Digital-азбука: зачем переводить сайт на защищенное соединение HTTPS

автор статьи Павел Мрыкин

руководитель отдела автоматизации

и аналитики MediaGuru

От редакции: примерно раз в неделю различные маркетинговые СМИ выпускают статьи, где обсуждается необходимость перехода с HTTP на HTTPS, связанные с этим сложности и проблемы. А самое главное - как повлияет такой переход на ранжирование сайта, является ли он стимулирующим фактором, или наоборот снизит позиции сайта в ТОПе. Эта статья для тех, кто только хочет сделать свой сайт, у кого есть сайт, но переход на HTTPS все откладывается, а так же для тех, кто строит клиентам сайты на заказ и занимается продвижением - вам легче будет объяснить клиенту что почем.

Доверие и безопасность в Сети становятся очень важными. Каждый день появляется множество новых сайтов и страниц, пользователи регулярно обмениваются информацией на десятках ресурсов. Летом прошлого года госструктуры США всерьез озадачились безопасностью и конфиденциальностью передачи пользовательских данных.

Федеральный ИТ-директор обязал все ведомства и министерства завершить к концу 2016 года переход на защищенное соединение – HTTPS-only. Странно, что Штаты так долго ждали, ведь большинство коммерческих организаций уже давно отказались от уязвимого нешифрованного HTTP-соединения. И на это есть веские причины!

Безопасное соединение

Давайте разберем на простом примере, как работает протокол HTTP. Когда вы совершаете какое-либо действие в интернете (открываете сайт, отправляете письмо, загружаете видео), с помощью протокола браузер выдает ответ (вы видите содержимое сайта, получаете подтверждение об отправке письма, смотрите видео).

И на этом пути обмена информацией существует множество промежуточных узлов. Если какой-то из них уязвим, любой даже не самый изощренный злоумышленник может открыть ваше соединение и прочитать те данные, которые вы отправляете на сервер. Просто прочитать, как открытую книгу.

Какая информация в интернете представляет наибольший интерес для нежеланных гостей?

Да, в Сети «гуляют» забавные статьи типа «Кто-то украл мои интимные фото и требует выкуп. Что делать?». Такие истории тоже бывают. Но если серьезно, защита данных исключительно важна на страницах, которые связаны с электронными платёжными системами, паролями. Многие сервисы Яндекса работают только по протоколу HTTPS: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги.

Защищенное соединение HTTPS шифрует все данные, которые вы отправляете на сайт и делает их недоступными для посторонних лиц. Буква «S»в протоколе имеет значение «secure» – безопасно. И такие сайты можно распознать по кнопке идентификации в адресной строке. Она будет отображаться в виде зеленого замка. К слову, мы уже перевели наш сайт на HTTPS.

Если зайти на сайты некоторых крупных интернет-магазинов, можно заметить, что главные страницы, каталоги товаров, контакты не имеют безопасного соединения. Защищены протоколом HTTPS только «корзины», где непосредственно происходит оформление заказа. Такой подход не является верным решением. Кроме безопасности существует еще ряд причин перевести все страницы вашего сайта на HTTPS. Об этом читайте далее.

Определение источника трафика

Если ваш сайт все еще находится на HTTP, то в скором времени URL предыдущей страницы, с которой пришел к вам пользователь, не будет отображаться. Эта информация необходима, чтобы представлять, откуда лучше генерировать лиды.

Организация, разрабатывающая стандарты интернета - W3C (WorldWideWebConsortium), издала документ "ReferrerPolicy". Окончательно он еще не утвержден, но большинство актуальных версий браузеров уже придерживаются этих рекомендаций.

Документ предписывает следующий сценарий:

Вполне справедливо: пользователь покидает безопасный сайт, и браузер не передает в нешифрованном виде адрес последней посещенной страницы. Единственным верным решением будет не дожидаться, когда документ окончательно вступит в силу, а уже сейчас, не торопясь, перевести сайт на HTTPS.

Модерация в MerchantCenter

Плохая новость для интернет-магазинов, которые планировали опубликовать каталог своих товаров в Google Покупках: без HTTPS-шифрования вам не удастся пройти модерацию. Система в первую очередь смотрит на наличие защищённого сертификата на страницах, с которых пользователь отправляет конфиденциальную информацию.

Это могут быть:

Яндекс Маркет, в свою очередь, пока выжидает и не предъявляет столь жестких требований к безопасности страниц.

Благословение от Google

В начале этого месяца Google объявил, что с января 2017 года все сайты, которые не перешли на HTTPS-соединение, поисковая сеть будет отмечать как небезопасные. У пользователя, зашедшего на такой ресурс, появится окно с предупреждением.

Это может здорово отразиться на репутации вашего бренда. Подобные всплывающие окна с красными восклицательными знаками пугают пользователей, и с такого ресурса хочется просто уйти, чтобы самому себя обезопасить. Стоит поторопиться, до января осталось не так много времени.

Улучшение позиций в поисковой выдаче

Строится много догадок и предположений, улучшает ли Google позиции в поисковой выдаче сайтам, которые мигрировали на безопасное соединение HTTPS? Сам поисковый гигант в 2014 году заявлял, что владельцы веб-сайтов, заботящиеся о безопасности данных своих пользователей, должны иметь преимущество в ранжировании.

Но насколько ощутимо это преимущество?

Барри Шварц, редактор SearchEngineLand, пишет:

Из отечественной практики Олег Сахно, главный маркетолог InterLabs, напротив, делится положительным опытом:

В блоге Searchmetrics представлены примеры компаний, испытавших увеличение видимости благодаря протоколам шифрования.

Можно отметить, что Google на данном этапе придает ограниченное значение шифрованию, и это влияет примерно на 1% всех поисковых запросов в мировом интернете. HTTPS пока «легковесный» фактор, но тем не менее все указывает на то, что поисковик усилит его со временем.

В тему! Посмотрите вебинар Михаила Авдюшкина "7 основных правил при первоначальной разработке сайта", читайте полезную статью "Лучшие публикации по маркетингу за август"

Когда вы решите перенести ваш сайт на HTTPS, в некоммерческом центре сертификации Let'sEncrypt сможете получить бесплатный сертификат шифрования. Если большую долю заказов вам приносит органический трафик, стоит предварительно согласовать переход на новый протокол с SEO-специалистами.

Удобство для пользователя

Регистрация и ввод логина/пароля на HTTP-странице невозможен – система перенаправляет пользователя на страницу с защищенным соединением. Как вариант, пользователю самому приходится при помощи специальных расширений для браузеров или приложений перенаправлять себя на HTTPS-версию сайта.

В мире, где юзабилити и комфорт, пожалуй, уже ключевой показатель успешности продукта, такая трата трафика и времени пользователя негативно скажется на его отношении к бренду. HTTPS-соединение обеспечивает ввод логина/пароля без лишних переходов. Если пользователь интернет-ресурса видит, что он защищен с помощью шифрования, то будет чувствовать себя более уверенно и безопасно. Даже само присутствие шифрования на сайте приносит дополнительное доверие посетителей.

Нацеленность на будущее

Совершенно очевидно, что развитие интернета невозможно без усовершенствования систем защищенного соединения. Вложив силы и средства в эту сферу сегодня, вы обеспечите себе задел на будущее сайта. Через пару лет вам не придется вникать во все более сложные алгоритмы конфиденциальности. Вы уже будете использовать HTTPS и успешно внедрять все новые инструменты.

HTTPS-шифрование предназначено в первую очередь для обеспечения конфиденциальности и защиты данных. Только ваш браузер и сервер могут расшифровать передаваемый трафик. Информация не станет легкой добычей мошенников, не сможет быть прочитана и изменена третьим лицом. А использование протокола HTTP для передачи данных больше похоже на ситуацию, при которой вы оставляете свой включенный компьютер со всеми введенными паролями в людном месте. И любой человек может воспользоваться им. Именно так выглядит использование незашифрованного соединения.