Перехід на HTTPS

148

Всім привіт! Засновник знаменитого інтернет-браузера Firefox, міжнародна корпорація Mozilla почне потроху відмовлятися від використання протоколу HTTP в бік зашифрованого протоколу HTTPS. Дане рішення народилося в результаті багатосторонніх, а також лютих суперечок масштабної електронному листуванні.

Що таке HTTPS

Для тих, хто не в курсі, що це таке. HTTPS (Secure Hyper Text Transfer Protocol) — розширення протоколу HTTP з включеною функцією захисту переданих даних. Збереження даних досягається за допомогою протоколу SSL (Secure Sockets Layer) або TLS (Transport Layer Security) – протоколів безпеки, що гарантують конфіденційну зв’язок всередині Інтернету. Завдяки цим протоколам інформація, яка передається між клієнтом і сервером, не може бути перехоплено.

HTTPS служить для передачі криптографічного (недоступною для сторонніх) інформації в WWW. Стандарт був розроблений для підтримки передачі даних HTTP (всередині якого дані з web-сервера передаються браузеру клієнта у відкритому вигляді). HTTPS — це метод аутентифікації web-сервера, який використовує цифрові сертифікати для забезпечення надійності цілої області Інтернету або окремого web-сервера. Дані, що передаються по протоколу HTTP, «упаковуються» криптографічний протокол SSL або TLS, завдяки чому забезпечується захист цих даних.

Глобальний перехід на HTTPS

Період широкого переведення на шифрування почне відбуватися у дві стадії. Спочатку оберуть число, по настанню якої абсолютно весь цей функціонал стане підтримуватися виключно на HTTPS-вебсайтах. Після цього плавно буде проводитися від’єднання класичних функцій. Ну і ясна річ, що про те, які конкретно опції інтернету необхідно відносити до новітніх, додатково буде обговорюватися в суспільстві розробників.

Порядок ніяк не відкидає цілком і повністю застосування колишніх посилань у вигляді протоколу http – замість цього всі вони почнуть перетворюватися в HTTPS використовуючи HSTS а також атрибут upgrade-insecure-requests (правила, які використовує сервер для здійснення переадресації всіх підряд запитів по безпечних каналах). Компанія Mozilla настійно рекомендує розробникам енергійніше під’єднуватися до зазначеного руху за підвищення безпечної роботи в мережі інтернет, а також задумує продемонструвати власні стандарти консорціуму W3C.

Рекомендую до прочитання: Яндекс. Острови

Заради стабільної експлуатації на особистому веб-сайті безпечного протоколу HTTPS адміну потрібно отримати сертифікат в який-небудь з уповноважених організацій. Mozilla свідчить, що навіть якщо, як правило, такі сертифікати реалізуються за грошові кошти, вже на сьогоднішній день можливо отримати безкоштовні сертифікати від StartSSL і WoSign. У другій половині 2015 року почне працювати інтернет-проект від самої організації Mozilla, під назвою let’s Encrypt, в якому буде дозволено в автоматичному режимі набувати дармові сертифікати.

Згодом того, як прецеденти глобальної стеження за інтернет-користувачами виявилися доведені, абсолютно всі веб-розробники безперервно збільшують заходи, покликані збільшити захищеність користувачів. Приміром, Google піднімає в рейтингу пошукової видачі сайти, функціонуючі по HTTPS.

Ну а тепер коротко про все, що написано вище і не тільки.

Для чого потрібен HTTPS

  • Найголовніше – він потрібен відвідувачам вашого сайту
  • Потрібен для підвищення довіри з боку користувачів і пошукових систем
  • Збільшується репутація вашого сайту
  • Статистика переходів на ваш сайт стає набагато точніше
  • HTTPS додано до фактори ранжирування пошукових систем
  • HTTP скоро взагалі зникне
  • Принцип дії HTTPS

    Для шифрування використовується спеціальний сертифікат, що складається з паблік ключа і приватного ключа. Один з яких використовується клієнтом, а другий сервером, для шифрування/розшифрування даних. Довжина ключа може бути 40, 56, 128 і 256 біт. Деякі старі версії браузерів використовують довжину ключа 40 біт, що пов’язано з експортними обмеженнями в США. Разом з цим використовуються і інші методи, такі як:

    • алгоритм стиснення
    • параметри шифрування
    • ідентифікаційний номер сесії

    Види сертифікатів:

    • Звичайні – використовуються для одного домену
    • Wildcard – мультидоменный сертифікат
    • EV сертифікати (Extended Validation) – найвищий рівень довіри та захисту
    • IDN сертифікати (Internationalized Domain Names) — з підтримкою національних доменів.

    При придбанні сертифіката рекомендую звертатися до перевірених і популярним центрам сертифікації. Використовувати довжину ключа 256 біт. Якщо вам не потрібна додаткова перевірка, то можна сміливо брати і безкоштовний SSL сертифікат.

    Якщо вам будуть говорити, що HTTPS не можна кешувати, для нього потрібен окремий IP або HTTPS повільний і його треба встановлювати тільки на сторінках реєстрації або оплати – НЕ ВІРТЕ! Це все казки.

    Коротка інструкція по переходу на HTTPS

  • Зміна посилань на сайті і приведення їх до відносного увазі. Прибираємо назва протоколу http://site.com, міняємо його на //site.com
  • Змінюємо розташування медіа. Застосовуємо HTTPS або відносні посилання, як у першому пункті, до всіх відео, презентацій, підкастів, картинок…
  • Перевіряємо підключення зовнішніх скриптів, якщо вони будуть з HTTP, буде показуватися значок про “Небезпечному з’єднанні”.
  • Купуємо сертифікат або реєструємо безкоштовно
  • Встановлюємо на сервер і налаштовуємо директиву Host, а так само 301 редирект з HTTP HTTPS. У файлі robots.txt поміняйте директиву Host на https://site.com, а у файлі .htaccess пропишіть:
    Редирект з http https
    Apache
    RewriteEngine On
    RewriteCond %{HTTPS} =on
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

    1
    2
    3
    RewriteEngine On
    RewriteCond %{HTTPS} =on
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

  • Прописуємо нову версію сайту в панель Вебмайстрів Яндекса і Google, тобто просто додаємо https-версію сайту, стару версію не видаляємо.
  • Встановлюємо головне дзеркало сайту HTTPS версію (для Яндекса).
  • На цьому все. Варто приготуватися на обнулення ТІЦ і обвал позицій сайту, але це не на довго, не хвилюйтеся. Ось відповідь Яндекса на запит про випаданні сайту з видачі:

    У зв’язку з особливостями процесу зміни головного дзеркала ми не виключаємо помітна зміна позицій сайту в результатах пошуку, яке може спостерігатися протягом кількох оновлень пошукових баз. Вам необхідно трохи почекати.

    З повагою, Платон Щукін
    Служба підтримки Яндекса
    http://help.yandex.ru/