Бизнес теряет клиентов без HTTPS: Google и «Яндекс» теперь единодушны

C 2017 года поисковик Google помечает сайты без HTTPS как небезопасные. С 2019 года для «Яндекса» это тоже важный параметр качества сайта. Разбираемся, какие проблемы ждут владельцев сайтов без HTTPS-протокола и как их обойти.

Протокол HTTPS — это зашифрованный способ передачи данных. А SSL-сертификат как раз обеспечивает цифровое шифрование, которое защищает обмен данными между пользователем и сайтом. Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.

Для владельцев сайтов переход на безопасный сертификат шифрования — это прежде всего забота о клиентах. А забота о клиенте — главный фактор ранжирования для поисковиков. Так владелец сайта зарабатывает доверие пользователей и улучшают бизнес-показатели.

Для сайтов, где пользователь вводит личные и платежные данные, SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.

Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом. «Яндекс» повторяет многие решения «старшего брата». И теперь российский поисковый сервис озвучивает аналогичную позицию.

С учетом тренда всеобщей информационной безопасности, переходить на безопасный сертификат нужно уже сейчас. Часть ecommerce-компаний перевели сайты на безопасный протокол заранее. Сейчас мы в «Атвинте» наблюдаем вторую волну обращений на настройку SSL-сертификатов.

Илья Карбышев, SEO-специалист, руководитель продвижения Атвинты, эксперт «Яндекса» по обучению

Google помечает сайты без HTTPS как ненадежные. «Яндекс» в скором времени введет аналогичные санкции.

Это не временная мера, это будущее интернета. Однако в рунете на начало 2019 года, по данным аналитического ресурса StatOnline, только около 18% сайтов пользуются SSL-сертификатом. Всего в доменной зоне *.ru — больше 5 млн активных доменов, сайтов с HTTPS — всего 900 тысяч.

Последствия для сайтов без HTTPS

  • Отсутствие HTTPS мешает поисковому продвижению. Google и «Яндекс» уже внесли SSL-сертификат в список факторов ранжирования.
  • Google ограничивает рекламу таких сайтов. При настройке кампании в кабинете «Google Рекламы» появляется сообщение, что показы будут урезаны.
  • Работоспособность сайта под угрозой. Украсть могут не только данные пользователей, но и логин от административной панели. Злоумышленники подменяют контент на сайте или размещают на нем рекламу запрещенных товаров. Доверие посетителей к таким сайтам падает.
  • Репутационные и финансовые убытки в случае утечки информации. Компании придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это на порядок дороже, чем установить SSL-сертификат.

Как видим, риски ощутимые.

А какие аргументы у тех, кто не использует HTTPS

  • Мы не собираем персональные данные, зачем заморачиваться с переездом.
  • У меня и без HTTPS сайт нормально ранжируется по нужным запросам в Google. А «Яндексу» вообще все равно.
  • Переезд приведет к потере в индексации, сайт выпадет из поисковиков или значительно снизится позиция в выдаче.
  • Переезд придумали, чтобы вытягивать деньги из владельцев сайтов. Ведь нормальный SSL-сертификат — платный.

Еще пару лет назад можно было оправдаться такими заявлениями. Сейчас все помешаны на цифровой безопасности персональных данных. Хотите получать клиентов через интернет — пора переходить на HTTPS.

Как безопасно перейти на безопасный SSL-сертификат

Из нашего опыта работы, владельцы сайтов боятся потерять трафик при переходе на HTTPS. Ведь от объема трафика зависит их прибыль. Однако если соблюсти ряд правил при смене протокола с HTTP на HTTPS, переезд пройдет практически безболезненно.

Мы обращаем внимание на такие нюансы:

  • Выбирать сертификат
    По способу проверки сайтов они бывают трех видов: Domain Validation (DV), Organization Validation (OV), Extended Validation (EV). Различаются по уровню проверки и подтверждения данных организации. Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.
  • Выбирать время
    Проанализируйте активность пользователей и проводите работы, когда наименьшее количество аудитории интересуется сайтом.
  • Настроить редиректы и проверить индексацию
    Здесь понадобится помощь SEO-специалиста. Он проследит правильность настроек, индексацию поисковиками, настроит переадресацию страниц.

Если процедура будет проходить под контролем специалистов, просадка по трафику будет некритичной и придет в норму в течение месяца. В замен вы получите дополнительное признание поисковых систем. Тот же «Яндекс» обращает внимание в блоге рекламных технологий: «На сайты с защищенным протоколом приходится более 80% нашего поискового трафика». Пожалуй, стоит попасть в эти 80%.

UPD по мотивам комментариев

Владелец сайта всегда может решить: поставить бесплатный SSL-сертификат или платить за безопасность своих клиентов. Например, можно бесплатно сделать сертификат от Let's Encrypt, о котором читатели неоднократно упоминали в комментариях. Пока для Google и Яндекса его достаточно.

Учитывайте, что Google может забанить целый центр бесплатной сертификации. Как это было, например с Symantec.

Выбрать платный или бесплатный сертификат — личное дело каждого. Многие хостинги позволяют добавить сертификат в пару кликов. Главное — внимательно осуществить переезд и учесть все нюансы именно вашего сайта, чтобы не потерять в выдаче. И здесь лучше заручиться поддержкой специалистов.

0
109 комментариев
Написать комментарий...
Mike Kosulin
Сертификаты типа Domain Validation бывают бесплатные. Они подойдут только для небольших сайтов-визиток. Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.

Лучше вообще уберите это из текста.

Ответить
Развернуть ветку
Алексей Овсянников

ага, и активную ссылку на свой сайт в раздел SEO, ведь кто-то из этих же СЕОшников писал статью :)

Ответить
Развернуть ветку
1 комментарий
Tom DD

Решение абсолютно правильное. В наше время, когда каждый второй сайт что-то продаёт, только https.

Ответить
Развернуть ветку
Xieergai

Дело даже не в продажах, а в элементарной безопасности пользователей.
Объясню.
Если вы заходите на сайт по HTTP (не HTTPS) через какую-нибудь публичную сеть (Wi-Fi точки в метро, общественном транспорте, в кафе), либо через мобильную сеть (историю с пчелайном уже многие забыли https://habr.com/ru/post/262631/), то пользователю могут врезать в его трафик рекламный или вредоносный код.
То есть, зашёл на HTTP-сайт, а получил рекламу и какого-нибудь трояна. Хотя никакой оплаты на этом сайте может и не быть.
Поэтому я бы вообще банил HTTP-сайты как потенциально опасные

Ответить
Развернуть ветку
11 комментариев
Марк Сахарнаягора

Сайт продает не сам, а через агрегатора. Агрегатору сертификат нужен. А воь нафига он нужен каталогу товаров?

Ответить
Развернуть ветку
1 комментарий
Артем Акулов

2к19.
На vc истерия про https. Ох. Теряем клиентов. Кровь из глаз брызжет после таких заголовков. Чуете? Свежо-то как.
У меня 9 интернет-магазинов на продвижении, трафик самого неудачного магазина 560 000 уников в месяц с поиска. Траф с гугла и яндекса 50/50 примерно. Все магазины работали без https, кроме страницы с модулем онлайн-оплаты.

Перешли в январе 2019 года на https. Все сайты. Редиректы, все дела. Знаете что изменилось с трафиком, позициями (ахаха, их кто то еще снимает в 2019 году) и вот этим вот всем?
Ладно, ладно, я подскажу - ничего.

Так что, особо губу не раскатывайте, те кто думает, что прочитав унылую статейку и поставив на свой сайт ssl-сертификат, он момент взлетит в топы поисковиков. Не взлетит. Чудес не бывает. Совсем в других направлениях нужно работать, но об этом вам тут никто не расскажет.

Ответить
Развернуть ветку
Alexander Matveev

Если бы вы НЕ перешли на https и ничего не поменялось бы спустя какое-то время, мессадж был бы понятен.

Ответить
Развернуть ветку
Ilya P

я пользователь и не пойду на сайт без https, хотя бы потому что браузер так просто меня не пустит по http.

Ответить
Развернуть ветку
3 комментария
Атвинта digital agency
Автор

Речь все-таки не о внезапном взлете в топ. Удобство сайта для клиента и прочие факторы никто не отменял.

Ответить
Развернуть ветку
2 комментария
Александр Привалов

так-то да, зато если мимо будет вшивый роскомнадзор пробегать - штрафанет за непринятие мер по сохранности пользовательских данных, 300.000 рублей*560.000 уников = до 1,56 триллиарда рублей в бюджет. Цельный мост за ваш счет построим

Ответить
Развернуть ветку
1 комментарий
Вера Гагарина

Что Артем, и вы не расскажите нам? :)

Ответить
Развернуть ветку
Атвинта digital agency
Автор

Предваряем вопрос про отсутствие HTTPS-протокола на сайте нашего агентства.
Раньше HTTPS был для нас не актуален: основные лиды идут через сарафан и по рекомендациям. Сайт скорее использовался как витрина с портфолио. И мы приняли решение не отвлекать специалистов от клиентских проектов на работы по сайту Атвинты.

В этом году мы создаем новый сайт. Он уже будет с безопасным SSL-сертификатом.

Ответить
Развернуть ветку
Иван Бардов

Однако. Прицепить сертификат - вопрос 1 дня (с учётом ожидания, выпуска и т.п.), а трудозатрат на 1 час, если без сюрпризов. Тут особо "отвлекать" никого и не нужно.
Для Digital-агентства это слишком странно.

И да, уже давно не SSL, а TLS 1.2, а недавно уже и вообще 1.3 появился.

Ещё Вы пишете:

Для корпоративных сайтов и интернет-магазинов лучше выбрать платный SSL-сертификат. Он гарантирует большую надежность и дает возможность создавать поддомены.

В то время, как бесплатный сервис Let's Encrypt (как бы кто к нему не относился) уже почти год как выдаёт wildcard-сертификаты.
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

Поправьте, если неправ.

Ответить
Развернуть ветку
21 комментарий
Александр Привалов

цитата про сапожника без сапог никогда не была столь актуальна :/

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Pavel Zamyatin

Хотел отдельно написать, но дополню здесь.

Сайт с HTTPS гарантирует безопасность для посетителей и говорит: мы оберегаем ваши личные данные, логин и пароль, переписки, данные банковских карт, их никто не украдет.

Очень спорное и неоднозначное утверждение. К сожалению, у людей, которые просто смотрят на наличие https, может сложиться ложное ощущение, что сайт безопасен. Это не так.

Данные шифруются по пути от вашего браузера и до веб-сервера. На этом все. Кто на той стороне, как он поступает и как оберегает ваши данные после дешифровки, можно ли доверять важную информацию ему - на все эти вопросы https ответов не дает. Он лишь подтвержает, что вы общаетесь с тем сайтом, который вбили в строку. И соединение зашифровано. Не больше.

Ответить
Развернуть ветку
Андрей Владимиров

Нет бы написать, что сейчас почти любой хостинг предлагает бесплатный SSL-сертификат от Let's Encrypt, который устанавливается в несколько кликов из хостинг-панели.

Но нет! – Ведь тогда меньше лохов прибежит в упоминаемое диджитал-агентство отдать несколько тысяч (десятков тысяч) рублей за "правильный" SSL-сертификат для сайта.

Ответить
Развернуть ветку
Алексис Второй

...а у кого на хостинге нет такого функционала, тот может прикрутить Сloudflare.

Ответить
Развернуть ветку
Ilya Karbyshev

Вы думаете, агентство имеет процент с продажи сертификатов? Агентство берет деньги за настройку, и за SEO-сопровождение, а какой сертификат неважно. "Чтоб замочек был виден" пока и бесплатные работают.

Ответить
Развернуть ветку
1 комментарий
Илья Горбаров

А почему бы и да! Сейчас поправим статью!

Ответить
Развернуть ветку
Ilya P

Хостинги еще живы?

Ответить
Развернуть ветку
Максим Швецов

Ровно 2 года назад мы перевели наш сайт на https и очень долго и терпеливо ждали, пока этот самый Google, который так радел за https, вернется на прежний уровень по посещаемости. К слову, ждали очень долго (и да, работы по настройке редиректов и аналитикс были проведены, разумеется) :)

Ответить
Развернуть ветку
Павел Ерёменко

Такая же история. Всё правильно сделали, месяц подготовки и ловите просадочку в 2 раза больше чем на год уже. Зато хытытыпысы теперь, ага.

Ответить
Развернуть ветку
Ilya Karbyshev

А смотрели постранично, какие именно урлы трафик потеряли?

Ответить
Развернуть ветку
1 комментарий
Дмитрий Атеев

Лучше бы кто в комментариях написал, есть смысл брать платный сертификат или бесплатного достаточно

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Sergey Kagi

Напиши просто номер кошелька, мы тебе сразу деньги переведем. Зачем тебе лишние шаги)

Ответить
Развернуть ветку
2 комментария
Андрей Владимиров

Платный определенно нужен, если сайт ну о-очень серьезный, например, сайт банка или платежной системы. Тогда кроме "замочка" в адресной строке будет тоже написано что-то серьезное (посмотрите reg.ru, например).

Для подавляющего большинства коммерческих сайтов и, тем более, всех некоммерческих, достаточно бесплатного Let's Encrypt. Нюанс только в том, что его нужно продлевать каждые 3 месяца. Обычно продление выполняется скриптом хостинга автоматически.

Если не продлить, то может возникнуть неприятная ситуация, когда сайт неожиданно вернулся на http, а вы узнали об этом постфактум. Но у меня лично подобной ситуации не возникло ни разу.

Ответить
Развернуть ветку
Alexey Bykov

"Бизнес теряет клиентов без HTTPS" - статью накатало "агенство" без https. Сюр какой-то.

Ответить
Развернуть ветку
Вася Пражкин

Ну так они знают тему хорошо, вот пишут - "Бизнес теряет клиентов". На своем, так сказать, примере..

Ответить
Развернуть ветку
Evgeni Nabokov

лол, кек

Ответить
Развернуть ветку
Ogfrgfkar

Странная новость, актуально 3 года назад было, почти все уже на https.

Ответить
Развернуть ветку
Атвинта digital agency
Автор

Если смотреть статистику рунета, только пятая часть сайтов перешли на него.

Ответить
Развернуть ветку
1 комментарий
Evgeny Morozov

пздц дорого подключать это ваше HTTPS плати типа каждый месяц... мне шифровать на сайте даже нечего, оно мне ненужно... Дешевые Хостинги превращаются в Дорогое удовольствие.
НУ ПЕРЕВОДИТЕ ВСЕ САЙТЫ НА HTTPS раз ОНО БЕЗОПАСНО ХУЛИ ПЛАТИТЬ ЗА HTTPS ДОЛЖЕН ВЛАДЕЛЕЦ САЙТА... ДАУНИЧИ БЛТЬ

Ответить
Развернуть ветку
Evgeny Morozov

и ещё за каждый сайт оплати это https... это очень дорого... либо дорогой VDS заказывать с ISPmanager и клепать SSL-ки для сайтов... либо плати хостеру какие-то нереальные 3500 рублей. Откуда у обычного сайта на хостинге 3500 рублей есть на безопасность???
Ясное дело что клиентов терять будете с такими конскими запросами...
Так и останутся хостинговые компании без клиентов - ну типа нах свой сайт если куча блог платформ,
а мечтать о производительных серверах - можно забыть.
И я тут как-бы совсем не понимаю почему всё-ещё интернет платный с таким подходом к делам... если остаются только блог платформы типа Вконтакте и Яндекса, типа все-равно плати если сайт не зарабатывает, за что блть тут платить - комментик тут написать для VC... и ничего не заработать со своими сайтами.
ОЧЕНЬ ТО НУЖЕН ТАКОЙ ПОДХОД К ДЕЛАМ В ИНТЕРНЕТЕ - ЧТОБ ОПУСТЕЛ ВАШ VC - без конкуренции..

Ответить
Развернуть ветку
3 комментария
Ilya Karbyshev

Не 1 час занимает переезд. Особенно когда уделяешь время SEO-факторам. Иногда, например, ссылки внутри сайта проставлены вручную в коде, программно их на https не переделаешь. Бывает, что переводят на https, при этом каноникалы оставляют http. Или цепочку редиректов допускают. Тут верно писали, что сама инструкция переезда проста - 301 редирект, галочка в вебмастерах. Но с каждым сайтом возникают свои нюансы, особенно если сайт существует давно и там много чего наворочено на CMS. Можно сделать по инструкции, но не учесть какую-то мелочь а потом гадать через месяц, куда трафик пропал или почему аналитика неправильно работает.

Ответить
Развернуть ветку
Yeliseika

Теперь точно пора

Ответить
Развернуть ветку
Владислав Пивкин

Под НГ переехал на https и уже 2й месяц наблюдаю хороший рост трафика из Яндекса. Гугл как был, так и остался. Вот не знаю, толи https повлиял, толи что-то другое.

Ответить
Развернуть ветку
Alexey Ignatiev

Самоподписанный сертификат Lets Encrypt?? Вы что курите??
А ну да, еще Гугл отзовет доверие к Lets Encrypt, который сам же и спонсирует.

Ответить
Развернуть ветку
Сергей

Это все сказки тех, кто продает сертификаты.
Вот даже vc.ru использует Lets Encrypt :)
Банкам нужен сертификат выше уровня а остальным достаточно Lets Encrypt.

Ответить
Развернуть ветку
Dear Moscow,
самоподписанный сертификат от Let's Encrypt

Самоподписанный?

Сможете организовать, чтобы завтра ваши SEO-специалисты научили меня сертификаты как "Verified by: Let's Encrypt" подписывать?

Не обязательно прямо с утра, можно после уроков.

https://letsencrypt.org/images/howitworks_certificate.png

Ответить
Развернуть ветку
Владимир Таракановский

С одной стороны да, ФЗ № 152 защищает пользователей от кражи данных. С другой стороны, в политику конфиденциальности можно прописать возможность e-mail рассылки, так как политику конфиденциальности (условия обработки персональных данных) почти никто не читает в нашей стране.

Ответить
Развернуть ветку
Sergei Timofeyev

Написано интересно, да, но на https аж с 2015 года. Хочу сказать, что https - это лишь мода для большинства и, к сожалению, достаточно пустая без проведения дополнительных настроек безопасности хоста. MiTM исключать никогда нельзя. Более того, что не только в нашей стране провайдеры палятся на этом, вставляя свой трафик в https налету.

Ответить
Развернуть ветку
Ivan Matveev

Как раз сегодня получили спам-рассылку с предложением "партнериться по разработке мобильных приложений и сложных веб-сервисов." от Атвинты

Ответить
Развернуть ветку
Илья Горбаров

Почему сразу спам-то? Обидно. Я лично писал письмо, от души.

Ответить
Развернуть ветку
6 комментариев
John Doe

Btw EV сертификаты нет смысла брать, после того как все браузеры поменяли отображение адресной строки.

Ответить
Развернуть ветку
Konstantin Smirnov

А что там изменилось? У меня плашка с названием компании как висела, так и висит

Ответить
Развернуть ветку
Вера Гагарина

Не знаю по теме ли, но почему вечно всякие проблемы с этим HTTPS с сайтом. Скрипты перестает подгружать нужные из-за него. Видео с ютюба, формы заказа и пр. Как с этим бороться? :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Evgeni Nabokov

Где-то во внешних ссылках жёстко прописана схема http://... Удалите http: и начинайте внешние ссылки с //.
Подозреваю, где-то в html тупо вставлены ссылки на всякие счётчики со схемой http. Это плохо.

Ответить
Развернуть ветку
Сергей Токарев

// Два года назад Google напрямую заявил, что в топе будут только сайты с безопасным протоколом

Так ведь не выполняется это условие. Или вы думаете, что "будут только" переводится как "большей частью"? Для массы запросов в топе Гугла по-прежнему можно найти http сайты

Ответить
Развернуть ветку
Максим Гусев

Ждём такой же пост через пару лет "Бизнес теряет клиентов без Турбо/AMP страниц": как поисковики монополизируют доступ к контенту

Ответить
Развернуть ветку
Сергей

Совсем просто установить сертификат https://www.youtube.com/watch?v=YME3QSu_30E

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
106 комментариев
Раскрывать всегда