Переход на протокол HTTPS - пошаговая инструкция по переходу на HTTPS

Содержание

Всем привет! Основатель знаменитого интернет-браузера Firefox, международная корпорация Mozilla начнет помаленьку отказываться от использования протокола HTTP в сторону зашифрованного протокола HTTPS. Данное решение родилось в результате многосторонних, а также яростных споров в масштабной электронной переписке.

Что такое HTTPS

Для тех, кто не в курсе, что это такое. HTTPS (Secure Hyper Text Transfer Protocol) — расширение протокола HTTP с включенной функцией защиты передаваемых данных. Сохранность данных достигается с помощью протоколов SSL (Secure Sockets Layer) или TLS (Transport Layer Security) — протоколов безопасности, гарантирующих конфиденциальную связь внутри Интернета. Благодаря этим протоколам информация, передаваемая между клиентом и сервером, не может быть перехвачена.

HTTPS служит для передачи криптографической (недоступной для посторонних) информации внутри WWW. Стандарт был разработан для поддержки передачи данных в HTTP (внутри которого данные с web-сервера передаются браузеру клиента в открытом виде). HTTPS — это метод аутентификации web-сервера, который использует цифровые сертификаты для обеспечения надежности целой области Интернета или отдельного web-сервера. Данные, передаваемые по протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, благодаря чему обеспечивается защита этих данных.

Глобальный переход на HTTPS

Период широкого перевода на шифрование начнет происходить в две стадии. Вначале выберут число, по наступлению которого абсолютно весь новоиспеченный функционал станет поддерживаться исключительно на HTTPS-вебсайтах. После этого плавно будет производиться отсоединение классических функций. Ну и понятное дело, что о том, какие конкретно опции интернета необходимо относить к новейшим, дополнительно будет обсуждаться в обществе разрабов.

Порядок никак не отклоняет целиком и полностью применение прежних ссылок в виде http протокола – взамен этого все они начнут преобразовываться в HTTPS используя HSTS а также атрибут upgrade-insecure-requests (правила, какие использует сервер для осуществления переадресации всех подряд запросов по безопасным каналам). Компания Mozilla настоятельно рекомендует разработчикам энергичнее подсоединяться к указанному движению по повышению безопасной работы в сети интернет, а также задумывает продемонстрировать собственные стандарты консорциуму W3C.

Ради стабильной эксплуатации на личном веб-сайте безопасного протокола HTTPS админу нужно получить сертификат в какой-нибудь из уполномоченных организаций. Mozilla свидетельствует, что даже если, как правило, такие сертификаты реализуются за денежные средства, уже на сегодняшний день возможно заполучить бесплатные сертификаты от StartSSL и WoSign. Во второй половине 2015 года начнет работать интернет-проект от самой организации Mozilla, под названием Let’s Encrypt, в котором будет позволено в автоматическом режиме приобретать дармовые сертификаты.

Впоследствии того, как прецеденты глобальной слежки за интернет-юзерами оказались доказаны, абсолютно все веб-разработчики непрерывно увеличивают меры, призванные увеличить защищенность пользователей. К примеру, Google поднимает в рейтинге поисковой выдачи веб-сайты, функционирующие по HTTPS.

Ну а теперь коротко обо всем, что написано выше и не только.

Для чего нужен HTTPS

Самое главное — он нужен посетителям вашего сайта
Нужен для повышения доверия со стороны пользователей и поисковых систем
Увеличивается репутация вашего сайта
Статистика переходов на ваш сайт становится гораздо точнее
HTTPS добавлен в факторы ранжирования поисковых систем
HTTP скоро вообще исчезнет

Принцип действия HTTPS

Для шифрования используется специальный сертификат, состоящий из паблик ключа и приватного ключа. Один из которых используется клиентом, а второй сервером, для шифровки/расшифровки данных. Длина ключа может быть 40, 56, 128 и 256 бит. Некоторые старые версии браузеров используют длину ключа 40 бит, что связано с экспортными ограничениями в США. Вместе с этим используются и другие методы, такие как:

алгоритм сжатия
параметры шифрования
идентификационный номер сессии

Виды сертификатов:

Обычные — используются для одного домена
Wildcard — мультидоменный сертификат
EV сертификаты (Extended Validation) — наивысший уровень доверия и защиты
IDN сертификаты (Internationalized Domain Names) — с поддержкой национальных доменов.

При приобретении сертификата рекомендую обращаться к проверенным и популярным центрам сертификации. Использовать длину ключа не менее 256 бит. Если вам не требуется расширенная проверка, то можно смело брать и бесплатный SSL сертификат.

Если вам будут говорить, что HTTPS нельзя кешировать, для него нужен отдельный IP либо HTTPS медленный и его надо устанавливать только на страницах регистрации или оплаты — НЕ ВЕРЬТЕ! Это все сказки.

Краткая пошаговая инструкция по переходу на HTTPS

Изменение ссылок на сайте и приведение их к относительному виду. Убираем название протокола ~~http:~~//site.com, меняем его на //site.com
Изменяем расположение медиа. Применяем HTTPS или относительные ссылки, как в первом пункте, ко всем видео, презентациям, подкастам, картинкам…
Проверяем подключение внешних скриптов, если они будут с HTTP, то будет показываться значок о «Небезопасном соединении».
Покупаем сертификат или регистрируем бесплатно
Устанавливаем на сервер и настраиваем директиву Host, а так же 301 редирект с HTTP на HTTPS. В файле robots.txt поменяйте директиву Host на https://site.com, а в файле .htaccess пропишите:
```
RewriteEngine On
RewriteCond %{HTTPS} =on 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]
```
Прописываем новую версию сайта в панель Вебмастеров Яндекса и Google, т.е. просто добавляем https-версию сайта, старую версию не удаляем.
Устанавливаем главное зеркало сайта на HTTPS версию (для Яндекса).

На этом все. Стоит приготовится на обнуление ТИЦ и обвал позиций сайта, но это не на долго, не волнуйтесь. Вот ответ Яндекса на запрос о выпадении сайта из выдачи:

В связи с особенностями процесса смены главного зеркала мы не исключаем заметное изменение позиций сайта в результатах поиска, которое может наблюдаться в течение нескольких обновлений поисковых баз. Вам необходимо немного подождать.

—

С уважением, Платон Щукин
Служба поддержки Яндекса
http://help.yandex.ru/

Добавить комментарий

Алексей 08.05.2015 в 16:46

Может и не торопиться покупать SSL, подождать полгодика, пока бесплатно раздавать начнут?

Ответить
aDvDk 09.05.2015 в 19:38

Надо будет на своем хостинге заказать HTTPS, точнее переход на новое расширение, а то походу мои сайты понизят в поисковой выдачи.

Ответить
divone 11.05.2015 в 14:13

касательно гугла поднимающего https есть какие то кейсы или пруфлинки?

Ответить
Глазурь 16.05.2015 в 11:50

А есть кто-то, может действительно показать, что до перехода была одна посещаемость, после перехода другая, и за этот промежуток не было никакой сео/смм активности, чтобы наглядны доказательства были?

Ответить
Рома 16.05.2015 в 22:59

Думаю пока не стоит торопиться. Еще не известно что из этого выйдет.

Ответить
Артём 19.05.2015 в 14:53

Не буду пока переходить, а то мало ли что, лучше останусь на старом добром http)))

Ответить
Алексей 25.05.2015 в 14:34

Ну если как написано в статье, что скоро сертификаты станут бесплатными, тогда я думаю стоит подождать. Сейчас они я скажу не из дешевых удовольствий.

Ответить
Анна 25.05.2015 в 19:59

Спасибо за информацию,я как-то над этим не задумывалась.

Ответить
Михаил 26.05.2015 в 12:36

Я много интересовался переходом на HTTPS с кем не разговаривал, огромной потребности в протоколе HTTPS ни кто не ощущает, может со временем но сейчас и своего HTTP за глаза. Спасибо за пост.

Ответить
Дмитрий 03.06.2015 в 16:52

Я тоже думаю пока торопиться еще рано с переходом. Но за информацию спасибо!

Ответить
Павел 07.06.2015 в 23:23

Вопросы безопасности становятся всё более актуальными. Безопасность можно продавать. То что можно продавать — будут продавать. Так что покупайте раньше — дешевле будет.

Ответить
Mint 12.06.2015 в 23:22

Давно пора. Я только за такие перемены, ибо безопасность это хорошо.

Ответить
ВК 15.06.2015 в 23:23

У меня работает антивирус когда я перехожу на сайты с https.

Ответить
anonymous2232 18.06.2015 в 14:58

Давно пора. Я только за такие перемены, ибо безопасность это хорошо.

Ответить
Кирилл 23.06.2015 в 17:07

Думаю переходить пока рано и паниковать раньше времени не стоит, все может поменяться в любую минуту, в другую сторону.

Ответить
Ольга 16.07.2015 в 16:07

У меня начинают глючить сайты с https, когда захожу на них со смартфона. По этой причине пока не тороплюсь, но хотелось бы знать, часто ли это случается или просто проблема в моем устройстве?

Ответить
1. MasterYoda автор 17.07.2015 в 08:16
  Добрый день, Ольга! Скорее всего, проблема в вашем устройстве. Попробуйте следующее:
  - Сервис/Свойства обозревателя/Дополнительно тыкаете до Безопасность и проверяете галочки на SSL 2.0 и 3.0.
  - Если есть антивирус или фаервол, проверьте их настройки или хотя бы для пробы отключите на время.
  Ответить
Antonio 18.07.2015 в 22:49

Перевел блог на https, доволен.

Со смартфона тоже есть проблема, думаю виноват старый андроид, заказал новый фаблет с леденцом, посмотрим как на нем будет работать.

Ответить
Fotografu paslaugos 23.07.2015 в 14:36

Зачем простому информационному сайту HTTPS? В любом случае если государство захочет оно будет читать данные юзеров вне зависимости он шифрования.

Ответить
Создание сайтов 30.04.2016 в 19:51

Переход на https не дает особого эффекта в продвижении сайтов, читал по этому поводу много статей с экспериментальными выкладками. Есть результаты что наоборот на некоторое время позиции падают, видимо от того что ссылки сайта меняются. Быть может будет смысл при создании новых интернет-магазинов, т.к. в этом случае важно шифрование, для чего это и задумывалось.

Ответить