Поиск

Протокол https для защиты данных сайта



Для передачи информации в интернете необходим протокол связи Hypertext Transfer Protocol (HTTP). С помощью него пользователь общается с сервером. HTTP существует с 1992 года. Его единственный минус - передаваемая информация не защищена. Функцией защиты обладает появившийся позже Hypertext Transfer Protocol Secure (HTTPS). Новый протокол передачи данных:

  • шифрует и защищает информацию;
  • фиксирует случайные или умышленные искажения данных пользователем;
  • продвигает сайт в поисковой выдаче, являясь одним из способов seo-оптимизации.

HTTPS появился в 1994 имеет секретный код, состоящий из 100 знаков, известный серверу и компьютеру. 

В чем состоят различия между HTTP И HTTPS

  1. HTTPS - расширенный вариант протокола HTTP. 
  2. Сайты, использующие эти протоколы, имеют URL-адреса, начинающиеся с http и https, соответственно.
  3. Работающие HTTP интернет-ресурсы имеют порт 80, для ресурсов на на HTTPS применяется порт 443.
  4. Сайт, работающий на протоколе HTTP, может подвергнуться хакерской атаке. В результате на нем появляются вредоносные программы или реклама. 
  5. Протокол HTTP может быть изменен хакерами и предоставлять доступ к секретной информации пользователей. HTTPS защищен от атак.

Поисковые системы “Яндекс” и Google обращают внимание на безопасность сайтов. Именно поэтому ресурс, использующий протокол https лучше индексируется. Данные безопасности с сайтов на https собираются сервисами Google Analytics и “Яндекс Метрика”. Обычные пользователи охотнее совершают финансовые операции и оставляют конфиденциальные данные в интернет-магазинах на https.

Что дает SSL - сертификат

ПК заходящего на сайт и сервер обмениваются данными с помощью выбранного и известного только им секретного ключа. Для каждого нового сеанса создается новый код шифрования. С целью соблюдения режима безопасности владелец домена должен иметь сертификат безопасности SSL(Secure Sockets Layer). SSL - криптографический протокол, использующий асимметричное шифрование информации для аутентификации ключей. В нем отображаются данные и подпись владельца сайта. 

SSL-протокол проверяет подлинность интернет-ресурса. Он зашифровывает данные, передающиеся между пользователем и сервером.Прочитать данные позволяет сгенерированный ключ, являющийся индивидуальным для пользователя.

Уже с начала 2017 года браузер Google Chrome определяет сайты, на которых не подключен SSL. В этом случае экране появляется красная картинка с надписью “Потенциально вредоносное ПО”. 

 

Есть разные виды SSL-сертификатов.

  • Domain SSL, или DV, самые доступные, предназначены для использования физическими лицами и компаниями. Они подтверждают собственность на домен. 
  • Organization SSL, или OV, предназначены для юридических лиц и подтверждают не только само доменное имя, но и наличие компании, которой принадлежит сайт.
  • Extended SSL, или EV, - также сертификаты для организаций, но более высокого уровня. Адресная строка при открытии их сайта окрашивается в зеленый цвет. В ней пишется название компании, что выделяет сайт среди остальных.

Для более надежной защиты рекомендуется не использовать устаревшие версии SSL . Это SSL 2.0, SSL 3.0 и TLS 1.0. Их стоит заменить на более современные: TLS v1.1 и TLS v1.2.

Более поздние версии сертификата SSL имеют дополнительные функции.

  • WildCard, или WC, отвечает за защиту не только самого домена, но и его поддоменов до третьего уровня. 
  • Multidomain, SAN, или MD охватывает множество доменов, до сотни.  
  • Internationalized Domain Name, или IDN, разработан для защиты национальных доменных имен, например, в зоне рф. 
  • Благодаря Server Gated Cryptography, пользователи со старыми браузерами могут не опасаться взлома. Такие системы зачастую стоят в государственных организациях. 

Для повышения престижа компании в глазах клиентов существует печать доверия. это логотип центра, где сайту выдали сертификат. Внешне представляет собой знак, при нажатии на который выдается информация о центре сертификации. В некоторых случаях бывает динамическим и открывает данные при наведении курсора.

Переход сайта с HTTP на HTTPS

  1. Выбрать сертификат SSL в зависимости от параметров своего ресурса. Для небольшого сайта будет достаточным вариант DV. Корпоративному порталу больше подойдет OV. Если у него имеются поддомены, то SSL должен иметь версию WildCard. Защитить большое количество доменов можно, установив Multi-Domain или SAN. Большой интернет-магазин нуждается в расширенной защите EV, соответствующий мировым стандартам финансовой отрасли. Кириллическому нужен IDN. 
  2. Установить SSL на сайт.
  3. Необходимо проверить все URL. Каждая ссылка должна начинаться с https. В противном случае будет появляться предупреждение об опасности ресурса.
  4. К внутренним ссылкам, встречающимся на страницах сайта и ведущим на ресурсы http в код страницы,нужно добавить мета-тег referrer. Если этого не сделать, сайт с такими ссылками не будет индексироваться поисковиками.

<meta name="referrer" content="httpdomain"/>

5. Проверяете сам ресурс. В адресной строке должен быть символ безопасного соединения. 

6. На последнем шаге устанавливаете редирект и указываете канонические адреса.

  1. на новый адрес перенаправляет редирект с кодом для http 301;
  2. для передачи новому адресу сайта статистики предыдущего нужно добавить атрибут rel="canonical" в код каждого URL нового ресурса.

О переходе сайта на протокол https поисковый робот узнает при очередном открытии его страниц.

7. Остается регулярно следить за сроком действия сертификата и продлевать при необходимости.

Search Console обрабатывает статусы индексации HTTP и HTTPS независимо друг от друга. В связи с этим при работе с обоими протоколами нужно иметь несколько вкладок. 

Применение протоколов HTTP и HTTPS одновременно опасно. В этот момент возникает угроза хакерского взлома Man in the middle (MITM), “человек посередине”. При этом третья сторона перехватывает информацию общающихся между собой и каждой из сторон выдает себя за известного той участника диалога. Второй проблемой является потеря трафика. Современные версии SSL защищены от подобных недостатков.Transport Layer Security (TLS) специально создана для перехвата данных мошенниками.

Существуют нюансы установки сертификата защиты. Установка его плагинов достаточно сложна. В некоторых случаях могут потребоваться изменение архитектуры сайта или элементов web-дизайна.


Настройка robots.txt

Читайте также

Настройка Robots.txt