Итак, что это за штука https, которую я вижу снова и снова? Название HTTPS происходит от Hyper Text Transfer Protocol Secure, оригинальное название протокола – HTTP, ключевой буквой здесь является “s” в HTTPS, что означает secure. Когда вы отправляете и получаете данные через браузер, это может быть сделано двумя способами. Либо стандартным, либо защищенным. Когда вы посещаете сайты, использующие стандартный HTTP, это означает, что ваше общение с сервером происходит в незашифрованном виде. В большинстве случаев это нормально, поскольку вы, вероятно, только читаете содержимое сайта, а не предоставляете ценные частные данные. Но в случаях, когда вы предоставляете личную информацию (особенно биллинг, банковские или идентификационные данные), это не оптимально, так как потенциальный злоумышленник может перехватить эти данные и изменить их на лету. Что, в свою очередь, может привести к попыткам взлома или краже. Это означает, что для онлайновых предприятий и защищенных веб-сайтов электронной коммерции использование HTTP абсолютно неприемлемо. Обмен частными данными, такими как операции с кредитными картами, требует использования HTTPS, но с нынешним ростом хакерской активности спрос на то, что google называет HTTPS Everywhere, растет с каждым днем.
Почему HTTPS становится все более важным
Теперь, когда вы знаете, что такое HTTP, важно понять, почему это важно. Упрощенно говоря: HTTPS помогает обеспечить безопасность работы в Интернете. HTTP-сайт, работающий без шифрования, может быть более восприимчив к атакам. Взломанные сайты также могут привести к установке на них вредоносного программного обеспечения, что влияет на читателей, так как вредоносное ПО также влияет на браузеры. Эта ситуация становится все более актуальной, поскольку автоматизированные попытки взлома происходят по всему миру. Использование HTTPS поможет свести на нет многие из этих атак, переведя все передачи данных на зашифрованные соединения, которые сложнее взломать.
Использование HTTPS может привести к созданию более безопасного и надежного Интернета. Но пока что это долгий путь, и еще многое предстоит сделать, прежде чем HTTPS станет универсальным. Кроме того, важно помнить, что HTTPS – это не единственный фактор, который следует учитывать при создании безопасных веб-сайтов – существует множество других шагов, которые веб-менеджеры должны предпринять для обеспечения безопасности блога.
В прошлом у HTTPS было много недостатков
Почему HTTPS становится все более важным сейчас? В прошлом HTTPS с трудом набирал обороты, поскольку SSL-сертификаты (фактические веб-документы, отвечающие за создание механизмов шифрования) не были бесплатными. Вместо этого они должны были выдаваться определенными центрами сертификации, чтобы быть действительными.
Поэтому единственным вариантом для людей с ограниченным бюджетом были “самоподписанные” сертификаты. Эти сертификаты не являются жизнеспособной альтернативой, поскольку они выдают предупреждение в вашем браузере. Предупреждения от самоподписанных сертификатов достаточно, чтобы заблокировать попытки читателей зайти на ваш сайт, поскольку оно может показаться слишком опасным, чтобы его игнорировать. Это делает “самоподписанные” сертификаты бесполезными для любой серьезной попытки расширить свое присутствие в Интернете. Однако они все еще могут быть использованы только для сайтов, которые являются частью вашей собственной сети и имеют внутренний доступ, но и это не слишком способствует развитию вашего бренда в Интернете. Это стало огромным недостатком для блоггеров и малого бизнеса по всему миру. В то время как крупные компании не имеют проблем с расходами, блоггеры с ограниченным бюджетом, которые еще не получают достаточного дохода от своего сайта, просто не могут позволить себе платить за такие сертификаты. И не имея надежной альтернативы, они вынуждены использовать SSL. Вдобавок ко всему, как только сайт загружался с HTTPS, время загрузки сайта страдало. Это было связано с дополнительными накладными расходами, которые приходилось нести серверу из-за необходимости шифровать все данные перед их отправкой. Совсем не эффективный процесс, если вы хотели и могли позволить себе это в первую очередь.
Версия 3 SSL уже устарела
В довершение ко всему, действующие сертификаты SSL работали на устаревшей платформе. В последней версии SSL, называемой версией 3, которая была запущена в 1996 году, выявлялось все больше и больше недостатков, настолько много, что Рабочая группа по разработке Интернета (IETF) решила сделать ее устаревшей.
Новый протокол TLS гораздо более безопасен во всех отношениях, что привело к полному запрету SSLv3 в основных браузерах.
Увеличение мощности процессора, Let’s Encrypt, TLS и HTTP/2 изменили игру
С появлением нового оборудования, более быстрых процессоров, более быстрых веб-серверов (таких как nginx & lighttpd) и более быстрых механизмов кэширования (таких как varnish) накладные расходы на поддержку HTTPS значительно сократились. Это означает, что новым пользователям SSL не стоит беспокоиться о снижении времени загрузки. Кроме того, новый протокол TLSv1.2, введенный для SSL, сделал SSLv3 устаревшим и проложил путь для более быстрого внедрения SSL. Кроме того, недавний запуск HTTP/2 станет последним гвоздем в крышку гроба для сторонников HTTP. HTTP/2 – это улучшенный протокол по сравнению с оригинальным HTTP, который был продуман и разработан для сегодняшнего дня. HTTP без шифрования – это более старый протокол, который прекрасно работает, но не так оптимизирован для современных потребностей (не волнуйтесь – мы расскажем о HTTP/2 в одной из следующих статей).
HTTP/2 использует мультиплексирование для повышения производительности по сравнению с традиционным HTTP. Изображение любезно предоставлено CloudFlare. Эти (и другие) факторы в совокупности сводят влияние работы сайта на HTTPS практически к нулю. Но как насчет стоимости? Этот последний вопрос был изменен одной переменной, и она называется: Let’s Encrypt.
Let’s Encrypt
Let’s Encrypt является бесплатным центром сертификации. Это означает, что он может выпускать бесплатные сертификаты со сроком действия 90 дней, и сертификаты не стоят ничего. Let’s Encrypt недавно вышел из бета-версии и с тех пор работает отлично. Этот последний кусочек головоломки сделал всю идею Google “HTTPS везде” еще на один шаг ближе к реализации. Главная проблема, с которой Google сталкивается сейчас, – это внедрение. К счастью, у Let’s Encrypt есть несколько способов выпустить сертификат, будь то через веб с помощью ZeroSSL, через плагин wordpress с помощью WP-Encrypt или через сервер с помощью новых пакетов в Debian и других дистрибутивах linux под названием Certbot.
Бесплатный плагин WP Encrypt WordPress упрощает установку и управление бесплатным SSL-сертификатом Let’s Encrypt. С помощью плагина вы можете создать сертификат, зарегистрировать его и перевести свой сайт на HTTPS. Но самое приятное то, что плагин автоматически обновляет сертификат каждые 90 дней, так что у вас всегда будет действующий SSL-сертификат.
Второй простой способ добавить Let’s Encrypt – через вашу хостинговую компанию. Многие популярные хостеры интегрируют Let’s Encrypt в свои пакеты, чтобы сделать добавление SSL на свои WordPress сайты простым и доступным для клиентов. Среди наших фаворитов Cloudways, WP Engine и Flywheel. Эти первые хостеры сделали добавление SSL простой частью своих и без того простых процессов настройки сайтов.
Google уже продвигает HTTPS с помощью SEO Ranking Boost
Google уже начал рассматривать внедрение HTTPS как часть собственного алгоритма ранжирования SEO еще в 2015 году. Затем в 2016 году они объявили, что собираются ввести очень незначительное повышение рейтинга для всех сайтов, которые перейдут с HTTP на HTTPS. По словам Google, в настоящее время это недостаточно сильно, чтобы оказать существенное влияние на ранжирование, но это признак грядущих событий. Как видите, Google уже внес заметные изменения в 2015 и 2016 годах, и теперь они собираются еще больше расширить границы в 2017 году.
В 2017 году в Google Chrome появится предупреждение
С широко распространенным протоколом HTTP/2 и, возможно, даже с ростом числа пользователей Let’s Encrypt, которые теперь исчисляются миллионами по всему миру, Google начал делать следующий шаг. Недавно компания Google объявила о том, что, начиная с недавнего обновления Google Chrome, она начнет отображать восклицательный знак для всех незашифрованных сайтов.
Затем, начиная с января 2017 года, они планируют отмечать HTTP-сайты, передающие конфиденциальные данные пользователей (такие как пароли, информация о кредитных картах и т.д.), красным предупреждающим знаком. Это, несомненно, вызовет недоверие ко всем тем сайтам, которые не перейдут на новый стандарт.
Это смелый шаг, я уверен в этом, но он кое-что говорит о том, куда движется Интернет. Поскольку все больше и больше сайтов переходят на HTTPS и увеличивается использование Интернета во всем мире, HTTPS станет стандартом дефакто в ближайшие годы.
Подведение итогов
Наконец-то появились новые технологии, которые делают HTTPS гораздо более привлекательным. С включением более быстрых веб-серверов, более быстрых процессоров, лучших механизмов шифрования протокола TLSv1.2, недавно запущенного протокола HTTP/2 и Let’s Encrypt, предоставляющего бесплатные сертификаты всем желающим, путь был проложен к более быстрому внедрению HTTPS. Кроме того, еще одним толчком к переходу на HTTPS является принудительное внедрение этого протокола Google в будущих обновлениях. Но не волнуйтесь – как упоминалось в первой статье этого поста, для блогов и журналов вы не должны чувствовать давление и торопиться с переходом на HTTPS. Вы должны тщательно продумать свой переход с HTTP на HTTPs, поскольку это может повлиять на рейтинг в поисковых системах. Но для сайтов электронной коммерции и сайтов, основанных на членстве, вам понадобится включенный и активный HTTPS на страницах входа и оформления заказа, чтобы пользователи не увидели предупреждение в 2017 году. Я дал вам достаточно причин для перехода? В моей следующей статье я рассмотрю, как перейти на HTTPS в WordPress с помощью плагинов, как добавить сертификат в cPanel, Vesta или ваш пользовательский VPS с nginx. Оставайтесь с нами!
