Как на своем сайте сделать защищенный протокол https

Содержание

Переход сайта на защищенный протокол https

Часто ли у посетителей Вашего сайта (интернет-магазина, любых других сайтов с системами оплаты или другим видом обработки персональных данных) возникают сомнения: можно ли доверять данному ресурсу?

В далеком 1994 году ребята из Netscape Communications позаботились об особо подозрительных пользователях всемирной сети и придумали волшебную штуку — HTTPS.

Что такое HTTPS?

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, для поддержки шифрования в целях защиты и повышения уровня безопасности персональных данных пользователей. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.

Да-да, довольно сложно и не очень понятно. .

Если говорить более простым языком, протокол шифрует важные данные, вводимые пользователем на сайте (например, данные паспорта, номер карты и т.д), а далее эта информация передается по открытым канал (интернет-провайдер, хосты) и поступает на нужный сервис.

Как установить ssl-сертификат на сайт, переадресация с http на безопасный https, зелёный замок

Например, пользователь Сбербанк.Онлайн отправил данные в текстовом формате (текст “123”) через сайт с https. К этим данным на сервере отправителя (. ) прикрепляется ключ, шифрующий введенные данные. Таким образом, отправленные данные невозможно перехватить с помощью сторонних программ.

Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. Именно эти протоколы поддерживают зашифрованное соединение между сервером и браузером пользователя.

Что думают поисковики об https?

Гугл однозначно за шифрование трафика. И в обновленной 56 версии Google Chrome сайты уже помечены как надежный (на https) и ненадежный (на http):

При этом справедливо отметить, что переход на безопасный протокол — далеко не первостепенный фактор ранжирования. Однако нет сомнений, что в дальнейшем вес https будет только расти.

Что касается Яндекса — официальной информации по этому поводу нет, но при этом все сервисы компании уже перешли на защищенный протокол.

Очевидно, что на данный момент переход на безопасный протокол не сдвинет Ваш сайт в выдаче на ряд позиций вверх и что с точки зрения ранжирования это скорее работа на перспективу. Однако нужно понимать, что главное преимущество протокола https — безопасность данных ваших посетителей. Поэтому для повышения доверия к вашему сайту и компании в целом переход на безопасный протокол будет крайне полезен.

3 этапа перехода сайта с http на https

Шаг 1: cертификат безопасности SSL

Приобрести и настроить сертификат безопасности (SSL), выданный удостоверяющим центром

SSL (Secure Socket Layer) — сертификат, это индивидуальная цифровая подпись вашего домена. Вы можете выбрать любой из 5 видов сертификата безопасности:

Самоподписанный

Из названия понятно, что его может создать любой пользователь на домен или IP адрес, т.е. подтверждения от удостоверяющего центра здесь нет, выдает и подписывает сам пользователь.

  • бесплатный;
  • можно создать неограниченное количество раз;
  • при переходе будет уведомление, не является подлинным
  • имеет короткий срок службы;
  • некоторые браузеры могут не поддерживать и страница не будет открываться;
  • не распространяется на поддомены;
  • не поддерживает URL на кирилице.

Domain Validation (Валидация по домену)

Один из самых распространенных сертификатов начального уровня.

  • готовность в течении пары часов
  • подходит для большинства сайтов
  • распространенный, легко доступен
  • невысокая стоимость
  • выдается на один домен (при смене придется покупать еще раз)
  • действует от года до 3 лет
  • минимум личных данных на сайте
  • не поддерживает URL на кирилице

Organization Validated (Валидация по организации)

Бизнес уровень, более защищенный, сертификат является универсальным и чаще всего им пользуются интернет-магазины, сайты услуг, порталы. Выдается исключительно юридическим лицам, при оформлении происходит проверка домена и организации.

  • высокий уровень защиты
  • срок выдачи от 3 до 10 раб дней
  • стоимость дороже

Extended Validation или EV SSL (Расширенная валидация)

Сертификаты высокого статуса для средних и крупных компаний его используют банки, платежные системы, крупные сервисы, госструктуры т.д

  • среди SSL-сертификатов самый высокий класс защиты
  • прибавляется вес и авторитетность ресурса
  • высокая стоимость

Wildcsrd (поддомен)

Надстройка для сертификатов, защита всех прямых поддоменов указываемых при заказе домена

Как установить сайт на флешку

Шаг 2: настройка данных в системах аналитики

  • Яндекс.Вебмастер. Необходимо переписать robots.txt на старом домене с указанием новой директивы host и указать главное зеркало. У ведомить поисковую систему о новом протоколе.
  • Яндекс.Вебмастер — Индексирование — Переезд сайта.
  • Только после того как в Яндекс.Вебмастер появится соответствующие изменения настраиваем 301 редирект (важно только после того как появится уведомление, что сайт доступен на https настраиваем 301 редирект)
  • В Google Analytics меняем представителя с http // на https

Шаг 3: обновляем внутренние ссылки

Старые ссылки, увы, не будут работать, меняем ссылки в контенте, в стилях CSS, в скриптах, шаблонах на https. Были http//site.ru станут https//site.ru. Существует большое количество утилит, плагинов для автоматической замены старых ссылок.

На WP, например, можно воспользоваться плагином Velvet Blues Update URLs

Обновляем изображения (при необходимости). Рекомендуем прописывать и ссылки и путь к изображениям без указания домена, а в формате /uplods/photo/sertifikat https)

Карту сайта, файл sitemap.xml . Проверяем, чтобы был указан исключительно протокол https.

Подведем итог:

Чтобы улучшить доверие пользователей и поисковых систем к вашему сайту с помощью переезда домена на https, нужно технически реализовать 3 вещи:

  1. Получить и настроить сертификат безопасности (SSL), подходящий вашему сайту.
  2. Дать понять поисковым системам что ваш сайт изменил адрес (переехал с http на https).
  3. Произвести внутреннюю оптимизацию сайта с учетом нового доменного имени.

Столкнулись с трудностями при переезде с http на https? Или хотите их избежать? Закажите у нас seo-аудит и мы поможем Вам со сменой домена.
Получить предложение!

Подпишись и следи за выходом новых статей в нашем монстрограмме.

Источник

Как сделать свой сайт надежным: переход на https и виды ssl-сертификатов

Обложка для статьи: Как сделать свой сайт надежным: переход на https и виды ssl-сертификатов

С ростом кибер-преступлений владельцам веб-сайтов крайне важно знать, как предоставить своим клиентам безопасное соединение. Кроме того, Google обещает к июлю 2018 года помечать все сайты, которые работают по протоколу HTTP, как “Незащищенные”. Чтобы пополнить ряды “Надежных” веб-сайтов, необходимо установить SSL-сертификат на свой сайт или интернет-магазин. Но прежде нужно разобраться в том, что такое SSL-сертификат, какие бывают виды сертификатов безопасности, в чем их отличие и как перевести свой сайт на HTTPS.

В этой статье мы расскажем о том, что такое SSL-сертификат, какие бывают сертификаты безопасности, и какие у них отличия и особенности.

Что такое SSL-сертификат?

Мы уже рассказывали о SSL-сертификатах и том, что переход на https сегодня скорее необходимость. SSL-сертификаты позволяют предоставить безопасное соединение между сайтом и пользователем. Соединение по протоколу https защищает конфиденциальные данные, такие как данные о транзакциях, номера пластиковых карт или данные для авторизации, которыми пользователи обмениваются в ходе каждой сессии.

Таким образом, SSL-сертификат позволяет использовать протокол https, который гарантирует, что информация останется конфиденциальной, а онлайн-транзакции — под защитой.

Как работает SSL-сертификат?

pic_work_ssl.jpg

SSL-сертификат использует криптографию с открытым и закрытым ключом. Ключи представляют из себя длинные последовательностями случайных чисел. Открытый ключ известен вашему серверу и используется для шифрования любого сообщения. Закрытый же ключ используется для дешифровки сообщения.

Сказано — показано.

Если Маша отправит сообщение Тане, она зашифрует его открытым ключом Тани, а единственным способом прочитать сообщение является дешифровка сообщения с помощью закрытого ключа Тани. Таким образом, Таня — единственная, у кого есть закрытый ключ, поэтому она сможет расшифровать сообщение Маши.

Если третье лицо перехватывает сообщение до того, как Таня его расшифрует, все, что получит злоумышленник, — абракадабру, которую нельзя будет взломать даже с помощью специальных программ. Если перевести пример на веб-сайт, то передача сообщений от Маши к Тане — взаимодействие веб-сайта и веб-сервера.

Зачем нужен SSL-сертификат?

SSL-сертификат защищает вашу конфиденциальную информацию, такую ​​как данные кредитной карты, имена пользователей и пароли. А также:

Изменяется статус ресурса в строке браузера, что повышает доверие пользователей

Увеличивается вероятность конверсии, так как пользователи уверены, что данные их карт не будут переданы третьим лицам

Google увеличивает позиции сайта или интернет-магазина в поисковой выдаче

Сертификат безопасности позволит вашему сайту или интернет-магазину предоставить вашим посетителям защищенное соединение, а также уверенность в том, что данные их кредитных карт и другие персональные данные не будут скомпрометированы. Кроме того, в блоге Google Chrome появилась новость о том, что к июлю 2018 года, с выходом Google Chrome версии 68, все сайты, которые работают по протоколу HTTP будут отмечаться как ненадежные (“Не защищено” в российском варианте)

chrome.png

pic_protection.jpg

Существует множество различных типов SSL-сертификатов, основанных на количестве принадлежащих им доменов и поддоменов, таких как:

Стандартный SSL-сертификат (Single Domain) — сертификат, который создается для защиты одного уникального домена или поддомена. При условии, что на сайте есть поддомены, которые тоже необходимо защитить шифрованием — такой SSL-сертификат не подойдет. Во всех остальных случаях, для защиты одного уникального доменного имени прекрасно справляется обычный SSL-сертификат.

Пример корректной работы Стандартного SSL-сертификата:

Пример, при котором возникает ошибка и Стандартный SSL-сертификат не работает:

Вайлкард SSL-сертификат (Wildcard SSL)

WildCard SSL — сертификат безопасности, который сохранит вам деньги и время, так как он предоставляет защищенное соединение для основного домена и неограниченного количества поддоменов сайта. И нужно учитывать, что это все — один сертификат. Wildcard SSL работает по такому же принципу, что и обычный SSL-сертификат, позволяя вам предоставлять пользователям защищенное соединение между вашим сайтом и браузером вашего клиента. Отличие лишь в том, что один вайлдкард SSL покрывает все поддомены основного домена сайта. Для примера рассмотрим внедрение wildcard SSL на поддомены сайта *.example.ru:

Как подать на алименты через сайт фссп

Если на вашем сайте большое количество поддоменов, то вы можете сэкономить значительную сумму денег, установив wildcard SSL-сертификат.

Сертификат на несколько доменов (Multi-Domain SSL) — такой сертификат защищает несколько доменных имен. Один мультидоменный SSL-сертификат может предоставить защищенное соединение для 100 уникальных доменных имен, в том числе поддомены.

Google стимулирует сайты и интернет-магазины делать интернет безопаснее для рядовых пользователей. Чтобы пополнить ряды “Надежных” сайтов, перейти на HTTPS, повысить позиции вашего ресурса в поисковых системах, необходимо купить SSL-сертификат с установкой на вашем сайте.

Источник

Защищенный протокол HTTPS — Что это и почему вам нужно его использовать?

Защищенный протокол HTTPS — Что это и почему вам нужно его использовать? изображение поста

Ваш ресурс до сих пор работает на незащищенном соединении http? В самое ближайшее время вам все-таки придется перейти на защищенный протокол HTTPS. Разумеется, если вам не безразлична посещаемость интернет-ресурса, его «привлекательность» для поисковых роботов и так далее.

Чем отличается http от https?

Давайте представим ситуацию, что вы заказали на Aliexpress в Китае брелок для ключей или зубную щетку. Все это стоит копейки, и вряд ли кто-то захочет украсть такие мелочи из бандероли. Обычное почтовое отправление и есть HTTP.

Теперь представим, что вам нужно выслать бизнес-партнеру контракт о сотрудничестве стоимостью в 200 000 долларов. На такой кейс хочется повесить 3 замка и доставить его самой лучшей, самой надежной службой доставки. Это и есть HTTPS.

Небольшой замок в левой части строки указывает на то, что на ресурсе используется защищенное соединение – протокол https. Простыми словами, это оболочка, шифрующая информацию при ее передаче к серверу и обратно. Вот и ответ на вопрос, зачем нужен https. Протокол предупреждает утечку информации, все данные шифруются по особому криптографическому протоколу.

Защищенный протокол HTTPS - Что это и почему вам нужно его использовать?

Есть ли у HTTPS недостатки?

Когда пользователь видит, что шифрование осуществляется по протоколу HTTPS, доверие к такому ресурсу растет. Это особенно важно в бизнесе. Конечно, не все разбираются в значении буквы S в URL веб-странички. Но тех, кто «в теме», она точно расположит к себе.

Помимо защиты от хакеров и утечки ценных данных, есть еще один положительный момент использования защищенного соединения. Такие сайты гораздо лучше ранжируются поисковыми системами, особенно Гуглом. Однако не обошлось и без минусов:

  1. Шифрование требует дополнительной траты ресурсов. В результате, замедляется работа сервера. И если его качество оставляет желать лучшего, не исключены «подтормаживания».
  2. Хорошие сертификаты безопасности стоят денег, и за них придется платить регулярно.

Впрочем, оба минуса с лихвой компенсируются вполне очевидными плюсами использования шифрования. Планируете принимать платежи? Нацелены на обработку персональной информации? Тогда вам точно стоит перейти на HTTPS.

Зачем необходим цифровой сертификат?

Аналогия с посылками была простой и понятной, не так ли? Хорошо, но что делать, если в соединение неожиданно вклинится третье лицо? Оно может отправить «посылку» под чужим именем, что повлечет за собой дешифровку системы.

Специально для этих целей был придуман цифровой сертификат или электронный паспорт. Это специальный документ, в котором прописана вся нужная информация о сайте. Подделать цифровой сертификат злоумышленник не сможет, так как не знает ключей базы данных. Это существенно повышает безопасность использования веб-ресурса.

Защищенный протокол HTTPS - Что это и почему вам нужно его использовать?

Сферы применения протокола HTTPS

Мы с вами выяснили, что такое протокол https, для каких целей он предназначен. С каждым годом число сайтов, которые переходят на защищенное соединение, продолжает расти. Зайдя на такой ресурс, доверие потенциального клиента растет. Гарантия сохранности данных особенно востребована в таких отраслях, как:

  • Финансы и экономика. Любой интернет-банкинг работает на HTTPS протоколе. Свои сайты на него перевели практически все финансовые учреждения.
  • Персональная безопасность. Оперирующие личной информацией веб-ресурсы также осуществили переход на https. К ним относятся социальные сети, поисковики, государственные учреждения.
  • Порталы, которые используют «зеленую адресную строку», чтобы подчеркнуть свой статус.

Как получить SSL сертификат?

Существует несколько разновидностей SSL сертификатов. Они могут поддерживать поддомены, некоторые требуют подтверждения юрлица. Стоимость варьируется от 2 до 5 тысяч, очень приличный разброс цен.

Как быстро получить SSL сертификат? Сделать это можно платно и бесплатно. Во втором случае можно получить бесплатный SSL у Beget. Иногда сертификат предоставляет хостер. В вашем случае лучше остановить свой выбор на Domain Validation или сертификате начального уровня DV.

Защищенный протокол HTTPS - Что это и почему вам нужно его использовать?

Распространенные мифы о SSL

Прежде чем перейти к описанию процесса перехода на HTTPS, нам хотелось бы развенчать несколько популярных мифов о сертификатах SSL.

  1. Вам понадобится выделенный IP-адрес. Это не так, доплачивать деньги за статический IP адрес не придется.
  2. После установки сертификата SSL обнуляется тИЦ. Данная информация далека от действительности. Если сайт был оптимизирован правильно после перехода на HTTPS, вы вовремя сообщили Яндексу свое новое зеркало, уже после первого перехода прежний тИЦ будет восстановлен.
  3. SSL нужен только коммерческим сайтам. Снова мимо! Многие браузеры давно отмечают небезопасные сайты красными флагами. Фильтры Google и Яндекс «от небезопасных сайтов» уже давно не кажутся выдумкой.

Как подготовиться к переносу сайта?

Подготовка к переносу сводится к установке сертификата SSL. После этого необходимо вбить адрес сайта в адресной строке, но вместо http прописать https.

  • Сайт успешно загрузился? Отлично – можно переходить к другим настройкам.
  • Веб-ресурс не открылся? Рекомендуем подождать 10-15 минут и снова выполнить проверку. Не помогло? Проверьте правильность установки сертификата и повторите попытку.
  • В строке все равно открывается http-версия? Нужно удалить правила для редиректа из плагинов, htaccess и functions.php.
Как добавить вкладку на рабочий стол Яндекс Браузер

Рассмотрим перечисленные выше пункты в деталях.

Как перевести сайт на https?

Перевод сайта WordPress на защищенный протокол HTTPS начинается с того, что вы открываете Настройки – Общие и прописываете новый адрес уже с HTTPS. Бывает, что сайт перестал открываться. В этом случае нужно открыть wp-config.php и вписать туда такой код:

В поисках поломки можно отключить плагины, убрать код из wp-config.php. Иногда помогает смена установленной темы на стандартную.

Защищенный протокол HTTPS - Что это и почему вам нужно его использовать?

Как быстро изменить адрес веб-сайта в каждой статье?

В вордпрессе ручной редирект на https каждой статьи – занятие долгое и неблагодарное. Однако эту задачу можно упростить, используя Search-replace.

  • Прежде чем приступить к переадресации https redirect на сайте WordPress, стоит сделать бекап.
  • В поле Replace вбейте адрес сайта с HTTP, а в поле With – новый адрес уже с HTTPS.
  • Нажмите Dry Run.
  • Убедитесь, что все работает.
  • Нажмите Live Run и проверьте ссылки в статьях.

Как организовать грамотный редирект с HTTP на HTTPS?

Эксперты рекомендуют не спешить с редиректом. Если вам нужен https для сайта, Yandex советует дождаться склейки доменов. И уже потом можно настраивать редирект.

В начале файла .htaccess пропишите следующий код:

В отдельных случаях перевести сайт на WordPress https не получается. Тогда вам поможет код:

Есть и второй вариант – использовать PHP:

if ( 0 === strpos($_SERVER[‘REQUEST_URI’], ‘http’) )

wp_redirect( set_url_scheme( $_SERVER[‘REQUEST_URI’], ‘https’ ), 301 );

wp_redirect( ‘https://’ . $_SERVER[‘HTTP_HOST’] . $_SERVER[‘REQUEST_URI’], 301 );

Рекомендуется разместить код в плагине или директории mu-plugins, а также в functions.php темы. Это подстраховка на случай смены темы – вы не потеряете свои редиректы.

И первый, и второй варианты имеют право на существование. Но мы советуем отдать предпочтение первому способу. Тогда все запросы будет обрабатывать сервер, а не PHP.

Как перейти на HTTPS с помощью плагина?

Нужно перейти на https – зачем изобретать велосипед? Существуют уже готовые решения в виде плагинов, которые позволяют установить сертификат SSL и корректно настроить защищенное соединение. В качестве примера будем использовать Really Simple SSL. Вам не нужно разбираться, как работает https протокол, какой код использовать и так далее.

  • Установите плагин Really Simple SSL и активируйте его.
  • На экране появится сообщение с предложением изменить хардкорные ссылки с HTTP на HTTPS. Сделать это можно с помощью PHP скрипта Search Replace DB. Саму настройку можно отложить на потом, а пока заняться активацией плагина.
  • Нажмите кнопку с надписью Go ahead – она активирует соединение HTTPS.
  • Плагин устанавливает новую серверную переменную, автоматически меняет адрес сайта. То есть, все то, что мы делали «ручками», он выполняет в автоматическом режиме. Без копания в коде и прочих нюансов.
  • Таким образом, для перевода Вордпресс сайта на новый защищенный протокол нам с вами понадобилось сделать всего несколько кликов мыши.

Защищенный протокол HTTPS - Что это и почему вам нужно его использовать?

Зачем переходить на HTTPS – мнение SEO-специалиста

  • Прописать новый адрес своего ресурса в robots.txt.
  • Указать новое зеркало, сделать его главным в панели веб-мастера.
  • Не волноваться, если после настройки wordpress с протоколом https позиции сайта просядут, а трафик снизится. Это временное явление.

В настоящий момент Google обещает отдавать предпочтение сайтам wordpress, осуществившим переход на https. Что будет дальше и как поведет себя Яндекс, покажет время.

Рекомендации Яндекса и Google по переезду

Планируя переезд WordPress на https протокол, Яндекс рекомендует:

  • Когда https установлен, настраивать сайт WordPress начинаем с его добавления в панель веб-мастера.
  • Далее производится настройка директивы Host в файле robots. Важно, чтобы robots.txt совпадал для обоих сайтов.
  • Как только оба сайта будут признаны зеркалами, рекомендуется сменить протокол. Сделать это можно прямо в вебмастере, открыв «Настройки редактирования» и перейдя в «Главное зеркало». Для определения главного зеркала придется подождать 1-2 недели.
  • Завершающим шагом станет перенаправление (редирект) со старого протокола http WordPress на новый HTTPS.

А вот как выглядят рекомендации Гугла:

  1. Обновленный веб-ресурс необходимо добавить в Search Console.
  2. Проверяем, что 301 редирект со всех страниц старого сайта идет на новый, с протоколом HTTPS.
  3. Запускаем инструмент «Изменение адреса», который находится в настройках, чтобы включить https.

Как перейти на протокол HTTPS и не потерять позиции сайта?

Правильный переезд WordPress сайта на протокол HTTPS сводится к 7 несложным шагам:

  1. Проверка страниц на корректность работы с HTTPS.
  2. Запись директивы Host в robots.
  3. Регистрация веб-сайта с протоколом https в панели Веб-мастера Yandex.
  4. Индексация сайта (требует времени).
  5. Редиректы 301.
  6. Добавление сайта в панель Веб-мастера Google.
  7. Замена старого адреса новым.

Подведем итог

Необходимость установки защищенного соединения HTTPS продиктована нынешними реалиями, в которых:

  1. Особенно остро стоит проблема конфиденциальности данных.
  2. Ежедневно в сети проводятся миллиарды денежных операций (покупка, обмен, переводы).
  3. Защищенный протокол повышает доверие к ресурсу – даже если это обычный блог, а не коммерческий портал.

Если вы начинающий пользователь и далеки от коддинга и различных IT-терминов, можно ограничиться установкой плагина. Так вы сэкономите свое время и нервы. Опытным пользователям однозначно придется по вкусу тонкая настройка. Если по мере прочтения статьи у вас возникли вопросы, вы всегда сможете задать их в комментариях. На этом все!

Источник

HTTPS для вашего сайта: без выделенного ip и покупки сертификата

В последнее время в новостном SEO-сегменте то и дело встречаются термины и словосочетания типа: «SSL», «HTTPS», «безопасное соединение», «цифровой сертификат» и т.д. В сообществах веб-мастеров участились дискуссии, чей сертификат лучше, где SSL-сертификаты дешевле и как перевести сайт на защищенный протокол https?

Как шапку сделать на весь сайт

Что происходит? И касается ли это Вас как владельца сайта?

Виновником ажиотажа является Google, уже несколько лет склоняющий вебмастеров к безопасному протоколу. Широко известны блокирующие окна в браузере Chrome, если с сертификатом сайта что-то не так.

Предупреждение в Chrome о не защищенном соединении

И если вебмастерам удавалось до сих пор избегать их, отказываясь от https протокола вообще, то теперь поисковый гигант пошел еще дальше: с 1 января 2017 года, с помощью того же браузера Chrome он намерен клеймить все сайты на небезопасном HTTP-протоколе как «небезопасные» соответствующей пометкой в поисковой строке браузера.

Эволюция значка безопасности сайта в браузере Chrome

Эволюция значка безопасности сайта в браузере Chrome

Совершенно ясно, что новых пользователей вашего сайта это будет отталкивать и сайт постепенно будет терять доверие. Не исключено также, что это не скажется на ранжировании вашего сайта, Google может впоследствии выводить соответствующие уведомления для пользователей и в поисковой выдаче. Важно знать, что Google сторонник «безопасности» и моду на нее среди сайтостроителей он продвигает уже несколько лет, поэтому целесообразно переводить свой сайт на https протокол уже сегодня, так как теоретически лишь на пометке в браузере этим дело не ограничится.

В конце концов, установка SSL сертификата для использования https — важный шаг к обеспечению безопасности Вашего сайта в Интернете.

Два слова о протоколе SSL

Протокол SSL (Secure Socket Layer) был разработан в 1996 году в компании Netscape и очень скоро стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Именно он интегрирован в большинство браузеров (посмотрите на пометку вначале адреса в браузере) и веб серверов и использует асимметричную криптосистему с открытым ключом.

Как работает защищенное SSL соединение?

Необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Сам цифровой сертификат — это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения.

Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной. В роли такой третьей стороны выступают центры сертификации. Эти центры сертификации продают SSL сертификаты разного рода надежности, защищенности, значимости и т.д.

Как узнать что web-cайт имеет SSL сертификат?

Главный признак того, что посещаемый Вами сайт имеет SSL сертификат и используется проверенное защищенное соединение, вы найдете в строке адреса в браузере:

Признак SSL сертификата на сайте

Признак SSL сертификата на сайте — зеленый замок с строке ввода адреса в браузере

Внимание следует обратить на значок в виде замочка. Замкнутый зеленый замок сигнализирует о том, что используется защищенное соединение по SSL протоколу (сайт работает по https c подписанным сертификатом третьей стороной).

HTTPS как головная боль вебмастера

Если вы начинающий или не универсальный программист, реализация замкнутого зеленого замка в строке браузера покажется Вам архисложной задачей. А именно, для реализации полноценного https протокола потребуется:

  • выделенный ip для вашего сайта (дополнительные регулярные расходы);
  • подписанный сертификат SSL (дополнительные регулярные расходы);
  • покупка и активация всего этого на вашем сайте;
  • настройка правильной работы сайта на новом https протоколе;
  • переезд сайта в поиске на новый адрес (http и https это то же что и с www и без www — два разных сайта);

Использование https на сайте также чревато некоторыми последствиями:

  • снижается быстродействие сайта (поскольку трафик между вашим сайтом и пользователем шифруется);
  • временное обнуление тИЦ, проседание позиций и частичная потеря трафика;
  • потеря всех социальных «лайков» для всех ваших страниц (поскольку изменился url);
  • недоразумения с некоторыми ссылочными биржами и рекламодателями, если вы торгуете ссылками и откручиваете рекламу;

Это в общих чертах все круги ада, но на самом деле упущено много всяких мелочей, с которыми вы будете постоянно сталкиваться при переезде на заветный зеленый замочек. Но поскольку процесс уже инициирован и вы в поисках ответа, как же все это сделать для своего сайта (чтобы не упасть в глазах Google с началом нового года), я попытаюсь вам доступно объяснить, как именно это делается и, что самое главное — ничего при этом не покупая.

Шаг 1. Бесплатный SSL сертификат

Наверняка вы уже расспрашивали у поддержки своего хостинга о возможности включения https протокола, в надежде, что это некая опция на вашем тарифном плане и один ваш тикет в поддержку расставит все точки над «i» 🙂

Все что может решить поддержка хостинга в Вашем случае, это предложить обязательный выделенный ip для Вашего сайта (на этом ip адресе будет только ваш сайт), адреса компаний, у которых Вы сможете купить SSL сертификат и помощь в его подключении (дело сводится к загрузке некоторых файлов на ваш хостинг). А между тем, всего этого можно не покупать и ограничится бесплатным SSL сертификатом! Но стоит ли экономить?

Бесплатный сертификат вам подойдет в том случае, если вы не собираете никаких сведений от пользователей, не занимаетесь торговлей в интернете и т.д. Для этих случаев, разумеется, вам подойдет только платный и дорогой SSL сертификат. Если у вас новостной блог, сайт-визитка компании или нечто в этом роде, в покупке платного SSL сертификата большой нужды нет.

Варианты бесплатных SSL сертификатов есть разные, мы же рассмотрим пример с сервисом Cloudflare (сервис CDN). Для того чтобы получить и использовать бесплатный SSL сертификат, Вам потребуется регистрация в сервисе Cloudflare и смена NS значений у своего домена (весь трафик на Ваш сайт будет проходить через их сервера, где собственно и будет установлен Ваш сертификат).

Если в двух словах, то:

    ; , следуя подсказкам системы (на определенном этапе не забываем выбрать тариф Free);
  • Меняете текущие значения у регистратора своего домена на предложенные системой NS (например, fred.ns.cloudflare.com и molly.ns.cloudflare.com);
  • Нажимаем кнопочку «Crypto», в блоке SSL выбираем (если не установлено) — Flexible;
Как добавить ссылку на страницу сайта юкоз

На этом активация бесплатного SSL сертификата для Вашего сайта закончена! Вы избавили себя от необходимости покупать выделенный ip для сайта и ежегодно оплачивать сам сертификат. Популярная в мире сеть доставки (и дистрибуции) контента под названием Cloudflare взяла на себя все обязанности по выдаче сертификата для вашего сайта, шифрованию трафика и т.д. С помощью этого же сервиса вы можете максимально ускорить работу своего сайта, безболезненно отбивать DDOS-атаки. но это уже тема для другой статьи.

Шаг 2. Переезд на https

Это самый сложный шаг, здесь будет много подводных камней, но дорогу осилит идущий.

После того, как ваш сайт полноценно заработает посредством сервиса Cloudflare (а смена NC домена может затянуться на сутки), попробуйте его открыть с новым, https протоколом:

Если ваш сайт открылся по этому адресу (на внешний «перекошенный» вид сайта можете не обращать внимания), то это признак того, что вы на правильном пути. Если открылся не ваш сайт, редирект и т.д. стоит вернутся к шагу №1.

Если Ваш сайт стал доступен по HTTPS (и зеленого замка в строке браузера вы не увидели), вам необходимо глобально на всем сайте (включая как файлы вашего сайта, так и вашу базу данных, где записаны ссылки) заменить все ссылки и адреса с http на https (применительно к ссылкам своего сайта и внешним подключениям). Это нужно сделать как для ссылок, так и для подгружаемых скриптов, стилей, картинок и т.д. И делать это нужно с осторожностью, автоматически «искать и заменить» http на https не получится, вы можете нарушить целостность скриптов и сайта в целом.

Используя «инструменты для разработчиков», которые встроены в ваш браузер, вы можете отслеживать и исправлять все незащищенные (http) подключения и исправлять их.

Не забудьте сменить все ссылки с http на https

Не забудьте сменить все внутренние ссылки и соединения с http на https

Это придется делать до тех пор, пока все красные извещения не исчезнут и в строке браузера вместо красного предупреждения не появится заветный зеленый замочек.

Используйте инструменты разработчика браузера для переезда на https

Используйте инструменты разработчика браузера для переезда на https

В зависимости от используемого вами движка и скриптов, на это может уйти много сил и времени, вплоть до того, что некоторые функции придется заменить (переписать), отказаться от некоторых плагинов, модулей и т.д.

Шаг 3. Переезд сайта на новый адрес

Если вы осилили шаг №2 и зеленый замочек появился у вас на всех страницах сайтах с приставкой https (проверить обязательно нужно все ключевые страницы), остается самый последний шаг — перенести версию вашего сайта с http на https.

Ваш сайт теперь открывается одинаково хорошо как на http и https? Поздравляю. Но это два разных сайта (два разных url) и вы должны сделать все необходимое для корректного переезда на новый основной сайт с https.

Редирект с http на https

Важный момент — редирект, все ваши ссылки должны редиректить на https. Обычно редирект прописывают в файл .htaccess. Универсального решения нет, все зависит от программного кода вашего сайта. Попробуйте один из перечисленных вариантов:

Каждый раз тестируйте работу сайта, проверяя на корректность редиректа, полноценную работу основных узлов сайта. Распространенная проблема — циклическая переадресация, браузер может отказать в открытии сайта с формулировкой «Сайт выполнил переадресацию слишком много раз».

Если ни один из вышеперечисленных кодов редиректа не помог, обратитесь к поддержке своего хостинга или к специалистам в этой сфере. Когда же на этом вопрос будет исчерпан, стоить еще раз перестраховаться — проверить ответ сервера. Сделать это можно в Яндекс.Вебмастере — Инструменты — Проверка ответа сервера.

Правильный ответ при тестировании ссылки с http:

Правильный ответ при тестировании ссылки с https:

Директива Host с https

В файле robots.txt необходимо изменить директиву Host. Поскольку теперь Ваш сайт доступен только по защищенному каналу, мы должны записать это как:

Пусть это не смущает Вас, так как в классическом варианте (с http), протокол не указывался, это выглядело как:

Переезд сайта

И завершающий этап — сообщить роботам, что вы переехали. Для Google будет достаточно правильно настроенного редиректа, а в Яндексе есть специальный раздел в Вебмастере: Настройка индексирования — Переезд сайта:

Переезд сайта на https в Яндекс.Вебмастере

Переезд сайта на https в Яндекс.Вебмастере

Необходимо поставить галочку «Добавить HTTPS» и Сохранить. Начнется процесс переноса Вашего сайта на новый адрес, он может занять от двух недель, до нескольких месяцев. Будьте готовы к временному падению тИЦ, позиций и посещаемости.

Резюме

Поскольку полноценный переезд сайта на новый протокол может занять несколько месяцев, а Google обещает снисходительно относиться к таким сайтам начиная с наступлением 2017 года, переходить на защищенное соединение нужно уже прямо сейчас!

Зеленого Вам «закрытого» замка в строке браузера! И да будет Ваш SSL сертификат всегда подписан!

Вячеслав - типичный интернетчик

Вячеслав Скоблей (ака files) — типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на WordPress, решаю многочисленные проблемы, которые до появления интернета не существовали.

Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой.

Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро.

Источник
Рейтинг
Загрузка ...