Сейчас многие сайты перешли на защищенный HTTPS-протокол. В данной статье я подробно распишу все преимущества и недостатки данной меры защиты.

Немного общей информации, существует два вида защищенных протоколов: SSL и TLS, хотя в принципе TLS основан на протоколе SSL и является его усовершенствованной модификацией. Суть https заключается в передаче информации по особо защищенному протоколу с использованием ключей шифрования.
Сертификатов HTTPS сейчас предлагается большое количество: у них тоже есть свои различия, стойкость, работоспособность в различных браузерах. Некоторые хостинги даже предлагают бесплатно для своих клиентов на особых условиях. Так или иначе, защищенное соединение становится все более доступным для пользователя.
Большинство простых сайтов содержат у себя более простой сертификат, который проверяет только домен. Для не коммерческих целей этого предостаточно. Однако для магазинов и сайтов с онлайн-оплатой необходима также проверка организации, а значит более сложную и дорогую разновидность ssl.
Плюсы использования HTTPS на сайте
В принципе, сразу вырисовывается и первое преимущество использования HTTPS: наши данные и данные посетителей сайтов буду надежно защищены от посторонних глаз ( если конечно не говорить о перехвате траффика снифферами, но это не относится к нашей теме). Теперь мы подробнее рассмотрим, какого направления наш сайт.
- Интернет-магазин. Если на сайте присутствует онлайн-оплата, то установкой сертификата стоит заняться в первую очередь. Во-первых мы защитим платежи и данные клиентов от утечки. Во-вторых, многие банковские системы могут отказаться сотрудничать с Вами при отсутствии HTTPS на сайте. В-третьих, были б мы к примеру в Америке, ни один из ваших покупателей не совершил бы платеж, не увидев заветного защищенного соединения. Да, до нас эти устои ещё не дошли, но тенденция идет именно в таком направлении.
- Сайт-визитка, новостной сайт, статичный или любой другой сайт, где в принципе отсутствует регистрация. Здесь совсем необязательно устанавливать SSL или TLS - на нашем сайте не передаются конфиденциальные данные. В этом случае установка протокола желательна, но не так критична.ые данные, и нам в принципе ни к чему использовать HTTPS. Есть пару моментов в плане СЕО, но однако о них я опишу позже.
- Форум, каталог или же любой другой сайт с авторизацией.
Минусы перехода на защищенный протокол
Когда основные преимущества рассмотрены, можно сформулировать недостатки. Их всего немного, это:
- Цена - придется нести лишние денежные затраты
- Сайт с https и без считается поисковыми системами как разные сайты. Поэтому понадобится время для переиндексации, а также корректная настройка сайта для редиректа пользователей на защищенный протокол. Поэтому при создании сайта лучше заранее позаботиться об установке HTTPS.
- Как это не двусмысленно звучит, но у SSL-сертификатов хватает уязвимостей, которые могут даже помочь передать траффик злоумышленникам. При установке убедитесь, что версия сертификата удовлетворяет требованиям безопасности (можно к примеру провести тест на ssllabs.com).
Теперь я рассмотрю несколько нюансов использования HTTPS в плане СЕО и антивирусных компаний. Некоторые зарубежные антивирусы могут занести ваш сайт в блэклист как фишинговый, если Вы будете продавать какие-либо товары, но при этом у вас не будет 443 порта (обычно HTTPS использует именно его). Кроме этого компания Google заявила о намерении внедрении повсеместного обязательно сертифицирования защищенным протоколом, и в итоге сайты с HTTPS будут ранжироваться выше в поиске.
Распространенные заблуждения про HTTPS
Напоследок я расскажу пару мифов о защищенном шифровании.
Миф 1. HTTPS защищает ото всего. Нам теперь не страшны SQL- и XSS-inject на сайте.
Разоблачение: SSL-протокол реализует только передачу данных, уязвимости данного типа возникают в обработке кода на сервере. Поэтому установка сертификата никаким образом не спасет от бреши в сайте.
Миф 2: Формы в HTTPS защищены от CSRF (Межсайтовой подделки запроса).
Разоблачение: Как и в первом случае, протокол просто передаст данные, в защищенном виде или нет, обработка зависит только от вашего сайта.
Миф 3: Если в браузерной строке стоит зеленая галочка HTTPS, все наши данные передаются по защищённому протоколу.
Разоблачение: На самом деле это может оказаться не так. Достаточно встроить форму в iframe с другого сайта без шифрования, и все данные через эту форму будут передаваться открытым текстом (на какой-нибудь фишинговый сайт к примеру). В этом случае только поможет бдительность.
Миф 4: Введенные данные и пароли не могут быть перехвачены через HTTPS.
Разоблачение: На самом деле, если Вы приналдежите одной сети (к примеру одному и тому же WI-Fi), то Ваши данные легко перехватить любым сниффером с использованием SSLStrip. Именно поэтому не рекомендуется использовать личные данные в общественных сетях Wi-Fi. Намного сложнее перехватить чужие данные, вторгнувшись в цепочку при передаче, тогда придется каким-то образом подделывать сертификат. Хоть здесь вероятность и мала, однако она тоже существует, тем более технологии не стоят на месте и все чаще для этого применяют коллизии в хешах.
UPD:
Google принуждает сайты переходить на защищенное шифрование
Со временем зашифрованное соединение становится обыденностью. Крупные поисковые системы все больше отдают предпочтения HTTPS защищенным сайтам, поэтому вебмастерам приходится задуматься о SSL. К тому же исследование сео-специалистов показало, что переход от HTTP к HTTPS не влияет на ранжирование (как многие пугают вылетами из поиска на месяц), а скорее наоборот, небольшим увеличением траффика.
Современные браузеры уже научились корректно распознавать SSL сертификаты, при этом если на сайте присутствуют подключения по незащищенному каналу, то замочек не закроется. А многие пользователи уже стали активно обращать внимание на зеленый безопасный сайт и перечеркнутый красным сайт с нарушением безопасности.
В силу этих аспектов решено было перейти на защищенную версию. Теперь передаваемые данные надежно защищены. И я думаю, в скором времени сайт с HTTPS станет правилом хорошего тона при работе сайта.
С 2017 года гугл обещает использовать санкции не только при ранжировании в поисковых системах, но и в своих браузерах хром. При заходе на сайт с формами ввода данных без использования сертификата вылезет предупреждающее окно, что сайт представляет собой опасность. Навязчивость может отпугнуть многих посетителей сайтов, поэтому подумайте о безопасности заранее.
Если вам понравилась данная статья, Вы можете прочитать еще про защиту сайта от спама обратной связи и Как защитить сайт от флуд атаки
А вот причины по которым могут отозвать сертификат нет даже на COMODO .
Может это пиратский контент или ещё что-то по их мнению нарушающее авторские права.. Или жалоба .. или.. или.
И весь сайт отсканированный как https с большим предупреждением безопасности для посетителей! Итог - посещаемость вся на нуле!
Поэтому это ловушка для многих за которую надо ещё и платить, имхо!
За домен можно поспорить, т.к. есть документы именные на него.
А если серьёзный проект, то лучше не пользоваться хостином.. Сервер установить на свой ПК и если что-то с доменом , то можно всегда сделать редирект на другой.
А SSL это очёнь стрёмная ловушка и в будущем мы увидем как это всё закончится для многих сайтов.
Может в будущем что-то и измениться , но пока только так...
Очень много НО, поэтому думайте вебмастера сами оправдан ли такой риск или нет.
Мы как раз от хостинга воспользовались бесплатным сертификатом. То есть мы даже не знали что нам подключили эту услугу. Но потом было поздно и весь в Google как https://! Сертификат закончился и ... хорошо , что мы вовремя опомнились и вывели сайт в поиске на http:// Но потребовалась целая неделя ! И за это время посещаемость упала почти в 4 раза!
По безопасности, его выбирают миллионы сайтов - это раз, думаю неспроста.
Во-вторых, сертификат соответствуют всем критериям безопасности - https://www.ssllabs.com/ssltest/analyze.html?d=protectyoursite.ru&latest этот сайт использует именно такой сертификат.
Сам прекрасно знаю, что http и https считаются поисковиками как разные зеркала - не один десяток сайтов настраивал и переводил на SSL с минимальными потерями траффика.
Единственно не пойму, что у вас за хостинг, если так коряво предоставил услугу? Везде, где ставил от хостинга бесплатный автоматически продлевается и нету проблем, что сайт недоступен. Мне кажется стоило побеспокоить хостинг по этому вопросу, а не торопиться возвращать сайт на http
Они всегда быстро отвечают, но в этот раз двое суток ждали и дождались..
Ответили , что конечно это платно! И после этого, каким-то чудесным образом сайт стал некорректно работать по https://
Сразу же начали втюхивать платный сертификат от них , который стоит притом в два раза дороже чем на FirstSSL ! А потом всё-таки бесплатный предлагали Let's Encrypt , но мы отказались после таких неприятностей.
А потом вообще извинились и сказали, что это ошибка произошла после обновления Cpanel.
Нормальный платный хостинг Bitte. Во всяком случае был нормальным для нас до этого казуса!
Вообщем честно , я лично вижу сертификат SSL как очередные платные Костыли !
В принципе я и сам не сторонник сертификатов, самые обычные на деле подтверждают доменное имя - на самом деле очередной развод на деньги. Но пошли требования у поисковиков и крупных антивирусов и браузеров, поэтому приходится подстраиваться под веяния моды.
Ведь при шифровании https всё же замедляется загрузка страниц сайта. Кстати это можно отнести ещё к одному минусу.
RSS лента комментариев этой записи