Оглавление
Время чтения: 8 минут
HTTPS - это защищенный протокол передачи данных, обеспечивающий криптографическое шифрование информации в сети. По сути, это усовершенствованная версия HTTP протокола, повсеместно используемого для построения интернет-коммуникаций с 90-х годов. Для полноценной работы https на сайт нужно установить SSL-сертификат - документ, позволяющий использовать закрытые и открытые ключи шифрования. С https любые транзакции становятся безопасными, а сообщения - приватными. Возможность перехвата личных данных мошенниками стремится к нулю. В статье мы расскажем, как установить https и как сделать сайт защищенным на практике.
Зачем нужен https и ssl сертификат
Без специального протокола безопасности каналы передачи информации остаются открытыми. Здесь можно привести упрощенную аналогию. Представьте, что письмо, которое вы отправляете по почте, может открыть и прочитать любой желающий. При этом в конверте может быть не только дружеская переписка, но и банковские данные или другие конфиденциальные сведения. Так работает http протокол. Благодаря же SSL-сертификату “письмо” шифруется открытым ключом. Закрытый ключ при этом есть только у получателя, и только он сможет расшифровать переданную информацию.
Защищенный сайт с https нужен, в первую очередь, чтобы:
- обеспечить безопасность финансовых транзакций;
- повысить доверие пользователей к сайту и его владельцам;
- сохранить трафик - современные браузеры просто не пускают пользователей на страницы без установленного SSL;
- доказать надежность ресурса поисковым системам - иначе можно получить статус “этот веб-сайт не защищен”.
Перед вебмастером по факту уже не стоит выбор между http и https. Без протокола безопасности ресурс просто оказывается нежизнеспособен.
Как работает https
В общих чертах схему работы можно представить следующим образом.
- Пользователь через браузер отправляет запрос на соединение с сайтом.
- Браузер спрашивает у сайта данные SSL-сертификата.
- Сайт отправляет запрошенную информацию.
- Браузер проверяет подлинность документа безопасности через центр сертификации.
- После проверки браузер и веб-ресурс генерируют симметричный ключ, с помощью которого в дальнейшем шифруется вся передаваемая информация.
Теперь, даже если данные пользователя попадут к третьим лицам, они не смогут их прочесть. Безопасность обеспечит защищенное соединение сайта.
Виды SSL сертификатов
По количеству доменов:
- single domain - действие документа распространяется только на один домен или поддомен;
- WildCard SSL - сертификат для неограниченного количества доменов.
По степени проверки:
- DV - валидация домена. Самый простой, дешевый и распространенный вариант. Для получения документа вебмастеру нужно лишь подтвердить владение доменом.
- OV - валидация организации. Выдается после проверки компании и юридического лица, подавшего заявку на сертификат. Стоит дороже DV. Бывает необходим интернет-магазинам и сайтам, работающим с онлайн-сервисами по приему платежей.
- EV - расширенная проверка. Самый сложный для получения вид протокола. Для подтверждения сведений об организации сотрудник сертификационного центра может связаться с представителем компании-заявителя. Если на сайте установлен SSL уровня EV, в адресной строке браузера рядом с url страницы появляется зеленая полоса и название компании владельца ресурса. Это повышает доверие пользователей. Протоколы с расширенной проверкой редки - их приобретают банки и крупные международные корпорации, которым важна репутация в сети.
Процесс подключения https
Настройка защищенного соединения для сайта проводится в несколько больших этапов. К каждому из них стоит относится внимательно, чтобы избежать в дальнейшем проблем с доступом к ресурсу и его ранжированием в поисковых системах.
Предварительная подготовка
- Меняем абсолютные внутренние url на относительные.
После подключения SSL площадка полностью переходит на https протокол. Если какие-то внутренние документы продолжат ссылаться на страницы с префиксом http, возникнет конфликт безопасности - сайт не будет считаться защищенным. Поэтому все абсолютные ссылки вида http://exemple.com/contacts нужно заменить на относительные - /contacts.
Если поисковые системы обнаружат смешанный контент на странице, пользователь увидит ошибку “Подключение сайта не защищено”. Как это исправить? Только изменив все ссылки.
- Проверяем скрипты и внешний контент.
Картинки, видео и скрипты также могут подгружаться по ссылкам с http. Такие материалы нужно менять или удалять. В случае со скриптами - переписать ссылки на относительные.
- Проводим технический аудит.
Перед сменой протокола необходимо проверить склейку зеркал, удалить битые ссылки, исправить некорректно работающие скрипты.
Приобретение сертификата
Для покупки SSL нужно обратиться в центр сертификации или к своему хостеру. Можно выбрать самый простой вариант домена - DV - и сразу сгенерировать ключ CSR, который понадобится в дальнейшем для настройки протокола. После оплаты заказа и подтверждения домена защищенный сертификат для сайта будет готов либо сразу, либо через несколько дней.
Настройка протокола
Конкретные действия по установке SSL зависят от вашего хостинга и CMS. На них мы не будем останавливаться подробно, так как на каждой площадке есть свои пошаговые инструкции. Отметим только, что среди обязательных действий будут:
- прописывание ключа и загрузка файлов сертификата на хостинг;
- редактирование файла .htaccess;
- обновление настроек сервера в CMS.
Оптимизация сайта
Чтобы не потерять позиции в поиске, после перехода на защищенный протокол сайта необходимо выполнить ряд действий.
- Склейка зеркал.
В Яндекс.Вебмастер в разделе “Переезд сайта” необходимо поставить галочку напротив пункта “https”.
В Google Search Console есть раздел “Изменение имени”.
- Настройка robots.txt и sitemap.xml.
Обязательно нужно обновить служебные файлы в панелях вебмастеров. В robots.txt потребуется изменить директиву Host. Файл sitemap генерируется по новой.
- Обновление счетчиков аналитики.
Необходимо заново сгенерировать и добавить на сайт счетчики Яндекс Метрики и Google Analytics.
Заключение
Ошибка “Сайт не защищен” может фатально повлиять на репутацию и посещаемость ресурса. Чтобы такого не произошло, нужно приобрести, а потом вовремя обновлять SSL сертификат безопасности. С ним данные пользователей будут защищены, а сайт будет работать по современному, зашифрованному соединению.
В студии AppFox можно подать заявку на программирование, создание игр или заказать разработку приложений https://appfox.ru и получить бесплатную консультацию по ценам и услугам.