О важности перехода на https-протокол говорят давно. Но если раньше этот вопрос был критичным для отдельных сфер бизнеса (например, платежных сервисов), то сегодня он распространяется на все большее количество веб-ресурсов. Связано это с ужесточением требований к безопасности в сети, о которых мы сегодня поговорим детально. Также в этой статье мы разберемся, как сделать переход с http на https безболезненным и быстрым, рассмотрим все нюансы и детали этой процедуры.
Содержание:
- Почему нужно переходить на https-соединение?
- Что такое ssl-сертификат: отличия между http и https
- Как перейти с http на https-протокол?
- Перенос базы подписчиков
Нужно ли переходить на https?
С 25 мая 2018 года в силу вступает регламент GDPR, который регулирует сбор и обработку данных пользователей из Евросоюза (читайте о новых правилах обработки персональных данных GDPR). Один из основных принципов регламента – конфиденциальность и целостность данных, которые пользователь передает веб-сайту. А это означает, что ресурс, который предоставляет услуги любого характера гражданам ЕС, обязан приложить должные усилия для соблюдения повышенных мер безопасности на своей площадке. В частности, такие веб-сайты должны использовать защищенное соединение для передачи данных. Поскольку сфера применения новых правил достаточно широкая, наверняка каждый пользователь, даже не из стран ЕС, получил уведомления от разных сайтов об изменении политики конфиденциальности. Если учитывать, что любой сайт, который предлагает подписку на новости с помощью, например, email или web push-уведомлений, уже гипотетически может подпадать под действие новых правил, становится понятно, что масштабы реноваций в области защиты данных очень существенные.
Что такое web push уведомления
Но даже если веб-ресурс рассчитан исключительно на внутренний рынок Украины, переход на https – это только вопрос времени. В Google не единожды обращали внимание на важность безопасности сайта.
TIP
Почему же до сих пор существует большое количество http-сайтов? Связано это либо с качеством веб-ресурса (к примеру, сайты, не рассчитанные на развитие), либо с опаской владельцев приступить к изменениям.
Для того, чтобы решиться на переход, необходимо знать обо всех этапах процедуры. Именно о них и пойдет речь дальше.
В чем разница между http и https: ssl-сертификат
Http, или HyperText Transfer Protocol – это протокол передачи данных в сети Интернет между веб-ресурсом и сервером. С его помощью пользовательские запросы (через браузер) передаются на сервер, а сервер формирует ответы, которые снова возвращает браузеру (клиенту). Однако обмен данными здесь происходит в незашифрованном виде, что может привести к перехвату информации третьей стороной. Так, к примеру, платежные данные, которые введены на сайте с http-протоколом, во время их передачи серверу могут попасть к злоумышленникам.
Для того, чтобы этого не произошло было создано расширение http-протокола под названием HTTPS (HyperText Transfer Protocol Secure), или «безопасный протокол передачи гипертекста». Расширенный протокол HTTPS позволяет передавать информацию в зашифрованном виде так, чтобы предотвратить считывание данных и некоторые виды атак.
Как можно расширить базовый http-протокол до https? В этом поможет ssl-сертификат.
SSL-сертификат – это технология защиты данных, которая работает на основе ключей шифрования. Это своеобразный фильтр, который помещается между протоколом клиента (браузера) и сервером. Так информация, которая передается от пользователя при посещении веб-ресурса (просмотренные страницы, логины, пароли) шифруется и не может быть прочитана посторонними. При каждом новом посещении https-сайта формируется защищенное соединение между клиентом и сервером.
Рассмотрим, как перейти на https-протокол и настроить его.
Как перенести сайт с http на https?
Перед тем, как начинать переход на https, важно проделать подготовительные процедуры на сайте, ведь, по сути, это смена его адреса (url). Соответственно, потребуется изменить адреса внутренних ссылок на сайте с абсолютных (например, http://site.com/articles) на относительные (//site.com/articles). Когда вы убедитесь в том, что контент вашего веб-ресурса (внутренние ссылки, картинки) открываются и отображаются корректно вне зависимости от его протокола, можно приступать к покупке ssl-сертификата.
Мы задали несколько важных вопросов специалистам компании ssl.com.ua, которая занимается продажей ssl-сертификатов в Украине и странах СНГ.
- Какие предварительные настройки нужно провести на сайте перед установкой ssl-сертификата?
После установки сертификата сайт начнет работать по протоколу https, потому перед установкой нужно проверить ссылки:
- поменять все ссылки внутри сайта на ссылки без http. Ссылку http://docs.google.com нужно поменять на //docs.google.com;
- убедиться, что весь контент загружается не по http-протоколу. Ссылку на изображения вида http://domain.com/image.png нужно поменять на //com/image.png;
- проверить, чтобы все сторонние модули подгружались не по http, а по https.
- Как выбрать ssl-сертификат? Кто их предоставляет? В чем отличие компаний?
TIP
Выбор сертификата зависит от двух вещей:
- от того, какие данные вы собираете: только имена и электронную почту, или принимаете оплату;
- чем занимается компания: блог с формой подписки, интернет-магазин или банк.
Для физических лиц и малого бизнеса с сайтами, которые не принимают оплату, подходят DV SSL. Это самые простые сертификаты. Для их активации не нужны документы, проверяется только владение доменом. Такого сертификата достаточно, если пользователи оставляют на сайте имя и почту.
Для среднего бизнеса — OV SSL. Перед выдачей сертификата проверяют документы компании и, кроме сертификата, дают печать доверия. Ее можно добавить на сайт, чтобы пользователи видели, что их данные не украдут.
Для крупного бизнеса с сайтами, на которых посетители совершают оплату, лучше взять EV SSL. Это сертификаты с зеленой строкой, у них самый высокий уровень доверия.
Если на сайте много поддоменов, лучше взять Wildcard сертификат, он защищает все поддомены первого уровня: blog.domain.com и mail.domain.com. Для защиты сразу нескольких доменов можно приобрести Multi-Domain SSL-сертификат. Часто это выгоднее, чем покупать по одному сертификату для каждого домена.
Все сертификаты выдают специальные компании — центры сертификации.
Основное различие между центрами сертификации – в цене и количестве браузеров, которое поддерживает их корневой сертификат. Если в браузере пользователя нет сертификата этого центра, то посетитель получит предупреждение при входе на сайт. Большие центры выдают сертификаты, которые официально признаны во всем мире и всегда распознаются веб-браузерами пользователей. Среди больших центров: Comodo, GeoTrust, Thawte, Symantec, VeriSign. Их корневые сертификаты знают все популярные браузеры.
- Есть ли бесплатные сертификаты и можно ли их использовать?
Бесплатные сертификаты существуют и их можно использовать, но у них есть свои минусы:
- браузер может не определить этот сертификат как доверенный и выдать посетителю сайта сообщение об ошибке;
- продлевать бесплатный сертификат нужно чаще, чем платный. Иногда за это нужно платить;
- некоторые бесплатные SSL-сертификаты нельзя использовать в коммерческих целях.
4. Как установить сертификат на сайте: основные этапы
Сначала сертификат нужно выпустить. Условия выпуска отличаются в зависимости от типа сертификата. Например, при выпуске сертификата с проверкой домена нужно:
- выполнить CSR-запрос;
- пройти проверку владения доменным именем;
- для OV и EV сертификатов нужно пройти проверку компании: отправить центру документы для выпуска такого сертификата.
После выпуска сертификат нужно установить на сайт. Установка зависит от хостинга, на котором размещается сайт.
TIP
Для установки сертификата нужны:
- приватный ключ, он же RSA. Ключ генерируется в паре с CSR-запросом;
- файл сертификата и соответствующие корневые сертификаты;
- доступ к хостингу;
- стоит спросить у поддержки хостера, есть ли у них особенности по установке сертификатов.
- Как настроить правильную работу сайта после перехода на https-протокол?
Установка сертификата на новый сайт проще, чем на давно работающий: она не влияет на трафик. Если сайт активно продвигается в поисковых системах, без подготовки к переходу на https, сайт может потерять в трафике.
Чтобы быстрее пережить переход сайта на новый протокол, нужно заново добавить сайт в панели вебмастеров Google и обновить все настройки: перенаправление, геотаргетинг, карту сайта.
Push-уведомления и https-протокол
Кроме всех вышеописанных преимуществ https-протокола, есть еще один важный плюс: новые технологии и разработки, которые поддерживаются такими гигантами, как Google, доступны именно для защищенных сайтов. Так, например, обстоят дела с push-уведомлениями. Эта технология поддерживается только для https-сайтов. Потому, чтобы установить push-сервис на сайте с http-протоколом, требуются дополнительные манипуляции, и фактически подписка пользователей на уведомления происходит через субдомен на https. То есть, первое предложение о подписке посетитель видит на странице сайта (в сервисном нативном или дизайнерском окне подписке), а второе – во всплывающем окне субдомена. Такой алгоритм подписки снижает конверсию в 2-3 раза по сравнению с интенсивностью подписки на https-сайтах.
Как же быть, если вы использовали пуш-уведомления на http-сайте, но решили перейти на безопасное соединение? После перехода с http на новый url (с https) базу подписчиков на «пуши» придется собирать заново. Но специалисты Gravitec.net продумали варианты выхода из этой ситуации. Читайте подробнее о том, как перенести базу подписчиков при смене протокола сайта.
Зарегистрироваться и сделать рассылку
Как видим, переход на https-протокол дает массу преимуществ сайту, как с точки зрения безопасности, так и в возможностях продвижения бизнеса. Защита данных пользователей постепенно становится обязанностью веб-мастеров. Следование новой тенденции позволит веб-ресурсам разных категорий не отставать от всемирного прогресса, быть конкурентоспособными в своей нише, соблюдать интересы как своих клиентов, так и своего бизнеса.
