Если вы – владелец сайта, то за последнее время вероятно слышали о том, что вам необходимо установить на него HTTPS-протокол. А для этого необходимо срочно получить SSL-сертификат. Самый главный вопрос – что это такое и для чего это нужно? Об этом – наша статья. В ней мы разъясним вам все нюансы и особенности его получения и подключения.
Содержание:
1. Что такое SSL?
2. Что он собой представляет?
3. Типы сертификатов по уровню проверки
4. Этапы подключения SSL-сертификата
5. Как создать запрос на получение?
6. А стоит ли тратить деньги?
7. Преимущества заказа SSL-сертификата на хостинге
8. Файлы SSL высланы. Что дальше?
9. Настройка протокола в Яндекс Вебмастере
10. Настройка протокола в Google Search Console
11. Что будет после получения SSL?
Что такое SSL?
Протокол SSL (от англ. Secure Sockets Layer – уровень защищенных сокетов) обеспечивает безопасность при соединении между браузером пользователя и сервером, на котором находится сайт. В процессе соединения вся необходимая информация для захода на сайт поступает в закодированном виде по HTTPS-протоколу. Расшифровать её можно только с помощью специального ключа.
Протокол HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — это расширение протокола HTTP для поддержки шифрования при передаче данных в целях повышения безопасности.
Соответственно, протокол передачи данных HTTP можно назвать устаревшим. Потому что он такой безопасности, при которой передаваемые данные могут попасть в чужие руки, уже не обеспечивает. Это главная причина, по которой Яндекс и Google требуют от сайтов обязательного наличия SSL и HTTPS. Например, в январе 2019 года Яндекс начал рассылать владельцам сайтов на HTTP письма, где подробно обосновывал недопустимость использования небезопасного протокола. А уже в феврале сделал наличие на сайте протокола HTTPS одним из факторов ранжирования.
Итак, с определениями выяснили. Люди, далекие от программирования и кибербезопасности для себя в принципе могут объединить эти 2 понятия – SSL-протокол и HTTPS-протокол. Одно необходимо для другого. А вот SSL-сертификат, необходимый для работы соответствующего протокола, это уже несколько иная вещь.
Что он собой представляет?
Это точно не бумажный документ, если кого-то сбило с толку слово «сертификат». Это уникальная цифровая подпись, закрепленная за вашим сайтом. Он говорит, что данный домен принадлежит реальному лицу/компании и что оно (лицо), как владелец сайта, полноправно может начинать использовать HTTPS-протокол.
Наличие SSL-сертификата – это важнейшее требование для любых сайтов, работающих с личными данными пользователей, например, сервис «Сбербанк-Онлайн» для платежей.
SSL-сертификат включает:
- Доменное имя, на которое он оформлен
- Сведения о юрлице – обладателе сертификата
- Данные о физическом местонахождении обладателя (город, страна)
- Срок действия сертификата
- Реквизиты компании-поставщика сертификатa
Сертификат состоит из 2-х частей (ключей) – public и private.
- Public – шифрует трафик от клиента к серверу в защищенном соединении
- Private – расшифровывает полученный трафик уже на сервере
От того, какой у вас сайт и какой нужен для него уровень защиты информации, зависят начальные этапы получения SSL-сертификата. Простой пример: если сайт использует платежную систему, то для него потребуется SSL-сертификат с расширенной проверкой, так как уровень безопасности понадобится высокий.
Типы сертификатов по уровню проверки
Существует 3 основные категории SSL-сертификатов. Каждая отличается условиями для перехода на протокол HTTPS, а также разными сроками выдачи документа.
1. Проверка домена (DV или domain validation) – необходимо подтверждение права собственности на домен сайта. После этого в течение 24-х часов на электронную почту придет письмо с кодом сертификата и ссылкой на него
2. Проверка организации (OV или organization validation) – нужно, чтобы доменное имя было связано с официально зарегистрированной компанией, а также указать другие контакты для подтверждения
3. Расширенная проверка (EV или extended validation) – нужна не только связь с официально зарегистрированной компанией, но и её полное соответствие мировым стандартам финансовой отрасли.
Это – наиболее распространенные категории. Можно выделить ещё 2 вида проверки:
1. Проверка посредством DNS-записи (DNS CNAME) – в вашем DNS создается специальная запись для проверки его сертификационным центром. Все делается автоматически
2. Проверка через хеш-файл (HTTP CSR Hash) – пользователю на почту высылается .txt файл, который загружается на сервер. Центр сертификации проверит его наличие и вышлет сертификат.
Этапы подключения SSL-сертификата
- Генерация – самостоятельное создание сертификата на сервере или через формирование CSR-запроса в Центр сертификации. Последний способ – более предпочтительный, о нем ниже.
- Отправка запроса
- Получение файлов на почту
- Добавление файлов на хостинг
- Подключение SSL-сертификата к сайту
- Настройки движка сайта для корректного обмена данными с пользователями по новому протоколу – HTTPS
Вернемся к способу генерации. Как мы уже сказали, самостоятельная генерация сертификата на сервере довольно трудоемкая процедура для тех, кто ранее с подобным не сталкивался. Поэтому лучше сразу формировать запрос. К тому же, если подключать собственный сертификат, то за его своевременным обновлением нужно следить, а это дополнительные затраты.
Certificate Signing Request или CSR-запрос – это заполненный файл с необходимой информацией о вашем домене и вашей компании. В файле также должен быть указан открытый ключ шифрования (из HTTP, который мы меняем). Он хранится в сертификате владельца сайта и доступен любому подключившемуся клиенту, тогда как закрытый ключ находится у владельца сертификата.
Как создать запрос на получение?
Для получения SSL-сертификата необходимо обращаться в компании, которые их выдают. Например, в Ru-Center – это крупнейший регистратор доменов и один из ведущих хостинг-провайдеров в России. Цена SSL-сертификата обычно разная, довольно часто он уже входит в стоимость хостинга.
Большинство владельцев сайтов обращаются за сертификатом именно в Ru-Center. Компания предлагает несколько типов сертификатов с различными основными характеристиками – кол-вом доменов, которые будут работать на HTTPS, уровень проверки (об этом ниже) и доступность для юридических и физических лиц. Подробная информация об этом представлена здесь, на сайте компании.
Что касается данных, которые надо указывать при заполнении заявки на сертификат, то об этом на сайте Ru-Center также представлена подробная инструкция.
А стоит ли тратить деньги?
Что лучше, платно или бесплатно? Давайте разберемся. Сегодня есть 2 основных способа добыть бесплатный SSL:
1. Сертификат от Let’s Encrypt – выдается на 3 месяца, после истечения срока его надо постоянно переполучать
2. Сертификат от COMODO (для клиентов Cloudflare – американской компании, оказывающей услуги CDN и защитой от DDoS-атак)
Стоит ли этим пользоваться? Если только в качестве тестирования SSL. Не забывайте о главном – вы не сможете получить что-то качественное и надежное за маленькие деньги или вообще без них. Это элементарные законы экономики. Так и с двумя вышеупомянутыми способами. Например, сертификат для клиентов Cloudflare очень долго настраивается – некоторые обновления DNS долго доходят до провайдеров. Кроме того, при такой системе есть риск медленной загрузки сайта от постоянных редиректов. А это уже отдельная проблема, которая может повлиять на поисковое продвижение – подробнее прочесть об этом можно тут.
HTPPS по сертификату от Let’s Encrypt заработает сразу после установки на сервер, да и в целом оно практически не отличается от платных сертификатов. НО! Через каждые 3 месяца вы должны будете его продлевать. А риск забыть об этом весьма высок. Так что – ответ очевиден. Лучше заплатить определенную цену за услугу предоставления SSL-сертификата хостеру на срок, куда более длительный, чем 3 месяца.
Преимущества заказа SSL-сертификата на хостинге
Их три:
- Простота процедуры – отсутствие вникания в довольно сложные технические подробности и риска упустить какой-либо нюанс
- Возможность получить сертификат за относительно низкую цену, например, в рамках какой-либо акции
- Длительный срок действия – как правило, на 1 год максимум
Итак, вы заполнили заявку, отправили запрос и получили приватный ключ сертификата. Что делать дальше?
Файлы SSL высланы. Что дальше?
Для начала сохраните эти файлы на компьютер, в отдельную папку. Их потребуется подключить к домену на хостинге. Установка SSL-сертификата на домен производится специалистом, через специальную панель инструментов хостинга, а также с использованием админки сайта. Но в большинстве случаев установка происходит гораздо проще – все делает сам провайдер, владельцу сайта достаточно лишь оплатить услугу.
Далее выполняются следующие действия:
- Добавление копии сайта – копии уже с наличием HTTPS-протокола – в Яндекс Вебмастер и Google Search Console
- Установка 301-редиректа со старой версии сайта на HTTP на новую – уже на HTTPS-протоколе.
- Склейка в Яндекс Вебмастере и Google Search Console 2 сайта таким образом, чтобы переадресация происходила на новый сайт, с HTTPS (об этом расскажем чуть ниже)
- Замена старого протокола на новый во всех ссылках на сайте – с HTTP на HTTPS
Разумеется, что все это тоже задача специалиста – того, который находится на стороне клиента, например, сотрудник технической поддержки агентства, ответственного за продвижение его сайта. Наша компания также оказывает услуги по подключению SSL. Мы занимаемся этим в рамках технической поддержки, куда входит и изменение настроек протокола сайта.
Важный нюанс, связанный с переносом и работой файла robots.txt и карты сайта:
После запуска работы сайта на HTTPS файл Sitemap.xml (карта сайта) и файл robots.txt необходимо заменить на новые, с HTTPS-ссылками. Если она на вашем сайте стандартная (CMS.S3), то её обновление произойдет автоматически.
Настройка протокола в Яндекс Вебмастере
В панели Вебмастера нужно указать адрес сайта уже с протоколом HTTPS и кликнуть «Добавить». Далее выполняются следующие действия:
- Подтверждение прав на сайт
- Регистрация карты сайта для HTTPS-версии в разделе «Настройки индексирования» – «Файлы Sitemap»
- Добавление HTTPS в версию сайта на HTTP – вход в настройки старого сайта, далее раздел «Настройки индексирования» – «Переезд сайта». Активация чек-бокса «Добавить HTTPS» с сохранением изменений.
Настройка протокола в Google Search Console
В Google Search Console необходимо добавить свой сайт, причем указывать его надо вместе с протоколом HTTPS. После, как и в Вебмастере, также надо подтвердить права на сайт, причем как с с www и без). Далее выполняются следующие действия:
- Указание основного домена в разделе «Настройки» – «Настройки сайта» – «Основной домен»
- Перенос всех настроек в Search Console со старой на новую версии сайта (геотаргетинг, отклоненные ссылки и т.д.)
Склейка двух версий сайта в Google производится автоматически, как и признание сайта на HTTPS главной версией.
Что будет после получения SSL?
После установки SSL-сертификата и начала работы сайта на новом протоколе HTTPS может наблюдаться некоторая просадка в позициях в поисковой выдаче. Примерная цифра – 15-20%. Кроме того, скорее всего обнулится ИКС (Индекс Качества Сайта – новый показатель от Яндекса), так как сайт начнет индексироваться заново.
К сожалению, это своеобразные «естественные побочные эффекты» от переноса сайта, на которые агентство по его продвижению повлиять никак не может. Это, как в косметологии, где после удачно проведенной хирургической процедуры нужно ждать, пока уйдут отеки и покраснения.
Далее. После подключения SSL в адресной строке браузера ваш сайт может обозначаться, как «незащищенный», то есть, все ещё на HTTP. Причина – возможно, где остались ссылки, работающие по старому протоколу, например, ссылки на другие сайты или на сторонние сервисы. Если такое произошло, то проверьте ещё раз все с самого начала.
Ну и последний совет, который стоит дать, это необходимость проверки корректного прописывания региона сайта в Яндекс Вебмастере через Яндекс Справочник. Дело в том, что после запуска HTTPS региональные настройки могут сбиваться, в этом случае сразу же напишите в поддержку Яндекса.
Какие можно подвести итоги? Все просто. Без SSL-сертификата вашему сайту не обойтись. С ним вы не только не потеряете позиции в поисковой выдаче, но и обеспечите безопасность пользовательских данных, а значит, и сохраните лояльность посетителей своего сайта.