Сейчас многие сайты перешли на защищенный HTTPS-протокол. В данной статье я подробно распишу все преимущества и недостатки данной меры защиты.

HTTPS на сайте: плюсы и минусы
HTTPS на сайте: плюсы и минусы

Немного общей информации, существует два вида защищенных протоколов: SSL и TLS, хотя в принципе TLS основан на протоколе SSL  и является его усовершенствованной модификацией. Суть https заключается в передаче информации по особо защищенному протоколу с использованием ключей шифрования.

Сертификатов HTTPS сейчас предлагается большое количество: у них тоже есть свои различия, стойкость, работоспособность в различных браузерах. Некоторые хостинги даже предлагают бесплатно для своих клиентов на особых условиях. Так или иначе, защищенное соединение становится все более доступным для пользователя.

Большинство простых сайтов содержат у себя более простой сертификат, который проверяет только домен. Для не коммерческих целей этого предостаточно. Однако для магазинов и сайтов с онлайн-оплатой необходима также проверка организации, а значит более сложную и дорогую разновидность ssl.

Плюсы использования HTTPS на сайте

В принципе, сразу вырисовывается и первое преимущество использования HTTPS: наши данные и данные посетителей сайтов буду надежно защищены от посторонних глаз ( если конечно не говорить о перехвате траффика снифферами, но это не относится к нашей теме). Теперь мы подробнее рассмотрим, какого направления наш сайт. 

  • Интернет-магазин. Если на сайте присутствует онлайн-оплата, то установкой сертификата стоит заняться в первую очередь. Во-первых мы защитим платежи и данные клиентов от утечки. Во-вторых, многие банковские системы могут отказаться сотрудничать с Вами при отсутствии HTTPS на сайте. В-третьих, были б мы к примеру в Америке, ни один из ваших покупателей не совершил бы платеж, не увидев заветного защищенного соединения. Да, до нас эти устои ещё не дошли, но тенденция идет именно в таком направлении.
  • Сайт-визитка, новостной сайт, статичный или любой другой сайт, где в принципе отсутствует регистрация. Здесь совсем необязательно устанавливать SSL или TLS - на нашем сайте не передаются конфиденциальные данные. В этом случае установка протокола желательна, но не так критична.ые данные, и нам в принципе ни к чему использовать HTTPS. Есть пару моментов в плане СЕО, но однако о них я опишу позже.
  • Форум, каталог или же любой другой сайт с авторизацией.

Минусы перехода на защищенный протокол

Когда основные преимущества рассмотрены, можно сформулировать недостатки. Их всего немного, это:

  1. Цена - придется нести лишние денежные затраты
  2. Сайт с https и без считается поисковыми системами как разные сайты. Поэтому понадобится время для переиндексации, а также корректная настройка сайта для редиректа пользователей на защищенный протокол. Поэтому при создании сайта лучше заранее позаботиться об установке HTTPS.
  3. Как это не двусмысленно звучит, но у SSL-сертификатов хватает уязвимостей, которые могут даже помочь передать траффик злоумышленникам. При установке убедитесь, что версия сертификата удовлетворяет требованиям безопасности (можно к примеру провести тест на ssllabs.com).

Теперь я рассмотрю несколько нюансов использования HTTPS в плане СЕО и антивирусных компаний. Некоторые зарубежные антивирусы могут занести ваш сайт в блэклист как фишинговый, если Вы будете продавать какие-либо товары, но при этом у вас не будет 443 порта (обычно HTTPS использует именно его). Кроме этого компания Google заявила о намерении внедрении повсеместного обязательно сертифицирования защищенным протоколом, и в итоге сайты с HTTPS будут ранжироваться выше в поиске.

Распространенные заблуждения про HTTPS

Напоследок я расскажу пару мифов о защищенном шифровании.

Миф 1. HTTPS защищает ото всего. Нам теперь не страшны SQL- и XSS-inject на сайте.

Разоблачение: SSL-протокол реализует только передачу данных, уязвимости данного типа возникают в обработке кода на сервере. Поэтому установка сертификата никаким образом не спасет от бреши в сайте.

Миф 2: Формы в HTTPS защищены от CSRF (Межсайтовой подделки запроса).

Разоблачение: Как и в первом случае, протокол просто передаст данные, в защищенном виде или нет, обработка зависит только от вашего сайта.

Миф 3: Если в браузерной строке стоит зеленая галочка HTTPS, все наши данные передаются по защищённому протоколу.

Разоблачение: На самом деле это может оказаться не так. Достаточно встроить форму в iframe с другого сайта без шифрования, и все данные через эту форму будут передаваться открытым текстом (на какой-нибудь фишинговый сайт к примеру). В этом случае только поможет бдительность.

Миф 4: Введенные данные и пароли не могут быть перехвачены через HTTPS.

Разоблачение: На самом деле, если Вы приналдежите одной сети (к примеру одному и тому же WI-Fi), то Ваши данные легко перехватить любым сниффером с использованием SSLStrip. Именно поэтому не рекомендуется использовать личные данные в общественных сетях Wi-Fi. Намного сложнее перехватить чужие данные, вторгнувшись в цепочку при передаче, тогда придется каким-то образом подделывать сертификат. Хоть здесь вероятность и мала, однако она тоже существует, тем более технологии не стоят на месте и все чаще для этого применяют коллизии в хешах.

UPD:

Google принуждает сайты переходить на защищенное шифрование

Со временем зашифрованное соединение становится обыденностью. Крупные поисковые системы все больше отдают предпочтения HTTPS защищенным сайтам, поэтому вебмастерам приходится задуматься о SSL. К тому же исследование сео-специалистов показало, что переход от HTTP к HTTPS не влияет на ранжирование (как многие пугают вылетами из поиска на месяц), а скорее наоборот, небольшим увеличением траффика.

Современные браузеры уже научились корректно распознавать SSL сертификаты, при этом если на сайте присутствуют подключения по незащищенному каналу, то замочек не закроется. А многие пользователи уже стали активно обращать внимание на зеленый безопасный сайт и перечеркнутый красным сайт с нарушением безопасности.

В силу этих аспектов решено было перейти на защищенную версию. Теперь передаваемые данные надежно защищены. И я думаю, в скором времени сайт с HTTPS станет правилом хорошего тона при работе сайта.

С 2017 года гугл обещает использовать санкции не только при ранжировании в поисковых системах, но и в своих браузерах хром. При заходе на сайт с формами ввода данных без использования сертификата вылезет предупреждающее окно, что сайт представляет собой опасность. Навязчивость может отпугнуть многих посетителей сайтов, поэтому подумайте о безопасности заранее. 

Если вам понравилась данная статья, Вы можете прочитать еще про защиту сайта от спама обратной связи и Как защитить сайт от флуд атаки

 

Комментарии   
+1 # Sector 03.07.2016 14:55
Честно сказать, можно и ssl прослушать трафик... А так тулза полезная..
Ответить | Ответить с цитатой | Цитировать
0 # Valik 07.04.2017 17:07
Есть Главный недостаток!! Компания выдавшая сертификат может его отозвать в любое время !
А вот причины по которым могут отозвать сертификат нет даже на COMODO .
Может это пиратский контент или ещё что-то по их мнению нарушающее авторские права.. Или жалоба .. или.. или.
И весь сайт отсканированный как https с большим предупреждением безопасности для посетителей! Итог - посещаемость вся на нуле!
Поэтому это ловушка для многих за которую надо ещё и платить, имхо!
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 07:21
Это сказал бы ближе к юридическим вопросам, с таким же успехом могут заблокировать и домен и аккаунт на хостинге.
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 11:00
Каких юридических? Ведь у вас нет прав на сертификат вообще ни каких ! условия вам даже не обозначили..
За домен можно поспорить, т.к. есть документы именные на него.
А если серьёзный проект, то лучше не пользоваться хостином.. Сервер установить на свой ПК и если что-то с доменом , то можно всегда сделать редирект на другой.
А SSL это очёнь стрёмная ловушка и в будущем мы увидем как это всё закончится для многих сайтов.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 11:20
Ну отчего нету, вам выдаются ключи, подписанные центром сертификации, считайте их как документы. Плюс думаю при покупке есть какая оферта, с которой соглашаетесь.
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 11:34
Мы лично обращались в поддержку FirstSSL и они подавали официальный запрос в Comodo на счёт пунктов по которым могут отзывать сертификат.. Так пришёл официальный ответ : " условий не предоставляем!" И оферты естественно нет т.к. нет условий.
Может в будущем что-то и измениться , но пока только так...
Очень много НО, поэтому думайте вебмастера сами оправдан ли такой риск или нет.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 11:37
Можно использовать бесплатные варианты, к примеру от того же Let's Encrypt - и не будет проблем, что опрокинут на деньги
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 11:54
Let's Encrypt продлевать надо каждые 3 месяца и безопасность естественно там под большим вопросом.. Здесь ведь не в деньгах дело! Вы не читали внимательно мой пост выше! Сайт в поиске как https и http это совершенно два разных сайта. В поисковых запросах будет везде https и если что-то происходит с сертификатом , то ваш сайт будет НЕ доступен.
Мы как раз от хостинга воспользовались бесплатным сертификатом. То есть мы даже не знали что нам подключили эту услугу. Но потом было поздно и весь в Google как https://! Сертификат закончился и ... хорошо , что мы вовремя опомнились и вывели сайт в поиске на http:// Но потребовалась целая неделя ! И за это время посещаемость упала почти в 4 раза!
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 12:02
Не проблема добавить в планировщик и забыть, на многих хостингах это автоматизировано.
По безопасности, его выбирают миллионы сайтов - это раз, думаю неспроста.
Во-вторых, сертификат соответствуют всем критериям безопасности - https://www.ssllabs.com/ssltest/analyze.html?d=protectyoursite.ru&latest этот сайт использует именно такой сертификат.
Сам прекрасно знаю, что http и https считаются поисковиками как разные зеркала - не один десяток сайтов настраивал и переводил на SSL с минимальными потерями траффика.
Единственно не пойму, что у вас за хостинг, если так коряво предоставил услугу? Везде, где ставил от хостинга бесплатный автоматически продлевается и нету проблем, что сайт недоступен. Мне кажется стоило побеспокоить хостинг по этому вопросу, а не торопиться возвращать сайт на http
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 12:56
Дело в том, что перед этим написали в техподдержку хостинга и спросили откуда появился SSL и почему сайт виден по протоколу https , ведь не заказывали услугу вообще.. И спросили : " это бесплатно?"
Они всегда быстро отвечают, но в этот раз двое суток ждали и дождались.. :D
Ответили , что конечно это платно! И после этого, каким-то чудесным образом сайт стал некорректно работать по https://
Сразу же начали втюхивать платный сертификат от них , который стоит притом в два раза дороже чем на FirstSSL ! А потом всё-таки бесплатный предлагали Let's Encrypt , но мы отказались после таких неприятностей.
А потом вообще извинились и сказали, что это ошибка произошла после обновления Cpanel. :lol:
Нормальный платный хостинг Bitte. Во всяком случае был нормальным для нас до этого казуса!
Вообщем честно , я лично вижу сертификат SSL как очередные платные Костыли ! :-)
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 13:33
Косяк со стороны хостинга, будем надеяться в будущем не повторится.
В принципе я и сам не сторонник сертификатов, самые обычные на деле подтверждают доменное имя - на самом деле очередной развод на деньги. Но пошли требования у поисковиков и крупных антивирусов и браузеров, поэтому приходится подстраиваться под веяния моды.
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 14:23
И ещё одно заметил, что по некоторым поисковым запросам сайт даже поднялся в позициях. Может это связано с более быстрой загрузкой страниц по http.
Ведь при шифровании https всё же замедляется загрузка страниц сайта. Кстати это можно отнести ещё к одному минусу.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 15:13
Задержка на https минимальна и составляет доли секунд, в большинстве проверках на скорость загрузки она не учитывается (Google Pagespeed к примеру)
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 14:52
Конечно же без сертификата в браузере FireFox вылазит сообщение в форме авторизации: "это соединение не защищено. логины введённые здесь могут быть скомпрометирова ны ". Это единственный дебильный браузер в этом плане. На его долю у нас приходится примерно 5% посетителей. ну вот небольшой минус http нашли. :sigh:
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 15:12
В хромоподобных браузерах показывает в панели урл "Не защищено", Касперский будет предупреждать о незащищенных сайтах, думаю список со временем будет только пополняться.
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 11:40
А если ещё и оплата на сайте происходит на стороне платёжных систем таких как Webmoney, Интеркасса, Payeer, W1 и тд. То вообще беспокоиться за данные посетителей нечего. Во всяком случае у нас так.
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 11:45
Нормальные агрегаторы не позволят передавать данные по незащищенному протоколу, если будет использоваться их оплата на сайте: или перенаправление на их сайт, где будет SSL, или стоит приобрести сертификат ( на примере Яндекс.Кассы)
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 12:00
У нас все платёжные системы ( перечислил только несколько из них выше) работают уже два года без проблем! не знаю о чём вы..
Ответить | Ответить с цитатой | Цитировать
0 # Protect Your Site 08.04.2017 12:04
Значит оплата идет непосредственно на их сайтах, а не на вашем
Ответить | Ответить с цитатой | Цитировать
0 # Valik 08.04.2017 12:59
Да , именно так - оплата на их защищённой стороне. А к нам приходит только инфо , что баланс посетителя на сайте пополнен.
Ответить | Ответить с цитатой | Цитировать
0 # CarLSon 14.10.2017 09:26
Прекрасная статья, спасибо. Могу добавить ещё один "плюс" SSL, который проверил лично: переход помогает вывести домен из-под санкций Яндекса. Я недавно подобрал парочку дропов, и оба были под санкциями "дорвей". Поставил на оба одинаковые заглушки, но один перевёл на бесплатный SSL. После первого же апа с того дропа, где стоял SSL, санкции были сняты автоматом, а второй так и остался под санкциями. С чем связано - не знаю, может совпадение или глюк Яндекса, а может ...
Ответить | Ответить с цитатой | Цитировать
Добавить комментарий