31.03.2017 07:23
VikSidorenko 25 4100 Источник


После новости о том, что с 1.01.2017 сайты, на которых собираются данные кредитных карт или пароли, будут отмечаться в браузере Google Chrome как потенциально опасные для пользователей, мы начали переводить сайты клиентов на защищенный протокол.

Небольшой алгоритм того, как выбрать SSL-сертификат, установить его и провести переезд с наименьшими потерями времени.

Чего хочет Google?


Google заботится о своих пользователях и хочет, чтобы сайты, на которые попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом.

Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Резюмируя


  • Работа через HTTPS-протокол обеспечивает безопасный обмен информацией между сайтом и девайсом пользователя
  • Повышает доверие к сайту и поддерживает его репутацию
  • Чтобы перейти на HTTPS, нужно установить SSL-сертификат

Как работает SSL-сертификат?


  • Для корректной работы HTTPS используется сертификат, состоящий из открытого и приватного ключа.
  • Первый нужен клиенту, другой — серверу для шифрования и дешифрования запросов.

Для повышения безопасности передачи данных используются и другие средства защиты. Например, идентификационный номер сессии, алгоритм сжатия данных, параметры шифрования и др.

Каким типам сайтов нужен SSL в первую очередь?


  • Интернет-магазинам
  • Сайтам с личным кабинетом
  • Сайтам, где есть формы связи, собирающие контакты и т.п.

Алгоритм выбора SSL-сертификата для сайта


Шаг 1. Определите особенности сайта
  • Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
  • Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
  • Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
  • Если у вас кириллистический домен, то берите IDN-сертификат
  • В случае кириллического домена с поддоменами — Wildcard+IDN

Шаг 2. Домен оформлен на физическое или юридическое лицо?
  • Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
  • Домен оформлен на юридическое лицо — покупайте любой сертификат

Шаг 3. Насколько крупный сайт?
  • Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
  • В случае интернет-магазина, государственного учреждения или корпоративного сайта организации, желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
  • Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат




Покупаем и устанавливаем SSL-сертификат — 7 простых шагов


Шаг 1. Переходим на страницу заказа SSL-сертификатов.
Шаг 2. Выбираем нужный тип сертификата.



Шаг 3. Генерируем CSR-запрос.
CSR (Certificate Signing Request) — запрос на получение сертификата. Это текстовый файл, содержащий открытый ключ и закодированную информацию об администраторе домена.



Важно! Обязательно сохраните полученный при генерации CSR-запроса файл ключа. Он еще понадобится.

Шаг 4. Заполняем анкетные данные сертификата (на английском языке), оплачиваем услугу любым удобным способом.

Шаг 5. Подтверждаем владение доменом. Потребуется электронная почта в зоне вашего домена, куда будет отправлено письмо с кодом. Вы можете перейти по ссылке в письме или скопировать код и ввести его на странице центра сертификации.



Важно! Письмо может быть отправлено только на «approver email», который вы указываете при заказе сертификата.

При необходимости отправку письма подтверждения SSL-сертификата можно повторить.



Письмо подтверждения выглядит так:



После перехода по ссылке попадаем на сайте на страницу:



Шаг 6. Дожидаемся выпуска сертификата и скачиваем его с сайта сертификационного центра или сайта-партнера.

Шаг 7. Устанавливаем сертификат на хостинг, где размещается сайт. Для этого используем файл(ы) сертификата и файл ключа, полученный на 3-м шаге.

Предварительная подготовка сайта к переходу на https



Подготовка проходит в девять этапов. Вначале меняем все ссылки на страницы сайта (и элементы страниц), для которых устанавливается защищенное соединение.

Весь контент сайта, в том числе внешние модули, фото и скрипты, тоже должен подгружаться по протоколу https. Иначе браузер посчитает, что на странице есть небезопасные материалы и не покажет в адресной строке зеленый значок. Несмотря на то, что страница будет загружена по https.



Самая распространенная ошибка — размещение на сайте, который работает по https, не только защищенного, но и обычного контента. В таких случаях один или несколько элементов (обычно изображения, скрипты, Flash-файлы или CSS) загружаются на странице https с использованием незащищенного внешнего URL, начинающегося с .

Список незащищенных элементов на страницах со смешанным содержанием можно найти в консоли JavaScript (в некоторых браузерах она может называться отладчиком JavaScript) либо в инструментах разработчика браузера.




Весь контент на сайте должен быть подключен по безопасному протоколу.

Убедитесь, что SSL-сертификат корректно настроен. Получить подробный анализ конфигурации SSL можно с помощью специального сервиса.



Версия сайта с https должна быть доступной и работать без ошибок, как и версия с http. Для обеих версий файл robots.txt должен быть одинаковым.



Важно! Ранее рекомендовалось использовать параллельно два файла robots.txt и на период переклейки в Яндекс закрыть https-версии сайта от индексации Google. Сейчас этого не требуется. Был протестирован и утвержден вариант без закрытия от индексации в Google. Если доступны обе версии сайта, Google по умолчанию показывает в выдаче https-версию, а Яндекс делает это только после переиндексации.

В robots.txt директивы sitemap и host должны быть указаны с протоколом https. Также проверяем для https-версии: протокол в rel=”canonical” (указывает на каноническую версию страницы) и протокол в rel=”alternate” (указывает на страницы других языковых версий или на мобильную версию сайта).

Это значит, что https-версия является главным зеркалом.

Если все сделано верно, результат будет выглядеть так:



Добавляем обе версии сайта в Вебмастер Яндекса, указываем предпочтительный протокол в разделе «Настройка индексирования – Переезд сайта».



В Google Search Console добавляем сайт с протоколом https и подтверждаем права.

Google понимает, что http и https являются разными протоколами одного и того же сайта. Если он найдет работающий https протокол, по ходу переиндексации контента заменит http на https. Это произойдет даже без перенаправления и добавления https-версии в Google Search Console.

Ждем переиндексации сайта в Яндекс. Это произойдет, когда в индекс зайдут версии страниц с https, а версии с http выпадут из него.

Переклейка начинается через 2–3 недели. К сожалению, повлиять на ее скорость невозможно — это автоматический процесс.

Когда начнется переклейка, в Вебмастере Яндекса появится уведомление:



Также можно увидеть, что https-версия стала отображаться как основная:



Неглавное зеркало начнет выпадать из индекса Яндекса, главное — попадать в него:



У крупного ресурса все страницы не переиндексируются мгновенно.

После склейки сайтов настраиваем постраничный 301-редирект со страниц с http на страницы с https (за исключением файла robots.txt).

Нежелательно делать это прежде чем сайты будут признаны зеркалами. Иначе по правилам Яндекса при обработке перенаправлений страницы с редиректами исключатся из поиска.
На период склейки зеркал сайт должен оставаться доступным по обоим адресам.

Для перенаправления с http:// на https:// в .htaccess можно воспользоваться тремя способами:

  • ручной корректировкой файла htaccess;
  • настройкой редиректов через панель управления хостингом;
  • написанием программного скрипта настройки редиректов.

Что еще нужно помнить?


  • Базовый алгоритм перевода сайта на https, который используем при переездах, доступен по ссылке.
  • Удостоверьтесь в работоспособности и наличии доступов к почтовому ящику, на который высылается письмо со ссылкой на подтверждение выпуска сертификата.
  • Созданная версия с https доступна наряду с версией с http. Причем в robots.txt должна быть прописана строчка, указывающая на то, что https-версия является главным зеркалом.
  • После того как сайты склеятся, нужно настроить редирект с http на https.
  • Если домен https был признан зеркалом домена http до переклейки (то есть https-версия была признана неглавным зеркалом), нужно расклеить зеркала, а затем выбрать https-версию в качестве главного зеркала.

Спасибо за внимание!
Поделиться с друзьями
-->

Комментарии (25)


  1. justabaka
    31.03.2017 10:33
    #10146402
    +9

    Статья-твит с водой и картинками на 14 экранов. И это после всех чудесных статей про использование Let's Encrypt, настройку nginx и тюнинг для получения А+ от SSLLabs, серьезно?


  1. AotD
    31.03.2017 10:35
    #10146416
    +5

    Let's Encrypt забыли


    1. ice2heart
      31.03.2017 10:56
      #10146492

      Ага, с Caddy это вообще просто
      https://[yoursite] {
      tls [your_mail@smth.com]
      gzip
      root ./www
      }


  1. aalebedev
    31.03.2017 10:47
    #10146454
    +1

    Такой вопрос, смысл покупать OV, вместо DV? Как отличить даже не каждый WEB разработчик знает. Какая разница для пользователя? Может OV и DV будут больше различаться визуально?


    1. VikSidorenko
      31.03.2017 12:52
      #10146794

      Алексей, спасибо за вопрос. DV подтверждает доменное имя, без проверки организации, OV, соответственно, с проверкой. Во втором случае название вашей компании выводится в сертификате. По сути разница лишь в том, что таким образом вы можете подтвердить наличие организации и повысить доверие у пользователей (пример: вы покупаете принтер популярной марки в интернет-магазине, посмотрев данные SSL-сертификата, вы можете убедиться, что приобретаете технику в той самой известной компании, а не у перекупщиков).


  1. ilyaplot
    31.03.2017 11:00
    #10146506
    +2

    Простите, не зашло. Вот бывает, что заходишь ты на страницу, а там информация лежит красиво, подана с уважением. Ты читаешь ее до самого конца, наслаждаясь каждой строчкой, любуешься каждой картинкой. Ты получил удовольствие от поста.
    Тут все наоборот. Ты заходишь на страницу, а оттуда тебе автор поста из ведра с дерьмом окатил горой скриншотов с презнетахами, как будто хочет что-то срочно продать.

    P.S. вы упоминаете особенности свежего Chrome и flash. Возможно, я вас огорчу, но теперь все забудут flash.


    1. Rampages
      31.03.2017 11:39
      #10146626

      Честно говоря, заходя под кат, думал, что тут очередная статья на тему «как прикрутить Let's Encrypt к вашему сайту», оказалось информации гораздо больше и немного на другую тему. Хотя конечно по существу лучше было бы сначала объяснить кому подойдут бесплатные сертификаты Let's Encrypt, а кому нужны платные.


  1. sim-dev
    31.03.2017 11:36
    #10146612
    +1

    Если все пекутся о безопасности, то SSL сертификаты следует раздавать бесплатно. Другое дело, что все пекутся о прибыли…


    1. lair
      31.03.2017 11:50
      #10146650

      … ну так и раздают же.


  1. UksusoFF
    31.03.2017 12:03
    #10146672

    Особенно смешно смотрится это все на фоне этой и этой статьи.


    1. DaylightIsBurning
      31.03.2017 12:49
      #10146780

      Бандиты пользуются русским языком для сговоров — давайте запретим русский язык!


  1. Skey67
    31.03.2017 12:19
    #10146708

    Хорошая, достаточно полная инструкция по переходу на https, думаю, изначально автор ориентировался больше на SEO-специалистов и владельцев сайтов.

    Те, кто только собирается подключать сертификат, обязательно прочитайте информацию о склейке зеркал в Яндексе и настройке редиректов, обычно в статьях по переезду об этом не пишут, но очень важно сделать это правильно.


  1. batmanman
    31.03.2017 12:19
    #10146710
    -1

    Полезная статья! Спасибо!


  1. alfenstain
    31.03.2017 12:53
    #10146796
    -1

    Честно говоря, всерьез не задумывался о подключении сертификата, пока не прочитал эту статью о влиянии протокола https на seo. На досуге надо будет подробнее изучить особенности различных сертификатов. Спасибо за информацию!!!
    На самом деле все наглядно и просто, даже инструкция есть. В принципе очень хорошие советы по выбору сертификатов для начинающих и все подводные камни описаны, с которыми можно столкнуться.
    И самое главное, что сертификат DomainSSL на Reg.ru на целый год бесплатно дают, за это время сайт можно продвинуть основательно :)


  1. alina67
    31.03.2017 12:53
    #10146798
    -1

    Статья полезная и информационная! Спасибо автору.
    После прочтения статьи, приступаю к выбору сертификата для своего сайта.


  1. driverfans
    31.03.2017 13:07
    #10146822

    Рекомендации яндекса это всего-лишь рекомендации и не факт что они сработают, при переезде изначально редиректил все старые адреса на новые c https, потери трафика на 1 — 1,5 месяца 7% Яндекс, Google обошелся без потерь.

    Я конечно могу ошибаться, но скорее всего переезда вообще без потерь не бывает.

    А по поводу сертификатов как писали выше так и не прояснилось для каких именно задач не подойдет lets encrypt


    1. VikSidorenko
      31.03.2017 13:18
      #10146854
      -1

      Артем, если у вас личный блог или просто информационный сайт, и вы готовы перегенерировать сертификат каждые 90 дней, то в принципе можно пользоваться бесплатным lets encrypt, а если у вас инетернет-магазин с онлайн оплатой, плюс личные кабинеты с данными пользователей, то бесплатные сертификаты использовать нельзя.


      1. Sky4eg
        31.03.2017 13:24
        #10146880
        +1

        А что плохого в том, чтобы обновлять сертификат раз в три месяца? При всем при том что этот процесс легко автоматизируется. И чем плох Let's encrypt для личных кабинетов и онлайн платежей?


      1. driverfans
        31.03.2017 13:33
        #10146904

        Настройка cron дает возможность без проблем генерировать новый сертификат без участия пользователя, а утверждение о том что бесплатный сертификат юзать для инет-магазинов нельзя в корне неверно.


      1. Pinsky
        31.03.2017 13:43
        #10146932

        Не путайте Self Signed и полноценный сертификат полученный бесплатно.


      1. lair
        31.03.2017 14:55
        #10147106

        если у вас инетернет-магазин с онлайн оплатой, плюс личные кабинеты с данными пользователей, то бесплатные сертификаты использовать нельзя.

        Почему?


      1. thunderspb
        31.03.2017 14:57
        #10147114

        Да, почему это нельзя летсэнкриптовские использовать?


        но меня больше самое начало поразило....


        После новости о том, что с 1.01.2017 сайты, на которых собираются данные кредитных карт или пароли, будут отмечаться в браузере Google Chrome как потенциально опасные для пользователей, мы начали переводить сайты клиентов на защищенный протокол.

        Старая русская традиция "пока петух в ж… не клюнет"? Т.е. раньше вам было пофигу на "потенциально опасные для пользователей"? Антиреклама получается :)


  1. SamVimes
    31.03.2017 13:16
    #10146844
    +2

    Статья, которая объясняет зачем нужен SSL. (Таких что, не было? На кого это рассчитано вообще?)
    С примерами покупки сертификата на конкретном платном сервисе (реклама, не?).
    Платить за SSL, когда есть Let's Encrypt. Да, EV и OV у них нет, но я правда сомневаюсь, что тем, у кого ещё нет SSL-сертификата, нужны именно OV и EV. Ну сириусли, зачем всё это здесь?
    Ну и "спасибо"-комменты, написанные людьми, с датой регистрации 31 марта 2017 года в 12:00 (модераторы, аллоу).


  1. ideological
    31.03.2017 14:40
    #10147068

    Просто рекламная статья, и как показалось несколько неестественных комментариев.
    Стоит добавиться в Компании.


  1. Agel_Nash
    31.03.2017 15:04
    #10147128

    primer-domena.(ru|com|org|etc)