Захищений протокол HTTPS – що це і чим краще звичайного HTTP
Доброго часу доби, дорогі друзі!
У цій статті я розповім про протокол HTTPS: що це таке, які у нього переваги і недоліки, чим він краще звичайного HTTP-протоколу. Обговоримо моменти пошукової оптимізації, я розповім, чому наявність цього протоколу у сайту безпосередньо впливає на позиції в пошуковій видачі. Загалом, в цьому матеріалі я розкрию цю тему максимально детально. Давайте починати!
Зміст
- HTTPS – це
- Різниця між HTTP і HTTPS
- HTTPS і пошукова оптимізація
- Висновок
HTTPS – це
Протоколи передачі даних використовуються, коли ці самі дані передаються через інтернет. Від сайту до користувачу, від користувача до сайту, від сервера до іншого сервера і т. д. Різні протоколи використовуються повсюдно, і кожен з них володіє своїми особливостями, які можуть безпосередньо впливати на якість переданих даних.
HTTP і HTTPS – це протоколи, які найбільш часто використовуються при роботі з різними веб-ресурсами. Сама абревіатура HTTP розшифровується як HyperText Transfer Protocol або протокол передачі гіпертексту. Використовувався цей протокол для передачі даних HTML-сторінок, тому коли мова заходить про веб-сайтах, люди завжди згадують ці літери.
HTTPS має схожу розшифровку. Наприкінці знаходиться буква S, яка розшифровується як Secure. Це слово можна перекласти як безпека, захист. Тобто абревіатура HTTPS розшифровується як захищений протокол передачі гіпертексту.
HTTP і HTTPS завжди можна бачити в початку посилань. Сама модель посилання має на увазі, що на самому початку завжди вказується протокол передачі даних. Якщо ви введете http, відкриється сайт по цьому протоколу. Якщо https, браузер спробує відкрити його по захищеному каналу, однак це не завжди спрацьовує.
Тільки в тих випадках, коли у домена є спеціальний SSL-сертифікат. Про це я розповім трохи пізніше, зараз же ми трохи докладніше зупинимося на понятті захищеного з’єднання.
Звичайне HTTP-з’єднання дуже вразливим для різного роду перехоплень, хакерських атак, підміни і крадіжки даних. Тобто якщо ви будете працювати з сайтом, використовуючи цей вид протоколу, то є ймовірність, що при обміні даними ви отримаєте їх недостовірну копію. Також у вас є ризик втратити ту інформацію, яку ви передавали на сайт. В процесі обміну даними може втрутитися третя особа і отримати копію тієї інформації, яку ви передали сайту.
Кажучи простими словами, якщо ви введете пароль, дані від банківської картки, особисту інформацію або щось ще на сайті, який працює на HTTP-протоколі, то все це може бути викрадено третіми особами. З допомогою певних маніпуляцій вони зможуть втрутитися в процес обміну інформацією між вами і веб-ресурсами, після чого зробити все, що їм захочеться.
Мова йде не тільки про просте викрадення інформації. У деяких випадках хакерські атаки можуть завдати значно більшої шкоди. Наприклад, хакери можуть заразити вірусами ваші пристрої і вивести їх з ладу. Те ж стосується серверів і сховищ особистої інформації користувачів.
Щоб вам було зрозуміліше, я наведу простий приклад. Уявіть, що є якийсь банк, сайти та сервери якого працюють на простому HTTP-протоколі без використання захисту, антивірусного ПЗ або брандмауера. Такий банк відразу потрапляє в поле зору зловмисників, і це означає, що є ризик злому та втрати всіх коштів на рахунках.
На цих рахунках зберігаються кошти не тільки банку, але і простих клієнтів, які звернулися в цю організацію з різних причин. Хтось хотів покласти свій капітал під відсоток, інші просто взяли кредит і зараз виплачують його, треті користуються виключно дебетовою карткою і розплачуються їй у магазинах.
В один момент зловмисники зламують банк, і всі ці люди відразу втрачають всі засоби. Банк не зможе виплатити їм гроші, тому що у нього самого їх не залишилося.
Тобто одна проста вразливість може призвести до справжньої катастрофи. Навіть така дрібниця, як протокол передачі даних, що може впливати на дуже багато речей. Те ж стосується й інших сфер. Простий HTTP-протокол піддає ризику веб-ресурси, які його використовують. Захищений варіант допомагає уникнути всіх цих проблем.
Різниця між HTTP і HTTPS
Найголовніший плюс HTTP-з’єднання – його зашифрованность. Вся інформація передається в зашифрованому вигляді, і розкрити ці відомості можуть тільки учасники обміну. Тобто якщо обмін даними за допомогою захищеного з’єднання йде між користувачем і веб-ресурсом, то вся інформація буде мати зашифрований вид. Якщо якесь третя особа захоче побачити ці відомості, воно ніяк не зможе отримати їх у початковому вигляді.
Для шифрування інформації використовуються спеціальні ключі. Вони передаються від одного до іншого учасника обміну, і третя особа ніяк не може отримати доступ до цих ключів. Вся ця технологія математично обґрунтована, але розкривати її в подробицях не має сенсу. Головне, зрозуміти, що при використанні HTTPS всі дані передаються в захищеному вигляді.
Захищений тип з’єднання використовується не тільки при роботі з сайтами. Зараз дуже багато сервіси використовують різні варіанти шифрування, позбавляючи можливості зловмисників як отримати доступ. Сама технологія шифрування даних має назву TLS. Про неї ви можете почитати детальніше на Вікіпедії.
Для використання захищеного протоколу ви повинні встановити спеціальний SSL-сертифікат. Такі сертифікати лунають певними центрами сертифікації, які повинні перевірити ваш ресурс на відповідність усім вимогам, після чого дати доступ до використання сертифіката. Кожен сертифікат має певний термін служби.
Якщо цей термін спливає, то на сайті більш не буде доступний по захищеному протоколу. При спробі з’єднання браузер видасть попередження, що даний сайт небезпечний, і його сертифікат минув.
SSL-сертифікат можна отримати у самих різних компаній. Причому їх існує кілька видів. Кожен вид визначає певний рівень захищеності протоколу. Тобто початковий вигляд SSL можуть отримати практично будь-які сайти. Для отримання додаткових варіантів доведеться проходити кілька етапів перевірок.
Під час цих перевірок весь сайт буде проаналізовано, також буде перевірена вся інформація, яка є на сайті. Вона має бути достовірною, законною і т. д.
Тобто захищений протокол, крім простого шифрування даних, може виступати в ролі визначення надійності. У ненадійних ресурсів немає сертифіката. Вони просто не будуть її отримувати з тієї простої причини, що їм нема чого це робити. Якщо сайт хоче викрадати інформацію про користувачів (їх паролі та інші особисті дані), то установка сертифіката зробить цей процес неможливим.
Тому наявність у ресурсу HTTPS-з’єднання і зеленого замочка може говорити про надійність. Принаймні, ресурс з SSL не зможе так просто перехопити вашу інформацію. Вона буде зашифрована навіть для власників сайту.
Але не завжди, тому що початковий сертифікат може отримати будь-який проект. Так, власник сайту SSL не зможе відкрито викрадати ваші дані. Але нічого не заважає йому давати вам брехливу інформацію або розвести вас на гроші. На жаль, таке теж можливо.
Розглянемо види SSL-сертифікатів.
- Початковий рівень (DV).
Цей вид сертифіката може отримати практично будь-який сайт без зайвих перевірок. Для підключення достатньо підтвердити, що сайт належить вам. Це робиться за допомогою записів DNS, завантаження файлів в корінь сайту або якихось альтернативних способів. Ніяких перевірок сайту на віруси або достовірність інформації.
Саме з таким сертифікатом можна зустріти сайти найбільш часто. Він дешевий, його можна встановити буквально за кілька хвилин. У деяких випадках цей сертифікат використовується на ресурсах великих компаній, однак частіше вони замовляють установку більш просунутих версій SSL.
- Бізнес-рівень (OV).
Сертифікати цього рівня отримати набагато складніше. Як мінімум потрібно довести, що організація (бізнес або компанія), на домен якої встановлюється SSL, існує. Крім цього, потрібно довести, що домен належить саме цій організації. Після цього можна буде розраховувати на бізнес-рівень SSL.
Сертифікатами бізнес-рівня можна довіряти більше. Не кожен пройдисвіт зможе його отримати. Також такий SSL не зможуть отримати шахраї, тому що для цього їм доведеться створювати і реєструвати компанію. Причому на реальні дані. Хто із зловмисників захоче себе видавати? Думаю, ніхто.
Саме тому бізнес-сертифікати можуть говорити про більш високому класі надійності ресурсу, на якому вони встановлені. До речі кажучи, установка даного сертифікату обійдеться у велику суму, ніж у випадку з початковим. Однак різниця в ціні не така істотна.
- Розширений (EV).
Самий останній і максимальний з точки зору захисту SSL-сертифікат, який відрізняється не тільки дуже складною і тривалою перевіркою, але і спеціальної особливістю, яка буде виділяти ваш ресурс на тлі інших. Я кажу про префіксі, який буде видно прямо в браузері.
Цей префікс (як правило, назва компанії) буде говорити вашим клієнтам про статусності сайту. Далеко не кожен ресурс в інтернеті володіє таким сертифікатом, він дуже дорогий і складний у отриманні.
Важливою особливістю розширеного виду сертифікації є обмеження для фізичних осіб. Фізична особа не може одержати сертифікат такого типу для свого ресурсу, йому доведеться реєструвати юридичну. Це обумовлено тією ж безпекою. Якщо сайт буде мати сертифікат, підтверджений і пов’язаний з юридичною особою, то ймовірність будь-якого шахрайства, махінацій або чогось ще мінімальна. Якщо ви зайдете на сайт якоїсь великої компанії, то в рядку пошуку можна буде побачити повну назву цієї компанії. Такий жест буде свідчити про те, що ви перейшли на справжній офіційний ресурс, а не який-небудь фейковий.
Ще однією фішкою, яка відрізняє розширений тип сертифікації від двох інших, можна вважати деяку індивідуальність. Наприклад, якщо ви будете сертифікувати якийсь домен з допомогою перших двох типів, то все піддомени автоматично теж отримають сертифікат. До них доступ через захищений протокол HTTPS, і ніяких проблем з цим виникнути не повинно.
Однак у випадку з розширеним SSL сертифікатом вам доведеться обламатися. Він видається тільки для одного домену, і всі піддомени, які далі будуть створюватися на його базі, не зможуть використовувати цей сертифікат. Тобто для них доведеться реєструвати окремі. Найчастіше не розширені, тому що необхідність у цьому відпадає. Та й хто захоче платити великі гроші за реєстрацію фактично одного і того ж домену.
В іншому ж розширений тип SSL являє собою все те ж, що й інші. Шифрування всіх даних за допомогою новітніх технологій, підтримка доменів на латиниці і кирилиці і т. д.
Сертифікати бувають платні та безкоштовні. Платні різняться в ціні, все залежить від центру сертифікації і рівня SSL. Безкоштовні працюють на базі let’s Encrypt – опенсорсной технології, яка просуває ідеї відкритості коду та безкоштовні сертифікати початкового рівня. Їх дуже легко отримати, зараз цю можливість має велику кількість хостингів і реєстраторів.
Також безкоштовний SSL від let’s Encrypt можна отримати у посередників. Там вам доведеться самостійно додавати домен, підтверджувати своє володіння їм і отримувати ключі сертифіката. Потім ці ключі можна буде використовувати при установці на хостинг або на сайті реєстратора.
Більш докладно про те, як встановити та налаштувати SSL-сертифікат на своєму сайті я розповідав в окремій статті. Рекомендую перейти за посиланням і ознайомитися.
HTTPS і пошукова оптимізація
Тепер ми дійшли до моменту, коли я розповім, чому використання захищеного з’єднання строго обов’язково для всіх вебмайстрів. Не так важливо, якого типу ваш сайт: простий блог або цілий інтернет-магазин. Якщо ви просуваєте його через пошукові системи, то відсутність сертифікату буде просто колосально величезним недоліком.
Ні для кого не секрет, що зараз пошуковики прагнуть покращувати якість своєї роботи. Вони постійно вдосконалюють алгоритми, прагнуть враховувати поведінкові фактори, роблячи цей показник чи не найважливішим, постійно змінюють власні напрацювання та правила. Все це відбилося і на темі з зашифрованим протоколом. Якщо раніше в офіційних документах пошукових систем говорилося, що наявність або відсутність SSL на сайті ніяк не впливає на ранжирування, то тепер все кардинально змінилося.
Так, прямого впливу тут немає і зараз, проте інші нововведення опосередковано можуть впливати на позиції ресурсу в пошукових системах. Зараз в браузерах, так і в самій пошуковій видачі можна все частіше зустріти формулювання “Ненадійний сайт”. Цю мітку отримують ті ресурси, які досі працюють на HTTP.
Самі співробітники з ПС пояснюють це дуже просто: користувачі повинні знати, що їх інформація може бути викрадена. Позначаються такі проекти не тільки браузерами і пошукачами, але й антивірусним ПЗ. Воно також може повідомляти користувачу, що сайт не використовує захищене з’єднання, а це означає, що вся інформація в будь-який момент може бути викрадена.
Пошукові системи поки просто ненав’язливо попереджають користувачів. Однак як це впливає на них – велике питання. Уявіть, що ви ввели в рядок пошуку якийсь запит, і вам в результатах вилетіло кілька ресурсів. У першого ресурсу відсутній SSL, і сам пошуковик повідомляє вам про його ненадійність. Чи ви Будете переходити на нього, враховуючи, що далі йдуть результати без цих позначок. Краще вже нічим не ризикувати і відразу перейти до нормального ресурсу з захищеним типом з’єднання, ніж минаючи всі попередження, заходити на підозрілий сайт.
Приблизно так буде міркувати левова частка користувачів, яка буде бачити ресурс з відповідною позначкою в результатах пошуку. До речі кажучи, якщо на цей ресурс ніхто не буде заходити, то він дуже швидко вилетить з топа. Його місце займуть проекти з хорошою оптимізацією, нормальними поведінковими факторами, і що найголовніше, проекти без будь-яких позначок про ненадійність. Хоч ПС і кажуть, що прямого впливу на ранжування SSL не дає, але ніхто не виключає непрямого.
Саме тому всі SEO-фахівці зараз терміново рекомендують встановлювати SSL. Тим більше, що це можна зробити буквально в пару кліків і абсолютно безкоштовно. На багатьох відомих хостингах дана функція вже встановлена, тому якщо ви тримаєте свій сайт, і у нього ще немає SSL-сертифіката, то я раджу вам встановити.
Висновок
Я сподіваюся, що тепер ви розумієте, в чому різниця між HTTP і HTTPS. У цій статті я намагався детально розкрити дану тему і розповісти вам про всі нюанси, які можуть бути з нею пов’язані. Все досить просто: використання захищеного з’єднання практично обов’язково для всіх сайтів.
Дані ваших користувачів повинні бути в безпеці, тому будь-які зволікання в цьому відношенні неприпустимі. Тим більше що самі ПС почали боротися з ресурсами, у яких ще немає SSL. Прямий боротьби немає, але ефект від цього все одно присутній.
Якщо ви вебмайстер і хочете більше дізнатися про заробіток на сайтах, то я раджу звернути увагу на курс для вебмайстрів від Василя Блінова. У цьому навчальному матеріалі зібрано величезну кількість корисної інформації про створення власного ресурсу під монетизацію.
Це уроки про розробку сайту на WordPress, монетизацію за допомогою партнерок, контекстної реклами, тізерних та банерних мереж, пошукову оптимізацію і т. д. Всі уроки ви будете проходити поетапно, після кожного пройденого уроку покладено закріплює домашнє завдання. Всю детальну інформацію ви знайдете за посиланням вище.