправлення має здійснюватися на аналогічні за змістом сторінки (інформацію про веб-сторінках, які підлягають індексації, містить файл sitemap.xml);
• доступність більшості веб-сторінок — велика частина повинна відповідати кодом редиректу 301 або HTTP-200 ОК (якщо ж багато сторінок визначені як недоступні за кодом 404, це створить додаткові складності переходу, тому потрібно заборонити індексування за допомогою файлу robots.txt, щоб спростити роботу робота-дзеркальників);
• дозвіл індексування в файлах robots.txt обох версій — і в HTTP-, і в HTTPS-версії має збігатися вміст, тоді під час перевірки дзеркал робот буде застосовувати однакові адреси (крім цього, важливо налаштувати 301-редирект для переходу з robots.txt на старому веб-ресурсі на robots.txt на новому).

Коли ви дієте за інструкцією, процес переходу не повинен викликати особливих складнощів. Але Ви завжди можете звернутися за допомогою до фахівців.

Можливі ризики і плюси переходу на HTTPS

Незважаючи на очевидні переваги переходу на HTTPS-з’єднання, процес криє деякі ризики, які можуть негативно вплинути на роботу веб-ресурсу. Слід звернути увагу на такі нюанси:

• ризик появи дублів — коли 301-редирект некоректно налаштований, перенаправлення здійснюється не з усіх незахищених сторінок, через це вага сайту може бути менше, а в результатах пошуку можливе дублювання;
• помилка змішаного вмісту — коли медіафайли сторінки як і раніше завантажуються за допомогою протоколу HTTP, система видає помилку mixed content;
• появу безлічі битих посилань — коли посилання всередині онлайн-ресурсу робили на HTTP-адреси, виникають некоректні гіперпосилання.

Також варто звернути увагу на вірогідність ризиків при використанні безкоштовних сертифікатів. Часто браузери не довіряють їм, тому в інтересах компаній, що піклуються про свою репутацію, купувати платні SSL-сертифікати у надійних постачальників.

Однак загальна тенденція — перехід всіх ресурсів на HTTPS. Не виключено, що в майбутньому абсолютно все веб-ресурси перейдуть на захищений протокол. Якщо ви плануєте створення веб-ресурсу (про те, як створити сайт, можна почитати в нашій статті), слід відразу замислитися про безпеку ресурсу і використанні HTTPS.

Про головні переваги захищеного з’єднання ми говорили вище: це бонуси під час ранжирування, конфіденційність і поліпшення репутації серед користувачів. До того ж, велика частина проблем при переході на захищене з’єднання пов’язана не з самим протоколом, а з некоректною реалізацією процесу.