Как перейти на https правильно: зачем, когда и как по шагам
Содержание:
- Введение
- Услуги в Ок, за которые нужно заплатить.
- Переходим на HTTPS
- SSL сертификат — как работает SSL шифрование
- Определение защищенного протокола HTTPS и недостатки HTTP-протокола
- Основные преимущества и недостатки HTTPS
- Что такое https
- Проверка редиректа
- SSL сертификат: еще один вариант шифрования данных
- Iot
- Как перевести сайт на HTTPS протокол
- Уязвимости
- Подводя итоги
Введение
Вопрос переезда сайтов с HTTP на HTTPS волнует все больше пользователей. Тех, чей сайт занимает лидирующие позиции в поисковиках, больше всего пугает подобное изменение – а вдруг позиции сайта значительно просядут? О том, как правильно организовать переход на HTTPS, и будет рассказано в этой статье.
Начнем с того, зачем это вообще нужно? Если кратко и в пределах поисковых систем, то использование на вашем сайте протокола HTTPS повышает рейтинг сайта в глазах Google и Яндекс. Это логично – сайты, обеспечивающие надежную передачу данных, вызывают большее доверие, чем остальные, и поэтому имеют право получать некое преимущество в поисковых системах.
Сейчас, если у сайта есть две версии (HTTP и HTTPS), то Google в первую очередь показывает версию сайта с безопасным протоколом. Более того, в январе 2017 года браузер Chrome начнет помечать как небезопасные все сайты, которые передают данные о паролях и банковских картах, и при этом работают по протоколу HTTP (по крайней мере, такая информация в сентябре появилась в блоге компании). Но это будет лишь шаг к тому, чтобы в будущем помечать как сомнительные все сайты с небезопасным протоколом.
Переход на HTTPS – это уже не возможность, а необходимость, если вы хотите развивать свой сайт и привлекать на него новых пользователей.
Следующим будет логичный вопрос: почему смена протокола так важна для поисковых систем? Дело в том, что хотя чисто внешне меняется немногое (название-то сайта остается прежним, как и его содержание!), но передающиеся по двум разным протоколам (HTTP и HTTPS) сайты поисковая система воспринимает как два разных ресурса. Поэтому происходит то же самое, что и при смене одного домена на другой – позиции сайта могут просесть, количество страниц в выдаче и их позиции также могут измениться.
Услуги в Ок, за которые нужно заплатить.
Постепенно переходим к платным услугам на Одноклассниках. Вы можете видеть, кто заходил на Вашу страничку бесплатно нажав кнопку «гости», но чтобы проследить за кем то незаметно нужно заплатить. Оплата происходит в валюте сайта, которая называется «ОКИ». Сколько их у Вас, можно посмотреть под главным фото, если Вы посчитали недостаточным их количество, то можно пополнить с помощью банковской карты, через терминалы, сертификаты, купоны.
Платные опции:
1. Режим невидимки. День режима невидимки стоит 40 ОК, месяц 199 ОК.
2. От посторонних глаз Вас спасет закрытый профиль, при котором Ваша страничка будет недоступна людям, которым Вы не хотите ее показывать.
3. Порадовать друзей — опция подарки и анимационные смайлики
4. Подписки
Заканчивая наш учебный курс по сети Одноклассники, перейдем к отзывам наших пользователей. В сети интернет много отзывов о сайте, в которых выделяют как плюсы, так и минусы. Начнем с хорошего!
Плюсы:
— безопасность сайта, систему трудно взломать, Ваши данные хорошо защищены, в отличии от социальной сети ВК
— Одноклассники для более взрослой аудитории, начиная с возраста 30 лет. Заработок у них, в основном, стабильный и поэтому они тратят деньги, чтоб меньше было рекламы
— рекламы не много, что не раздражает посетителей сайта
— много развлекательного контента ( видео, музыки, фишек и т.д)
— всегда можно увидеть, кому ты был интересен, кто заходил на твою страницу
— сайт всегда развивается, усовершенствуется, что делает его намного интереснее каждый раз
Минусы:
— для многих сайт является развлекательным, поэтому есть отзывы, в которых написано о раздражающих постах, суть которых, сбор денег на болезни, истории о болезни детей, взрослых и т.д.
— новичку сложно сразу разобраться в интерфейсе сайта, так как он наполнен очень многими разделами. Сразу включиться в «что и зачем» не у всех получается.
— оранжевый цвет сайта, как выяснилось, тоже не является плюсом, так как долгое прибытие на сайте, смотря в этот цвет, начинает нервировать
— опция «невидимка» платная
— самым большим минусом сети выяснилось, что удаление своего профиля так же является платным
Все эти отзывы были взяты и обобщены с официальных страниц в AppStore и PlayMarket. Тем не менее, более 45 миллионов людей каждый день заходят в сеть Одноклассники. В одной статье не возможно раскрыть всю суть сайта. Есть много всего интересного, о чем еще не рассказали. Например: аукционы, закладки, черный список, трансляции, рекламный кабинет и много еще всего интересного
Каждый из 45 миллионов посетителей и новых зарегистрировавшихся пользователей найдет для себя «свое», то, что ему будет интересно и важно!
Переходим на HTTPS
Перенос сайта на другой протокол выполняется в несколько этапов. Сперва нужно приобрести SSL-сертификат у хостинга (достаточно открыть нужный раздел в личном кабинете и заказать сертификат). Также нужно изменить все внутренние ссылки на относительные и установить автоматическую переадресацию сайта на защищенный протокол. Подробнее о том, как это быстро и правильно организовать, поговорим в нижеуказанной инструкции.
Шаг 1: Подготовка сайта
Перед выполнением редиректа с HTTP на HTTPS рекомендуется исправить некоторые моменты в строчках кода, чтобы избежать возможных ошибок. Первый — внутренние ссылки.
Чтобы избежать предупреждения, указанного выше, необходимо изменить все внутренние ссылки с абсолютных на относительные. Например, ссылку http://ssl.ru/testpage/ потребуется заменить на /testpage/. Также стоит внимательно проверить все ссылки на скрипты в коде страниц.
Второй момент — проверка медиаконтента, в который входят изображения, видеоклипы, презентации и прочее. Необходимо посмотреть, какой на страницах сайта используется контент и по какому протоколу он запрашивается. Если используется HTTP, то рекомендуется загрузить все файлы на сервер и установить относительные ссылки. В противном случае указывайте только проверенные сайты: YouTube, Facebook, VK и так далее.
Теперь можно переходить к подключению SSL.
Шаг 2: Установка SSL-сертификата
Устанавливаем SSL:
Проверить подлинность сертификата можно на различных сервисах, например, Namecheap. Все просто: вводим домен с портом 443 и жмем «Check». При успешной проверке будет отображена надпись «It’s all good. We have not detected any issues».
После установки также рекомендуется убедиться, что сайт работает на обоих протоколах. Затем нужно сделать переадресацию с HTTP на HTTPS. Зачем это нужно, расскажем уже в следующем разделе.
Шаг 3: Настройка редиректа на HTTPS
Переадресация страниц нужна для того, чтобы пользователи, которые обратились к сайту по старому протоколу, автоматически подключились к новому адресу с HTTPS. Сделать это довольно просто – необходимо в директории сайта открыть файл .htaccess и добавить в него определенный код. Существует несколько вариантов кода.
Первый вариант:
RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}
Второй вариант:
RewriteEngine On RewriteCond %{HTTPS} =off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Третий вариант:
RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI}
Также мы можем сделать редирект с HTTP через административную панель CMS системы. В OpenCart для этого нужно открыть файл config.php и прописать в него следующее:
define('HTTPS_SERVER', 'https://yourdomain.com/');
В WordPress изменить wp-config.php:
define('FORCE_SSL_ADMIN', true);
Для получения подробной информации о редиректах на других CMS обратитесь к их документации.
Шаг 4: Настройка для поисковых систем
Если ваш сайт индексируется Google, Яндекс или другими поисковиками, то после перехода на HTTPS необходимо им об этом сообщить. В частности, нужно:
- Изменить все теги «rel=canonical» в HTML-коде. Они должны указывать на ссылки с защищенным протоколом.
- В файлы robots.txt и sitemap.xml необходимо добавить страницы с HTTPS.
- Проверить корректность указанных данных в Яндекс.Метрика и Google Search Console.
- Проверить отображение и доступность вашего сайта через поисковик.
Готово! На этом переход с HTTP на HTTPS завершен. Надеюсь, что у вас не возникло сложностей
Спасибо за внимание!
SSL сертификат — как работает SSL шифрование
Протокол SSL/TLS помогает двум незнакомым друг с другом пользователям Интернета установить защищенное соединение через обычный, незащищенный канал. С помощью математических алгоритмов оба пользователя – клиент и сервер – договариваются о секретном ключе, не передавая его напрямую через соединение. Даже если кто-то сумеет подключиться к соединению и перехватить все передаваемые данные, расшифровать их ему не удастся.
Протокол SSL использует многослойную среду: с одной стороны от него находится протокол программы-клиента (например, IMAP, HTTP, FTP), а с другой – транспортный TCP/IP. Для SSL шифрования используются симметричные и ассиметричные ключи, полученные с помощью различных математических моделей.
Чтобы понять общий принцип работы SSL, представьте, что вам нужно что-то передать другому человеку. Вы кладете этот предмет в коробку, вешаете замок от воров и посылаете по почте. Адресат получает коробку, но не может ее открыть без ключа. Тогда он вешает на коробку собственный замок и возвращает ее вам. Получив свою коробку с двумя запертыми замками, вы убираете свой замок (ее надежно защищает второй) и возвращаете коробку. В итоге адресату приходит коробка, закрытая только на один – его – замок. Он снимает замок и достает посылку.
Теперь представьте, что в коробку вы положили код от тайного шифра, и адресат его получил. С этой минуты вы можете посылать друг другу зашифрованные сообщения по открытому соединению – даже если они попадут в чужие руки, расшифровать их без ключа не получится.
При установке безопасного соединения по протоколу HTTPS ваше устройство и сервер договариваются о симметричном ключе (его еще называют «общим тайным ключом»), после чего обмениваются уже зашифрованными с его помощью данными. Для каждой сессии связи создается новый ключ. Подобрать его почти невозможно. Для полной защиты не хватает только уверенности, что ваш собеседник на другом конце провода – действительно тот, за кого себя выдает.
Ведь вашу посылку мог перехватить мошенник. Он повесил на вашу коробку свой замок, отправил ее обратно, а потом получил еще раз, уже без вашего замка, зато с секретным кодом внутри. Узнав код, он сообщил его настоящему адресату, который и не подозревал о взломе. Дальше вы продолжаете обмениваться информацией с адресатом, но у мошенника есть секретный ключ, поэтому он читает все ваши сообщения.
Здесь в игру вступают цифровые сертификаты. Их задача – подтвердить, что на другом конце провода находится реальный адресат, управляющий указанным в сертификате сервером. Выдают такие сертификаты специальные центры. Сертификат содержит название компании и электронную подпись, которая подтверждает его подлинность. Именно ее проверяет браузер в момент установки безопасного HTTPS соединения.
По сути, сертификат гарантирует, что замок на вашей коробке уникальный и принадлежит вашему адресату. Если продолжить «коробочную» аналогию – центр сертификации это почтовая служба, которая отправляет посылку, только проверив Ваши данные.
Для сайтов, требующих повышенного уровня безопасности существует расширенная версия цифрового сертификата. В этом случае организация-владелец домена проходит дополнительные проверки, а пользователь видит в адресной строке не только зеленый закрытый замок, но и зеленое поле, а также название организации. Пример:
iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.
Мы предлагаем:
- Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
- Безлимитный хостинг на SSD дисках от 142 руб/мес
- Выделенные серверы в наличии и под заказ
- Регистрацию доменов в более 350 зонах
Определение защищенного протокола HTTPS и недостатки HTTP-протокола
Для перемещения информации в сети Интернет используются так называемые протоколы. Они направляют данные от вашего домашнего компьютера к сайту, с которым вы работаете, от одного сервера к другому.
Протоколы бывают разными, но используются они всегда и при любых обстоятельствах. У каждого из них есть свои признаки и свойства, связанные с передачей данных и их качеством.
Протоколы HTTP и HTTPS применяются в работе с Интернет-ресурсами наиболее часто. HTTP переводится как протокол перемещения гипертекста.
Этот протокол необходим для работы с информацией html страниц, с которыми мы ежедневно сталкиваемся в сети.
Данные протоколы встречаются в начале каждой веб-ссылки. Ссылка устроена таким образом, что перед адресом всегда указывается http или https.
В зависимости от того, какой протокол вы вводите, обычный или защищенный, сайт открывает или обычную версию, или безопасную.
Если у интернет-домена есть сертификат SSL, браузер сможет открыть HTTPS-версию сайта, но об этом мы расскажем чуть ниже, а сейчас более подробно объясним, что такое безопасное соединение.
Стандартное Интернет-соединение HTTP совсем не защищено от вирусов и кражи информации или ее замены. При взаимодействии с сервером по такому протоколу во время обмена данными вы рискуете получить недостоверную информацию.
При этом всегда есть шанс утратить данные, передаваемые на сайт с HTTP-протоколом. Хакерские атаки подразумевают, что во время подключения к серверам для передачи данных информация может быть скопирована и использована не по назначению без получения авторских прав и вашего согласия.
Приведем такую аналогию: если на каком-то ресурсе вы расплачиваетесь вашей пластиковой картой, или вводите личные пароли от почтовых ящиков, заполняете анкеты с контактными данными и так далее, всю эту информацию могут украсть.
Профессионалы знают, при помощи каких манипуляций можно вторгнуться в процесс передачи данных между вашим компьютером и интернет-сервером, и знают, куда потом можно продать полученную информацию.
И это еще не самое страшное. Каждый хотя бы раз сталкивался с заражением компьютера вредоносными программами и вирусами, например, знаменитым «трояном».
В некоторых случаях хакерские атаки способны полностью уничтожить информацию на вашем устройстве и вывести его из строя.
Чаще всего от этого страдают корпоративные сети или банковские серверы. Это также относится и к хранилищам личной информации пользователей.
Для большей наглядности можно привести другой драматичный пример — коммерческий банк, веб-страницы и серверы которого функционируют на обычном HTTP без защиты соединения или антивирусных программ.
Конечно, этот банк в скором времени подвергнется взлому, во время которого со счетов могут исчезнуть все денежные средства.
Как известно, на банковских счетах могут находиться не только активы самого банка, но и денежные средства его клиентов. Кто-то вносит платежи по кредитам, кто-то открыл сберегательный счет и получает проценты по вкладу, а кто-то просто хранит свои деньги на пластиковой карте, выпущенной банком.
Однажды мошенники взламывают сервер с незащищенным протоколом, и все клиенты банка теряют свои средства, а банк не способен возместить убытки, так как сам является банкротом.
Все это говорит о том, что самая очевидная уязвимость способна спровоцировать целую цепочку крайне неблагоприятных событий.
Поэтому такая незначительная вещь, как протокол передачи данных, может быть причиной огромных проблем как у предпринимателей, так и у обычных пользователей.
Незащищенный протокол HTTP может быть опасен для тех серверов, на которых используется. Безопасный протокол HTTPS поможет вам не столкнуться с такими проблемами.
Основные преимущества и недостатки HTTPS
Помимо собственно защиты данных, HTTPS выполняет дополнительную задачу – увеличивает приток посетителей на сайт. Еще в 2014 г. компания Google объявила, что будет повышать выдачу в поисковике сайтов, использующих https, и многие сайты купили цифровой сертификат для шифрования информации. К сожалению, из-за разницы в принципах работы поисковых систем Яндекс и Гугл при замене HTTP на HTTPS у некоторых ресурсов наблюдалась просадка позиций из-за некорректно выполненного переноса.
Тем не менее, согласно статистике, пользователи больше доверяют сайтам с HTTPS и предпочитают совершать покупки именно на них.
Приобретение уникального цифрового сертификата увеличит расходы на содержание сайта – в среднем на 10-100 долларов в год, в зависимости от типа выбранного сертификата. Также стоит учесть, что на шифрование данных расходуется часть мощности сервера, поэтому сайт с HTTPS может работать несколько медленнее. Для ускорения скорости загрузки сайта стоит оптимизировать изображения и настроить кеширование.
Однако новые клиенты и посетители, который придут на ваш сайт с HTTPS благодаря повышению его позиции при ранжировании, компенсируют эти небольшие неудобства.
Что такое https
HTTPS — это усовершенствованный протокол передачи данных, поддерживающий шифрование. Протокол http используется для простого обмена данными между сайтом и пользователем, в то время как протокол https позволяет производить не только обмен данными, но и их шифрование, что усиливает безопасность.
Вот его отличия:
- https – расширенный протокол передачи данных;
- https посылает серверу от вас и обратно зашифрованные данные;
- https работает с 443 TCP-портом, а не с 80.
Почему сегодня важно делать сайты на https
Ну во-первых, ради безопасности данных пользователей — их паролей от соцсетей, онлайн-кошельков, кодов кредиток и так далее. Обеспечивает безопасность ssl-сертификат, включенный в новую версию протокола.
А из этого уже вытекает во-вторых: ради обеспечения будущего своего бизнеса. Как видите, заявление Гугла многих взбудоражило и дало понять: будущее за https. И вам в итоге придется перейти на этот протокол, если хотите получать больше трафика из поисковиков.
Поисковики обеспечивают коммерческим сайтам приток новых клиентов. Большая часть коммерческих сайтов уже отказалась от http в пользу https из-за заявления, сделанного компанией «Google».
Все началось еще со старого заявления, когда летом 2014 года Google заявил о необходимости всем хозяевам сайтов переходить на обновленный вариант http, поскольку это обеспечивает конфиденциальность данных. Также было сказано, что сайты, использующие https, будут выше ранжироваться. Уже этим заявлением компания вызвала ажиотаж среди хозяев ресурсов.
Конечно, для обычных сайтов конфиденциальность данных не так важна, как для сайтов банков или другой коммерции, поскольку не несет в себе угрозы материальных болей (только физико-моральных вроде баттхерта). Однако, если пользователь серьезно относится к сохранности данных, то ему необходим переход с http на https.
Можно ли избавиться от фильтров, если перевести сайт на https
Переход на https может снять фильтр АГС Яндекса. Вот таким макаром:
- Сначала надо выяснить, в чем была причина наложения АГС;
- Убрать эту причину;
- Перевести сайт на https;
- Дождаться переиндексации.
Проверка редиректа
Так же, вы можете воспользоваться одним из онлайн-сервисов, которые позволяют просмотреть правильность выполнения редиректа. Например, Redirect Checker. Для выполнения проверки вам нужно:
- 1.Перейти на страницу онлайн-сервиса по этой ссылке
- 2.В поле для ввода указать адрес, с которого должно осуществляться перенаправление в формате http://имя-сайта.ру .
- 3.А затем нажать на кнопку «Analyse».
В результате сервис вам выдаст отчет о правильности работы перенаправления. В моем случае редирект работает не правильно:
Перенаправление вроде бы как происходит, но это происходит несколько раз, и почему то происходит не 301 редирект, а 302. Насколько я поняла, это называется циклический редирект, и такого быть не должно. Поэтому мне нужно пробовать другие варианты.
Так же, вы можете проверить правильность выполнения редиректа для конкретной поисковой системы. Для этого, перед нажатием на кнопку «Analyse», нужно выбрать из выпадающего списка название нужного поискового робота:
После того, как вы добавите свой сайт с протоколом HTTPS в поисковые системы, укажите основное зеркало, дождетесь переиндексации и правильно настроите 301-редирект, ваш переезд на протокол HTTPS можно будет считать завершенным. Для крупного сайта такой переезд может занять от нескольких недель, до нескольких месяцев. Все будет зависеть от того, как долго яндекс будет производить склейку зеркал.
Так же, вы можете назначить 301 редирект сразу после получения и установки с SSL-сертификата, но в этом случае вы рискуете тем, что многие страницы вашего сайта могут на время выпасть из поисковой выдачи.
Я надеюсь, что данная статья поможет вам правильно настроить редирект для HTTPS –протокола и осуществить переход на SSL-сертификат с наименьшими потерями. Если данная статья вам понравилась, делайте репост в социальные сети и подписывайтесь на мою рассылку. Желаю вам успешного переезда и до встречи в следующих статьях.
С уважением Юлия Гусарь
SSL сертификат: еще один вариант шифрования данных
Теперь вы уже знаете, как работает https соединение. Но я хочу рассказать об еще одном распространенном и надежном варианте защиты персональной информации.
Речь идет о таком протоколе, как SSL/TLS
Посредством данной разработки двое абсолютно незнакомых людей (или знакомых – не суть важно) могут устанавливать защищенное соединение, но даже в рамках обычного канала связи
Подразумевается создание специального, уникального, секретного ключа. Он не передается непосредственно через соединение. Поэтому пользователи могут быть уверены, что информацией не воспользуются злоумышленники.
Тут предусмотрены специальные ключи, математические алгоритмы и модели. Не буду слишком глубоко погружать вас в это среду. Остановлюсь только на основных моментах.
Что такое SSL и как он работает
Чтобы вам было понятнее, давайте рассмотрим простой пример. Предположим, вы собираетесь передать своему другу подарок. Упаковываете его в небольшую коробку, обязательно ее прочно закрываете. Да так надежно, что даже навешивает замок – чтобы нерадивые, нечистоплотные работники почтовой службы не вздумали открыть коробку.
Вам друг получает посылку. Но вот незадача – как ее открыть? Ключа-то у него нет. Однако тут есть выход. Вот алгоритм действий:
- ваш друг навешивает еще один замок – свой;
- ключ оставляет у себя;
- коробку отправляет почтой вам;
- вы получаете ее уже с двумя замками;
- снимаете с коробки свой;
- и снова отправляете подарок другу;
- коробка защищена от посягательств злоумышленников замком вашего друга;
- получив коробку, он открывает свой замок ключом, который все время хранился у него.
Ну, а теперь предположим, что в коробке был не подарок, а код шифра. Ваш друг получил этот код и теперь вы можете с ним общаться посредством зашифрованного канала связи даже при открытом соединении. Если вдруг кто-то захочет перехватить информацию – он все равно не поймет, что с ней делать.
Iot
Google home
Google home – это умный помощник от компании Google. Этот девайс имеет (или имел в прошлом) API, не требующий какой-либо аутентификации для управления устройством. Он предоставляет ряд возможностей, таких как:
- Проигрывание контента
- Сканирование
- Перезагрузка
- Подключение к WI-FI сетям и т.д.
Примерный сценарий атаки: злоумышленник может деанонимизировать пользователя, получая координаты ближайших WI-FI точек. Очевидно, что тут никакой VPN не спасет.
Sonos WIFI speakers
Данные колонки от компании Sonos подымают в локальной сети UPnP веб-сервер, который дает доступ к ряду интересных страниц:
- 192.168.1.76:1400/support/review – выплевывает вывод некоторых UNIX-команд
- 192.168.1.76:1400/tools – позволяет запускать некоторые UNIX-команды
В данном случае злоумышленник имеет возможность исполнять команду traceroute для сканирования топологии внутренней сети.
Radio Thermostat CT50
Это один из наших самых любимых кейсов. Данная модель термостата также обладает API без какой-либо авторизации и позволяет изменять:
- Климат-режим
- Температуру
- Режим подсветки и прочие настройки
Как результат, злоумышленник может заставить свою жертву нехило попотеть, но если говорить серьезно, то подобная атака на термостат, например, медицинского учреждения может привести к довольно малоприятным последствиям.
Roku TV
У телевизоров от компании Roku всё тот же недуг – API без аутентификации.
API позволяет:
- Запускать различные приложения
- Проигрывать контент
- Совершать поисковые запросы по системе и т. д.
В данном случае максимум, что грозит пользователю, это утечка чувствительных данных, что тоже неприятно.
Любой WI-FI роутер
Этот IoT-девайс сегодня есть дома почти у каждого. Ни для кого не секрет, что многие рядовые пользователи не меняют стандартные пароли от админ-панелей своих роутеров. При помощи DNS rebinding нам ничего не мешает совершить попытку логина со стандартными учетными данными и получить доступ к админке. В случае, если локальный IP не удается подобрать, на помощь приходит WebRTC.
Итог по IoT
Выделим некоторые возможности, которые предоставляет DNS rebinding при работе с IoT:
- Возможность деанонимизировать пользователя
- Возможность сканировать локальную сеть
- Издеваться над пользователем
- Что угодно, в зависимости от функционала IoT-устройства
Как перевести сайт на HTTPS протокол
Грамотный перевод веб-ресурса на защищенный протокол обеспечивается
тремя факторами:
- Сайт нормально отображается на устройствах
пользователей. - Зеркало ресурса хорошо индексируется поисковыми
роботами. - Сохраняется или даже увеличивается трафик из
поисковых систем и других источников.
Чтобы перейти на HTTPS, для начала нужно купить или воспользоваться бесплатным сертификатом. Важные нюансы выбора сертификата:
- Лучше останавливать выбор на надежных и новейших методах шифрования. Вам нужны 2048-разрядные ключи, но никак не SHA-1.
- Дешевые сертификаты зачастую работают только с одним зеркалом ресурса. Вам необходимо уточнить, по какому URL требуется доступность сайта.
- Если сайт находится в доменной зоне .рф или прочих зонах, прописанных кириллицей. В таких случаях нужно покупать сертификат Internationalized Domain Names.
- Когда на защищенный протокол необходимо перевести несколько поддоменов, не стоит приобретать сертификат для каждого адреса. Есть отличное решение – недорогие или бесплатные WildCard, распространяющиеся на все поддомены.
- Вам нужна Multi-Domain услуга. Это в том случае, если у вас есть организация с изобилием доменных имен в различных зонах.
Одной из самых надежных компаний на рынке является Symantec, владеющая популярнейшими сертификационными центрами: Geotrust, Thawte и Verisign.
Также сертификаты делятся по способу проверки домена:
-
DV-проверка. Самый
бюджетный вариант, идеально подойдет для небольших ресурсов и частных лиц.
Процедура получения сертификата занимает не более 5 минут. В адресной строке браузера
напротив домена сайта, имеющего данный сертификат, отображается зеленый замок. -
OV. Организация, выдающая
сертификаты, тщательно анализирует компанию на протяжении недели, чтобы понять,
действительно ли она существует. Затем выдается электронная подпись, которая
значительно увеличивает доверие к компании. В адресной строке тоже отображается
замок зеленого цвета. -
EV. Это расширенная
проверка, продолжающаяся около двух недель. Сертификат считается престижным, а
чтобы его получить, нужно не только хорошо заплатить, но и пройти сложную
проверку всех документов, регулирующих деятельность компании и подтверждающих ее
легальность. После выдачи сертификата в адресной строке браузера отображается зеленый
замок с названием фирмы – это своеобразная печать доверия.
Некоторые хостинги имеют уже облегченный вариант получения сертификата. Вы можете приобрести сертификат прямо в их панели, и там же все автоматически настроить.
Если у вас информационный сайт, то подойдет бесплатный Let’s Encrypt. Если у вас коммерческий сайт и на нем будут проходить платежи, то необходимо покупать, уже что то посерьезнее, например Comodo. У нас есть статья, где мы сравниваем Let’s Encrypt и Comodo.
Получив сертификат, рано расслабляться. Чтобы в дальнейшем не потерять трафик и конверсию, нужно проверить корректность работы сайта:
- Убедитесь, что все ссылки ресурса ведут на HTTPS-страницы. Стоит проверить все линки, даже в XML-карте домена, стилях, шаблонах и так далее. Не забудьте и про настройки, сделанные в HTTP-версии – их все тоже следует перевести на новый протокол, например, ссылки в файле Google Disavow Tool.
- Посмотрите, весь ли контент указывает на HTTPS. Это касается не только подгружаемого текста, но и видео-, аудиофайлов, скриптов и прочих медиафайлов.
- Проверьте, как сайт отображается для пользователей. Бывает так, что после перехода на HTTPS-версию страницы загружаются некорректно.
- Добавьте домен, поддерживающий HTTPS протокол, в Яндекс.Вебмастер и Google Search Console. В панели вебмастера нужно указать и старую, и новую версии.
- В вебмастерских панелях настройте поддержку защищенного протокола. Проследите с помощью Яндекс Метрики и Google Analytics, чтобы трафик целиком перешел на HTTPS.
- Настройте отработку 301-редиректов на основной вариант написания домена со всех второстепенных. Переадресацию редиректов выполнить в один шаг, они должны выдавать 301-й код, а основное зеркало – код 200.
Уязвимости
У протокола HTTPS есть слабые места, зная о которых можно избежать серьезных проблем.
Одновременное применение HTTP и HTTPS
Если владелец ресурса одновременно использует функции стандартного HTTP протокола и HTTPS, это угроза для посетителей. Допустим, когда все основные страницы веб-сайта загружаются при помощи HTTPS, а JavaScript и CSS через незащищенное соединение, мошенник в процессе загрузки скриптов может загрузить свой код и тем самым заполучить HTML-страницы.
Огромное количество владельцев веб-сайтов не обращают внимание на подобные проблемы и загружают материалы через сервисы, не работающие с HTTPS. На заметку
HSTS – это механизм, активирующий защищенное соединение посредством HTTPS протокола в принудительном порядке там, где изначально установлен HTTP
На заметку. HSTS – это механизм, активирующий защищенное соединение посредством HTTPS протокола в принудительном порядке там, где изначально установлен HTTP.
Атаки в ходе анализа трафика
Протокол имеет проблемы и при анализе трафика. В ходе атак с анализом трафика выводятся показатели защищенных данных канала. Достигается это благодаря измерению объема трафика и продолжительности передачи информации в нем. Анализировать трафик реально, потому что SSL и TLS шифруют данные так, чтобы в корне изменялось содержимое трафика, но его размер и время оставались практически неизменными.
Весной 2010 года сотрудники Microsoft Research провели исследование, в ходе которого обнаружили, что важные «скрытые» личные данные возможно заполучить из второстепенной информации, к примеру, из размеров пакетов.
Благодаря анализатору трафика удалось увидеть историю болезней, информацию о выписанных препаратах, операциях, которые проводились пациенту, доходах пользователя и так далее. Всю информацию удалось получить в приложениях здравоохранительных, налоговых и прочих учреждений невзирая на наличие HTTPS протокола.
Man-in-the-middle
Атака «человек посередине» пользуется следующей уязвимостью: HTTPS сервер отсылает сертификат с открытым ключом браузеру и, если тот не доверяет документу, канал передачи данных становится незащищенным. Атака подделывает оригинальный сертификат, который удостоверяет надежность HTTPS-сервера, на модифицированный
Злоумышленники получают то, что им нужно, если пользователь не обращает внимание на предупреждения браузера после двойной проверки сертификата
Подобным атакам крайне часто подвергаются пользователи, посещающие
веб-ресурсы внутри сети частных компаний, многие из которых используют
самозаверенные сертификаты. По сути, мошенник выступает в качестве шлюза между пользователем
и сервером. Из-за этого трафик клиента проходит через злоумышленника, который
может воспользоваться ним в своих целях. Проходит атака по следующей схеме:
- Мошенник «располагается» между сервером и клиентом.
- Отправляет сообщения пользователя к серверу, не меняя их.
- Перехватывает сообщения от сервера.
- Создает ложный сертификат и заменяет ним изначальный сертификат от сервера.
- Отправляет пользователю подменный документ.
- После подтверждения сертификата пользователем, устанавливается два «защищенных» соединения: между мошенником и посетителем, а также между мошенником и сервером.
Ни пользователь, ни сервер не догадываются, что соединение уже небезопасное, а у злоумышленника есть секретный ключ и он способен расшифровать все данные, передаваемые по каналу.
Подводя итоги
Теперь становится понятно, чем отличается защищенный протокол HTTPS от обычного, и какие нюансы влияют на безопасность передачи данных от пользователя к ресурсу и обратно.
Информация ваших пользователей должна быть защищена, поэтому не допускайте промедлений и не экономьте на этом. Уже сами поисковые системы фильтруют те ресурсы, которые не стремятся обезопасить информацию с помощью SSL.
В статье мы рассказали о видах сертификатов и о способах шифрования информации, так что теперь вам не составит труда выбрать наиболее подходящий для вашего сайта, или использовать бесплатный сертификат, если у вас все еще остались сомнения.
Технический прогресс с каждым днем движется все интенсивнее, информационные технологии не стоят на месте, поэтому нужно всегда быть в курсе новых требований, предъявляемых к передаче данных.
Это касается не только владельцев онлайн-ресурсов, но и простых пользователей, ведь за безопасность своих компьютеров отвечают они сами.