C 2017 года поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 года для «Яндекса» это тоже важный параметр качества сайта. Разбираемся, какие проблемы ждут владельцев сайтов без HTTPS-протокола и как их обойти.
Протокол HTTPS — это зашифрованный способ передачи данных. А SSL-сертификат как раз обеспечивает цифровое шифрование, которое защищает обмен данными между пользователем и сайтом. Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Для владельцев сайтов переход на безопасный сертификат шифрования — это прежде всего забота о клиентах. А забота о клиенте — главный фактор ранжирования для поисковиков. Так владелец сайта зарабатывает доверие пользователей и улучшают бизнес-показатели.
Для сайтов, где пользователь вводит личные и платежные данные, SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.
Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом. «Яндекс» повторяет многие решения «старшего брата». И теперь российский поисковый сервис озвучивает аналогичную позицию.
С учетом тренда всеобщей информационной безопасности, переходить на безопасный сертификат нужно уже сейчас. Часть ecommerce-компаний перевели сайты на безопасный протокол заранее. Сейчас мы в «Атвинте» наблюдаем вторую волну обращений на настройку SSL-сертификатов.
Google помечает сайты без HTTPS как ненадежные. «Яндекс» в скором времени введет аналогичные санкции.
Это не временная мера, это будущее интернета. Однако в рунете на начало 2019 года, по данным аналитического ресурса StatOnline, только около 18% сайтов пользуются SSL-сертификатом. Всего в доменной зоне *.ru — больше 5 млн активных доменов, сайтов с HTTPS — всего 900 тысяч.
Последствия для сайтов без HTTPS
- Отсутствие HTTPS мешает поисковому продвижению. Google и «Яндекс» уже внесли SSL-сертификат в список факторов ранжирования.
- Google ограничивает рекламу таких сайтов. При настройке кампании в кабинете «Google Рекламы» появляется сообщение, что показы будут урезаны.
- Работоспособность сайта под угрозой. Украсть могут не только данные пользователей, но и логин от административной панели. Злоумышленники подменяют контент на сайте или размещают на нем рекламу запрещенных товаров. Доверие посетителей к таким сайтам падает.
- Репутационные и финансовые убытки в случае утечки информации. Компании придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это на порядок дороже, чем установить SSL-сертификат.
Как видим, риски ощутимые.
А какие аргументы у тех, кто не использует HTTPS
- Мы не собираем персональные данные, зачем заморачиваться с переездом.
- У меня и без HTTPS сайт нормально ранжируется по нужным запросам в Google. А «Яндексу» вообще все равно.
- Переезд приведет к потере в индексации, сайт выпадет из поисковиков или значительно снизится позиция в выдаче.
- Переезд придумали, чтобы вытягивать деньги из владельцев сайтов. Ведь нормальный SSL-сертификат — платный.
Еще пару лет назад можно было оправдаться такими заявлениями. Сейчас все помешаны на цифровой безопасности персональных данных. Хотите получать клиентов через интернет — пора переходить на HTTPS.
Как безопасно перейти на безопасный SSL-сертификат
Из нашего опыта работы, владельцы сайтов боятся потерять трафик при переходе на HTTPS. Ведь от объема трафика зависит их прибыль. Однако если соблюсти ряд правил при смене протокола с HTTP на HTTPS, переезд пройдет практически безболезненно.
Мы обращаем внимание на такие нюансы:
- Выбирать сертификат
По способу проверки сайтов они бывают трех видов: Domain Validation (DV), Organization Validation (OV), Extended Validation (EV). Различаются по уровню проверки и подтверждения данных организации. Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены. - Выбирать время
Проанализируйте активность пользователей и проводите работы, когда наименьшее количество аудитории интересуется сайтом. - Настроить редиректы и проверить индексацию
Здесь понадобится помощь SEO-специалиста. Он проследит правильность настроек, индексацию поисковиками, настроит переадресацию страниц.
Если процедура будет проходить под контролем специалистов, просадка по трафику будет некритичной и придет в норму в течение месяца. В замен вы получите дополнительное признание поисковых систем. Тот же «Яндекс» обращает внимание в блоге рекламных технологий: «На сайты с защищенным протоколом приходится более 80% нашего поискового трафика». Пожалуй, стоит попасть в эти 80%.
UPD по мотивам комментариев
Владелец сайта всегда может решить: поставить бесплатный SSL-сертификат или платить за безопасность своих клиентов. Например, можно бесплатно сделать сертификат от Let's Encrypt, о котором читатели неоднократно упоминали в комментариях. Пока для Google и Яндекса его достаточно.
Учитывайте, что Google может забанить целый центр бесплатной сертификации. Как это было, например с Symantec.
Выбрать платный или бесплатный сертификат — личное дело каждого. Многие хостинги позволяют добавить сертификат в пару кликов. Главное — внимательно осуществить переезд и учесть все нюансы именно вашего сайта, чтобы не потерять в выдаче. И здесь лучше заручиться поддержкой специалистов.
Лучше вообще уберите это из текста.
ага, и активную ссылку на свой сайт в раздел SEO, ведь кто-то из этих же СЕОшников писал статью :)
Решение абсолютно правильное. В наше время, когда каждый второй сайт что-то продаёт, только https.
Дело даже не в продажах, а в элементарной безопасности пользователей.
Объясню.
Если вы заходите на сайт по HTTP (не HTTPS) через какую-нибудь публичную сеть (Wi-Fi точки в метро, общественном транспорте, в кафе), либо через мобильную сеть (историю с пчелайном уже многие забыли https://habr.com/ru/post/262631/), то пользователю могут врезать в его трафик рекламный или вредоносный код.
То есть, зашёл на HTTP-сайт, а получил рекламу и какого-нибудь трояна. Хотя никакой оплаты на этом сайте может и не быть.
Поэтому я бы вообще банил HTTP-сайты как потенциально опасные
Сайт продает не сам, а через агрегатора. Агрегатору сертификат нужен. А воь нафига он нужен каталогу товаров?
2к19.
На vc истерия про https. Ох. Теряем клиентов. Кровь из глаз брызжет после таких заголовков. Чуете? Свежо-то как.
У меня 9 интернет-магазинов на продвижении, трафик самого неудачного магазина 560 000 уников в месяц с поиска. Траф с гугла и яндекса 50/50 примерно. Все магазины работали без https, кроме страницы с модулем онлайн-оплаты.
Перешли в январе 2019 года на https. Все сайты. Редиректы, все дела. Знаете что изменилось с трафиком, позициями (ахаха, их кто то еще снимает в 2019 году) и вот этим вот всем?
Ладно, ладно, я подскажу - ничего.
Так что, особо губу не раскатывайте, те кто думает, что прочитав унылую статейку и поставив на свой сайт ssl-сертификат, он момент взлетит в топы поисковиков. Не взлетит. Чудес не бывает. Совсем в других направлениях нужно работать, но об этом вам тут никто не расскажет.
Если бы вы НЕ перешли на https и ничего не поменялось бы спустя какое-то время, мессадж был бы понятен.
я пользователь и не пойду на сайт без https, хотя бы потому что браузер так просто меня не пустит по http.
Речь все-таки не о внезапном взлете в топ. Удобство сайта для клиента и прочие факторы никто не отменял.
так-то да, зато если мимо будет вшивый роскомнадзор пробегать - штрафанет за непринятие мер по сохранности пользовательских данных, 300.000 рублей*560.000 уников = до 1,56 триллиарда рублей в бюджет. Цельный мост за ваш счет построим
Что Артем, и вы не расскажите нам? :)
Предваряем вопрос про отсутствие HTTPS-протокола на сайте нашего агентства.
Раньше HTTPS был для нас не актуален: основные лиды идут через сарафан и по рекомендациям. Сайт скорее использовался как витрина с портфолио. И мы приняли решение не отвлекать специалистов от клиентских проектов на работы по сайту Атвинты.
В этом году мы создаем новый сайт. Он уже будет с безопасным SSL-сертификатом.
Однако. Прицепить сертификат - вопрос 1 дня (с учётом ожидания, выпуска и т.п.), а трудозатрат на 1 час, если без сюрпризов. Тут особо "отвлекать" никого и не нужно.
Для Digital-агентства это слишком странно.
И да, уже давно не SSL, а TLS 1.2, а недавно уже и вообще 1.3 появился.
Ещё Вы пишете:
Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.В то время, как бесплатный сервис Let's Encrypt (как бы кто к нему не относился) уже почти год как выдаёт wildcard-сертификаты.
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
Поправьте, если неправ.
цитата про сапожника без сапог никогда не была столь актуальна :/
Комментарий недоступен
Хотел отдельно написать, но дополню здесь.
Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.Очень спорное и неоднозначное утверждение. К сожалению, у людей, которые просто смотрят на наличие https, может сложиться ложное ощущение, что сайт безопасен. Это не так.
Данные шифруются по пути от вашего браузера и до веб-сервера. На этом все. Кто на той стороне, как он поступает и как оберегает ваши данные после дешифровки, можно ли доверять важную информацию ему - на все эти вопросы https ответов не дает. Он лишь подтвержает, что вы общаетесь с тем сайтом, который вбили в строку. И соединение зашифровано. Не больше.
Нет бы написать, что сейчас почти любой хостинг предлагает бесплатный SSL-сертификат от Let's Encrypt, который устанавливается в несколько кликов из хостинг-панели.
Но нет! – Ведь тогда меньше лохов прибежит в упоминаемое диджитал-агентство отдать несколько тысяч (десятков тысяч) рублей за "правильный" SSL-сертификат для сайта.
...а у кого на хостинге нет такого функционала, тот может прикрутить Сloudflare.
Вы думаете, агентство имеет процент с продажи сертификатов? Агентство берет деньги за настройку, и за SEO-сопровождение, а какой сертификат неважно. "Чтоб замочек был виден" пока и бесплатные работают.
А почему бы и да! Сейчас поправим статью!
Хостинги еще живы?
Ровно 2 года назад мы перевели наш сайт на https и очень долго и терпеливо ждали, пока этот самый Google, который так радел за https, вернется на прежний уровень по посещаемости. К слову, ждали очень долго (и да, работы по настройке редиректов и аналитикс были проведены, разумеется) :)
Такая же история. Всё правильно сделали, месяц подготовки и ловите просадочку в 2 раза больше чем на год уже. Зато хытытыпысы теперь, ага.
А смотрели постранично, какие именно урлы трафик потеряли?
Лучше бы кто в комментариях написал, есть смысл брать платный сертификат или бесплатного достаточно
Комментарий недоступен
Напиши просто номер кошелька, мы тебе сразу деньги переведем. Зачем тебе лишние шаги)
Платный определенно нужен, если сайт ну о-очень серьезный, например, сайт банка или платежной системы. Тогда кроме "замочка" в адресной строке будет тоже написано что-то серьезное (посмотрите reg.ru, например).
Для подавляющего большинства коммерческих сайтов и, тем более, всех некоммерческих, достаточно бесплатного Let's Encrypt. Нюанс только в том, что его нужно продлевать каждые 3 месяца. Обычно продление выполняется скриптом хостинга автоматически.
Если не продлить, то может возникнуть неприятная ситуация, когда сайт неожиданно вернулся на http, а вы узнали об этом постфактум. Но у меня лично подобной ситуации не возникло ни разу.
"Бизнес теряет клиентов без HTTPS" - статью накатало "агенство" без https. Сюр какой-то.
Ну так они знают тему хорошо, вот пишут - "Бизнес теряет клиентов". На своем, так сказать, примере..
лол, кек
Странная новость, актуально 3 года назад было, почти все уже на https.
Если смотреть статистику рунета, только пятая часть сайтов перешли на него.
пздц дорого подключать это ваше HTTPS плати типа каждый месяц... мне шифровать на сайте даже нечего, оно мне ненужно... Дешевые Хостинги превращаются в Дорогое удовольствие.
НУ ПЕРЕВОДИТЕ ВСЕ САЙТЫ НА HTTPS раз ОНО БЕЗОПАСНО ХУЛИ ПЛАТИТЬ ЗА HTTPS ДОЛЖЕН ВЛАДЕЛЕЦ САЙТА... ДАУНИЧИ БЛТЬ
и ещё за каждый сайт оплати это https... это очень дорого... либо дорогой VDS заказывать с ISPmanager и клепать SSL-ки для сайтов... либо плати хостеру какие-то нереальные 3500 рублей. Откуда у обычного сайта на хостинге 3500 рублей есть на безопасность???
Ясное дело что клиентов терять будете с такими конскими запросами...
Так и останутся хостинговые компании без клиентов - ну типа нах свой сайт если куча блог платформ,
а мечтать о производительных серверах - можно забыть.
И я тут как-бы совсем не понимаю почему всё-ещё интернет платный с таким подходом к делам... если остаются только блог платформы типа Вконтакте и Яндекса, типа все-равно плати если сайт не зарабатывает, за что блть тут платить - комментик тут написать для VC... и ничего не заработать со своими сайтами.
ОЧЕНЬ ТО НУЖЕН ТАКОЙ ПОДХОД К ДЕЛАМ В ИНТЕРНЕТЕ - ЧТОБ ОПУСТЕЛ ВАШ VC - без конкуренции..
Не 1 час занимает переезд. Особенно когда уделяешь время SEO-факторам. Иногда, например, ссылки внутри сайта проставлены вручную в коде, программно их на https не переделаешь. Бывает, что переводят на https, при этом каноникалы оставляют http. Или цепочку редиректов допускают. Тут верно писали, что сама инструкция переезда проста - 301 редирект, галочка в вебмастерах. Но с каждым сайтом возникают свои нюансы, особенно если сайт существует давно и там много чего наворочено на CMS. Можно сделать по инструкции, но не учесть какую-то мелочь а потом гадать через месяц, куда трафик пропал или почему аналитика неправильно работает.
Теперь точно пора
Под НГ переехал на https и уже 2й месяц наблюдаю хороший рост трафика из Яндекса. Гугл как был, так и остался. Вот не знаю, толи https повлиял, толи что-то другое.
Самоподписанный сертификат Lets Encrypt?? Вы что курите??
А ну да, еще Гугл отзовет доверие к Lets Encrypt, который сам же и спонсирует.
Это все сказки тех, кто продает сертификаты.
Вот даже vc.ru использует Lets Encrypt :)
Банкам нужен сертификат выше уровня а остальным достаточно Lets Encrypt.
Самоподписанный?
Сможете организовать, чтобы завтра ваши SEO-специалисты научили меня сертификаты как "Verified by: Let's Encrypt" подписывать?
Не обязательно прямо с утра, можно после уроков.
https://letsencrypt.org/images/howitworks_certificate.png
С одной стороны да, ФЗ № 152 защищает пользователей от кражи данных. С другой стороны, в политику конфиденциальности можно прописать возможность e-mail рассылки, так как политику конфиденциальности (условия обработки персональных данных) почти никто не читает в нашей стране.
Написано интересно, да, но на https аж с 2015 года. Хочу сказать, что https - это лишь мода для большинства и, к сожалению, достаточно пустая без проведения дополнительных настроек безопасности хоста. MiTM исключать никогда нельзя. Более того, что не только в нашей стране провайдеры палятся на этом, вставляя свой трафик в https налету.
Как раз сегодня получили спам-рассылку с предложением "партнериться по разработке мобильных приложений и сложных веб-сервисов." от Атвинты
Почему сразу спам-то? Обидно. Я лично писал письмо, от души.
Btw EV сертификаты нет смысла брать, после того как все браузеры поменяли отображение адресной строки.
А что там изменилось? У меня плашка с названием компании как висела, так и висит
Не знаю по теме ли, но почему вечно всякие проблемы с этим HTTPS с сайтом. Скрипты перестает подгружать нужные из-за него. Видео с ютюба, формы заказа и пр. Как с этим бороться? :)
Комментарий недоступен
Где-то во внешних ссылках жёстко прописана схема http://... Удалите http: и начинайте внешние ссылки с //.
Подозреваю, где-то в html тупо вставлены ссылки на всякие счётчики со схемой http. Это плохо.
// Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом
Так ведь не выполняется это условие. Или вы думаете, что "будут только" переводится как "большей частью"? Для массы запросов в топе Гугла по-прежнему можно найти http сайты
Ждём такой же пост через пару лет "Бизнес теряет клиентов без Турбо/AMP страниц": как поисковики монополизируют доступ к контенту
Совсем просто установить сертификат https://www.youtube.com/watch?v=YME3QSu_30E
Комментарий недоступен
Комментарий недоступен