Бизнес теряет клиентов без HTTPS: Google и «Яндекс» теперь единодушны
C 2017 года поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 года для «Яндекса» это тоже важный параметр качества сайта. Разбираемся, какие проблемы ждут владельцев сайтов без HTTPS-протокола и как их обойти.
Протокол HTTPS — это зашифрованный способ передачи данных. А SSL-сертификат как раз обеспечивает цифровое шифрование, которое защищает обмен данными между пользователем и сайтом. Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Для владельцев сайтов переход на безопасный сертификат шифрования — это прежде всего забота о клиентах. А забота о клиенте — главный фактор ранжирования для поисковиков. Так владелец сайта зарабатывает доверие пользователей и улучшают бизнес-показатели.
Для сайтов, где пользователь вводит личные и платежные данные, SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.
Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом. «Яндекс» повторяет многие решения «старшего брата». И теперь российский поисковый сервис озвучивает аналогичную позицию.
С учетом тренда всеобщей информационной безопасности, переходить на безопасный сертификат нужно уже сейчас. Часть ecommerce-компаний перевели сайты на безопасный протокол заранее. Сейчас мы в «Атвинте» наблюдаем вторую волну обращений на настройку SSL-сертификатов.
Илья Карбышев
SEO-специалист, руководитель продвижения Атвинты, эксперт «Яндекса» по обучению
Google помечает сайты без HTTPS как ненадежные. «Яндекс» в скором времени введет аналогичные санкции.
Это не временная мера, это будущее интернета. Однако в рунете на начало 2019 года, по данным аналитического ресурса StatOnline, только около 18% сайтов пользуются SSL-сертификатом. Всего в доменной зоне *.ru — больше 5 млн активных доменов, сайтов с HTTPS — всего 900 тысяч.
Последствия для сайтов без HTTPS
Отсутствие HTTPS мешает поисковому продвижению. Google и «Яндекс» уже внесли SSL-сертификат в список факторов ранжирования.
Google ограничивает рекламу таких сайтов. При настройке кампании в кабинете «Google Рекламы» появляется сообщение, что показы будут урезаны.
Работоспособность сайта под угрозой. Украсть могут не только данные пользователей, но и логин от административной панели. Злоумышленники подменяют контент на сайте или размещают на нем рекламу запрещенных товаров. Доверие посетителей к таким сайтам падает.
Репутационные и финансовые убытки в случае утечки информации. Компании придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это на порядок дороже, чем установить SSL-сертификат.
Как видим, риски ощутимые.
А какие аргументы у тех, кто не использует HTTPS
Мы не собираем персональные данные, зачем заморачиваться с переездом.
У меня и без HTTPS сайт нормально ранжируется по нужным запросам в Google. А «Яндексу» вообще все равно.
Переезд приведет к потере в индексации, сайт выпадет из поисковиков или значительно снизится позиция в выдаче.
Переезд придумали, чтобы вытягивать деньги из владельцев сайтов. Ведь нормальный SSL-сертификат — платный.
Еще пару лет назад можно было оправдаться такими заявлениями. Сейчас все помешаны на цифровой безопасности персональных данных. Хотите получать клиентов через интернет — пора переходить на HTTPS.
Как безопасно перейти на безопасный SSL-сертификат
Из нашего опыта работы, владельцы сайтов боятся потерять трафик при переходе на HTTPS. Ведь от объема трафика зависит их прибыль. Однако если соблюсти ряд правил при смене протокола с HTTP на HTTPS, переезд пройдет практически безболезненно.
Мы обращаем внимание на такие нюансы:
Выбирать сертификат По способу проверки сайтов они бывают трех видов: Domain Validation (DV), Organization Validation (OV), Extended Validation (EV). Различаются по уровню проверки и подтверждения данных организации. Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
Выбирать время Проанализируйте активность пользователей и проводите работы, когда наименьшее количество аудитории интересуется сайтом.
Настроить редиректы и проверить индексацию Здесь понадобится помощь SEO-специалиста. Он проследит правильность настроек, индексацию поисковиками, настроит переадресацию страниц.
Если процедура будет проходить под контролем специалистов, просадка по трафику будет некритичной и придет в норму в течение месяца. В замен вы получите дополнительное признание поисковых систем. Тот же «Яндекс» обращает внимание в блоге рекламных технологий: «На сайты с защищенным протоколом приходится более 80% нашего поискового трафика». Пожалуй, стоит попасть в эти 80%.
UPD по мотивам комментариев
Владелец сайта всегда может решить: поставить бесплатный SSL-сертификат или платить за безопасность своих клиентов. Например, можно бесплатно сделать сертификат от Let's Encrypt, о котором читатели неоднократно упоминали в комментариях. Пока для Google и Яндекса его достаточно.
Учитывайте, что Google может забанить целый центр бесплатной сертификации. Как это было, например с Symantec.
Выбрать платный или бесплатный сертификат — личное дело каждого. Многие хостинги позволяют добавить сертификат в пару кликов. Главное — внимательно осуществить переезд и учесть все нюансы именно вашего сайта, чтобы не потерять в выдаче. И здесь лучше заручиться поддержкой специалистов.
Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.
Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
Дело даже не в продажах, а в элементарной безопасности пользователей.
Объясню.
Если вы заходите на сайт по HTTP (не HTTPS) через какую-нибудь публичную сеть (Wi-Fi точки в метро, общественном транспорте, в кафе), либо через мобильную сеть (историю с пчелайном уже многие забыли https://habr.com/ru/post/262631/), то пользователю могут врезать в его трафик рекламный или вредоносный код.
То есть, зашёл на HTTP-сайт, а получил рекламу и какого-нибудь трояна. Хотя никакой оплаты на этом сайте может и не быть.
Поэтому я бы вообще банил HTTP-сайты как потенциально опасные
Ты отвечаешь вопросом на вопрос, дурачок.
Да, я не живу в стране розовых пони. Поэтому у меня есть с собой травмат и "Шпага" - этого вполне достаточно, чтобы решить большинство возможных проблем и бронежилет здесь не нужен. И в сети нужен HTTPS.
А клоуна я вижу здесь одного - это ты
это ты дурачек, задаешь дурацкие вопросы. Получаешь дурацкие ответы.
Трамват это оружие скорее против владельца. Урон никакой, зато если куда попадет, то можно сесть за превышение мес самообороны
помню клоуну-технорю из додо-пицца, тоже самое говорили, а он мотивировал что сертификаты не могут поставить на сайты, тк они им не нужны, ведь они на большинстве сайтов свой сети ничего не продают.
2к19.
На vc истерия про https. Ох. Теряем клиентов. Кровь из глаз брызжет после таких заголовков. Чуете? Свежо-то как.
У меня 9 интернет-магазинов на продвижении, трафик самого неудачного магазина 560 000 уников в месяц с поиска. Траф с гугла и яндекса 50/50 примерно. Все магазины работали без https, кроме страницы с модулем онлайн-оплаты.
Перешли в январе 2019 года на https. Все сайты. Редиректы, все дела. Знаете что изменилось с трафиком, позициями (ахаха, их кто то еще снимает в 2019 году) и вот этим вот всем?
Ладно, ладно, я подскажу - ничего.
Так что, особо губу не раскатывайте, те кто думает, что прочитав унылую статейку и поставив на свой сайт ssl-сертификат, он момент взлетит в топы поисковиков. Не взлетит. Чудес не бывает. Совсем в других направлениях нужно работать, но об этом вам тут никто не расскажет.
так-то да, зато если мимо будет вшивый роскомнадзор пробегать - штрафанет за непринятие мер по сохранности пользовательских данных, 300.000 рублей*560.000 уников = до 1,56 триллиарда рублей в бюджет. Цельный мост за ваш счет построим
Предваряем вопрос про отсутствие HTTPS-протокола на сайте нашего агентства.
Раньше HTTPS был для нас не актуален: основные лиды идут через сарафан и по рекомендациям. Сайт скорее использовался как витрина с портфолио. И мы приняли решение не отвлекать специалистов от клиентских проектов на работы по сайту Атвинты.
В этом году мы создаем новый сайт. Он уже будет с безопасным SSL-сертификатом.
Однако. Прицепить сертификат - вопрос 1 дня (с учётом ожидания, выпуска и т.п.), а трудозатрат на 1 час, если без сюрпризов. Тут особо "отвлекать" никого и не нужно.
Для Digital-агентства это слишком странно.
И да, уже давно не SSL, а TLS 1.2, а недавно уже и вообще 1.3 появился.
Ещё Вы пишете:
Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
Let's Encrypt крутая тема. Если никаких сюрпризов не будет, то все конфигурируется (включая обновление сертификата раз в 3 месяца) за минуты... И при этом бесплатно...
Если сайтов много – бесплатные сертификаты очень выручают. Ставятся автоматически почти мгновенно. Особо поводов оставаться на http уже нет. Хотя условно в конфигах ссылки http на https придется поменять... И не очень понятно на 100% ли учитываются старые внешние ссылки на сайт в которых был http указан а не https.
А чем закончилась история с Symantec у которой гугл перестал признавать сертификаты, если уж заморачиваться для своего сайта, особенно, если вы на нём зарабатываете - так брать нормальный сертификат... я так думаю.
Верисайн и был "нормальным". И их вполне заслуженно с говном смешали.
Нет никаких гарантий, что в очередном "нормальном" снова кто-нибудь не обделается так, как они.
Лентяи! Обманывали меня всё это время. Рассказывали, что просто перевести на https час, а вот сохранить позиции, склейку со старым сайтом сделать и вот это вот всё долго и проще до нового сайта дожить.
А ещё программисты говорили, что слишком много интграций со сторонними сервисами, проще до нового сайта дождаться.
Склейку сами веб-разработчики делают? Сидят, потеют, все в клее перемазались? :-D
Я грешным делом думал, что надо редиректы прописать, да в учётках вебмастерных указать по желанию для ускорения.
У вас обычный сайт-визитка. Какие еще сложные интеграции???
Перевод на https занимает не больше 5 минут, склейку в 2 клика можно добавить в сёрчконсоле и вебмастере.
Склейки могут быть разные. У меня вот была склейка с WebGL игрой. Пришлось пару функций переписывать. Не неделя, но пол дня у меня это отняло.
Опять же у всех масштабы разные.
А разве руками нужно менять? Рекурсивно выполненный sed выручает же. Или нет?
И зачем зашивать протокол куда-то? И если даже где-то он намертво прибит, все же всегда делают редирект http -> https, разве нет?
Допустим, внутреннюю ссылку в html обычно же по-правильному указывать не http://site.ru/page, а относительную /page - так хоть смена домена, хоть смена протокола. Или я неправ, или речь не об этом?
У нас же не только наш сайт. На нем завязана API Atwinta. Если переводить основной сайт на HTTPS-протокол, то и на апишку надо прикручивать, чтобы все работало корректно и запросы в CRM и система сквозной аналитики не отвалились.
В статье было указано, что нужно иметь платный сертификат для поддоменов. Я указал, что бесплатный Let's Encrypt выдаёт такие. Про то, сколько он проживёт речи не было, поэтому упрёк "ну и сколько" неуместен.
Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Их никто не украдет на пути от юзера к сайту. Какие дыры на бэке — никто не знает.
Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Очень спорное и неоднозначное утверждение. К сожалению, у людей, которые просто смотрят на наличие https, может сложиться ложное ощущение, что сайт безопасен. Это не так.
Данные шифруются по пути от вашего браузера и до веб-сервера. На этом все. Кто на той стороне, как он поступает и как оберегает ваши данные после дешифровки, можно ли доверять важную информацию ему - на все эти вопросы https ответов не дает. Он лишь подтвержает, что вы общаетесь с тем сайтом, который вбили в строку. И соединение зашифровано. Не больше.
Нет бы написать, что сейчас почти любой хостинг предлагает бесплатный SSL-сертификат от Let's Encrypt, который устанавливается в несколько кликов из хостинг-панели.
Но нет! – Ведь тогда меньше лохов прибежит в упоминаемое диджитал-агентство отдать несколько тысяч (десятков тысяч) рублей за "правильный" SSL-сертификат для сайта.
Вы думаете, агентство имеет процент с продажи сертификатов? Агентство берет деньги за настройку, и за SEO-сопровождение, а какой сертификат неважно. "Чтоб замочек был виден" пока и бесплатные работают.
Ровно 2 года назад мы перевели наш сайт на https и очень долго и терпеливо ждали, пока этот самый Google, который так радел за https, вернется на прежний уровень по посещаемости. К слову, ждали очень долго (и да, работы по настройке редиректов и аналитикс были проведены, разумеется) :)
Если держишь где-то сертбот, ну или через какой-нибудь Cloudflare, то почему бы нет?
EV можно получить, это модно, ну и серьезным организациям такие иметь обязательно:)
Платный определенно нужен, если сайт ну о-очень серьезный, например, сайт банка или платежной системы. Тогда кроме "замочка" в адресной строке будет тоже написано что-то серьезное (посмотрите reg.ru, например).
Для подавляющего большинства коммерческих сайтов и, тем более, всех некоммерческих, достаточно бесплатного Let's Encrypt. Нюанс только в том, что его нужно продлевать каждые 3 месяца. Обычно продление выполняется скриптом хостинга автоматически.
Если не продлить, то может возникнуть неприятная ситуация, когда сайт неожиданно вернулся на http, а вы узнали об этом постфактум. Но у меня лично подобной ситуации не возникло ни разу.
пздц дорого подключать это ваше HTTPS плати типа каждый месяц... мне шифровать на сайте даже нечего, оно мне ненужно... Дешевые Хостинги превращаются в Дорогое удовольствие.
НУ ПЕРЕВОДИТЕ ВСЕ САЙТЫ НА HTTPS раз ОНО БЕЗОПАСНО ХУЛИ ПЛАТИТЬ ЗА HTTPS ДОЛЖЕН ВЛАДЕЛЕЦ САЙТА... ДАУНИЧИ БЛТЬ
и ещё за каждый сайт оплати это https... это очень дорого... либо дорогой VDS заказывать с ISPmanager и клепать SSL-ки для сайтов... либо плати хостеру какие-то нереальные 3500 рублей. Откуда у обычного сайта на хостинге 3500 рублей есть на безопасность???
Ясное дело что клиентов терять будете с такими конскими запросами...
Так и останутся хостинговые компании без клиентов - ну типа нах свой сайт если куча блог платформ,
а мечтать о производительных серверах - можно забыть.
И я тут как-бы совсем не понимаю почему всё-ещё интернет платный с таким подходом к делам... если остаются только блог платформы типа Вконтакте и Яндекса, типа все-равно плати если сайт не зарабатывает, за что блть тут платить - комментик тут написать для VC... и ничего не заработать со своими сайтами.
ОЧЕНЬ ТО НУЖЕН ТАКОЙ ПОДХОД К ДЕЛАМ В ИНТЕРНЕТЕ - ЧТОБ ОПУСТЕЛ ВАШ VC - без конкуренции..
Не 1 час занимает переезд. Особенно когда уделяешь время SEO-факторам. Иногда, например, ссылки внутри сайта проставлены вручную в коде, программно их на https не переделаешь. Бывает, что переводят на https, при этом каноникалы оставляют http. Или цепочку редиректов допускают. Тут верно писали, что сама инструкция переезда проста - 301 редирект, галочка в вебмастерах. Но с каждым сайтом возникают свои нюансы, особенно если сайт существует давно и там много чего наворочено на CMS. Можно сделать по инструкции, но не учесть какую-то мелочь а потом гадать через месяц, куда трафик пропал или почему аналитика неправильно работает.
Под НГ переехал на https и уже 2й месяц наблюдаю хороший рост трафика из Яндекса. Гугл как был, так и остался. Вот не знаю, толи https повлиял, толи что-то другое.
Это все сказки тех, кто продает сертификаты.
Вот даже vc.ru использует Lets Encrypt :)
Банкам нужен сертификат выше уровня а остальным достаточно Lets Encrypt.
С одной стороны да, ФЗ № 152 защищает пользователей от кражи данных. С другой стороны, в политику конфиденциальности можно прописать возможность e-mail рассылки, так как политику конфиденциальности (условия обработки персональных данных) почти никто не читает в нашей стране.
Написано интересно, да, но на https аж с 2015 года. Хочу сказать, что https - это лишь мода для большинства и, к сожалению, достаточно пустая без проведения дополнительных настроек безопасности хоста. MiTM исключать никогда нельзя. Более того, что не только в нашей стране провайдеры палятся на этом, вставляя свой трафик в https налету.
Ну вот, теперь вы неочень ))) персональные-данные, все дела. Я же говорил, что письмо лично мной написанное.
Смотрите, это кнопка "не пишите мне больше", которую автоматом добавляет любой сервис рассылки. А отправить сообщение 10-20 компаниям лично мне удобнее сделать именно так, чем через скрытую копию.
Не знаю по теме ли, но почему вечно всякие проблемы с этим HTTPS с сайтом. Скрипты перестает подгружать нужные из-за него. Видео с ютюба, формы заказа и пр. Как с этим бороться? :)
Этого не должно быть, если всё правильно настроено. Не должно быть прямых ссылок внутри сайта, только относительные. Настройте правильно редиректы. Проверьте все настройки CMS.
Где-то во внешних ссылках жёстко прописана схема http://... Удалите http: и начинайте внешние ссылки с //.
Подозреваю, где-то в html тупо вставлены ссылки на всякие счётчики со схемой http. Это плохо.
// Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом
Так ведь не выполняется это условие. Или вы думаете, что "будут только" переводится как "большей частью"? Для массы запросов в топе Гугла по-прежнему можно найти http сайты
