Бизнес теряет клиентов без HTTPS: Google и «Яндекс» теперь единодушны
C 2017 года поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 года для «Яндекса» это тоже важный параметр качества сайта. Разбираемся, какие проблемы ждут владельцев сайтов без HTTPS-протокола и как их обойти.
Протокол HTTPS — это зашифрованный способ передачи данных. А SSL-сертификат как раз обеспечивает цифровое шифрование, которое защищает обмен данными между пользователем и сайтом. Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.
Для владельцев сайтов переход на безопасный сертификат шифрования — это прежде всего забота о клиентах. А забота о клиенте — главный фактор ранжирования для поисковиков. Так владелец сайта зарабатывает доверие пользователей и улучшают бизнес-показатели.
Для сайтов, где пользователь вводит личные и платежные данные, SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.
Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом. «Яндекс» повторяет многие решения «старшего брата». И теперь российский поисковый сервис озвучивает аналогичную позицию.
С учетом тренда всеобщей информационной безопасности, переходить на безопасный сертификат нужно уже сейчас. Часть ecommerce-компаний перевели сайты на безопасный протокол заранее. Сейчас мы в «Атвинте» наблюдаем вторую волну обращений на настройку SSL-сертификатов.
Google помечает сайты без HTTPS как ненадежные. «Яндекс» в скором времени введет аналогичные санкции.
Это не временная мера, это будущее интернета. Однако в рунете на начало 2019 года, по данным аналитического ресурса StatOnline, только около 18% сайтов пользуются SSL-сертификатом. Всего в доменной зоне *.ru — больше 5 млн активных доменов, сайтов с HTTPS — всего 900 тысяч.
Последствия для сайтов без HTTPS
- Отсутствие HTTPS мешает поисковому продвижению. Google и «Яндекс» уже внесли SSL-сертификат в список факторов ранжирования.
- Google ограничивает рекламу таких сайтов. При настройке кампании в кабинете «Google Рекламы» появляется сообщение, что показы будут урезаны.
- Работоспособность сайта под угрозой. Украсть могут не только данные пользователей, но и логин от административной панели. Злоумышленники подменяют контент на сайте или размещают на нем рекламу запрещенных товаров. Доверие посетителей к таким сайтам падает.
- Репутационные и финансовые убытки в случае утечки информации. Компании придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это на порядок дороже, чем установить SSL-сертификат.
Как видим, риски ощутимые.
А какие аргументы у тех, кто не использует HTTPS
- Мы не собираем персональные данные, зачем заморачиваться с переездом.
- У меня и без HTTPS сайт нормально ранжируется по нужным запросам в Google. А «Яндексу» вообще все равно.
- Переезд приведет к потере в индексации, сайт выпадет из поисковиков или значительно снизится позиция в выдаче.
- Переезд придумали, чтобы вытягивать деньги из владельцев сайтов. Ведь нормальный SSL-сертификат — платный.
Еще пару лет назад можно было оправдаться такими заявлениями. Сейчас все помешаны на цифровой безопасности персональных данных. Хотите получать клиентов через интернет — пора переходить на HTTPS.
Как безопасно перейти на безопасный SSL-сертификат
Из нашего опыта работы, владельцы сайтов боятся потерять трафик при переходе на HTTPS. Ведь от объема трафика зависит их прибыль. Однако если соблюсти ряд правил при смене протокола с HTTP на HTTPS, переезд пройдет практически безболезненно.
Мы обращаем внимание на такие нюансы:
- Выбирать сертификат
По способу проверки сайтов они бывают трех видов: Domain Validation (DV), Organization Validation (OV), Extended Validation (EV). Различаются по уровню проверки и подтверждения данных организации. Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены. - Выбирать время
Проанализируйте активность пользователей и проводите работы, когда наименьшее количество аудитории интересуется сайтом. - Настроить редиректы и проверить индексацию
Здесь понадобится помощь SEO-специалиста. Он проследит правильность настроек, индексацию поисковиками, настроит переадресацию страниц.
Если процедура будет проходить под контролем специалистов, просадка по трафику будет некритичной и придет в норму в течение месяца. В замен вы получите дополнительное признание поисковых систем. Тот же «Яндекс» обращает внимание в блоге рекламных технологий: «На сайты с защищенным протоколом приходится более 80% нашего поискового трафика». Пожалуй, стоит попасть в эти 80%.
UPD по мотивам комментариев
Владелец сайта всегда может решить: поставить бесплатный SSL-сертификат или платить за безопасность своих клиентов. Например, можно бесплатно сделать сертификат от Let's Encrypt, о котором читатели неоднократно упоминали в комментариях. Пока для Google и Яндекса его достаточно.
Учитывайте, что Google может забанить целый центр бесплатной сертификации. Как это было, например с Symantec.
Выбрать платный или бесплатный сертификат — личное дело каждого. Многие хостинги позволяют добавить сертификат в пару кликов. Главное — внимательно осуществить переезд и учесть все нюансы именно вашего сайта, чтобы не потерять в выдаче. И здесь лучше заручиться поддержкой специалистов.
Предваряем вопрос про отсутствие HTTPS-протокола на сайте нашего агентства.
Раньше HTTPS был для нас не актуален: основные лиды идут через сарафан и по рекомендациям. Сайт скорее использовался как витрина с портфолио. И мы приняли решение не отвлекать специалистов от клиентских проектов на работы по сайту Атвинты.
В этом году мы создаем новый сайт. Он уже будет с безопасным SSL-сертификатом.
Однако. Прицепить сертификат - вопрос 1 дня (с учётом ожидания, выпуска и т.п.), а трудозатрат на 1 час, если без сюрпризов. Тут особо "отвлекать" никого и не нужно.
Для Digital-агентства это слишком странно.
И да, уже давно не SSL, а TLS 1.2, а недавно уже и вообще 1.3 появился.
Ещё Вы пишете:
Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.В то время, как бесплатный сервис Let's Encrypt (как бы кто к нему не относился) уже почти год как выдаёт wildcard-сертификаты.
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
Поправьте, если неправ.
Комментарий удален модератором
Комментарий недоступен
Комментарий удален модератором
Let's Encrypt крутая тема. Если никаких сюрпризов не будет, то все конфигурируется (включая обновление сертификата раз в 3 месяца) за минуты... И при этом бесплатно...
Если сайтов много – бесплатные сертификаты очень выручают. Ставятся автоматически почти мгновенно. Особо поводов оставаться на http уже нет. Хотя условно в конфигах ссылки http на https придется поменять... И не очень понятно на 100% ли учитываются старые внешние ссылки на сайт в которых был http указан а не https.
А чем закончилась история с Symantec у которой гугл перестал признавать сертификаты, если уж заморачиваться для своего сайта, особенно, если вы на нём зарабатываете - так брать нормальный сертификат... я так думаю.
Комментарий недоступен
Комментарий недоступен
Верисайн и был "нормальным". И их вполне заслуженно с говном смешали.
Нет никаких гарантий, что в очередном "нормальном" снова кто-нибудь не обделается так, как они.
У них вполне были нормальные сертификаты. Не бесплатные. Так что никто не застрахован.
Лентяи! Обманывали меня всё это время. Рассказывали, что просто перевести на https час, а вот сохранить позиции, склейку со старым сайтом сделать и вот это вот всё долго и проще до нового сайта дожить.
А ещё программисты говорили, что слишком много интграций со сторонними сервисами, проще до нового сайта дождаться.
Всех премии лишу!
Склейку сами веб-разработчики делают? Сидят, потеют, все в клее перемазались? :-D
Я грешным делом думал, что надо редиректы прописать, да в учётках вебмастерных указать по желанию для ускорения.
"Визитка", эх, если бы) У нас там кастомная сквозная аналитика прикручена, так что вряд ли дело даже одного дня переехать.
Вы не туда ответили, про визитку другой человек писал
У вас обычный сайт-визитка. Какие еще сложные интеграции???
Перевод на https занимает не больше 5 минут, склейку в 2 клика можно добавить в сёрчконсоле и вебмастере.
Склейки могут быть разные. У меня вот была склейка с WebGL игрой. Пришлось пару функций переписывать. Не неделя, но пол дня у меня это отняло.
Опять же у всех масштабы разные.
Получить сертифика несложно. Сложно перелопатить горы легаси в которых зашит протокол.
А разве руками нужно менять? Рекурсивно выполненный sed выручает же. Или нет?
И зачем зашивать протокол куда-то? И если даже где-то он намертво прибит, все же всегда делают редирект http -> https, разве нет?
Допустим, внутреннюю ссылку в html обычно же по-правильному указывать не http://site.ru/page, а относительную /page - так хоть смена домена, хоть смена протокола. Или я неправ, или речь не об этом?
У нас же не только наш сайт. На нем завязана API Atwinta. Если переводить основной сайт на HTTPS-протокол, то и на апишку надо прикручивать, чтобы все работало корректно и запросы в CRM и система сквозной аналитики не отвалились.
А должно отвалиться? Если криво написано - да, отвалится. Если без хардкода - не заметите.
Ну и сколько долго этот бесплатный сервис проживет?
В статье было указано, что нужно иметь платный сертификат для поддоменов. Я указал, что бесплатный Let's Encrypt выдаёт такие. Про то, сколько он проживёт речи не было, поэтому упрёк "ну и сколько" неуместен.