В глобальной сети мошенники и хакеры ежедневно пытаются украсть личную информацию. В прошлом самым популярным методом похищения считался фишинг. Злоумышленник подменяет оригинальный сайт, и данные от пользователя попадают в его руки (пароли, номера карт, личные сообщения и т. п.). Чтобы решить эту проблему создали защищенное HTTPS соединение. Поэтому администраторов сайтов часто волнует вопрос, как создать и настроить защищенное соединение https.
и зачем оно нужно
Перед переводом сайта на HTTPS соединение следует разобраться, что это такое и как оно работает. HTTPS является защищенным вариантом HTTP протокола (Hypertext в нем передаются необходимые данные для работы страниц (название браузера, разрешение экрана, наличие Cookie и т. п.).
HTTP используется разработчиками для передачи и получения переменных, без этого протокола сайты не смогут функционировать. Все файлы, передаваемые через HTTP, ранее можно было легко перехватить при помощи поддельного сайта (фишинг).
Подобным методом ранее воровались пароли, логины, номера карт, тайные сообщения и другая важная информация. Чтобы защитить пользователей от фишинга, были придуманы SSL сертификаты и проверка их подлинности перед началом обмена информацией.
HTTPS надо обязательно использовать на банковских сайтах или в онлайн магазинах. Если на этих ресурсах отсутствует то браузер запретит соединение, и высветится предупреждение об опасности. Как следствие, сайт потеряет доверие своих пользователей.
Что такое SSL/TLS сертификат
Главным нововведением в HTTPS является обязательное применение цифрового SSL сертификата. Это файл, в котором хранится вся информация (IP адрес сервера, страна сайта, E-mail владельца и т. п.). Цифровой документ находится в зашифрованном виде на сервере сайта и на сервере центра сертификации (GoDaddy, Comodo и т. п.). При каждом соединении эти файлы сравниваются, и если они одинаковы, то соединение продолжается. Иначе появляется предупреждение безопасности.
Многим читателям неизвестно, как сделать защищенное соединение https. Первым действием потребуется получить SSL сертификат у проверенного центра. Существуют разные типы данных документов:
- DV - подтверждают только домен (для небольших сайтов и блогов).
- OV - проверяется домен и организация.
- EV - расширенная проверка (появится зеленая полоса и замочек в браузере).
Наиболее предпочтительным для магазинов и банков считается EV вариант. Дальше идут дополнительные уточнения в виде:
- SGC (поддерживает старые браузеры).
- Wildcard (поддержка субдоменов).
- SAN (альтернативные домены в одном сертификате).
- IDN (поддержка национальных доменов www).
Для большинства сайтов достаточно использовать DV SSL сертификат. Он стоит недорого и гарантирует защиту от фишинга.
Как перевести сайт на защищенное соединение
Все чаще владельцев онлайн бизнеса интересует, как создать защищенное соединение https. Для этих действий придется внести некоторые изменения в программный код страниц. Наиболее важным является написать дополнительное правило в.htaccess файл. В нем хранится код, предназначенный для настройки Apache веб-сервера.
Большинство хостингов позволяют через панель управления настроить SSL сертификат для сервера. Подробнее о том, как это сделать, уточняйте у своего поставщика услуг. Весь процесс перевода сайта можно разделить на следующие этапы:
- Получение SSL сертификата.
- Установка сертификата на сервер.
- Изменение внутренних ссылок сайта.
- Настройка redirect на 301 порт.
- Изменение Hosts в robots.txt.
Если используются платные хостинги типа beget, то обратитесь в службу поддержки с сертификатом, и все дальнейшие действия выполнят работники сервиса. Наиболее сложным этапом при ответе на вопрос, как сделать https соединение, является настройка так как большинство скриптов не помогают.
Получение сертификата и его установка на сервер
Теоретически разобрались, как сделать https соединение, перейдем к действиям. Первым этапом необходимо получить SSL сертификат у одного из проверенных центров. В интернете можно найти множество различных вариантов в разном ценовом диапазоне. В нынешнее время для получения бесплатного документа существует 2 центра:
- WoSign.
- Startssl.
Остальные сервисы требуют оплаты. Сумма зависит от типа сертификата и его дополнительных особенностей (мультидоменность, поддержка старых браузеров и т. п.). Центры сертификации:
- Reg.ru.
- Godaddy.
- Hostland.
- Symantec.
- Comodo.
- GlobalSign.
- Thawte.
Кроме того, некоторые хостинги предоставляют своим пользователям SSL сертификаты при покупке определенного тарифного плана. На сайте сертификации подробно расписывают необходимые действия. Но вся процедура состоит из следующих этапов:
- генерация CSR запроса;
- заполнение почты сайта (admin@[адрес сайта]);
- заполнение информации о владельце домена (для EV и OV документа).
CSR запрос включает в себя общие данные для проверки организация, город, область, страна). После заполнения информации пользователь получает 2 кода (секретный ключ и CSR код), обязательно сохраните их в отдельный документ. Отправьте данный код для получения SSL сертификата и подождите его выдачу от центра.
Теперь перейдите на сайт хостинга и найдите раздел «SSL сертификат» или же обратитесь в поддержку. Потребуется предоставить информацию о CSR коде, приватном ключе и сертификате. Не забудьте включить поддержку SSL в панели хостинга.
Как создать https соединение на постоянной основе
После размещения файла на сервере нужно провести внутреннюю настройку сайта. Потребуется настроить редирект и изменить все внутренние ссылки с абсолютных на относительные.
То есть вместо http://site.ru/img/bg.png установить: //site.ru/img/bg.png.
Нужно убрать HTTP из названий ссылок. Если сомневаетесь, то позовите WEB-программиста или фрилансера, он быстро это настроит. Выискивать ссылки можно через редактор кода в каждом файле или же найти всю информацию через поиск в PhpMyAdmin.
После настройки ссылок нужно указать поисковикам об изменении. Откройте файл robots.txt и в строчке Host: вместо HTTP поставьте HTTPS.
Вместо http://example.ru вставьте: https://example.ru.
После изменения поискового файла настроим автоматическое Перед дальнейшими действиями проверьте доступность сайта на HTTPS протоколе. Если все прошлые действия выполнены правильно, то ошибок возникнуть не должно.
Для автоматического перенаправления на безопасное соединение вставьте этот скрипт в.htacess файл, некоторым помогает:
RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI}
Но в большинстве случаев этот метод не работает. В этих ситуациях обратитесь к администратору хостинга, он сумеет внести правильные настройки. Редирект начнет работать после перезапуска сервера, как правило, в течение 24 часов.
Кроме того потребуется изменить настройки в панели вебмастера "Яндекс" или Google. Потребуется в разделе настроек индексирования перейти в пункт главного зеркала и установить HTTPS. Кроме того, потребуется перенести:
- sitemap.xml;
- исключения URL;
- геолокацию;
- ссылки Disawov Tool для Гугла.
После этого остается подождать окончания переиндексации. В этот период активность на сайте уменьшится, но потом все стабилизируется.
соединение в WordPress
Современные блоги и порталы в основном работают на WordPress, им для перехода на https потребуется выполнить те же действия (получить сертификат, изменить ссылки и т. п.). Но у них есть набор встроенных плагинов, которые выполнят все действия за владельца:
- easy HTTPS Redirection;
- HTTPS (SSL).
Первый заменяет ссылки, а второй позволяет указать SSL сертификат. Кроме того, перейдите в раздел параметры->общие. Здесь нужно изменить URL и указать HTTPS протокол. Позаботьтесь, чтобы старые страницы тоже имели защищенное соединение. После изменения ссылок проведите настройку редиректа и измените файл robots.txt.
Больше не должно возникать вопросов, как сделать https соединение на сайте. На большинстве хостингов для включения защитного режима нужно лишь написать в техподдержку. Они назначат специалиста, и он сам выполнит настройку.
Адресная строка в браузерах чаще всего внимания не привлекает, если не требуется перейти по ссылке, скопированной откуда-то в буфер обмена. Иногда мы смотрим туда, чтобы удостовериться в верности перехода, особенно это касается случаев с быстрым и нечестным редиректом. Но если все же смотрим, то порой замечаем необычное состояние: висит какой-то замочек, цвет шрифта другой, а вместо привычного http:// видим почему-то https://. Сразу и не понять, то ли занесло куда-то, то ли что-то в мире изменилось, то ли память подводит. Попробуем разобраться.
Определение
HTTP — прикладной протокол передачи данный, используемый для получения информации с веб-сайтов.
HTTPS — расширение протокола HTTP, поддерживающее шифрование по протоколам SSL и TLS.
Сравнение
Разница между HTTP и HTTPS заметна уже из определений. HTTPS — не самостоятельный протокол передачи данных, а HTTP с надстройкой шифрования. В этом ключевое и единственное отличие. Если по протоколу HTTP данные передаются незащищенными, то HTTPS обеспечит криптографическую защиту. Используется это там, где авторизация ответственна: на сайтах платежных систем, почтовых сервисах, в социальных сетях.
Если данные не защищены по SSL, то запущенная в недобрый момент программа-перехватчик позволяет воспользоваться ими злоумышленнику. Технически реализация HTTPS несколько сложнее: для этого защищаемый сайт должен иметь в пользовании сертификат сервера, который пользователь принимает или не принимает. Такой сертификат устанавливается на сервер, обрабатывающий соединения. Шифруются и данные, полученные клиентом, и данные, полученные от него. Для проверки, тот ли клиент их получает и предоставляет, используются ключи шифрования.
Еще одно техническое отличие — в портах, используемых для доступа по протоколу HTTP и HTTPS. Первый обычно взаимодействует с портом 80, второй — с портом 443. Открыть для тех же целей другие порты может администратор, но совпадать они никогда не будут.
Выводы сайт
- HTTP — непосредственно протокол передачи данных, HTTPS — расширение этого протокола.
- HTTPS используется для защищенного посредством шифрования обмена данными.
- HTTPS применяется в том числе и для авторизации на серверах, требующих повышенного внимания к безопасности данных.
- HTTP работает с портом 80, HTTPS — с портом 443.
Может возникнуть ошибка «http». Многие после этого начинают анализировать свои последние действия, произведённые в WordPress, но большинство просто ума не приложат, что произошло, ведь ничего «плохого» вроде не делалось. Если просмотреть ответы в интернете на вопрос «почему выдает ошибку http при загрузке изображений», то можно найти несколько рекомендаций, которые способны устранить эту ошибку.
Рекомендации, которые помогут устранить ошибку при загрузке изображений «http»
Первая рекомендация – просмотреть весь список установленных плагинов и отключить все ненужные. Потребуется также отключить все плагины и включать их по одному, после чего смотреть действие их работы на вашу площадку. Таким образом, может быть заработает загрузка фото, но далеко не факт, что сможете обнаружить именно тот плагин, который выдает ошибку. Если есть время и терпение – испробуйте эту рекомендацию, но нам она показалась слишком хлопотной, поэтому мы оставили этот вариант про запас.
Вторая рекомендация утверждает, что вся проблема может заключаться в сервере, на котором расположена ваша площадка. Но если у вас есть еще сайты, которые работают у этого хостера, и с ними все в полном порядке, то значит, ошибка кроется где-то в самом сайте. Если же сайт один, то все же обратитесь к хостеру, вдруг проблема кроется действительно в нем.
Тут также заметим, что не всегда рационально обновляться до версии, которая только-только вышла.
Как правило, она содержит множество полезных нововведений/обновлений, но вот не все разработчики плагинов успевают вносить корректировки в свои продукты. То есть если сейчас у вас все хорошо, то торопиться с обновлением движка не особо стоит.
Четвертый совет – добавить в файл.htaccess такой код:
SecFilterEngine Off
SecFilterScanPOST Off
Размещать вышеуказанный код необходимо в конец или начало файла, после чего все может начать работать.
Следующий совет – вставить в файл.htaccess код, при помощи использования FTP-загрузчика:
SecFilterEngine Off
SecFilterScanPOST Off
Заметим, что если уже такой код у вас есть в файле, то его потребуется переписать, то есть заменить новым. Попробуйте выполнить загрузку медиафайла сейчас; более того, загружать файлы вы сможете в неограниченном количестве. Мы неоднократно замечали, что в одном случае, если вставить код в начало файла, то все будет работать; при вставке кода на другом сайте в начало файла ничего не срабатывало, но все начинало работать, как только код был перемещен в конец файла.
Стоит запомнить, что после обновления Вордпресс этот файл может легко переписать и ошибка может возникнуть снова. Чтобы этого не происходило, рекомендуем сохранить бекап файла себе на компьютер и в случае чего выгружать его на сервер через FTP.
Еще одна рекомендация – установка плагина WPupload, которая заменяет по дефолту загрузчик WordPress на новый (он поддерживает HTML5, Flash, BrowserPlus и т.п.). Впрочем, новый плагин может добавить и новых проблем на сайте, но, во всяком случае, он устранит эту ошибку при загрузке изображений «http».
Из всего вышесказанного следует простой вывод: если хотите, чтобы ваш сайт стабильно работал, не спешите с . Новая версия хоть и обещает быть более функциональной и безопасной, но сторонние разработчики не всегда успевают оптимизировать под новые версии свои продукты (из-за этого и может выскакивать ошибка «http»).
Часто ли у посетителей Вашего сайта (интернет-магазина, или другим видом обработки персональных данных) возникают сомнения: можно ли доверять данному ресурсу?
В далеком 1994 году ребята из Netscape Communications позаботились об особо подозрительных пользователях всемирной сети и придумали волшебную штуку — HTTPS.
Что такое HTTPS?
HTTPS (HyperText Transfer Protocol Secure) - расширение протокола HTTP, для поддержки шифрования в целях защиты и повышения уровня безопасности персональных данных пользователей. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.
Да-да, довольно сложно и не очень понятно. .
Если говорить более простым языком, протокол шифрует важные данные, вводимые пользователем на сайте (например, данные паспорта, номер карты и т.д), а далее эта информация передается по открытым канал (интернет-провайдер, хосты) и поступает на нужный сервис.
Например, пользователь Сбербанк.Онлайн отправил данные в текстовом формате (текст “123”) через сайт с https. К этим данным на сервере отправителя (???) прикрепляется ключ, шифрующий введенные данные. Таким образом, отправленные данные невозможно перехватить с помощью сторонних программ.
Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS. Именно эти протоколы поддерживают зашифрованное соединение между сервером и браузером пользователя .
Что думают поисковики об https?
Гугл однозначно за шифрование трафика. И в обновленной 56 версии Google Chrome сайты уже помечены как надежный (на https) и ненадежный (на http):
При этом справедливо отметить, что переход на безопасный протокол — далеко не первостепенный фактор ранжирования. Однако нет сомнений, что в дальнейшем вес https будет только расти.
Что касается Яндекса — официальной информации по этому поводу нет, но при этом все сервисы компании уже перешли на защищенный протокол.
Очевидно, что на данный момент переход на безопасный протокол не сдвинет Ваш сайт в выдаче на ряд позиций вверх и что с точки зрения ранжирования это скорее работа на перспективу. Однако нужно понимать, что главное преимущество протокола https — безопасность данных ваших посетителей
. Поэтому для повышения доверия к вашему сайту и компании в целом переход на безопасный протокол будет крайне полезен.
3 этапа перехода сайта с http на https
Шаг 1: cертификат безопасности SSL
Приобрести и настроить сертификат безопасности (SSL), выданный удостоверяющим центром
SSL (Secure Socket Layer) — сертификат, это индивидуальная цифровая подпись вашего домена. Вы можете выбрать любой из 5 видов сертификата безопасности :
Самоподписанный
Из названия понятно, что его может создать любой пользователь на домен или IP адрес, т.е. подтверждения от удостоверяющего центра здесь нет, выдает и подписывает сам пользователь .
- бесплатный;
- можно создать неограниченное количество раз;
- при переходе будет уведомление, не является подлинным
- имеет короткий срок службы;
- некоторые браузеры могут не поддерживать и страница не будет открываться;
- не распространяется на поддомены;
- не поддерживает URL на кирилице.
Domain Validation (Валидация по домену)
Один из самых распространенных сертификатов начального уровня .
- готовность в течении пары часов
- подходит для большинства сайтов
- распространенный, легко доступен
- невысокая стоимость
- выдается на один домен (при смене придется покупать еще раз)
- действует от года до 3 лет
- минимум личных данных на сайте
- не поддерживает URL на кирилице
Бизнес уровень, более защищенный, сертификат является универсальным и чаще всего им пользуются интернет-магазины, сайты услуг, порталы. Выдается исключительно юридическим лицам , при оформлении происходит проверка домена и организации.
- высокий уровень защиты
- срок выдачи от 3 до 10 раб дней
- стоимость дороже
Сертификаты высокого статуса для средних и крупных компаний его используют банки , платежные системы, крупные сервисы, госструктуры т.д
- среди SSL-сертификатов самый высокий класс защиты
- прибавляется вес и авторитетность ресурса
- высокая стоимость
Wildcsrd (поддомен)
Надстройка для сертификатов, защита всех прямых поддоменов указываемых
Шаг 2: настройка данных в системах аналитики
- Яндекс.Вебмастер. Необходимо на старом домене с указанием новой директивы host и указать главное зеркало. У ведомить поисковую систему о новом протоколе.
- Яндекс.Вебмастер — Индексирование — Переезд сайта.
- Только после того как в Яндекс.Вебмастер появится соответствующие изменения настраиваем 301 редирект (важно только после того как появится уведомление, что сайт доступен на https настраиваем 301 редирект)
- В Google Analytics меняем представителя с http // на https
Шаг 3: обновляем внутренние ссылки
Старые ссылки, увы, не будут работать, меняем ссылки в контенте, в стилях CSS, в скриптах, шаблонах на https . Были http//site.ru станут https//site.ru. Существует большое количество утилит, плагинов для автоматической замены старых ссылок.
На WP, например, можно воспользоваться плагином Velvet Blues Update URLs
Обновляем изображения (при необходимости). Рекомендуем прописывать и ссылки и путь к изображениям без указания домена, а в формате /uplods/photo/sertifikat https)
Карту сайта , файл . Проверяем, чтобы был указан исключительно протокол https.
Подведем итог:
Чтобы улучшить доверие пользователей и поисковых систем к вашему сайту с помощью переезда домена на https, нужно технически реализовать 3 вещи:
- Получить и настроить сертификат безопасности (SSL), подходящий вашему сайту.
- Дать понять поисковым системам что ваш сайт изменил адрес (переехал с http на https).
- Произвести внутреннюю оптимизацию сайта с учетом нового доменного имени.
Столкнулись с трудностями при переезде с http на https? Или хотите их избежать? Закажите у нас seo-аудит и мы поможем Вам со сменой домена.
Подпишись и следи за выходом новых статей в нашем
