Протокол HTTPS сегодня является практически обязательным атрибутом любого сайта, особенно если он связан с хранением персональной информации или онлайн-платежами. Благодаря встроенному криптографическому шифрованию протокол обеспечивает сохранность данных, надежно защищая их от взлома (даже если злоумышленники перехватят трафик, они не смогут его расшифровать). Это необходимо ресурсам, так или иначе обрабатывающим личную информацию, но и обычные сайты всё чаще подключают шифрование.
Что даёт переход на HTTPS?
Весной 2018 года в Евросоюзе начал действовать регламент GDPR, регулирующий обработку персональных данных пользователей из европейских стран. Ключевая задача GDPR – обеспечить неприкосновенность личной информации. При передаче такой информации в интернет единственный способ надежно защитить её – современные протоколы шифрования. Даже перехватив нужные пакеты, злоумышленники не смогут их расшифровать.
Сегодня любой вебмастер может защитить персональные данные пользователей, переведя сайт на протокол HTTPS. Буквально пару лет назад это считалось необходимым только для сайтов с регистрацией. Однако правила меняются, и сегодня для любого сайта желательно наличие шифрования трафика.
Важно! Одним из главных сторонников перевода всех сайтов на протокол HTTPS является компания Google. В 2014 году поисковый гигант анонсировал, что будет отдавать сайтам с SSL-сертификатами более высокие позиции в поисковой выдаче. А браузеры Google Chrome и Mozilla Firefox уже предупреждают пользователей о небезопасном соединении, если сертификат отсутствует.
Сайтов, работающих с устаревшим протоколом HTTPS, остаётся всё меньше, но для некоторых вебмастеров процесс получения и установки SSL-сертификата всё ещё кажется слишком сложным. Сегодня мы подробно рассмотрим переход на HTTPS и разберемся с техническими особенностями данного процесса.
Что представляет собой протокол HTTPS?
Это современный протокол со встроенным шифрованием. Он пришёл на смену устаревшему протоколу HTTP, который был разработан ещё на этапе развития интернета. На тот момент опасность взлома никого не беспокоила, была задача создать быстрый протокол для обмена любыми видами информации. Его авторы стремились обеспечить максимально простое взаимодействие для разработчиков программного обеспечения.
Тогда интернет не рассматривался как среда для передачи приватной информации, и уж точно никто не думал, что он будет использоваться для заказа товаров и оплаты услуг. Сегодня через сеть передаётся огромное количество приватной информации. Это интернет-общение, видеочаты, пересылка фотографий и взаимодействие со всевозможными сервисами, обрабатывающими личные данные.
Сегодня значительная часть информации, передаваемой по сети, нуждается в защите, поэтому протокол HTTPS скоро станет обязательным требованием для всех сайтов. Эта аббревиатура расшифровывается как HyperText Transfer Protocol Secured. Последнее слово в названии подразумевает, что весь трафик защищен от взлома. Потенциальный злоумышленник, перехватив сетевой пакет, сможет понять, какому серверу он адресован, но получить вложенную информацию и даже определить полный URL запрашиваемой страницы не сможет.
Для чего нужен SSL-сертификат?
Чтобы шифрование было эффективным, а ключ невозможно было перехватить, необходим специальный предустановленный сертификат, в котором заложен закрытый ключ шифрования. Для каждого домена такой сертификат выпускается отдельно. При его получении вебмастер должен доказать сертифицирующему центру своё право на администрирования домена.
После подключения сертификата к сайту содержащиеся в нём ключи позволяют браузеру и серверу создавать защищенное подключение с шифрованием. При этом злоумышленник может подключиться к линии и перехватывать трафик, но изучить содержимое пакетов не сможет.
Подготовка к переходу на HTTPS
Получить и подключить сертификат несложно, однако сайт необходимо подготовить к переходу. Главная особенность данной процедуры заключается в том, что все страницы, картинки и прочие ресурсы получат новый URL-адрес. Поэтому в коде сайта необходимо предусмотреть новые ссылки.
Существует формат записи, совместимый и с протоколом HTTPS, и с устаревшим HTTP. Ссылка должна начинаться не с названия протокола, а с двойного слеша (не https://site.ru, а просто //site.ru).
Последовательно удостоверьтесь, что все ссылки на вашем сайте приведены к универсальному формату. При проверке можно использовать следующий чеклист:
• все внутренние ссылки в пределах сайта;
• ссылки, ведущие в админ-панель и из админ-панели на сайт;
• ссылки на картинки и прочие файлы;
• ссылки на статические файлы (JS, CSS, XML, JSON);
• ссылки на сторонние сервисы (системы сбора статистики, видео YouTube, рекламные блоки).
После исправления ссылка будет корректно работать как с устаревшим протоколом, так и с безопасным. Учитывайте, что после перехода на HTTPS нельзя оставлять на сайте сторонние скрипты и фреймы, работающие по протоколу HTTP. Браузеры будут выдавать предупреждение, что сайт небезопасен, отпугивая пользователей от вашего ресурса.
Выбор SSL-сертификата
Существует несколько видов сертификатов, отличающихся возможностями, уровнем валидации и ценой. Наибольшее распространение получили следующие виды SSL-сертификатов:
• DV (Domain Validation). Сертифицирующий центр проверяет только принадлежность домена вебмастеру. Посетителям сайта такой сертификат гарантирует только сохранность их трафика.
• OV (Organization Validation). Сертифицирующий центр проверяет организацию, обеспечивая посетителям дополнительные гарантии.
• EV (Extended Validation). Расширенная верификация. Компания предоставляет удостоверяющему центру копии документов и некоторые отчеты о своей деятельности.
• Multi-domain. Сертификат, действительный для нескольких доменов, принадлежащих одной организации.
• Wildcard. Сертификат, позволяющий защитить одновременно любое количество поддоменов.
Перечисленные типы сертификатов отличаются функциональностью, уровнем доверия и ценой. Самыми доступными являются сертификаты DV SSL, но они подходят только для небольших сайтов и домашних страниц. Оптимальный вариант для коммерческой компании – EV SSL.
Бесплатные сертификаты
Небольшие некоммерческие сайты могут получить сертификат класса DV бесплатно. Однако у данной возможности есть ограничения:
• невозможно заказать бесплатный сертификат для коммерческого сайта;
• возможна несовместимость с устаревшими браузерами;
• сертификат необходимо регулярно обновлять.
На данный момент обновлять бесплатный сертификат необходимо каждые 3 месяца. Нередко можно наблюдать картину, как какой-то сайт не работает из-за того, что администратор пропустил дату обновления. Существуют недорогие ssl-сертификаты, они гораздо удобнее и практичнее бесплатных.
Инструкция по получению и установке SSL-сертификата
Чтобы получить и подключить сертификат, выполните следующие действия:
1. Отправьте CSR-запрос, воспользовавшись сайтом компании, у которой приобретаете сертификат. Сохраните RSA-ключ, полученный на данном этапе.
2. Верифицируйте домен (размещением специального файла).
3. Если необходимо, предоставьте документы.
4. Ждите, когда на почту придёт сгенерированный сертификат.
5. Установите сертификат на сайт, воспользовавшись специальным пунктом в хостинг-панели.
Чтобы установить полученный сертификат, необходимо загрузить в панель хостинг-провайдера присланный сертификат. Во всех современных панелях присутствует соответствующий пункт. Дальнейшие действия производятся автоматически.
Если ваш ресурс зарегистрирован в инструментах для вебмастеров Яндекс и Google, зайдите в панели и произведите необходимые настройки, чтобы поисковые системы быстрее включили в выдачу страницы с обновившимися URL-адресами. Будьте готовы к тому, что трафик незначительно просядет на 2-3 дня. В дальнейшем он восстановится (при условии, что вы настроили корректный 301-й редирект для всех страниц).