В погоне за "зеленой строкой" и более высокими позициями сайта в поисковой выдаче Google и Яндекс, многие вебмастера и владельцы сайтов начали задаваться вопросом: стоит ли игра свечь и есть ли реальный практический смысл перехода на новый протокол HTTPS.
Всему этому способствовало заявление компании Google, про учет при ранжировании сайтов, использующих протокол HTTS. Кроме того Google рассматривает возможность внедрения в браузеры предупреждения для пользователей открывающих сайты по протоколу HTTP.
Если говорит про коммерческие сайты, которые своими силами обрабатывают персональную информацию клиентов, то для них внедрение передовых технологий по защите информации в интнрнете может стать большим позитивом, как со стороны отношения клиентов видящих в строке заветный зеленый замок или еще лучше зеленую строку с наименованием компании, так и со стороны поисковых систем, которые как бы должны повышать товарную позицию сайта ближе к области внимания покупателя (ТОП 3, ТОП 5, ТОП 10).
Но как же быть сайтам, которые зарабатывают продавая рекламу и размещая актуальный контент? В данном случае однозначного ответа нет. Давайте разберемся что же такое HTTPS и для чего он необходим, а также на примере одного из сайтов проследим как будет меняться позиция сайта после перехода на HTTPS.
Что такое HTTPS?
Как пишет Google в своем руководстве по переходу на HTTPS:
HTTPS (Hypertext Transport Protocol Secure) – это сетевой протокол, который обеспечивающий безопасность и конфиденциальность при обмене данными между сайтом и устройством пользователя. Например, он позволяет защитить данные, которые клиент указывает в веб-форме, чтобы подписаться на обновления или совершить покупку. Каждый пользователь надеется, что такая информация не попадет в руки мошенников. Чтобы защитить ее, перейдите на протокол HTTPS.
Интернет-энциклопедия Wikipedia отмечает, что HTTPS — это расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.
Протокол был разработан компанией Netscape Communications для браузера Netscape Navigator в 1994 году[1]. HTTPS широко используется в мире веб и поддерживается всеми популярными браузерами.
Это обычный HTTP, работающий через шифрованные транспортные механизмы SSL и TLS. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства и сертификат сервера проверен и ему доверяют.
На веб-страницах, использующих HTTPS используется три основных уровня защиты:
- Шифрование передаваемых данных во избежание их перехвата. Благодаря этому злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к личным данным.
- Сохранность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
- Аутентификация гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атак с перехватом. Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для вашего бизнеса.
Установка SSL сертификата и переход на HTTPS является одним из способов обхода блокировки со стороны тупоголовых чинуш из Роскомнадзора
Что такое SSL сертификаты?
SSL (англ. secure sockets layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь.
SSL изначально разработан компанией Netscape Communications для добавления протокола HTTPS в свой веб-браузер Netscape Navigator. Впоследствии, на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS, на данный момент самым последним является TLS 1.2 принятый в работу ы 2008 году.
Для SSL соединения необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной, что гарантирует его достоверность. В роли такой третьей стороны выступают центры сертификации. Сегодня наиболее авторитетными центрами являются Comodo, GeoTrust, Symantec, Thawte и прочие.
Цены на SSL сертификаты также существенно отличаются от 4.15 USD (Comodo Positive SSL) до нескольких тысяч долларов (Symantec Secure Site Wildcard). Также можно оформить бесплатный SSL сертификат сроком на 90 дней с возможностями Comodo Positive SSL.
Как оформить бесплатный SSL для проверки работы сайта?
На волне интереса к протоколу HTTPS и SSL сертификатам, многим стало интересно как это работает.
Приводим вам краткую инструкцию получения качественного и поддерживаемого всеми самыми популярными браузерами SSL сертификата под названием Comodo Trial SSL Certificate.
Для его получения необходимо перейти на русскоязычную версию сайта GOGETSLL в раздел Free 90-days Trial SSL Certificate и нажать Try now.
появляется окно, где указано, что вы приступили к первому этапу под названием Product Configuration
Далее, если вы согласны с заполненными графами, нажимаем Complete order и переходим к созданию учетной записи. Данные не обязательно указывать настоящие. Когда все будет готово переходим далее и логинимся под новой учетной записью.
Следующий этап это окончание оформления заказа на бесплатный сертификат и подготовка к его настройке. Для этого на странице
Вверху нажимаем на Incomplete Orders и попадаем на страницу статуса настройки SSL сертификата. Находим таблицу List of all your SSL certificates и нажимаем на Generate.
Попадаем на страницу формирования ключа для шифра - CSR Configuration
Все поля оставляем как есть, кроме одного.
Напротив Paste your CSR видим пустое поле, которое надо заполнить. Для этого кликаем по фразе Online CSR Generator и заполняем как на картинке, подставляя свои данные.
В итоге мы получаем Private Key (скопируйте Private Key в блокнот и куда нибудь еще, он пригодится для серверной настройки) and CSR для сайта innotechnews.com.
Копируем CSR ключ вместе с фразами -----BEGIN CERTIFICATE REQUEST----- и -----END CERTIFICATE REQUEST-----
Вставляем в форму с предыдущей страницы и нажимаем Validate CSR
Вы сразу получите запрос на подтверждение собственности вашего домена. Это можно осуществить четырьмя способами, но самым простым из них является с помощью скачивания (Download TXT validation file) и установки в корень сайта по FTP TXT файла.
Нажимаем Next Step
Появляется очередная страница с формами для заполнения. Рекомендую указывать в форме подлинные данные, поскольку на низ завязывается собственность сертификата, плюс они нигде не фигурируют в Сети.
После всего ставим галочку на согласии с пользовательским соглашением, что все данные будут переданы АНБ США и нажимаем Complete Generation. Появится окно про 100% - Complete, после чего можно нажимать на Manage SSL и ждать около 5-10 минут оформления сертификата в Центере сертификации Comodo.
После того как строка Order Status позеленеет и появится фраза Active к Вам на указанную почту должен придти архив с сертификатами.
Установка SSL сертификатов
Если раскроете архив с сертификатами, вы увидите четыре файла:
- COMODORSAAddTrustCA.crt
- COMODORSADomainValidationSecureServerCA.crt
- AddTrustExternalCARoot.crt
- domain_com.crt (будет указан ваш домен).
Закидываем эти сертификаты в корень сайта и переходим к настройкам сервера.
Поскольку мы хостимся на у компании UKRAINE лучшей на территории всего постсоветского пространства, с очень удобной и крутой самописной панелью управления доменами и хостингом, объясним как это делается своими руками. Если у Вас другой хостер - обратитесь к администраторам с просьбой настроить SSL, если у Вас VPS и круче, Вам придется это делать самостоятельно или нанимать на час специалиста (работы на 10 минут).
Итак, мы заходим с характеристики домена и нажимаем Настройка SSL. Открывается очень проста панель настройки, где имеется две нужных нам формы для заполнения.
SSL сертификат (.crt)
Вставляется содержимое файла domain_com.crt, который пришел Вам на почту.
SSL ключ (private key)
Вставляется зашифрованный ключ, который мы должны были скопировать ранее из формы генерации ключа в блокнот или из письма от Центра сертификаци, которое должно было придти перед сертификатами.
Когда все будет готово нажимаем Сохранить и получаем.
Следующий Важный шаг это настройка редиректа с HTTP на HTTPS
Для этого в корне сайта находим файл .htaccess и вставляем в него:
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP:SSL} !=1 [NC]
RewriteRule ^(.*) https://ВАШДОМЕН.ru/$1 [L,R=301]
Это обеспечит хороший сигнал для Google, что Ваш сайт готов к "спариванию" по протоколу HTTPS. Для тупенького Яндекса, это мало, что значит и для него надо сделать другие манипуляции:
Открываем в корне сайта файл robots.txt и меняем главное зеркало для сайта на https://ВАШДОМЕН.ru
Host: https://ВАШДОМЕН.ru
Добавляем домен https://ВАШДОМЕН.ru в Яндекс.Вебмастер и ждём склейки. За это время Яндекс удалит Ваш сайт с поисковой выдачи на срок от одного месяца до 3 месяцев и будет постепенно добавлять новые страницы. ТИЦ сайта также будет переноситься очень долго, как и позиции. В своем ответе на обращения по поводу переноса, техподдержка Яндекса отвечает, что не гарантирует индексации нового адреса, возврата ТИЦ и позиций сайта до склеивания. Так, что если, что-то пойдет не так виноаты будете только Вы.
Что еще нужно сделать?
Меняем адрес для XML карты сайта
Sitemap: https://ВАШДОМЕН.ru/sitemap.xml
Скармливаем новую карту Google и Яндексу.
Делаем все внешние и внутренние ссылки относительными (на Joomla 3.4 это происходит автоматически).
Внутренние в виде /statia-pro-ssl
Внешние в виде https://адрессайта.ком (если он доступен по такому адресу) или //адрессайта.ком
Настраиваем тег rel="canonical" на Joomla. Для Google очень важным является отображение протокола https в этом теге. Для того что его настроить соответствующим образом рекомендую установить плагин aimycanonical и указать в его настройках отображение https. Кроме этого плагин исключит текущие ошибки rel="canonical" в Joomla 3.4
Ждём результатов. Также Вы можете следить за экспериментом с одним из сайтов по переносу на HTTPS. Если Вам понравилось использовать HTTPS - можете купить сертификат и не ждать окончания бесплатных 90 дней.