HTTPS - це додаткова обгортка звичайного протоколу HTTP, яка шифрує дані, що передаються від комп'ютера до сервера і назад.
Перехід на https: обов'язково чи ні?
Перехід на https не є обов'язковим. Але, якщо сайт працює з платіжними даними або будь-який інший персональною інформацією, то зелений замочок в браузері потрібен. Використання https це великий плюс до репутації сайту. З боку користувачів більше довіри і сайт краще ранжується пошуковиками.
Як працює https
Протокол https використовує криптографічний алгоритм SSL / TLS, який шифрує дані і захищає з'єднання комп'ютера і сервера. За протоколом https комп'ютер і сервер генерують секретний ключ, а потім обмінюються вже зашифрованою інформацією. Ключ створюється при кожному сеансі обміну і перехопити його нереально — це число більше ста знаків. Також використовується цифровий сертифікат для ідентифікації сервера. Браузер спочатку перевіряє справжність сертифіката і після підтвердження починається обмін даними.
Як перевести сайт на https
Перехід сайту на протокол https здійснюється просто. Процес складається всього з декількох кроків.
Крок 1. Отримання та налаштування сертифіката. Платний сертифікат можна купити в центрах сертифікації. Також нормальний хостинг може видати безкоштовний, який необхідно тільки встановити. Для невеликих сайтів цього цілком достатньо, але солідні компанії воліють платні з розширеною аутентифікацією. Крім того, безкоштовні сертифікати можуть збільшувати час передачі даних через особливості їх обслуговування. Після отримання сертифікат потрібно налаштувати. Мета Налаштування-переадресація всіх запитів з http на https.
Крок 2. Налаштування внутрішніх посилань. Повні абсолютні посилання всередині сайту необхідно замінити відносними, так як можуть виникнути труднощі із завантаженням контенту.
Крок 3. Переадресація. Після установки сертифіката сайт стане доступний за двома адресами. Потрібно залишити тільки той, який починається з https. Для цього на сервері налаштовується редирект з http на https. Після цього навіть http-запити користувачів будуть переадресовуватися на сайт з новим протоколом.
Крок 4. Внесення змін до файлу robots.txt. Для того щоб пошукові роботи могли виявити сайт зі зміненим протоколом, потрібно вказати це у файлі robots.txt.
Крок 5. Включення HTTPS Strict-Transport-Security. Цей процес індивідуальний для кожного сервера, так що універсальних рекомендацій не існує. Для полегшення завдання можна звернутися до фахівців, які розробляли сайт.
Безпека і репутація сайту-речі нерозривно пов'язані. І справа тут не тільки в тому, що репутацію порталу можна втратити після його злому. Велика ймовірність того, що сама довіра до веб ресурсу не вдасться отримати з боку відповідальних відвідувачів, які зазвичай складають платоспроможну частину потенційних клієнтів і стежать за наявністю «закритого замочка». Не кажучи вже про те, що без використання засобів безпеки можуть погіршитися позиції в пошуковій видачі в порівнянні з конкурентами.
