Нужен ли моему сайту HTTPS?

Чтобы одной ссылкой отвечать сразу на весь пул вопросов на тему «нужно ли мне устанавливать SSL на сайт» был создан данный пост. Поделитесь этой записью со своими подписчиками, спасибо, пожалуйста.

Плюсануть
Поделиться

Итак, главный ответ:

Да, вашему сайту нужен HTTPS!

Постараюсь ответить на популярные вопросы простых владельцев сайтов. Если останутся ещё — пишите в комментарии, дополню пост.

Но на моём сайте нет форм и он не собирает информацию от пользователей

Не важно. HTTPS защищает больше, чем просто данные, передаваемые через формы! HTTPS сохраняет конфиденциальность ссылок, заголовков и содержимого всех страниц, по которым вы переходите.

На моём сайте нет ничего секретного, его посетителям нечего скрывать

Не важно. Вы отвечаете за свой сайт, соответственно и за то, что на нём отображается. Интернет знает множество случаев, когда компании вставляли свой код на страницы сайтов, не предупреждая об этом. Вы действительно хотите, чтобы на вашем сайте можно было поменять слова (или весь текст), были сторонние скрипты, изображения, реклама или подобное дерьмо, а главное — чтобы всё выглядело так, будто именно вы это всё туда вставили (вы же владелец сайта)? А такое происходит постоянно.

Примеров много. Огромные компании, типа Comcast, совсем не брезгуют инджектить свой код, авиакомпании тоже делают так очень часто, в Китае это вообще норма.

За примерами в России тоже далеко ходить не нужно:

У меня тоже был подобный пример, когда я ещё пользовался Билайном. Хоть и не рекламу показывали, но своё дерьмо добавляли на странички:

Кстати, скрывать только важный трафик — не лучший выход. Так вы сами обозначаете «цель» для потенциального злоумышленника. Шифруйте весь свой трафик, чтобы не было внимания на какую-то отдельную часть всего вашего трафика.

На моём сайте HTTP, но все данные передаются по HTTPS

Это вариант ещё хуже, чем не пользоваться HTTPS совсем! Если вы передаёте данные с формы с сайта на HTTP, то ничего не мешает злоумышленнику просто подменить адрес для передачи на вашем сайте, вспомните примеры выше. Установите шифрование на ВЕСЬ сайт, обязательно делайте редиректы с HTTP на HTTPS (но с головой, помните про seo).

У меня нет денег на SSL-сертификат

Вот тут бесплатный.

HTTP сложно установить и поддерживать

Если есть Vesta — очень просто. Ещё можно вот тут выбрать себе способ генерации сертификата.

Хакеры могут подделать мой сайт, даже если я установлю HTTPS

Да, но в таком случае браузер будет показывать предупреждения о недействительном сертификате. Помните, что HTTPS гарантирует подтверждение подлинности сайта, а не его неуязвимость.

HTTPS не спасёт от DNS lookup

Что такое DNS lookup — обратный запрос DNS.

Конечно нет, но и не должен. Да и разве это достойная причина не шифровать данные между своим сайтом и его посетителями? (подсказка: нет)

HTTPS медленный!

Нет, пруф.

Сайты мошенников тоже пользуются HTTPS!

И что? Разве это повод самим не пользоваться сертификатами? Явно нет.

Реклама на моём сайте работает только по HTTP

Очень жаль, что ваш рекламодатель не заботиться о своём и вашем трафике. Это ни в коем случае не отменяет того факта, что вам нужен HTTPS на сайте, а только предоставляет возможность найти нового рекламодателя или партнёрку. Да тот же AdSense можно временно поставить.

Мой сайт доступен только в моём регионе или только через VPN

Вы так уверены в компании, которая хостит это всё, что им не интересен трафик ваших посетителей? Если не уверены — ставьте HTTPS.

Мы храним зашифрованные пароли!

Круто, но тут это не имеет значения. Пароли крадут не с вашей базы, а «из браузера пользователя».

HTTPS вреден для SEO

Неа, совсем нет. Скорее наоборот. Главное — сделать правильный перенос сайта. Обычно трафик падает максимум на 1,5-2 недели, только в Яндексе, и только из за переклейки зеркал, а не за сам факт подключения ssl-сертификата.

Разве это не забота браузера — безопасность пользователей?

Да, но не совсем. Браузер может обеспечить безопасное соединение только при условии предоставления сервером защищённого соединения, что уже полностью ваша забота.

Как мне включить HTTPS на моём сайте

Для начала определитесь какой сертификат вам нужен — бесплатный или платный (подсказка: платный не «безопаснее» бесплатного). Далее найдите инструкцию под свой веб-сервер или панель управления (на Vesta это делается в 4 клика). После её выполнения не забудьте позаботиться о SEO.

Всё, поздравляю, вы защитили трафик своих пользователей.

Если очень нужно помочь с установкой SSL-сертификата — можете обратиться ко мне. Помогу.

Вдохновлялся вот этой страничкой.

Опубликовано: 19 Август, 2017 | Метки: , ,