Всем привет, друзья! Сегодня мы поговорим о протоколах передачи данных HTTP и HTTPS, а также затронем наболевшую тему перехода на HTTPS.
Аббревиатура HTTP знакома многим, кто хоть как-то связан с вебом – это протокол передачи гипертекста (HyperText Transfer Protocol) . Изначально протокол использовался для передачи гипертекстовых документов HTML (HyperText Markup Language ), в настоящее-же время, он может быть использован для передачи практически любого типа данных.
Для лучшего понимания темы, давайте немного углубимся в механику работы транспорта. Протокол имеет в своей основе технологию «Клиент-Сервер», которая предполагает наличие «потребителей» или клиентов, которые посылают запрос на сервер, находящийся в режиме ожидания для совершения каких-либо действий. В частности, если мы говорим о таком простом примере, как загрузка веб-странички — клиентом здесь выступает ваш браузер, сервером — собственно говоря, хост. Это, конечно, очень простой пример, так как HTTP в настоящее время, может выступать в качестве транспорта и для других протоколов прикладного уровня, таких, как SOAP, XML-RPC, WebDAV и т. д.
Поговорим о HTTPS. Как вы уже могли заметить, аббревиатура данного протокола имеет в окончании литеру «S», что как бы намекает на то, что речь пойдет о безопасном соединении — последняя буква расшифровывается как Secure - «Безопасное». Данные в протоколе передачи HTTPS передаются уже не в чистом виде, а в зашифрованном, с использованием специальных надстроек - криптографических протоколов. Зачастую - это SSL. Это слово вы могли слышать или видеть в дополнительных опциях вашего хостинга или наблюдать в настройках VPS/VDS, которые можно подключить к вашему сайту как дополнительную услугу.
Поговорим о HTTPS. Как вы уже могли заметить, аббревиатура данного протокола имеет в окончании литеру «S», что как бы намекает на то, что речь пойдет о безопасном соединении — последняя буква расшифровывается как Secure - «Безопасное». Данные в протоколе передачи HTTPS передаются уже не в чистом виде, а в зашифрованном, с использованием специальных надстроек - криптографических протоколов. Зачастую - это SSL. Это слово вы могли слышать или видеть в дополнительных опциях вашего хостинга или наблюдать в настройках VPS/VDS, которые можно подключить к вашему сайту как дополнительную услугу.
Криптографический протокол SSL имеет подпись и он, как правило, не бесплатен. Его можно приобрести либо у специализированного удостоверяющего центра (напрямую), либо у партнера (собственно, хостера), который выступает посредником. Второй вариант, как правило, удобнее, ведь выпустить и настроить сертификат можно в одном месте и практически в один клик.
Важное дополнение! В настоящее время все больше хостеров начинают поддерживать бесплатное подключение и автоматическое продление сертификатов Let's Encrypt. Это бесплатные сертификаты начального уровня. Если вы решили приобрести сертификат, обязательно уточните в техподдержке - есть ли возможность подключения такого сертификата. Очень часто хостеры не афишируют эту информацию, публично предлагая только платные варианты. Let's Encrypt будет достаточно, если вам не нужна особо мощная защита и вы желаете просто перевести ваш сайт на https.
Изначально, SSL-сертификаты выпускают специализированные центры под собственным брендом. И, чем жирнее «бренд» у производителя сертификатов, чем более сложный протокол шифрования он предлагает, тем сертификат дороже. Стоимость сертификата может варьироваться от десятков до тысяч долларов в год. Как вы уже догадались, дорогие друзья, речь идет об аренде сертификата.
Давайте поговорим о целесообразности аренды именно доступного и недорогого SSL-сертификата для вашего домена, которому требуется относительно невысокий уровень безопасности передачи данных. Бесплатно их, к сожалению уже никто не раздает, разве что некоторые площадки могут предоставить вам сертификат типа DV (domain validation) бесплатно на один год. Через год, такой сертификат придется продлевать за деньги. Но услуга, безусловно, полезная, так как стоимость сертификата через год, зачастую уже известна и это позволит вам сэкономить.
Углубляться дальше в техническую сторону работы протокола HTTPS, думаю, смысла особого нет, этой информации достаточно для понимания базы. А вот далее мы поговорим о том, так ли необходима покупка сертификата на ваш домен? Когда покупка сертификата действительно обоснована, а когда в этом нет особого смысла? Кроме того, я расскажу о подводных камнях, с которыми вы, дорогие друзья, можете столкнуться, начав использование протокола HTTPS на ваших сайтах и поделюсь своим опытом в этом вопросе.
Понять, защищен сайт или нет, можно взглянув на значок, который появился слева от адреса сайта:
Значок замочка говорит о том, что соединение защищено, если на каком-либо сайте вы увидите восклицательный знак — это говорит о том, что соединение не защищено, а красный треугольник предупреждает об опасности.
Обратите внимание, что в табличке безопасности подключения вы можете получить сообщение «Подключение защищено не полностью» с символом восклицательного знака в кружочке даже в том случае, если вы используете протокол https на всем сайте. Если вы получили такое сообщение — проверьте, нет ли в исходниках внешних или внутренних ссылок, использующих простой http. Если такие ссылки обнаружены — поменяйте их на https. Если ваш сайт защищен, никаких проблем с внутренними ссылками быть не должно и вы получите значок замочка.
Если сайт защищен, он будет вместо обычного http протокола, иметь защищенный протокол https:
Итак, теперь мы знаем, что такое SSL-сертификат, знаем, как максимально быстро установить сертификат на домен, если вы пользователь хостинга, предоставляющего такую услугу, и имеете представление о том, как этот сертификат работает.
Вопрос — нужен ли SSL-сертификат вашему сайту? Какие привилегии вы получите отдавая немалую сумму ежегодно на продление сертификата?
Давайте начнем с того, для чего именно разрабатывалась дополнительная защита протокола передачи данных — это повышение уровня безопасности. Если ваш сайт использует секретные пользовательские данные, а именно — данные кредитных карт (в случае интернет-магазина, сервисов с приемом оплаты и т.д.). Другими словами — все страницы, которые участвуют в обработке и передаче важных данных в обязательном порядке должны использовать сертификат безопасности.
Что-же касается простых контентных сайтов, то здесь все не так однозначно. С одной стороны, защищать здесь особо нечего — клиент запрашивает текстовый материал и получает его в первозданном виде. Однако, крупные игроки на рынке поисковых систем — Яндекс и Google считают необходимостью защищать абсолютно любые данные, передаваемые по сети. Подобное лоббирование и выведение в тренды использования SSL-сертификатов поисковиками поголовно на всех сайтах, как бы намекает нам на то, что ресурты, работающие по протоколу https будут ранжироватьться в выдаче лучше. По моим наблюдениям — это не так и сейчас я расскажу вам об одном небольшом эксперименте, в котором я на пол-года отключил сертификат от одного из своих сайтов. Что из этого получилось, я расскажу вам.
Итак, небольшая предыстория. Имея контентный сайт, на который еще не был установлен сертификат, я, как и любой уважающий себя веб-мастер, решил немного поднять доверие поисковиков к ресурсу, улучшить показатели выдачи и понаблюдать за тем, что получится.
На тот момент, это была середина 2017 года, сайт уже имел какой-то вес и среднюю суточную посещаемость около 4000. Установив сертификат, я продолжал работать над ресурсом в обычном режиме, не ожидая каких-то заоблачных результатов, серьезных изменений со стороны поисковых систем. Под управлением сертификата сайт проработал около года и знаете, какой суточный прирост уникальных посетителей я получил, спустя более, чем 8 месяцев благодаря сертификату? Никакого. Развитие шло естественным путем и я более, чем уверен, без него результат был бы тот-же.
Единственное, что я получил — дополнительную статью расходов на сертификат ежегодно, так как просто так взять и отказаться от однажды установленного сертификата уже нельзя. Нет, вы, конечно можете его просто отключить и не продлевать, но готовьтесь наблюдать стремительное падение трафика. И происходить оно будет не потому, что поисковики, вдруг обнаружив отсутствующий сертификат на вашем текстовике внезапно примутся всесторонне пессимизировать ваш ресурс. Причина проста, как три рубля. За этот год ваш сайт обрастает внешней ссылочной массой, пользователи делятся информацией, статьями, добавляют в закладки. И все эти ссылки уже имеют протокол https. Все эти замечательные добрые люди, которые искренне заинтересовались вашим проектом, после отключения SSL, просто не смогут зайти на ваш сайт, из раза в раз получая это холодное и безжизненное «Подключение на защищено»:
Вывод можно сделать только один. На сегодняшний день, если ваш сайт собирает или обрабатывает конфиденциальные данные пользователей — покупка сертификата обязательна. Если вы имеете обычный контентный сайт, Landing Page или какой-то несложный домашний проект - стоит задуматься перед покупкой. Назад дороги уже не будет, как видно из моего личного примера. Ну, а если в ближайшем будущем каждый проект обяжут использовать SSL, а на сайты без сертификата будут вешать огромный красный шильдик — впору готовить дополнительную статью расходов на каждый проект.
