Сейчас ваш сайт работает по протоколу HTTP или HyperText Transfer Protocol. Браузер пользователя и сервер, на котором вы хоститесь, постоянно обмениваются информацией по системе “запрос-ответ”. Проблема в том, что между браузером вашего клиента и сервером может вклиниться кто-то третий и перехватить информацию. Если сайт запросил CVV банковской карты или еще какие-то личные данные, то пострадает и пользователь, и ваша репутация. Для того, чтобы избежать этого, был придуман протокол HTTPS – расширение привычного протокола. Он отличается тем, что передача данных становится зашифрованной.
Для чего нужен HTTPS
Если вы хотите сберечь доверие и кошельки своих клиентов, имеет смысл уже сейчас приобрести ssl-сертификат для домена и перевести свой сайт на HTTPS-протокол.
По умолчанию все обмены данными по HTTP – открытые. Зашифровать данные и сделать их недоступными для злоумышленников – задача HTTPS-протокола. Шифруются как данные, которые идут от пользовательского браузера к серверу, так и обратные.
В первую очередь перевод сайта на HTTPS нужен тем, кто:
- продает через сайт и, следовательно, запрашивает данные банковских карт;
- собирает информацию о пользователях через авторизацию, подписки и так далее.
В будущем шифрование будет необходимо всем. Уже сейчас сайты, перешедшие на HTTPS, имеют небольшое преимущество в ранжировании. Новые версии браузера Google Chrome помечают сайты с HTTP как незащищенные. Пользователи чувствуют себя в безопасности, если приходят на сайт, адрес которого начинается с HTTPS.
Для того, чтобы начать переход, нужно приобрести ssl-сертификат и установить его на своем сайте.
Что такое SSL-сертификат
SSL – это протокол шифрования, защищающий соединение между пользовательским браузером и сервером. При закрытом обмене шифруются как данные, которые посылает сервер, так и данные, которые идут от пользователя. Для безопасности и нужен SSL-сертификат - своеобразный паспорт сайта. Он показывает браузеру пользователя, что данные ушли именно к вам, а не к кому-то третьему. Предъявления такого паспорта вы не заметите, потому что верификация занимает доли секунды. SSL-сертификаты бывают:
- DV (с проверкой домена) – самые простые, доступные физическим лицам. Удостоверяют, что сайт принадлежит именно вам. Их выдают быстрее всего, для получения не нужно специальных документов - достаточно перейти по ссылке в письме или установить сертификат у себя на сайте в корневой папке;
- OV (с проверкой организации) – здесь придется предъявить документы о вашей деятельности, сертификаты, примеры счетов, возможен проверочный звонок;
- EV (расширенная проверка) – такие сертификаты доступны только юридическим лицам, проверка самая строгая. Обычно EV получают банки, крупные корпорации. Потребуется пакет документов о деятельности компании. Для пользователя сайт, защищенный EV-сертификатом отличается зеленым цветом адресной строки.
Сертификаты различают еще и в зависимости от количества защищаемых доменов. Они бывают мультидоменные, а также с защитой поддоменов вашего домена. Если у вас кириллический адрес, вам понадобится сертификат с поддержкой кириллицы.
Где купить SSL
SSL-cертификаты выпускают центры сертификации. Крупных центров в мире несколько, их цены немного отличаются. Новичку бывает сложно разобраться в том, какой именно сертификат выбрать.
Чтобы при покупке получить поддержку на понятном языке и много справочного материала, можно обратиться на SSLcertificate.ru. За счет скидок здесь можно сэкономить почти вдвое.
Сертификат куплен - что теперь делать
Вам нужно установить сертификат и перевести свой сайт на протокол HTTPS.
Делать это нужно так:
- Сгенерируйте СSR-запрос (Certificate Signing Request) и получите ключи к сертификату.
- Активируйте и загрузите сертификат. При загрузке вам нужен будет CSR-ключ, полученный после создания CSR-запроса.
- Переведите сайт на новый протокол.
Способ загрузки будет чуть отличаться в зависимости от того, чем вы пользуетесь – панелью управления или командной строкой. Скорее всего, после активации сертификат пришлют вам в виде архива. Там будет основной сертификат и цепочка сертификатов. Порядок, в котором их надо устанавливать, обычно указан в документации. Для установки в панели управления хостингом есть раздел SSL-сертификатов, где нужно включить поддержку HTTPS и начать загрузку. Он может выглядеть по-разному, но обычно интуитивно понятен.
Файлы также можно загрузить, пользуясь командной строкой, а затем вручную отредактировать так называемый конфигурационный файл.
Затем включите поддержку HTTPS либо через админку сайта, как в Wordpress, либо при помощи файла .htaccess.
В начале настройки сайт должен быть одинаково доступен с двух адресов - http и https.
Самое важное здесь - url’ы страниц. Раньше адрес каждой страницы вашего сайта начинался с http. Важно убедиться, что:
- все новые адреса начинаются с https. Чтобы уменьшить объем работы, сделайте внутренние ссылки относительными;
- со старых адресов с http в начале настроен редирект 301;
- в теге rel=”canonical” адреса страниц начинаются с https.
Затем, чтобы поисковики как можно быстрее научились находить ваши новые урлы и соотнесли их со старыми, нужно будет добавить новую версию в панель Google Webmaster и панель Яндекса.
Если все это сделать правильно, то позиции сайта в поисковиках не пострадают. Зато доверие к вам возрастет. Доказано, что пользователи охотнее совершают покупки там, где видят зеленый замочек в адресной строке.