TopDealo.com - как создать успешный дропшиппинг бизнес!

info@topdealo.com

Безопасность сайта

Безопасность сайта HTTPS

Безопасность сайта
выходит на первый план

С каждым годом безопасность сайта становится всё актуальнее. Число взломов сайтов и кража данных растёт огромными темпами. Поэтому, с 2014 года Google стал уделять этому вопросу всё больше и больше внимания и начал призывать всех владельцев сайтов настроить более защищённый протокол обмена данными. В общем, стал призывать к тому, чтобы перешли с  HTTP на HTTPS.

Согласно Википедии:

HTTP расшифровывается. как HyperText Transfer Protocol, в переводе это означает “протокол передачи гипертекста”

HTTPS расшифровывается, как Hypertext Transfer Protocol Secure, в переводе это означает “безопасный протокол передачи гипертекста”.

У нас даже на Google AdSense висит приглашение улучшить безопасность сайта. Висит это сообщение в категории “Оптимизация”. Где заверяют о том, что это не просто повысит безопасность сайта, но и увеличит посещаемость. Вот фото убедитесь сами.

 

Сообщение Google: Сделай сайт безопаснее

 

Новая безопасность сайта,
это необходимость или можно обойтись

В общем, можем сразу сказать, что мы долгое время игнорировали это сообщение Google. Поскольку нам было известно, что это в первую очередь имеет значение для сайтов на которых есть ввод личных данных:

  1. Оплата товаров и услуг.
  2. Регистрация на сайте
  3. Подписка на рассылку

Вот ссылка на публикацию от 8 сентября 2016 года, где написано, что это норма войдёт в действие с января 2017 года.

Это значить сайты, где не нужно вводить данные могут обойтись без этого. И в самом деле, если посмотреть на то, как они выглядят в поисковике, что несомненно влияет на посещаемость, то не о чём было волноваться

.

Chrome: HTTP страницы небезопасны

 

Сами видите визуальной разницы нет для сайтов в которых не вводят данные. А есть разница для сайтов, где есть ввод данных, там в поисковике видно предупреждение Not secure (не безопасно). И эти сайты наверняка уже давно перешли на новый протокол безопасности, во всяком случае магазины на старом протоколе мы не встречали. В общем решили не мучатся, тем более, что в интернете не встречали доказательства влияния этого фактора на ранжирование сайтов. И вот, что писал сам Google в августе 06, 2014 на этот счёт:

“Пока это всего лишь очень легкий сигнал, затрагивающий менее 1% глобальных запросов и несущий меньше веса, чем другие сигналы, такие как высококачественный контент”, вот ссылка на источник.

 

Коренное изменение ситуации

Однако, с тех пор многое изменилось. Недавно узнали, что Google планирует с июля 2018 года ввести визуальное предупреждение для всех сайтов  HTTP, вот ссылка на источник.

 

Chrome: все страницы HTTP небезопасны

 

Теперь игнорирование, можно сказать, подобно самоубийству. Это уже не вопрос ранжирования, это уже просто стоп сигнал для посетителей. Думаем, ни у кого больше не осталось сомнений, потому что, мало кто из посетителей захочет зайти на сайт с таким предупреждением. Тем более, безопасность сайта показывает не только Google Chrome, но и другие браузеры, такие как  Яндекс.Браузер, Opera, Firefox, Microsoft Edge, Safari и др. Поэтому, конечно, мы решили установить новый протокол безопасности. И вот мы начали изучать эту тему. Вопрос довольно сложный, нужно во всём разобраться и сделать всё правильно. 

Далее, обо всём этом будем излагать в наших материалах. Давайте будем рассматривать всё по порядку. Для начало, разберёмся в том, что именно нужно для перехода на новую безопасность сайта, т.е. на  HTTPS

Что нужно для перехода на HTTPS

Чтобы достичь этой задачи необходимо установить SSL-сертификат. Для этого его с начало надо получить. Получить его можно в центре выдачи сертификатов СА,  или у посредника, или издать самому самоподписаный (он так же называется самоизданный или самозаверенный). SSL-сертификат можно приобрести, как за деньги, так и бесплатно.

Бесплатно можно издать самому или получить в Let’s Encrypt
За деньги можно приобрести в  СА,  или у посредника.

Прежде всего, конечно, рассмотрим бесплатный вариант. Зачем платить за то, что можно получить бесплатно. Хотя, сразу скажем это подходит не всем. Чтобы это выяснить, напишем какие бывают SSL-сертификат и кому предназначены.

Как выбрать SSL-сертификат

Чтобы выбрать нужный вам сертификат, необходимо, прежде всего выяснить какие они вообще бывают.

Список основных SSL-сертификатов

Domain Validation SSL  (DV SSL) – это сертификат с проверкой домена.
Подходит  для физических лиц и малого бизнеса

♦ Organization Validation SSL (OV SSL) – это сертификат с проверкой компании.
Подходит для среднего бизнеса

♦ Extended Validation Certificates (EV SSL) – это сертификат с расширенной проверкой.
Подходит для  крупного бизнеса

♦ WildCard SSL Certificates – это сертификат с поддержкой субдоменов.
Подходит для сайтов с большим количеством поддоменов

♦ Multi Domain SSL Certificates – это сертификат с расширяемым числом доменов.
Подходит для защиты нескольких доменов

Теперь видно, что для физических лиц и малого бизнеса подходит Domain Validation SSL  (DV SSL).  Это сертификат с проверкой доменного имени. Именно, этот сертификат нас и интересует. Прежде всего, потому что, именно этот SSL-сертификат можно приобрести, как за деньги, так и бесплатно, так как остальные можно только купить. Да и ещё самоподписаный, который то же можно издать самому бесплатно. Однако, это самый не предпочтительный вариант и вот почему.

Самоподписаный сертификат

Тут хотелось заметить, что не смотря на то, что бесплатно можно издать самоподписанный. SSL-сертификат самому, мы его сразу отбрасываем. Потому что, у самоподписанных сертификатов есть ОГРОМНЫЙ МИНУС. При использовании самоподписанного SSL-сертификата браузер не может определить подписавшее лицо (доверенным считаются центры сертификации СА). Следовательно, браузер выдаст предупреждение о не доверенном соединении. Сообщение такого типа, можно увидеть на фото ниже.

 

Фото предупреждение-подключение не защищено

В результате, посетитель, который увидит это сообщение, на верняка смутится. И конечно, мало кто,  захочет дальше иметь дело с таким сайтом. 

В общем, смотрите сами, если кому-то не важно количество посетителей, то можно использовать  самоподписанный SSL-сертификат. В любом случае, этот сертификат обеспечивает новую безопасность сайта и поисковики будут выдавать в поиске в нормальном режиме.Просто, прежде всего, дело в том, сколько посетителей не испугаются этого сообщения.

Следовательно, как и писали выше, для максимального привлечения посетителей, остаётся один сертификат, который нас интересует, это Domain Validation SSL  (DV SSL). И к счастью, его можно, как купить, так и приобрести бесплатно. В первую очередь, начнём с рассмотрения бесплатного варианта.

 

Как приобрести бесплатно
Domain Validation SSL (DV SSL)

Этот SSL сертификат можно получить бесплатно в не коммерческой организации Let’s Encrypt или в подобных сервизах, например One-Click SSL от Cloudflare, FreeSSL от Symantec. Поскольку, Let’s Encrypt является самым популярным SSL сертификаиом, то мы остановим своё внимание именно на нём.

У многих хостинг сервизов приобретение и установка бесплатного SSL сертификата от Lets Encrypt автоматизирован с последующей автоматической переустановкой. Но к сожалению, есть и такие, у которых нет автоматизации и всё нужно делать в ручном режиме. Хотя, это ещё не самое худшее, есть такие сервизы, которые вообще не разрешают его устанавливать. Даже не смотря на то, что его спонсируют такие известные компании, как Google, Mozilla, Facebook, Automattic, Cisco и др. Поэтому, прежде чем получить этот бесплатный сертификат, поинтересуйтесь, как обстоят дела с этим у вас на хостинге.

Установка Let’s Encrypt в ручном режиме

Если выяснится, что на вашем хостинге нет автоматизации, но сертификат можно установить в ручном режиме, то в этом случае, прежде чем решить это сделать, вам нужно знать следующее: 

При установке сертификата на виртуальный хостинг могут возникнуть проблемы.

 

Недостатки ручной установки сертификата от Let’s Encrypt

  1. Бесплатный SSL‑сертификат не выдаётся на год, как платные сертификат. Этот сертификат выдаётся лишь на 3 месяца. Поэтому, каждые три месяца его нужно будет переустанавливать. Если пропустите этот момент, то защита перестанет работать. И посетители сайта получат предупреждение о том, что подключение не защищено, как в случае с самоподписным сертификатом, смотрите фото выше.
  2. Чтобы установить бесплатный SSL‑сертификат, вам нужно уметь пользоваться командной строкой. Если у вас нет такого опыта, то рискуете случайно сбить другие настройки. Поэтому, семь раз подумайте, прежде чем приступить к ручной установке.

Есть ещё один недостаток, это проблемы совместимости

Вот список совместимости:

  • Mozilla Firefox >= v2.0
  • Google Chrome
  • Internet Explorer on Windows XP SP3 и выше
  • Microsoft Edge
  • Android OS >= v2.3.6
  • Safari >= v4.0 on macOS
  • Safari on iOS >= v3.1
  • Debian Linux >= v6
  • Ubuntu Linux >= v12.04
  • NSS Library >= v3.11.9
  • Amazon FireOS (Silk Browser)
  • Cyanogen > v10
  • Jolla Sailfish OS > v1.1.2.16
  • Kindle > v3.4.1
  • Java 7 >= 7u111
  • Java 8 >= 8u101
  • Blackberry >= 10.3.3
  • Игровая консоль PS4 с прошивкой > = 5.00

Прежде всего, это означает, что он не поддерживает старые версии браузеров. Далее из списка видно, что люди у которых на компьютере установлено Windows XP SP2 или XP SP1, тоже будут иметь дело с незащищённым соединением. Так же, это касается телефонов со старыми версиями Android OS, не говоря уже об остальных случаях. В общем, сколько потенциальных посетителей будете лишены, судите сами. 

Наконец, этот сертификат не имеет гарантии

Дело в том, что платные, т.е. коммерческие центры дают гарантию на случай взлома или потери денег, а
Let’s Encrypt, как не коммерческая организация такой гарантии не даёт. Поэтому, если будет взлом или потеря денег, никто не компенсирует и не вернёт денеги.

В общем, теперь, когда известны все плюсы и минусы сертификата Let’s Encrypt, можно сказать следующее:

если приобретение и установка бесплатного SSL сертификата от Lets Encrypt автоматизирован с последующей автоматической переустановкой, то его можно устанавливать.

однако, если же, его нужно приобретать и устанавливать самому и потом продлевать каждые три месяца в ручном режиме, то мы считаем, оно того не стоит, недостатки перевешивают.

Поэтому, исходя из всего выше указанного, мы решили, что лучше будет приобрести платный сертификат, тем более, что его можно найти по очень выгодной цене.

Теперь, когда мы определились с тем, какой сертификат нам нужен и нужен ли вообще, можно перейти к непосредственной реализации этой задачи. Чтобы это сделать, необходимо перейти к рассмотрению следующих вопросов:

  1. Как купить сертификат
  2. Как установить сертификат

 

 

 

 

 

 

Рейтинг (оценить 5 из 5)
1star1star1star1star1star
5 based on 1 votes
Название:
Безопасность сайта выходит на первый план
Эту информацию ищут другие, поделитесь!