Вторая часть анализа темы https и http обещает быть более интересной, чем первая. В этой статье рассмотрю:
- мнения «за» и «против»
- отзывы вебмастеров и владельцев сайтов
- рекомендации по переходу
- результаты независимых исследований
Рекомендации понадобятся тем, кто сочтет нужным осуществить перевод собственного сайта на https с привычного «небезопасного» протокола.
Почему нужен переход на HTTPS?
Чтобы разобраться в плюсах и минусах использования протокола защищенного соединения, потребуется вникнуть в ряд технических деталей и понять важность перевода сайта на новый формат подключения с точки зрения пользователей, поисковых систем и непосредственно владельцев.
Самый основной довод, который приводят сторонник HTTPS – Google. И в этом есть определенная логика. Уже заявлено, что Гугл будет учитывать наличие безопасного протокола при ранжировании сайта в выдаче и предупреждать пользователей о «неблагонадежности» ресурса. Собственно, это мы уже имеем. И Google Chrome на компьютере, и аналогичный браузер на Android настойчиво блокируют все сайты, признаваемыми ими как «ненадежные». С этим столкнулась лично и могу предположить, что дальше будет только хуже.
Гугл Хром не хотел даже пускать меня на мой собственный сайт, утверждая, что здесь меня поджидает вредоносное ПО. Но это уже лирика.
HTTPS – это мощное оружие, бьющее по посещаемости сайта. Тем более что скоро даже самый неумелый «чайник» будет знать, что на сайтах без зеленого замочка небезопасно – нельзя оставлять личные данные, финансовые коды, персональную информацию.
Правда, солидные сайты уже давно повысили уровень своей безопасности до необходимого максимума, и услугами виртуальных платежных систем, интернет-банков, интернет-магазинов, торговых площадок, сайтов бронирования можно пользоваться без всяких проблем. Сейчас перед дилеммой оказываются более мелкие ресурсы: быть или не быть https?
Исходя из уже известной информации, можно отметить, что сайт просто обязан начать использовать защищенный протокол, если на нем пользователю предлагается:
- авторизация;
- ввод личных данных (ФИО, телефона, электронной почты);
- любое перемещение денежных средств с помощью электронных кошельков, платежных сервисов, банковских или иных карт.
Также защищенный протокол необходим, если предусматривается использование корпоративного почтового домена. Без сертификата SSL на почтовом домене все отправляемые с него письма будут уходить в спам. Особенно зверствует в этом вопросе gmail, что логично связано с любовью Гугла к формату https.
Что же касается платежей, которые необходимо проводить через сайт, то есть небольшая лазейка для решения этой задачи. Она подойдет тем ресурсам, которые пока не планируют перехода на https. Им рекомендовано сделать хотя бы одну страницы под защищенным протоколом, куда буду перенаправляться пользователи при осуществлении расчетов в интернете. Безопасно, надежно, просто и «малой кровью».
Маленький итог. HTTPS жизненно необходим сайтам с авторизацией, с любыми видами денежных расчетов, с запросами личной информации о пользователях. А также корпоративным сайтам для корректной работы почтового домена и повышения уровня общей безопасности информации. Блогам, мелким сайтам, информационным порталам – HTTPS в принципе не нужен. Но это пока только первый результат анализа. Смотрим дальше.
Реальные отзывы о переходах на HTTPS
Тут все очень интересно. Общение на форумах напоминает качели: вверх-вниз, да-нет, за-против. Поэтому эту часть статьи оформлю так.
Положительные отзывы:
Отрицательные отзывы:
Мнения разделились «фифти-фифти». Противоречивы до невозможности. Но из обсуждений легко вынести правильные выводы. Что, собственно, и сделал участник одного из диспутов. Вот идеальный по всем параметрам ответ на тему «быть или не быть https» для сайтов разного формата и возраста.
Перечень работ при переходе сайта на HTTPS
Из сделанного анализа мне уже становится ясно, что моему сайту на текущий момент переход на защищенный протокол не нужен, и делать я его не буду. Пока. Но в процессе изучения информации было найдено много полезного, поэтому считаю правильным осветить эту тему до конца. Если что-то забуду или просто не укажу, буду благодарна за уточнения в комментариях к статье. Полезно будет всем.
Итак, если принято решение перевести сайт с http на https, то следует озадачиться выполнением следующего плана:
- Приобретение сертификата – средняя стоимость от 15 до 50$ (но есть и бесплатные, и ценой под 1500$)
- Изменение страниц имеющихся адресов
- Изменение адресов ссылок в уже опубликованных статьях
- Обновление изображений
- Создание новой карты сайта
- Добавление сайта в Гугл Вебмастер и Яндекс.Вебмастер
Переход на HTTPS – это по своей сути создание нового сайта, поэтому вся информация, связанная с адресами и ссылками, должна быть полностью обновлена. Труд кропотливый, но он необходим. Иначе сайт сильно просядет по позициям, и это уже будет сложно восстановить.
Опытные вебмастера рекомендуют не браться сразу за эксперименты с сайтом, а развернуть бекап-версию на тест-домен на сервере. Далее поставить бесплатный сертификат, благо выбор предложений в этом направлении уже большой. И все спокойно протестить. В случае успеха повторить все замены на рабочем сайте. А при провале эксперимента искать ошибки и пробовать снова или обратиться к специалистам.
Если хочется сразу работать на реальном сайте, но не стоит сразу запускать принудительный редирект страниц. Сначала настраиваете корректную работу HTTPS, а уж потом можно стартовать замены.
Ну и напоследок самые типичные ошибки по настройке HTTPS от аналитиков буржунета
Анализ 10000 доменов относительно HTTPS
В качество опорной информации взяты данные блога Ahrefs. Аналитики и специалисты по SEO провели исследование 10 000 доменов, рассматривая наличие HTTPS, оценивая вопросы доступности, четкость перенаправления и коды состояний.
Результаты следующие:
- 60% сайтов не подключено к защищенному протоколу и по-прежнему имеют в своей строке адрес с http.
- Каждые 9 сайтов из 10 имеют некорректную настройку самого SSL-протокола.
- 25% доменов с https используют временные перенаправления 302 вместо 301 редирект.
Вот такие данные. Это говорит о том, что вопрос реальной необходимости https беспокоит не только российских вебмастеров. Иностранные коллеги тоже не спешат переводить свои сайты под опеку защищенного протокола. Что же будет в итоге? Время покажет. Но я подозреваю, что все мы, в конце концов, обзаведемся зеленым замочком в адресной строке сайта. А как думаете Вы?