Нужен ли моему сайту HTTPS?
- EN
- RU
Содержание страницы
Чтобы одной ссылкой отвечать сразу на весь пул вопросов на тему «нужно ли мне устанавливать SSL на сайт» был создан данный пост. Большое заблуждение, что SSL нужен только интернет-магазинам, он нужен всем сайтам. Итак, всегда актуальный ответ на главный вопрос про SSL:
Да, сайту точно нужен HTTPS!
Постараюсь ответить на популярные вопросы неопытных вебмастеров и владельцев сайтов. Если останутся ещё — пишите в комментарии, дополню пост.
Но на моём сайте нет форм и он не собирает информацию от пользователей
Не важно. HTTPS защищает больше, чем просто данные, передаваемые через формы! HTTPS сохраняет конфиденциальность ссылок, заголовков и содержимого всех страниц, по которым вы переходите.
На моём сайте нет ничего секретного, его посетителям нечего скрывать
Не важно. Вы отвечаете за сайт и за то, что на нём находится. А встраивание интернет-провайдерами своего кода на сайты без предупреждения — частая история. Вы точно хотите, чтобы на вашем сайте можно было поменять вообще всё, подгрузить сторонние скрипты, изображения, рекламу и подобное дерьмо, а главное — чтобы всё выглядело так, будто именно вы это всё туда вставили (вы же владелец сайта)?
Примеров много. Огромные компании, вроде Comcast, совсем не брезгуют инджектить свой код, авиакомпании тоже делают так очень часто, в Китае это вообще норма (хотя кто этому удивлён).
В России тоже за примерами далеко ходить не нужно. У меня был такой пример, когда я пользовался Билайном. Хоть и не рекламу показывали, но кусок себя добавляли на странички. Выяснилось, что это такая фича и отключается в настройках. Сразу отключил, кусок Билайна пропал, хорошо. Хотя зря я тогда в код не глянул, особенно до и после изменений в настройках. Почему-то сильно уверен, что инородный код на сайтах не пропал.
Кстати, скрывать только важный трафик — не лучший выход. Так вы сами обозначаете «цель» для потенциального злоумышленника. Шифруйте весь свой трафик, чтобы у злоумышленников не было внимания на какой-то отдельный раздел вашего сайта.
На моём сайте HTTP, но все данные передаются по HTTPS
Это вариант ещё хуже, чем не пользоваться HTTPS совсем, даёт ложное чувство безопасности. Если вы передаёте данные из формы с сайта без шифрования, то ничего не мешает злоумышленнику заранее сделать нужные правки на вашем незашифрованном сайте, а вы уже сами отправите всё, что нужно. Установите шифрование на ВЕСЬ сайт, обязательно делайте редирект с HTTP на HTTPS, обязательно 301-ый, помните про seo.
У меня нет денег на SSL-сертификат
Вот тут бесплатный.
HTTP сложно установить и поддерживать
Если есть Vesta — очень просто. Ещё можно вот тут выбрать себе способ генерации сертификата.
Хакеры могут подделать мой сайт, даже если я установлю HTTPS
Да, но в таком случае браузер будет показывать предупреждения о недействительном сертификате. Помните, что SSL гарантирует подтверждение подлинности сайта, а не его неуязвимость.
HTTPS не спасёт от DNS lookup
Что такое DNS lookup — обратный запрос DNS.
Конечно нет, но и не должен. Да и разве это достойная причина не шифровать данные между своим сайтом и его посетителями? Подсказка: нет.
HTTPS медленный!
Откуда эта информация вообще? Всё от того же сеошника, который не разбирается в теме, но даёт советы? Нет, подключение SSL не замедлит ваш сайт, пруф.
Сайты мошенников тоже пользуются HTTPS!
И что? Разве это повод самим не пользоваться сертификатами? Нет.
Реклама на моём сайте работает только по HTTP
Очень жаль, что ваш рекламодатель не заботится о своём и вашем трафике. Это ни в коем случае не отменяет того факта, что вам нужен HTTPS на сайте, а только предоставляет возможность найти нового рекламодателя или партнёрку. Да тот же AdSense можно временно поставить. И что это за реклама такая интересная, что не работает по SSL? Пишите в комментариях и я помогу решить вашу проблему.
Мой сайт доступен только в моём регионе или только через VPN
Вы так уверены в компании, которая хостит это всё, что им не интересен трафик ваших посетителей? Если не уверены — ставьте HTTPS.
Мы храним зашифрованные пароли!
Круто, но тут это не имеет значения. Пароли крадут не с вашей базы, а «из браузера пользователя».
HTTPS вреден для SEO
Совсем нет. Скорее наоборот, представители Google и Яндекс уже несколько раз упоминали, что подключение SSL в любом случае пойдёт в плюс вашему ресурсу. Главное — сделать правильный перенос сайта. Уже прошло время, когда при переезде была вероятность вообще лишится трафика, сейчас переезд занимает 1-2 дня. Да, возможно незначительное падение трафика, но вам всё равно придётся переходить на HTTPS, рано или поздно. Может лучше рано? Кстати, падение органики при смене HTTP на HTTPS происходит не по вине подключения сертификата, а из за смены зеркал. Добавилась только одна буква «s», а для поисковика это уже другой домен.
Разве это не забота браузера — безопасность пользователей?
Да, но не совсем. Браузер может обеспечить безопасное соединение только при условии предоставления сервером сертификатов, что уже полностью ваша забота.
Как мне включить HTTPS на моём сайте
Определитесь какой сертификат вам нужен — бесплатный Let’s Encrypt или платный (платный не «безопаснее» бесплатного). Затем нагуглите инструкцию по установке сертификата под свой веб-сервер или панель управления. После её выполнения не забудьте про SEO, как минимум:
- Сделать редирект с HTTP на HTTPS;
- Сделать изменения в Вебмастере Яндекса и Google Search Console;
- Поправить «Host» в robots.txt.
Всё, поздравляю, вы защитили трафик своих посетителей от жадных провайдеров и хакеров. Ура!