C 2017 года поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 года для «Яндекса» это тоже важный параметр качества сайта. Разбираемся, какие проблемы ждут владельцев сайтов без HTTPS-протокола и как их обойти.
Протокол HTTPS — это зашифрованный способ передачи данных. А SSL-сертификат как раз обеспечивает цифровое шифрование, которое защищает обмен данными между пользователем и сайтом. Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Для владельцев сайтов переход на безопасный сертификат шифрования — это прежде всего забота о клиентах. А забота о клиенте — главный фактор ранжирования для поисковиков. Так владелец сайта зарабатывает доверие пользователей и улучшают бизнес-показатели.
Для сайтов, где пользователь вводит личные и платежные данные, SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.
Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом. «Яндекс» повторяет многие решения «старшего брата». И теперь российский поисковый сервис озвучивает аналогичную позицию.
С учетом тренда всеобщей информационной безопасности, переходить на безопасный сертификат нужно уже сейчас. Часть ecommerce-компаний перевели сайты на безопасный протокол заранее. Сейчас мы в «Атвинте» наблюдаем вторую волну обращений на настройку SSL-сертификатов.
Google помечает сайты без HTTPS как ненадежные. «Яндекс» в скором времени введет аналогичные санкции.
Это не временная мера, это будущее интернета. Однако в рунете на начало 2019 года, по данным аналитического ресурса StatOnline, только около 18% сайтов пользуются SSL-сертификатом. Всего в доменной зоне *.ru — больше 5 млн активных доменов, сайтов с HTTPS — всего 900 тысяч.
Последствия для сайтов без HTTPS
- Отсутствие HTTPS мешает поисковому продвижению. Google и «Яндекс» уже внесли SSL-сертификат в список факторов ранжирования.
- Google ограничивает рекламу таких сайтов. При настройке кампании в кабинете «Google Рекламы» появляется сообщение, что показы будут урезаны.
- Работоспособность сайта под угрозой. Украсть могут не только данные пользователей, но и логин от административной панели. Злоумышленники подменяют контент на сайте или размещают на нем рекламу запрещенных товаров. Доверие посетителей к таким сайтам падает.
- Репутационные и финансовые убытки в случае утечки информации. Компании придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это на порядок дороже, чем установить SSL-сертификат.
Как видим, риски ощутимые.
А какие аргументы у тех, кто не использует HTTPS
- Мы не собираем персональные данные, зачем заморачиваться с переездом.
- У меня и без HTTPS сайт нормально ранжируется по нужным запросам в Google. А «Яндексу» вообще все равно.
- Переезд приведет к потере в индексации, сайт выпадет из поисковиков или значительно снизится позиция в выдаче.
- Переезд придумали, чтобы вытягивать деньги из владельцев сайтов. Ведь нормальный SSL-сертификат — платный.
Еще пару лет назад можно было оправдаться такими заявлениями. Сейчас все помешаны на цифровой безопасности персональных данных. Хотите получать клиентов через интернет — пора переходить на HTTPS.
Как безопасно перейти на безопасный SSL-сертификат
Из нашего опыта работы, владельцы сайтов боятся потерять трафик при переходе на HTTPS. Ведь от объема трафика зависит их прибыль. Однако если соблюсти ряд правил при смене протокола с HTTP на HTTPS, переезд пройдет практически безболезненно.
Мы обращаем внимание на такие нюансы:
- Выбирать сертификат
По способу проверки сайтов они бывают трех видов: Domain Validation (DV), Organization Validation (OV), Extended Validation (EV). Различаются по уровню проверки и подтверждения данных организации. Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены. - Выбирать время
Проанализируйте активность пользователей и проводите работы, когда наименьшее количество аудитории интересуется сайтом. - Настроить редиректы и проверить индексацию
Здесь понадобится помощь SEO-специалиста. Он проследит правильность настроек, индексацию поисковиками, настроит переадресацию страниц.
Если процедура будет проходить под контролем специалистов, просадка по трафику будет некритичной и придет в норму в течение месяца. В замен вы получите дополнительное признание поисковых систем. Тот же «Яндекс» обращает внимание в блоге рекламных технологий: «На сайты с защищенным протоколом приходится более 80% нашего поискового трафика». Пожалуй, стоит попасть в эти 80%.
UPD по мотивам комментариев
Владелец сайта всегда может решить: поставить бесплатный SSL-сертификат или платить за безопасность своих клиентов. Например, можно бесплатно сделать сертификат от Let's Encrypt, о котором читатели неоднократно упоминали в комментариях. Пока для Google и Яндекса его достаточно.
Учитывайте, что Google может забанить целый центр бесплатной сертификации. Как это было, например с Symantec.
Выбрать платный или бесплатный сертификат — личное дело каждого. Многие хостинги позволяют добавить сертификат в пару кликов. Главное — внимательно осуществить переезд и учесть все нюансы именно вашего сайта, чтобы не потерять в выдаче. И здесь лучше заручиться поддержкой специалистов.
Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
Лучше вообще уберите это из текста.
ага, и активную ссылку на свой сайт в раздел SEO, ведь кто-то из этих же СЕОшников писал статью :)
Решение абсолютно правильное. В наше время, когда каждый второй сайт что-то продаёт, только https.
Дело даже не в продажах, а в элементарной безопасности пользователей.
Объясню.
Если вы заходите на сайт по HTTP (не HTTPS) через какую-нибудь публичную сеть (Wi-Fi точки в метро, общественном транспорте, в кафе), либо через мобильную сеть (историю с пчелайном уже многие забыли https://habr.com/ru/post/262631/), то пользователю могут врезать в его трафик рекламный или вредоносный код.
То есть, зашёл на HTTP-сайт, а получил рекламу и какого-нибудь трояна. Хотя никакой оплаты на этом сайте может и не быть.
Поэтому я бы вообще банил HTTP-сайты как потенциально опасные
с той же вероятностью, пользователя могут и убить на улице :)
Надо всем продать бронежилеты
Поясни, почему ты ходишь без бронежилета по улице. Этому есть какие-то разумные объяснения или ты просто шут и клоун?
Ты отвечаешь вопросом на вопрос, дурачок.
Да, я не живу в стране розовых пони. Поэтому у меня есть с собой травмат и "Шпага" - этого вполне достаточно, чтобы решить большинство возможных проблем и бронежилет здесь не нужен. И в сети нужен HTTPS.
А клоуна я вижу здесь одного - это ты
это ты дурачек, задаешь дурацкие вопросы. Получаешь дурацкие ответы.
Трамват это оружие скорее против владельца. Урон никакой, зато если куда попадет, то можно сесть за превышение мес самообороны
Выживанию также способствуют зашнурованная обувь, умение не оказывать в тех местах и ситуация, где не надо оказываться и, главное, вежливость.))
PS: Почему Шпага, а не Боец или Блэк?
помню клоуну-технорю из додо-пицца, тоже самое говорили, а он мотивировал что сертификаты не могут поставить на сайты, тк они им не нужны, ведь они на большинстве сайтов свой сети ничего не продают.
Билайн, если не ошибаюсь, был замечен в MiTM https://habr.com/ru/post/373517/ поэтому надо сертификат pinned. :)
Сайт продает не сам, а через агрегатора. Агрегатору сертификат нужен. А воь нафига он нужен каталогу товаров?
2к19.
На vc истерия про https. Ох. Теряем клиентов. Кровь из глаз брызжет после таких заголовков. Чуете? Свежо-то как.
У меня 9 интернет-магазинов на продвижении, трафик самого неудачного магазина 560 000 уников в месяц с поиска. Траф с гугла и яндекса 50/50 примерно. Все магазины работали без https, кроме страницы с модулем онлайн-оплаты.
Перешли в январе 2019 года на https. Все сайты. Редиректы, все дела. Знаете что изменилось с трафиком, позициями (ахаха, их кто то еще снимает в 2019 году) и вот этим вот всем?
Ладно, ладно, я подскажу - ничего.
Так что, особо губу не раскатывайте, те кто думает, что прочитав унылую статейку и поставив на свой сайт ssl-сертификат, он момент взлетит в топы поисковиков. Не взлетит. Чудес не бывает. Совсем в других направлениях нужно работать, но об этом вам тут никто не расскажет.
так-то да, зато если мимо будет вшивый роскомнадзор пробегать - штрафанет за непринятие мер по сохранности пользовательских данных, 300.000 рублей*560.000 уников = до 1,56 триллиарда рублей в бюджет. Цельный мост за ваш счет построим
Однако. Прицепить сертификат - вопрос 1 дня (с учётом ожидания, выпуска и т.п.), а трудозатрат на 1 час, если без сюрпризов. Тут особо "отвлекать" никого и не нужно.
Для Digital-агентства это слишком странно.
И да, уже давно не SSL, а TLS 1.2, а недавно уже и вообще 1.3 появился.
Ещё Вы пишете:
Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
В то время, как бесплатный сервис Let's Encrypt (как бы кто к нему не относился) уже почти год как выдаёт wildcard-сертификаты.
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
Поправьте, если неправ.
Комментарий удален
Комментарий удален
Let's Encrypt крутая тема. Если никаких сюрпризов не будет, то все конфигурируется (включая обновление сертификата раз в 3 месяца) за минуты... И при этом бесплатно...
Если сайтов много – бесплатные сертификаты очень выручают. Ставятся автоматически почти мгновенно. Особо поводов оставаться на http уже нет. Хотя условно в конфигах ссылки http на https придется поменять... И не очень понятно на 100% ли учитываются старые внешние ссылки на сайт в которых был http указан а не https.
А чем закончилась история с Symantec у которой гугл перестал признавать сертификаты, если уж заморачиваться для своего сайта, особенно, если вы на нём зарабатываете - так брать нормальный сертификат... я так думаю.
Верисайн и был "нормальным". И их вполне заслуженно с говном смешали.
Нет никаких гарантий, что в очередном "нормальном" снова кто-нибудь не обделается так, как они.
Лентяи! Обманывали меня всё это время. Рассказывали, что просто перевести на https час, а вот сохранить позиции, склейку со старым сайтом сделать и вот это вот всё долго и проще до нового сайта дожить.
А ещё программисты говорили, что слишком много интграций со сторонними сервисами, проще до нового сайта дождаться.
Всех премии лишу!
Склейку сами веб-разработчики делают? Сидят, потеют, все в клее перемазались? :-D
Я грешным делом думал, что надо редиректы прописать, да в учётках вебмастерных указать по желанию для ускорения.
"Визитка", эх, если бы) У нас там кастомная сквозная аналитика прикручена, так что вряд ли дело даже одного дня переехать.
Получить сертифика несложно. Сложно перелопатить горы легаси в которых зашит протокол.
А разве руками нужно менять? Рекурсивно выполненный sed выручает же. Или нет?
И зачем зашивать протокол куда-то? И если даже где-то он намертво прибит, все же всегда делают редирект http -> https, разве нет?
Допустим, внутреннюю ссылку в html обычно же по-правильному указывать не http://site.ru/page, а относительную /page - так хоть смена домена, хоть смена протокола. Или я неправ, или речь не об этом?
А должно отвалиться? Если криво написано - да, отвалится. Если без хардкода - не заметите.
В статье было указано, что нужно иметь платный сертификат для поддоменов. Я указал, что бесплатный Let's Encrypt выдаёт такие. Про то, сколько он проживёт речи не было, поэтому упрёк "ну и сколько" неуместен.
цитата про сапожника без сапог никогда не была столь актуальна :/
Хотел отдельно написать, но дополню здесь.
Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Очень спорное и неоднозначное утверждение. К сожалению, у людей, которые просто смотрят на наличие https, может сложиться ложное ощущение, что сайт безопасен. Это не так.
Данные шифруются по пути от вашего браузера и до веб-сервера. На этом все. Кто на той стороне, как он поступает и как оберегает ваши данные после дешифровки, можно ли доверять важную информацию ему - на все эти вопросы https ответов не дает. Он лишь подтвержает, что вы общаетесь с тем сайтом, который вбили в строку. И соединение зашифровано. Не больше.
Нет бы написать, что сейчас почти любой хостинг предлагает бесплатный SSL-сертификат от Let's Encrypt, который устанавливается в несколько кликов из хостинг-панели.
Но нет! – Ведь тогда меньше лохов прибежит в упоминаемое диджитал-агентство отдать несколько тысяч (десятков тысяч) рублей за "правильный" SSL-сертификат для сайта.
...а у кого на хостинге нет такого функционала, тот может прикрутить Сloudflare.
Вы думаете, агентство имеет процент с продажи сертификатов? Агентство берет деньги за настройку, и за SEO-сопровождение, а какой сертификат неважно. "Чтоб замочек был виден" пока и бесплатные работают.
Додумывание за других как они, якобы, по вашему мнению, думают, ведет к сложностям в коммуникации.
Ровно 2 года назад мы перевели наш сайт на https и очень долго и терпеливо ждали, пока этот самый Google, который так радел за https, вернется на прежний уровень по посещаемости. К слову, ждали очень долго (и да, работы по настройке редиректов и аналитикс были проведены, разумеется) :)
Такая же история. Всё правильно сделали, месяц подготовки и ловите просадочку в 2 раза больше чем на год уже. Зато хытытыпысы теперь, ага.
Лучше бы кто в комментариях написал, есть смысл брать платный сертификат или бесплатного достаточно
Часть сайтов на бесплатном Let's Encrypt, часть на дешевых Comodo. Разницы никакой. Буду переводить все на бесплатные.
Если держишь где-то сертбот, ну или через какой-нибудь Cloudflare, то почему бы нет?
EV можно получить, это модно, ну и серьезным организациям такие иметь обязательно:)
Напиши просто номер кошелька, мы тебе сразу деньги переведем. Зачем тебе лишние шаги)
Платный определенно нужен, если сайт ну о-очень серьезный, например, сайт банка или платежной системы. Тогда кроме "замочка" в адресной строке будет тоже написано что-то серьезное (посмотрите reg.ru, например).
Для подавляющего большинства коммерческих сайтов и, тем более, всех некоммерческих, достаточно бесплатного Let's Encrypt. Нюанс только в том, что его нужно продлевать каждые 3 месяца. Обычно продление выполняется скриптом хостинга автоматически.
Если не продлить, то может возникнуть неприятная ситуация, когда сайт неожиданно вернулся на http, а вы узнали об этом постфактум. Но у меня лично подобной ситуации не возникло ни разу.
"Бизнес теряет клиентов без HTTPS" - статью накатало "агенство" без https. Сюр какой-то.
Ну так они знают тему хорошо, вот пишут - "Бизнес теряет клиентов". На своем, так сказать, примере..
пздц дорого подключать это ваше HTTPS плати типа каждый месяц... мне шифровать на сайте даже нечего, оно мне ненужно... Дешевые Хостинги превращаются в Дорогое удовольствие.
НУ ПЕРЕВОДИТЕ ВСЕ САЙТЫ НА HTTPS раз ОНО БЕЗОПАСНО ХУЛИ ПЛАТИТЬ ЗА HTTPS ДОЛЖЕН ВЛАДЕЛЕЦ САЙТА... ДАУНИЧИ БЛТЬ
и ещё за каждый сайт оплати это https... это очень дорого... либо дорогой VDS заказывать с ISPmanager и клепать SSL-ки для сайтов... либо плати хостеру какие-то нереальные 3500 рублей. Откуда у обычного сайта на хостинге 3500 рублей есть на безопасность???
Ясное дело что клиентов терять будете с такими конскими запросами...
Так и останутся хостинговые компании без клиентов - ну типа нах свой сайт если куча блог платформ,
а мечтать о производительных серверах - можно забыть.
И я тут как-бы совсем не понимаю почему всё-ещё интернет платный с таким подходом к делам... если остаются только блог платформы типа Вконтакте и Яндекса, типа все-равно плати если сайт не зарабатывает, за что блть тут платить - комментик тут написать для VC... и ничего не заработать со своими сайтами.
ОЧЕНЬ ТО НУЖЕН ТАКОЙ ПОДХОД К ДЕЛАМ В ИНТЕРНЕТЕ - ЧТОБ ОПУСТЕЛ ВАШ VC - без конкуренции..
Вы чего, достаточно же сертификата за 300 руб. Или попросите хорошего сисадмина бесплатный прикрутить.
зачем сисадмин, если валидный сертификат Lets Encrypt получается в пару кликов?
Получить легко, установить сложнее на хостинге судя по комментарию.
Не 1 час занимает переезд. Особенно когда уделяешь время SEO-факторам. Иногда, например, ссылки внутри сайта проставлены вручную в коде, программно их на https не переделаешь. Бывает, что переводят на https, при этом каноникалы оставляют http. Или цепочку редиректов допускают. Тут верно писали, что сама инструкция переезда проста - 301 редирект, галочка в вебмастерах. Но с каждым сайтом возникают свои нюансы, особенно если сайт существует давно и там много чего наворочено на CMS. Можно сделать по инструкции, но не учесть какую-то мелочь а потом гадать через месяц, куда трафик пропал или почему аналитика неправильно работает.
Под НГ переехал на https и уже 2й месяц наблюдаю хороший рост трафика из Яндекса. Гугл как был, так и остался. Вот не знаю, толи https повлиял, толи что-то другое.
Самоподписанный сертификат Lets Encrypt?? Вы что курите??
А ну да, еще Гугл отзовет доверие к Lets Encrypt, который сам же и спонсирует.
самоподписанный сертификат от Let's Encrypt
Самоподписанный?
Сможете организовать, чтобы завтра ваши SEO-специалисты научили меня сертификаты как "Verified by: Let's Encrypt" подписывать?
Не обязательно прямо с утра, можно после уроков.
С одной стороны да, ФЗ № 152 защищает пользователей от кражи данных. С другой стороны, в политику конфиденциальности можно прописать возможность e-mail рассылки, так как политику конфиденциальности (условия обработки персональных данных) почти никто не читает в нашей стране.
Написано интересно, да, но на https аж с 2015 года. Хочу сказать, что https - это лишь мода для большинства и, к сожалению, достаточно пустая без проведения дополнительных настроек безопасности хоста. MiTM исключать никогда нельзя. Более того, что не только в нашей стране провайдеры палятся на этом, вставляя свой трафик в https налету.
Как раз сегодня получили спам-рассылку с предложением "партнериться по разработке мобильных приложений и сложных веб-сервисов." от Атвинты
Спам, потому что подписали нас на рассылку, на которую мы не подписывались. Раздуть кейс до нарушения ФЗ? :)
На какую рассылку, Иван? ))) Это кнопка "не пишите мне больше, &#$*!!!".
А вообще это единственное письмо. Не считаете предложение полезным – удалите.
Ну вот, теперь вы неочень ))) персональные-данные, все дела. Я же говорил, что письмо лично мной написанное.
Смотрите, это кнопка "не пишите мне больше", которую автоматом добавляет любой сервис рассылки. А отправить сообщение 10-20 компаниям лично мне удобнее сделать именно так, чем через скрытую копию.
Btw EV сертификаты нет смысла брать, после того как все браузеры поменяли отображение адресной строки.
А что там изменилось? У меня плашка с названием компании как висела, так и висит
Не знаю по теме ли, но почему вечно всякие проблемы с этим HTTPS с сайтом. Скрипты перестает подгружать нужные из-за него. Видео с ютюба, формы заказа и пр. Как с этим бороться? :)
Этого не должно быть, если всё правильно настроено. Не должно быть прямых ссылок внутри сайта, только относительные. Настройте правильно редиректы. Проверьте все настройки CMS.
Где-то во внешних ссылках жёстко прописана схема http://... Удалите http: и начинайте внешние ссылки с //.
Подозреваю, где-то в html тупо вставлены ссылки на всякие счётчики со схемой http. Это плохо.
// Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом
Так ведь не выполняется это условие. Или вы думаете, что "будут только" переводится как "большей частью"? Для массы запросов в топе Гугла по-прежнему можно найти http сайты
Ждём такой же пост через пару лет "Бизнес теряет клиентов без Турбо/AMP страниц": как поисковики монополизируют доступ к контенту
У меня на сайте http://muip.su ежедневная посещаемость за последние 3 года стабильная 500-700 человек в день.