В этом нет никакой интриги. HTTPS, протокол доступа к сайту по защищенному каналу, положительно влияет на продвижение сайта в поисковых системах. Об этом заявлял еще Google в 2014 году. Они используют его сами и рекомендуют делать это другим, чтоб сделать интернет безопаснее.
Как это работает
Для разных этапов передачи данных используются разные технологии. Есть асимметричное шифрование и симметричное.
- В асимметричном шифровании используются по два ключа с каждой стороны: открытый и приватный. Открытый можно и нужно передавать другой стороне, приватный — нет. То, что зашифровано одним ключом, можно расшифровать другим. Такая схема гарантирует, что информация отправлена именно сервером, и только сервер сможет прочесть запрос клиента.
- Симметричное шифрование используется уже после обмена ключами, на основе которых создается общий секрет. Такое шифрование требует меньше ресурсов и обрабатывается быстрее. Общим секретом шифруются сообщения в рамках одной сессии. После ее закрытия секрет уничтожается, для следующего соединения будет создан новый. Таким образом, даже перехваченный шифр будет актуален только короткое время.
Влияние на скорость
Сама идея шифрования соединения с сервером для защиты данных возникла еще в прошлом веке. В настоящее время в переводе сайта на HTTPS есть настоятельная необходимость. Ведь кроме усиления безопасности повышается и скорость загрузки сайта. Потому что только с шифрованием работает новый протокол HTTP/2, позволяющий быстрее загружать страницы. Он позволяет серверу оптимизировать нагрузку, иначе организуя соединения с сервером. Но разработчики браузеров реализовали поддержку HTTP/2 только для варианта с шифрованием.
Впрочем, реализована поддержка уже давно. Все браузеры умеют работать с HTTPS по новому протоколу, как и веб-серверы Apache и Nginx. Можно утверждать, что большинство сайтов уже использует шифрование.
Поведение браузеров
После приглашения от Google многие браузеры стали отмечать сайты с защищенным соединением специальным значком. Это повышало доверие пользователей. Затем браузеры стали открывать сайты сперва через HTTPS, что снижало важность редиректов. Теперь же они предупреждают, если сайт шифрование не использует.
Некоторые браузеры даже отказываются открывать страницы без шифрования. То же самое происходит, если срок действия сертификата истек, если сертификат был отозван или выдавший его центр сертификации потерял доверие. Появилась даже опция “HTTPS Only”, исключающая доступ к сайтам, не использующим шифрование. И если раньше пользователи могли не обращать внимания на зеленые значки в адресной строке, то теперь предупреждение вместо страницы они наверняка заметят.
Забота о безопасности клиентов — это хорошо. Поэтому у владельцев сайтов нет никакого смысла не использовать шифрование.
Виды сертификатов
Если ставить сертификат — то какой? Они есть нескольких видов. Личные, для организаций, и для организаций с расширенной проверкой.
- Личные сертификаты, DV – Domain Validation, проверка домена. Они доступны физическим лицам, как правило, совершенно бесплатно в рамках тарифа хостинга, создаются за несколько минут. Сертификат не содержит каких-либо отсылок на владельца сайта. Обозначаются как DV. Большинство сайтов имеют именно такой сертификат.
- Личные сертификаты с проверкой. Обозначаются как IV (Individual Validation, личная проверка). В сертификате будет указан владелец, возможно, и его физический адрес. Услуга редкая и в нашей стране невостребованная.
- OV (Organization Validation). Сертификаты для организаций и юридических лиц. Такой сертификат не только защищает подключение между браузером и сервером, но и подтверждает, что домен принадлежит данной организации. Существование организации и владение ей доменом нужно подтверждать, поэтому такие сертификаты выпускаются дольше и не бесплатно. Но и срок действия будет 12 месяцев или больше. Это минимальный уровень для интернет-магазинов и сайтов, занимающихся электронной коммерцией.
- EV (Extended Validation), сертификат с расширенной проверкой. Самый дорогой вариант, доступен только организациям и предоставляет наивысшую степень доверия. Компания проходит более строгую и тщательную проверку. Требуется подтвердить как регистрацию в органах власти, так и личность обращающегося лица. От сотрудников центра сертификации требуется немало усилий, ведь проверка многоступенчатая и проводится в ручном режиме. Не каждый центр может оказывать такую услугу, на это требуется соответствующее разрешение. Информация об организации вносится в сертификат, сроки действия которого будет не менее 12 месяцев, но не более 398 дней. Кстати, именно таким сертификатом разработчикам следует подписывать свои программы и драйверы для операционных систем семейства Windows.
Есть разделение сертификатов, устанавливаемых на веб-сервера по области действия. Одни защищают только свой домен. Другие – два или несколько. Их называют мультидоменными. Третьи, кроме основного домена, защищают все поддомены, сколько бы их ни было. Называть их могут по-разному, но обязательно в названии будет слово Wildcard. Это отсылка к символу “ * ”, обозначающему любое количество любых символов. Как правило, чем больше зона ответственности, тем дороже услуга. Но выходит дешевле, чем по одному сертификату на каждый адрес. Однако варианты Wildcard и EV несовместимы, таковы правила.
Есть еще один вид сертификатов — самоподписанные. Они не апеллируют ни к какому центру сертификации, и в рамках Интернета практически бесполезны. Злоумышленник, перехватив сообщение, может подписать подмену таким же своим ключом, и второй участник переписки ничего не заметит.
Итоги
Мы очень рекомендуем устанавливать SSL-сертификаты и переводить сайты на HTTPS. Вы совершенно точно не потеряете доверие пользователей, а в производительности и SEO выиграете. Если ваш сайт — личный блог, портфолио или сборник статей, то можно обойтись бесплатным сертификатом, который поставляется в рамках хостинга. Если ваш сайт — визитка или интернет-магазин, то стоит приобрести сертификат уровня OV. Так вы подтвердите связь сайта и организации, повысите уровень доверия клиентов. И конечно же, мы рекомендуем сертификаты EV для финансовых организаций и разработчиков программного обеспечения.
