Влияние HTTPS и SSL на SEO и безопасность сайта
Невероятно, но факт: любое действие в интернете основывается на обмене данными между браузером и сервером сайта. Коммуникация пользователя с серверами возможна благодаря протоколу HTTP, изобретенному в начале 90-х гг. прошлого века. Однако технология не обеспечивает шифрование данных и ставит пользователей под угрозу. И это при том, что защита информации в интернете имеет принципиальное значение. Как же в таких условиях сделать безопасное соединение для сайта? Светлые головы программистов трудились над этим день и ночь. Вопрос решился созданием расширенной версии HTTPS, которая, впрочем, работает только при установленном SSL-сертификате. В сегодняшнем материале LZ.Media расскажет об этих “неразлучниках”: почему сайту важно иметь HTTP, как получить SSL-сертификат и как вообще сделать сайт безопасным.
Что такое HTTPS и SSL
Аббревиатура SSL расшифровывается как Secure Sockets Layer или уровень защищенных сокетов. Так назывались первые версии протокола, а более современное и официальное название — Transport Layer Security, что переводится как защита транспортного уровня. На основе TLS работает SSL-сертификат — цифровой документ, который содержит данные об организации и её владельце, а также подтверждает наличие компании и безопасность сайта для посетителей. Механизм гарантирует пользователю подлинность ресурса, а также целостность и конфиденциальность передаваемой информации за счет шифрования данных и идентификации веб-ресурса.
На схеме показано конкретное место TLS в стеке протоколов сети
HTTPS работает по принципу обмена ключами шифрования, ведь не зря S в аббревиатуре означает secure. Совместное действие протокола и SSL-сертификата позволяет шифровать и защищать данные от перехвата мошенниками, а пользователю — удостовериться в принадлежности веб-ресурса владельцу. Предотвратить взлом сайта также помогают другие факторы, а какие именно — читайте в нашей статье.
Значение HTTPS и SSL-сертификата для SEO
Использование HTTPS на сайте является важным фактором ранжирования в поисковых системах. Доля веб-ресурсов с этим протоколом неуклонно растет, а поисковики распределяют большую часть трафика именно на сайты с поддержкой HTTPS, что выводит их в топ выдачи. Системы поиска ценят свои высокие рейтинги и доверие пользователей к ним, поэтому стараются предлагать аудитории проверенные и надежные сайты.
Тем временем браузеры Chrome и Firefox помечают страницы без расширенной версии протокола как небезопасные и снижают их конверсию. По данным Statcounter, в марте 2024 года самым популярным среди мобильных и десктопных браузеров остается Chrome, которым пользуется около 3,3 млрд человек. Поэтому покупку и установку SSL-сертификата можно назвать обязательным условием для сохранения высокого уровня конверсии и трафика сайта.
Google Chrome установлен у 65,7% опрошенных, Apple Safari — y 24,3%, Microsoft Edge — у 12,7%
Если владелец веб-ресурса заботится о защищенности данных пользователей, то SEO-продвижение будет более быстрым и эффективным. При этом безопасность и видимость сайта также зависят от выбора провайдера, который может бесплатно предоставлять SSL-сертификат со своими услугами хостинга. Подробнее о хостинговых и доменных факторах ранжирования мы рассказывали в прошлом материале. О других параметрах, влияющих на SEO-продвижение сайта, можно прочитать в наших статьях о E-A-T-факторах, функционале сайта и поведенческих факторах.
Как перейти на HTTPS
Переход сайта на HTTPS предусматривает следующие шаги:
- Получение SSL-сертификата. Виртуальный документ можно приобрести на платной или бесплатной основе у поставщиков сертификатов либо заказать его при регистрации домена или хостинга.
- Активация и установка сертификата. План действий по первоначальной работе с документом может различаться, в зависимости от используемой платформы. Однако продавец сертификата или хостинг-провайдер предоставляют подробную инструкцию со всеми этапами.
- Настройка. Алгоритм по автоматическому перенаправлению любых запросов к вашему сайту на HTTPS создается через конфигурационный файл .htaccess или панели управления, исходя из используемой ПУ: ispmanager, cPanel или Plesk. Редиректы с кодом 301 должны происходить за одну переадресацию.
- Обновление. После перехода на расширенный протокол необходимо обновить внутренние и внешние ссылки домена в коде сайта, а также ссылки в XML-карте сайта, шаблонах, подключаемых стилях, подгружаемых аудио- и видеофайлах и скриптах.
Затем важно проверить корректность отображения защищенной версии для пользователей, а также добавить оба варианта сайта в панели вебмастера Яндекса и Google при необходимости. Проверить, полностью ли переключился поисковый трафик на HTTPS-версию можно с помощью сервисов “Яндекс.Метрика” или Google Analytics. Через них, в том числе, можно распознать атаку ботов и минимизировать ее последствия для сайта.
К распространенными ошибками при переходе сайта на протокол HTTPS относят:
- неправильную настройку перенаправления — пользователи автоматически должны переходить на безопасную версию сайта;
- неверное оформление сертификата — важно, чтобы имя домена в SSL совпадало с тем, что указано в браузерной строке;
- смешанное содержимое контента — ситуация, когда некоторые ресурсы загружаются через HTTP-версию, а другие — через HTTPS, что делает сайт небезопасным;
- устаревшие ссылки — наличие неактуальных ссылок на сайте или в его XML-картах и других источниках может привести к проблемам с индексацией ресурса;
- просроченный сертификат — вовремя продлевайте сертификат, хостинг и домен, чтобы пользователи, как минимум, смогли попасть на сайт, а как максимум — найти на нем нужную информацию;
- неглавные адреса сайта — настройка 301-редиректа на версию с HTTPS без предварительной смены главного зеркала в Яндексе, в результате чего трафик из поисковой выдачи будет минимальным в течение 1-2 месяцев.
Виды SSL-сертификатов
Браузер или сервер проверяют доверенность сертификата с помощью нескольких факторов, один из которых — информация о виде документа и о том, кто его выдал. Вы можете самостоятельно проверить тип SSL-сертификата, нажав на замочек в адресной строке и выбрав вариант “Защищенное соединение” или “Безопасное подключение”.
Самоподписанный
Его можно сгенерировать самостоятельно на своем сервере, но признавать такой сертификат будет только этот сервер. При использовании документа на других сайтах, браузер ограничит к ним доступ или предупредит пользователя о недостоверности соответствующими уведомлениями. Поэтому команда разработчиков в LZ.Media не рекомендует пользоваться таким сертификатом.
Подтверждающий домен
Он же Domain Validation или DV. Сертификаты с валидацией домена выдают сертификационные центры, которые генерируют для каждой организации уникальную пару ключей. В данном случае СЦ гарантирует существование ресурса и доменного имени сайта, поэтому браузер будет доверять сертификату и корректно отображать его. DV SSL обеспечивают минимальный уровень шифрования и меньшую надежность, в сравнении с другими видами, зато это быстро и дешево. Для его получения владельцу веб-сайта нужно подтвердить право собственности на домен с помощью электронного письма или телефонного звонка. После установки в браузерной строке будет отображаться только протокол HTTPS и символ замка без названия компании. Эти сертификаты, как правило, используют информационные сайты, которые не собирают данные пользователей и не осуществляют онлайн-платежи.
Так выглядит SSL-сертификат LZ.Media, который может увидеть каждый пользователь сайта
Подтверждающий организацию
Сертификат Organization Validation или OV выдается, когда СЦ кроме домена проверяет организацию, которой он принадлежит. В результате проверки существование компании подтверждается и она получает цифровой документ. OV SSL нужен для гарантий защиты и шифрования конфиденциальных данных пользователей, например, при онлайн-транзакциях. Это подходящий вариант для коммерческих сайтов и интернет-магазинов.
Расширенный
Сертификат с расширенной валидацией или Extended Validation считается наиболее сложным и дорогим. Для его получения владельцу компании нужно пройти более глубокую проверку на подлинность в центре сертификации, предоставить часть документов об организации и подтвердить право собственности на домен. EV SSL отображается в строке браузера в виде символа замка, а также включает HTTPS, название и страну компании. Такая разновидность подходит для корпораций, крупных сервисов и некоторых банков, которые работают с интернет-платежами.
Wildcart
Сертификат с подстановочными символами защищает как базовый домен, так и неограниченное количество поддоменов. Это позволяет сэкономить бюджет компании, поскольку приобретение одного документа будет выгоднее покупки нескольких SSL-сертификатов для каждого субдомена. Имя домена в этом случае будет иметь звездочку (*), которая указывается вместо любого допустимого поддомена в составе одного базового.
Например, сертификат можно использовать для защиты таких страниц, как:
- payments.zzz.com
- login.zzz.com
- mail.zzz.com
- download.zzz.com
- anything.zzz.com
Мультидоменный
SSL-сертификат MDC обеспечивает безопасность нескольких доменов и поддоменов, в том числе, уникальные имена с разными доменами верхнего уровня (TLD). Однако документ не защищает локальные или внутренние домены. Например, если у компании много веб-сайтов с различными доменами, то она может купить как несколько сертификатов для всех, так и приобрести один MDC. Мультимедийные также делятся на сертификаты унифицированных коммуникаций (UCC) и Subject Alternative Names (SAN). Первые обеспечивают защиту нескольких имен с помощью одного документа и изначально разрабатывались для серверов Microsoft Exchange и Live Communications, но сегодня ими может воспользоваться любая организация. А вторые обеспечивают безопасность доменов или поддоменов любого уровня, в том числе, в разных зонах.
Как выбрать и получить SSL-сертификат для сайта
В прошлом разделе мы уже рассказали, какие разновидности сертификатов подходят компаниям. Важно отметить, что не всегда SSL должен быть платным. Например, сайты некоммерческого и информационного характера вполне могут обойтись бесплатными версиями. Крупнейшим сервисом для безвозмездного получения валидного сертификата является Let’s Encrypt. Некоммерческий центр сертификации выдает виртуальные документы безопасности на уровне домена.
А вот для банков, интернет-магазинов, крупных брендов и других ресурсов, работающих с платежными данными пользователей или проводящих оплату через сайт, наличие более широкой валидации обязательно.
Выдача сертификата включает несколько этапов. Сначала владелец сайта настраивает сервер, проверяет данные и формирует запрос на SSL-сертификат, также можно обратиться за помощью к провайдеру хостинга. Далее нужно подать заявку в выбранный сертификационный центр, а затем — оплатить не только сертификат, но и услуги специалистов центра. В зависимости от типа документа и уровня проверки, в СЦ изучают информацию о домене или компании в течение нескольких минут или дней. Затем владелец получает ключи: публичный отправляю через электронную почту, а приватный отдают на отдельном устройстве для установки на сервере сайта.
Пример e-mail с данными для установки SSL от поставщика сертификатов REG.RU
Срок действия сертификата, как правило, ограничен и зависит от компании, которая его выдала, максимальный составляет до 2 лет и 3 месяцев. Затем документ необходимо продлевать, чтобы из-за отсутствия безопасности браузеры не блокировали доступ к сайту. Также в SSL важно вносить изменения, связанные с деятельностью компании — так сведения в сертификате останутся актуальными.
Несмотря на все преимущества наличия HTTPS на сайте, веб-ресурс, конечно, будет функционировать и без SSL-сертификата, так как протокол нужен только для шифрования соединения. Однако работоспособность сайта напрямую зависит от его безопасности, поскольку современные браузеры заботятся о пользователях и предупреждают о недостоверных сайтах, а поисковые системы понижают рейтинги страниц без защищенного протокола.
Игнорируя защиту данных, вы рискуете нарваться на утечку данных и персональной информации о пользователях, потерять репутацию и снизить эффективность поисковой оптимизации сайта. Как показывает практика, интернет-защита — важная составляющая как корректной работы сайта, так и его SEO-продвижения. Команда LZ.Media готова помочь и в том, и в другом: с нами ваш веб-ресурс всегда в топе выдачи и под надежной опекой от взломов.
Остались вопросы?
Оставьте заявку, чтобы получить консультацию