№25 (10-03-2016). 6 причин перейти с HTTP на HTTPS

Когда вы вбиваете в адресной строке URL сайта, устанавливается соединение с физическим сервером, откуда скачивается информация. Процесс соединения и скачивания данных управляется командами протокола HTTP: ваш браузер отправляет простые запросы («ДАЙ ДОКУМЕНТ, НАХОДЯЩИЙСЯ НА СТРАНИЦЕ HTTP://YOURSITE.RU»), а сервер отправляет браузеру данные. На практическом уровне отличие HTTP от HTTPS в том, что все запросы и ответы в рамках протокола HTTP отправляются простым незашифрованным текстом, а по HTTPS — внутри зашифрованного соединения и в зашифрованной форме.


Это значит, например, что не нужно особого ума, чтобы воспользоваться программой-сниффером трафика и перехватить ВСЕ, что вы отправляете по HTTP. Сидящей в той же Wi-Fi-сети деятель будет знать все о том, куда вы сходили, какие запросы отправили, какие пароли и логины ввели, что положили в корзину. Более того, он даже может подменить получаемую вами информацию на что угодно другое. Как вы понимаете, это не такая большая проблема, если вы заходите на сайт «РБК» и читаете новости, никуда не логинясь. Но все становится гораздо серьезнее, если вы (или посетители вашего сайта) вводят какую-то персональную информацию. Под защитой HTTPS-соединения ее украсть невозможно, а простой текстовый HTTP полностью открыт для злоумышленника.

Мы не будем вдаваться в технические детали протоколов шифрования TLS/SSL — это дело админов. Если вы хотите разобраться в технологии, стоит начать с поста в блоге «Яндекса». Наша цель — рассказать вам о том, какие преимущества вы получите от перевода сайта под защиту HTTPS.

Причина №1: вы обезопасите посетителей вашего сайта от воровства паролей и конфиденциальной информации
Обмен по HTTP идет обычным текстом, кто угодно может перехватить эти сообщения. Там будут написаны и логин, и пароль, и переданы куки авторизации, и в весь текст сообщений отправленных форм и т.п. HTTPS решает эту проблему: перехватить трафик и расшифровать его нельзя.

Причина №2: вы предотвратите добавленияе сторонней рекламы на ваш сайт и подмену контента
Пользователи Wi-Fi в московском метро и многих других точках открытого доступа уже испытали на себе пренеприятнейшую особенность HTTP: поскольку страницы передаются в открытом виде, можно взять и изменить их. И вставить свой баннер, рекламу, совершенно другой контент — да что угодно! Именно так появляются выезжающие шторки и блокеры с рекламой на HTTP-сайтах в метро. 


Реклама Samsung на сайте appleinsider.ru, которую владельцы appleinsider.ru не устанавливали

Но большинству пользователей это невдомек: они уверены, что это реклама на сайте. Постоянные пользователи догадываются, что это чудит именно интернет-провайдер, но все равно механизм остается загадкой. А вот HTTPS-сайты можно просматривать в метро смело: никакой левой рекламы на них не появится. Если вы хотите защитить свой сайт от подмены и модификации контента, то HTTPS — единственный способ.

Причина №3: вы дадите поисковикам позитивный сигнал для поискового ранжирования вашего сайта
Еще в 2014 году Google официально объявил, что защищенные сайты получат «плюсики в карму» при ранжировании.


Безусловно, это до сих пор далеко не самый важный фактор, но мы считаем, что его значимость будет расти. Причем не только для Google, но и для «Яндекса». В пользу этого говорит то, что даже чисто контентные сайты обзаводятся возможностями типа личного кабинета, каких-то персональных настроек и сервисов. А уж с коммерческими сайтами вопрос вообще практически решен: практически на каждом есть обмен более или менее конфиденциальной информацией с посетителями.

Причина №4: посетители вашего сайта будут видеть красивый значок зеленого замочка в адресной строке браузера
Даже если люди не знают, что означает этот символ, мозг обрабатывает информацию в фоновом режиме. Даже не обращая на значок внимания, пользователи понимают, что зеленый замочек есть на лучших сайтах: на «Яндексе», во всех онлайн-банках, социальных сетях и т.п. 


Мы не проводили психологических исследований, но вполне логично предположить, что доверие к сайтам, защищенным HTTPS, выше. Внимание! Обязательно позаботьтесь о своевременных продлениях сертификата, поскольку перечеркнутым красным крестом замочек может сильно подмочить доверие посетителей.

Причина №5: вы будете готовы к моменту, когда HTTPS станет обязательным для поискового продвижения
Внедрение HTTPS на сложных проектах может быть достаточно головоломным для администраторов и программистов процессом (хотя в самых простых случаях работы всего на час-два). Чтобы заранее подготовиться к внезапному объявлению поисковиков о росте значимости веса фактора шифрования в ранжировании, можно заранее озаботиться получением сертификата и настройкой вашего сайта.

Причина №6: вы сможете использовать пуш-уведомления и другие возможности service workers
Новомодные пуш-уведомления, которые могут оповещать посетителей вашего сайта о новых статьях, новостях, скидках и акциях (причем даже если они уже давно не заходили на ваш сайт!), работают на основе специального механизма service workers, а этот код может загружаться и работать только по HTTPS. 


Хотите пуш-уведомления или другие крутые фишки сервис-воркеров — закрывайте сайт HTTPS либо целиком (предпочтительно), либо какой-то поддомен. Обходные варианты есть, но не слишком удобны и требуют лишних телодвижений от посетителей, что снижает количество подписок.

Вывод
Мы настоятельно рекомендуем вам перейти на HTTPS — особенно если на вашем сайте есть личный кабинет или что-то подобное. Сейчас сертификаты стоят недорого (цены reg.ru: обычный — около 1000 рублей в год, с крутым зеленым выделением названия сайта в адресной строке — от 10000 рублей в год), а мощность серверов стала такой, что потери на шифрование абсолютно не важны. Плюсы на порядки весомее.

Версия для печати

Вернуться ко всем статьям