Бесплатно по России

С 10:00 до 21:00

С 10:00 до 21:00

Заполнить бриф

Онлайн заявка

Как установить защищенное соединение https на свой сайт?

Как установить защищенное соединение https на свой сайт?

Редакция Appfox

Редакция Appfox

Время чтения: 8 минут

HTTPS - это защищенный протокол передачи данных, обеспечивающий криптографическое шифрование информации в сети. По сути, это усовершенствованная версия HTTP протокола, повсеместно используемого для построения интернет-коммуникаций с 90-х годов. Для полноценной работы https на сайт нужно установить SSL-сертификат - документ, позволяющий использовать закрытые и открытые ключи шифрования. С https любые транзакции становятся безопасными, а сообщения - приватными. Возможность перехвата личных данных мошенниками стремится к нулю. В статье мы расскажем, как установить https и как сделать сайт защищенным на практике.

Зачем нужен https и ssl сертификат

Без специального протокола безопасности каналы передачи информации остаются открытыми. Здесь можно привести упрощенную аналогию. Представьте, что письмо, которое вы отправляете по почте, может открыть и прочитать любой желающий. При этом в конверте может быть не только дружеская переписка, но и банковские данные или другие конфиденциальные сведения. Так работает http протокол. Благодаря же SSL-сертификату “письмо” шифруется открытым ключом. Закрытый ключ при этом есть только у получателя, и только он сможет расшифровать переданную информацию.

Защищенный сайт с https нужен, в первую очередь, чтобы:

  • обеспечить безопасность финансовых транзакций;
  • повысить доверие пользователей к сайту и его владельцам;
  • сохранить трафик - современные браузеры просто не пускают пользователей на страницы без установленного SSL;
  • доказать надежность ресурса поисковым системам - иначе можно получить статус “этот веб-сайт не защищен”.

Перед вебмастером по факту уже не стоит выбор между http и https. Без протокола безопасности ресурс просто оказывается нежизнеспособен.

Как работает https

Как работает https

В общих чертах схему работы можно представить следующим образом.

  1. Пользователь через браузер отправляет запрос на соединение с сайтом.
  2. Браузер спрашивает у сайта данные SSL-сертификата.
  3. Сайт отправляет запрошенную информацию.
  4. Браузер проверяет подлинность документа безопасности через центр сертификации.
  5. После проверки браузер и веб-ресурс генерируют симметричный ключ, с помощью которого в дальнейшем шифруется вся передаваемая информация.

Теперь, даже если данные пользователя попадут к третьим лицам, они не смогут их прочесть. Безопасность обеспечит защищенное соединение сайта.

Виды SSL сертификатов

По количеству доменов:

  • single domain - действие документа распространяется только на один домен или поддомен;
  • WildCard SSL - сертификат для неограниченного количества доменов.

По степени проверки:

  1. DV - валидация домена. Самый простой, дешевый и распространенный вариант. Для получения документа вебмастеру нужно лишь подтвердить владение доменом.
  2. OV - валидация организации. Выдается после проверки компании и юридического лица, подавшего заявку на сертификат. Стоит дороже DV. Бывает необходим интернет-магазинам и сайтам, работающим с онлайн-сервисами по приему платежей.
  3. EV - расширенная проверка. Самый сложный для получения вид протокола. Для подтверждения сведений об организации сотрудник сертификационного центра может связаться с представителем компании-заявителя. Если на сайте установлен SSL уровня EV, в адресной строке браузера рядом с url страницы появляется зеленая полоса и название компании владельца ресурса. Это повышает доверие пользователей. Протоколы с расширенной проверкой редки - их приобретают банки и крупные международные корпорации, которым важна репутация в сети.

Процесс подключения https

Настройка защищенного соединения для сайта проводится в несколько больших этапов. К каждому из них стоит относится внимательно, чтобы избежать в дальнейшем проблем с доступом к ресурсу и его ранжированием в поисковых системах.

Предварительная подготовка

  1. Меняем абсолютные внутренние url на относительные.

После подключения SSL площадка полностью переходит на https протокол. Если какие-то внутренние документы продолжат ссылаться на страницы с префиксом http, возникнет конфликт безопасности - сайт не будет считаться защищенным. Поэтому все абсолютные ссылки вида http://exemple.com/contacts нужно заменить на относительные - /contacts.

Если поисковые системы обнаружат смешанный контент на странице, пользователь увидит ошибку “Подключение сайта не защищено”. Как это исправить? Только изменив все ссылки.

Предварительная подготовка для установки https
  1. Проверяем скрипты и внешний контент.

Картинки, видео и скрипты также могут подгружаться по ссылкам с http. Такие материалы нужно менять или удалять. В случае со скриптами - переписать ссылки на относительные.

  1. Проводим технический аудит.

Перед сменой протокола необходимо проверить склейку зеркал, удалить битые ссылки, исправить некорректно работающие скрипты.

Приобретение сертификата

Для покупки SSL нужно обратиться в центр сертификации или к своему хостеру. Можно выбрать самый простой вариант домена - DV - и сразу сгенерировать ключ CSR, который понадобится в дальнейшем для настройки протокола. После оплаты заказа и подтверждения домена защищенный сертификат для сайта будет готов либо сразу, либо через несколько дней.

Настройка протокола

Конкретные действия по установке SSL зависят от вашего хостинга и CMS. На них мы не будем останавливаться подробно, так как на каждой площадке есть свои пошаговые инструкции. Отметим только, что среди обязательных действий будут:

  • прописывание ключа и загрузка файлов сертификата на хостинг;
  • редактирование файла .htaccess;
  • обновление настроек сервера в CMS.

Оптимизация сайта

Чтобы не потерять позиции в поиске, после перехода на защищенный протокол сайта необходимо выполнить ряд действий.

  1. Склейка зеркал.

В Яндекс.Вебмастер в разделе “Переезд сайта” необходимо поставить галочку напротив пункта “https”.

После перехода на защищенный протокол сайта необходимо выполнить ряд действий в Яндекс Вебмастере

В Google Search Console есть раздел “Изменение имени”.

  1. Настройка robots.txt и sitemap.xml.

Обязательно нужно обновить служебные файлы в панелях вебмастеров. В robots.txt потребуется изменить директиву Host. Файл sitemap генерируется по новой.

  1. Обновление счетчиков аналитики.

Необходимо заново сгенерировать и добавить на сайт счетчики Яндекс Метрики и Google Analytics.

Заключение

Ошибка “Сайт не защищен” может фатально повлиять на репутацию и посещаемость ресурса. Чтобы такого не произошло, нужно приобрести, а потом вовремя обновлять SSL сертификат безопасности. С ним данные пользователей будут защищены, а сайт будет работать по современному, зашифрованному соединению.

В студии AppFox можно подать заявку на программирование, создание игр или заказать разработку приложений https://appfox.ru и получить бесплатную консультацию по ценам и услугам.

Автор

Редакция Appfox

Редакция Appfox