Всім привіт! Засновник знаменитого інтернет-браузера Firefox, міжнародна корпорація Mozilla почне потроху відмовлятися від використання протоколу HTTP в бік зашифрованого протоколу HTTPS. Дане рішення народилося в результаті багатосторонніх, а також лютих суперечок масштабної електронному листуванні.
Що таке HTTPS
Для тих, хто не в курсі, що це таке. HTTPS (Secure Hyper Text Transfer Protocol) — розширення протоколу HTTP з включеною функцією захисту переданих даних. Збереження даних досягається за допомогою протоколу SSL (Secure Sockets Layer) або TLS (Transport Layer Security) – протоколів безпеки, що гарантують конфіденційну зв’язок всередині Інтернету. Завдяки цим протоколам інформація, яка передається між клієнтом і сервером, не може бути перехоплено.
HTTPS служить для передачі криптографічного (недоступною для сторонніх) інформації в WWW. Стандарт був розроблений для підтримки передачі даних HTTP (всередині якого дані з web-сервера передаються браузеру клієнта у відкритому вигляді). HTTPS — це метод аутентифікації web-сервера, який використовує цифрові сертифікати для забезпечення надійності цілої області Інтернету або окремого web-сервера. Дані, що передаються по протоколу HTTP, «упаковуються» криптографічний протокол SSL або TLS, завдяки чому забезпечується захист цих даних.
Глобальний перехід на HTTPS
Період широкого переведення на шифрування почне відбуватися у дві стадії. Спочатку оберуть число, по настанню якої абсолютно весь цей функціонал стане підтримуватися виключно на HTTPS-вебсайтах. Після цього плавно буде проводитися від’єднання класичних функцій. Ну і ясна річ, що про те, які конкретно опції інтернету необхідно відносити до новітніх, додатково буде обговорюватися в суспільстві розробників.
Порядок ніяк не відкидає цілком і повністю застосування колишніх посилань у вигляді протоколу http – замість цього всі вони почнуть перетворюватися в HTTPS використовуючи HSTS а також атрибут upgrade-insecure-requests (правила, які використовує сервер для здійснення переадресації всіх підряд запитів по безпечних каналах). Компанія Mozilla настійно рекомендує розробникам енергійніше під’єднуватися до зазначеного руху за підвищення безпечної роботи в мережі інтернет, а також задумує продемонструвати власні стандарти консорціуму W3C.
Рекомендую до прочитання: Яндекс. Острови
Заради стабільної експлуатації на особистому веб-сайті безпечного протоколу HTTPS адміну потрібно отримати сертифікат в який-небудь з уповноважених організацій. Mozilla свідчить, що навіть якщо, як правило, такі сертифікати реалізуються за грошові кошти, вже на сьогоднішній день можливо отримати безкоштовні сертифікати від StartSSL і WoSign. У другій половині 2015 року почне працювати інтернет-проект від самої організації Mozilla, під назвою let’s Encrypt, в якому буде дозволено в автоматичному режимі набувати дармові сертифікати.
Згодом того, як прецеденти глобальної стеження за інтернет-користувачами виявилися доведені, абсолютно всі веб-розробники безперервно збільшують заходи, покликані збільшити захищеність користувачів. Приміром, Google піднімає в рейтингу пошукової видачі сайти, функціонуючі по HTTPS.
Ну а тепер коротко про все, що написано вище і не тільки.
Для чого потрібен HTTPS
Принцип дії HTTPS
Для шифрування використовується спеціальний сертифікат, що складається з паблік ключа і приватного ключа. Один з яких використовується клієнтом, а другий сервером, для шифрування/розшифрування даних. Довжина ключа може бути 40, 56, 128 і 256 біт. Деякі старі версії браузерів використовують довжину ключа 40 біт, що пов’язано з експортними обмеженнями в США. Разом з цим використовуються і інші методи, такі як:
- алгоритм стиснення
- параметри шифрування
- ідентифікаційний номер сесії
Види сертифікатів:
- Звичайні – використовуються для одного домену
- Wildcard – мультидоменный сертифікат
- EV сертифікати (Extended Validation) – найвищий рівень довіри та захисту
- IDN сертифікати (Internationalized Domain Names) — з підтримкою національних доменів.
При придбанні сертифіката рекомендую звертатися до перевірених і популярним центрам сертифікації. Використовувати довжину ключа 256 біт. Якщо вам не потрібна додаткова перевірка, то можна сміливо брати і безкоштовний SSL сертифікат.
Якщо вам будуть говорити, що HTTPS не можна кешувати, для нього потрібен окремий IP або HTTPS повільний і його треба встановлювати тільки на сторінках реєстрації або оплати – НЕ ВІРТЕ! Це все казки.
Коротка інструкція по переходу на HTTPS
Редирект з http https
Apache
RewriteEngine On
RewriteCond %{HTTPS} =on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]
|
1 2 3 |
RewriteEngine On RewriteCond %{HTTPS} =on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L] |
На цьому все. Варто приготуватися на обнулення ТІЦ і обвал позицій сайту, але це не на довго, не хвилюйтеся. Ось відповідь Яндекса на запит про випаданні сайту з видачі:
У зв’язку з особливостями процесу зміни головного дзеркала ми не виключаємо помітна зміна позицій сайту в результатах пошуку, яке може спостерігатися протягом кількох оновлень пошукових баз. Вам необхідно трохи почекати.
–
З повагою, Платон Щукін
Служба підтримки Яндекса
http://help.yandex.ru/
