HTTP vs HTTPS. Как перейти на HTTPS без последствий?
Сейчас в интернете идет много споров, использовать ли протокол HTTPS или нет. В августе прошлого года Google заявил, что будет учитывать поддержку протокола HTTPS как фактор ранжирования. Несмотря на это, все же появились явные противники перехода на протокол HTTPS, считающие, что Яндекс не полностью готов к корректной индексации данного типа страниц.
Однако зарубежные специалисты считают, что использование защищенного соединения уже сейчас является инвестиционным вложением в будущее компании, так как со временем поисковые системы придут к улучшению поддержки сайтов с HTTPS. Давайте разберемся, кто прав, и стоит ли уже сегодня переходить на защищенный протокол HTTPS.
Что такое HTTPS?
Любое действие в интернете — это обмен данными, при котором каждый раз ваш компьютер делает запрос к необходимому серверу и получает от него ответ. Стандартно такой обмен данными происходит по протоколу HTTP, основной недостаток которого — незащищенность передаваемых данных, что абсолютно не приемлемо, например, когда речь идет о передаче паролей, данных кредитных карт и другой персональной или конфиденциальной информации.
По сути, HTTPS —это расширение протокола HTTP, поддерживающее шифрование, что обеспечивает безопасность передачи данных.
Плюсы и минусы HTTPS
Так почему же мнения специалистов разделились? Дело в том, что использование протокола HTTPS имеет как свои плюсы, так и минусы.
К отрицательным моментам использования HTTPS можно причислить:
- ежегодно оплачиваемый сертификат, стоимостью примерно от $20 в год;
- снижение скорости работы сервера, так как часть его ресурсов будет уходить на шифрование передаваемых данных.
К положительным:
- защиту от хакерских атак, основанных на прослушивании сетевого соединения;
- увеличение уровня доверия пользователей;
- потенциальное положительное влияние на ранжирование страниц сайта в поисковых системах за счет учета наличия защищенного соединения как фактора ранжирования, а также положительного влияния на поведенческие факторы ранжирования.
Корректный перевод сайта с HTTP на HTTPS
Проблема, с которой вы можете столкнуться при переходе на HTTPS — это временная потеря позиций в поиске и проседание трафика. Поисковые системы считают сайты http://site.ru/ и https://site.ru/ зеркалами (то есть сайтами, которые являются полными или частичными копиями), поэтому важно организовать корректный переезд на новый протокол, придерживаясь следующих рекомендаций:
- Оба сайта http://site.ru/ и https://site.ru/ должны быть доступны для поисковых систем.
- Для сайта http://site.ru/ в Яндекс.Вебмастере в разделе «Настройка индексирования» в пункте «Главное зеркало» установите главным зеркалом https://site.ru/.
- В файлах http://site.ru/robots.txt и https://site.ru/robots.txt пропишите директиву «Host» с протоколом HTTPS: Host: https://site.ru
- Дождитесь смены главного зеркала в Яндексе на https://site.ru/.
- Настройте постраничный 301-ый редирект со страниц с протоколом HTTP на страницы с протоколом HTTPS.
- Обновите XML-карту сайта — замените в ссылках протокол HTTP на HTTPS. Обновите ссылку на карту сайта в файле robots.txt, например:
- При использовании в HTML-коде абсолютных ссылок необходимо указать в них протокол HTTPS вместо HTTP.
- При использовании тегов <link rel=”canonical”> или <base> — ссылки в них также необходимо обновить на HTTPS.
Использование HSTS
При использовании защищенного соединения сервер затрачивает больше времени на передачу данных. Поэтому рекомендуем использовать веб-сервер, поддерживающий механизм HSTS (заранее убедитесь, что он включен), что позволит ускорить обработку запросов сервером. В этом случае браузер будет запрашивать страницы через протокол HTTPS, даже если пользователь введет http://site.ru/ в адресной строке.
В файл .htaccess добавляем следующие строки:
<IfModule mod_headers.c>
# this domain should only be contacted in HTTPS for the next 6 months
Header add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>
Основные ошибки
Ниже описаны проблемы, которые могут возникнуть при использовании протокола HTTPS, и их необходимо заранее исключить:
| Просроченные сертификаты. | Вовремя обновляйте сертификаты. |
| В сертификате неправильно указан основной хост. | Проверьте, на какое имя хоста зарегистрирован сертификат. Пример такого |
| Не поддерживается указание имени сервера (SNI, Server name indication). | Ваш веб-сервер должен поддерживать SNI. SNI поддерживают все современные браузеры. Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес. |
| Старые версии библиотек. | Старые версии OpenSSL уязвимы. Используйте последние версии библиотек TLS. |
| Совмещение защищенных и незащищенных элементов. | Размещайте на страницах HTTPS только защищенное содержание. |
| Разное содержание на страницах HTTP и HTTPS. | Содержание на страницах HTTP и HTTPS должно быть идентичным. |
В заключение
Вернемся к вопросу: стоит ли переходить на HTTPS, чтобы улучшить свои позиции в поиске? Мы не видим необходимости переходить на HTTPS исключительно в целях улучшения SEO-факторов и продвижения сайта. Но если у вас есть потребность в использовании защищенного соединения, например, при передаче персональных данных ваших пользователей, то использование HTTPS — единственный верный способ защитить их от злоумышленников.