Наверняка все уже заметили, что развитие сети идет в сторону «защищенность трафика по умолчанию». Все больше и больше сайтов переходит на HTTPS; если говорить о цифрах, то в феврале 2017 года количество сайтов, работающих по безопасному протоколу, выросло на 45% по сравнению с августом 2016 года (то есть примерно за полгода).
Известно, что многие владельцы сайтов начали переносить свои сайты на HTTPS после того, как в Google Chrome сообщил, что такие сайты будут помечаться как небезопасные. Позже к этому заявлению подключился и Firefox.
Google Chrome
На данный момент Chrome помечает как небезопасные только те сайты на HTTP, где нужно вводить какие-либо конфиденциальные данные. В дальнейшем небезопасными сайтами будут обозначаться все сайты, которые не переведены на HTTPS вне зависимости от того, требуется ли на странице вводить какую-либо информацию или нет.
Что это может значить?
Если вы заходите зайти, допустим, на новостной сайт http://edition.cnn.com/ (который не использует защищенное соединение), то вся информация, которую вы введете в поле поиска, может стать доступной третьим лицам.
На другом сайте может быть форма для ввода своего электронного адреса – и если на сайте нет предупреждения о том, что он небезопасен, то вы даже не узнаете, что ваша почта может оказаться в чьих-нибудь нехороших руках.
Итак, для того, чтобы избежать таких ситуаций, Chrome и планирует в дальнейшем помечать все сайты на HTTP как небезопасные (в том числе и в инкогнито).
Поэтому если вы имеете дело с любым видом данных на своем сайте, убедитесь, что ваш сайт переведен на HTTPS.
Итак, сайты, которые остались на HTTP:
- будут помечаться браузерами как небезопасные вне зависимости от того, есть на сайте форма для заполнения или нет;
- будут понижаться в выдаче поисковых систем, т.к. будут считаться небезопасными;
- будут восприниматься пользователям как подозрительные и вызывающие недоверие;
- в целом не имеют каких-либо преимуществ перед сайтами на HTTPS.
Почему нужно переходить на HTTPS
- Это бесплатно. Необязательно использовать платные сертификаты, есть бесплатные варианты (например, Let’s Encrypt).
- HTTPS – это будущее (или уже даже настоящее). Как сейчас практически не встретить сайтов только на HTML, так и в ближайшем времени сайты на HTTP будут восприниматься как устаревшие.
- Это повысит ваши позиции в поисковых системах. Чем дальше, тем более заметен будет этот контраст между HTTP и HTTPS-сайтами. Вот пример изменения позиций сайта при переходе на HTTPS:
Как правило, изменения наиболее видны на крупных и старых сайтах; новые сайты могут не иметь такой существенной разницы. - Страницы с HTTPS будут отображаться браузерами как безопасные и вызовут больше доверия у пользователей.
Если вы задумались, как быстро вам нужно перевести сайт на HTTPS (сейчас или потом?..), то вот небольшая подсказка:
- если вы что-то продаете, и клиентам надо вводить данные своей банковской карты и другие личные данные – переезжайте прямо сейчас!
- если вы собираете электронные адреса (для рассылки), у вас на сайте есть поиск и т.д. – переезжайте в ближайшее время;
- если это блог или сайт-визитка, где нет полей ввода для посетителей – можете переехать позже (но все равно переезд рекомендуем!).
Что дает HTTPS
Протокол HTTPS делает сайт безопасным для посетителей. Речь идет о защите информации, которая передается сайту от пользователя. Чаще всего это персональные данные – платежная карта, адрес и так далее, но есть и более «невинные» данные, которые все равно лучше защитить от чужих глаз.
HTTPS это несколько уровней защиты, а именно:
- шифрование – расшифровать их смогут лишь те, у кого есть ключ;
- целостность – данные не искажаются;
- авторизация – направлена против атак через посредников; то есть информация не попадет в руки злоумышленников.
Как работает HTTPS
Информация защищена, т.к. используется протокол SSL/TLS, который обеспечивает безопасное подключение при доступе к ресурсу, при этом передаваемые данные не могут быть видны посторонним.
При установке соединения генерируется специальный случайный секретный ключ, который доступен только компьютеру пользователя и серверу. Этот ключ нужен для расшифровки информации, то есть расшифровать передаваемые данные может только сервер или пользователь. При этом подбор секретного ключа не представляется возможным, во-первых, потому что при каждом сеансе связи он создается заново; во-вторых, он состоит из более 100 символов.
Также при соединении на основе протокола HTTPS используется цифровой сертификат (без которого перейти на HTTPS-протокол нельзя). Этот сертификат будет использоваться для того, чтобы идентифицировать сервер веб-сайта. В сертификате есть информация о владельце, его срок выдачи и действия, а также цифровая подпись, которая нужна для подтверждения подлинности.
Таким образом, обмен данным между сайтом и компьютером пользователя начинается только после того, как произошла проверка подлинности этого сертификата сервера.
Кстати, если проводить параллели, то протокол HTTP можно сравнить с обычной открыткой, которую в процессе пересылки может прочитать любой человек. А HTTPS – это письмо в конверте, информацию знают лишь два человека – отправитель и получатель.
Комментарии