№25 (10-03-2016). 6 причин перейти с HTTP на HTTPS

Когда вы вбиваете в адресной строке URL сайта, устанавливается соединение с физическим сервером, откуда скачивается информация. Процесс соединения и скачивания данных управляется командами протокола HTTP: ваш браузер отправляет простые запросы («ДАЙ ДОКУМЕНТ, НАХОДЯЩИЙСЯ НА СТРАНИЦЕ HTTP://YOURSITE.RU»), а сервер отправляет браузеру данные. На практическом уровне отличие HTTP от HTTPS в том, что все запросы и ответы в рамках протокола HTTP отправляются простым незашифрованным текстом, а по HTTPS — внутри зашифрованного соединения и в зашифрованной форме.


Это значит, например, что не нужно особого ума, чтобы воспользоваться программой-сниффером трафика и перехватить ВСЕ, что вы отправляете по HTTP. Сидящей в той же Wi-Fi-сети деятель будет знать все о том, куда вы сходили, какие запросы отправили, какие пароли и логины ввели, что положили в корзину. Более того, он даже может подменить получаемую вами информацию на что угодно другое. Как вы понимаете, это не такая большая проблема, если вы заходите на сайт «РБК» и читаете новости, никуда не логинясь. Но все становится гораздо серьезнее, если вы (или посетители вашего сайта) вводят какую-то персональную информацию. Под защитой HTTPS-соединения ее украсть невозможно, а простой текстовый HTTP полностью открыт для злоумышленника.

Мы не будем вдаваться в технические детали протоколов шифрования TLS/SSL — это дело админов. Если вы хотите разобраться в технологии, стоит начать с поста в блоге «Яндекса». Наша цель — рассказать вам о том, какие преимущества вы получите от перевода сайта под защиту HTTPS.

Причина №1: вы обезопасите посетителей вашего сайта от воровства паролей и конфиденциальной информации
Обмен по HTTP идет обычным текстом, кто угодно может перехватить эти сообщения. Там будут написаны и логин, и пароль, и переданы куки авторизации, и в весь текст сообщений отправленных форм и т.п. HTTPS решает эту проблему: перехватить трафик и расшифровать его нельзя.

Причина №2: вы предотвратите добавленияе сторонней рекламы на ваш сайт и подмену контента
Пользователи Wi-Fi в московском метро и многих других точках открытого доступа уже испытали на себе пренеприятнейшую особенность HTTP: поскольку страницы передаются в открытом виде, можно взять и изменить их. И вставить свой баннер, рекламу, совершенно другой контент — да что угодно! Именно так появляются выезжающие шторки и блокеры с рекламой на HTTP-сайтах в метро. 


Реклама Samsung на сайте appleinsider.ru, которую владельцы appleinsider.ru не устанавливали

Но большинству пользователей это невдомек: они уверены, что это реклама на сайте. Постоянные пользователи догадываются, что это чудит именно интернет-провайдер, но все равно механизм остается загадкой. А вот HTTPS-сайты можно просматривать в метро смело: никакой левой рекламы на них не появится. Если вы хотите защитить свой сайт от подмены и модификации контента, то HTTPS — единственный способ.

Причина №3: вы дадите поисковикам позитивный сигнал для поискового ранжирования вашего сайта
Еще в 2014 году Google официально объявил, что защищенные сайты получат «плюсики в карму» при ранжировании.


Безусловно, это до сих пор далеко не самый важный фактор, но мы считаем, что его значимость будет расти. Причем не только для Google, но и для «Яндекса». В пользу этого говорит то, что даже чисто контентные сайты обзаводятся возможностями типа личного кабинета, каких-то персональных настроек и сервисов. А уж с коммерческими сайтами вопрос вообще практически решен: практически на каждом есть обмен более или менее конфиденциальной информацией с посетителями.

Причина №4: посетители вашего сайта будут видеть красивый значок зеленого замочка в адресной строке браузера
Даже если люди не знают, что означает этот символ, мозг обрабатывает информацию в фоновом режиме. Даже не обращая на значок внимания, пользователи понимают, что зеленый замочек есть на лучших сайтах: на «Яндексе», во всех онлайн-банках, социальных сетях и т.п. 


Мы не проводили психологических исследований, но вполне логично предположить, что доверие к сайтам, защищенным HTTPS, выше. Внимание! Обязательно позаботьтесь о своевременных продлениях сертификата, поскольку перечеркнутым красным крестом замочек может сильно подмочить доверие посетителей.

Причина №5: вы будете готовы к моменту, когда HTTPS станет обязательным для поискового продвижения
Внедрение HTTPS на сложных проектах может быть достаточно головоломным для администраторов и программистов процессом (хотя в самых простых случаях работы всего на час-два). Чтобы заранее подготовиться к внезапному объявлению поисковиков о росте значимости веса фактора шифрования в ранжировании, можно заранее озаботиться получением сертификата и настройкой вашего сайта.

Причина №6: вы сможете использовать пуш-уведомления и другие возможности service workers
Новомодные пуш-уведомления, которые могут оповещать посетителей вашего сайта о новых статьях, новостях, скидках и акциях (причем даже если они уже давно не заходили на ваш сайт!), работают на основе специального механизма service workers, а этот код может загружаться и работать только по HTTPS. 


Хотите пуш-уведомления или другие крутые фишки сервис-воркеров — закрывайте сайт HTTPS либо целиком (предпочтительно), либо какой-то поддомен. Обходные варианты есть, но не слишком удобны и требуют лишних телодвижений от посетителей, что снижает количество подписок.

Вывод
Мы настоятельно рекомендуем вам перейти на HTTPS — особенно если на вашем сайте есть личный кабинет или что-то подобное. Сейчас сертификаты стоят недорого (цены reg.ru: обычный — около 1000 рублей в год, с крутым зеленым выделением названия сайта в адресной строке — от 10000 рублей в год), а мощность серверов стала такой, что потери на шифрование абсолютно не важны. Плюсы на порядки весомее.

Версия для печати

Вернуться ко всем статьям

Заказ обратного звонка
Есть, что сказать?
Подписаться на рассылку