Привет! У меня небольшой интернет-магазин, и все говорят, что обязательно нужно переводить его на HTTPS. Насколько это важно и стоит ли своих затрат?
Мария
Мария, добрый день! Отвечу сразу — да, смысл есть. Для электронной коммерции это, можно сказать, обязательное требование. При этом не важно, крупный у вас проект или нет — этот фактор не ключевой. Объясню по пунктам:
1. Закон о персональных данных и GDPR
Установка HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Протокол исключает перехват информации сторонними сервисами и мошенниками.
GDPR требует наличия SSL-сертификата и HTTPS на сайте, если вы собираете или передаете персональные данные.
При проверке контролирующий орган, скорее всего, будет трактовать закон в свою пользу, поэтому лучше перестраховаться. Если вы собираете персональные данные, в том числе файлы куки и IP-адреса, стоит выполнить эту рекомендацию.
2. Браузер и поведение пользователя
Google Chrome с июля 2018 года начал помечать небезопасные сайты.
Яндекс также считает, что HTTPS является одним из признаков качественного сайта, а его отсутствие — риск для пользователя. Поэтому Яндекс Браузер вскоре тоже будет предупреждать пользователей, что они открыли небезопасную версию сайта, то есть HTTP. Конкретные сроки запуска новой версии для всех пользователей Яндекс не указал, но уже анонсировал.
Таким образом, Гугл и Яндекс продолжают политику продвижения безопасных протоколов в Сети. Они рассчитывают, что оповещения в браузерах снизят посещаемость небезопасных ресурсов, и владельцы сайтов перейдут на HTTPS.
Не забывайте и про доверие пользователей. Многие тратят деньги и вводят данные банковских карт в интернете, они привыкли и рассчитывают на безопасность. Любое предупреждение от браузера, любое сообщение о небезопасном соединении и возможных рисках отпугнет от вашего сайта. HTTPS в этом плане существенно повышает уровень доверия.
3. Поисковые системы и оптимизация под их требования
Наличие HTTPS — фактор ранжирования в поисковой выдаче Google. Он дает довольно слабый импульс в ранжировании и увеличивать вес этого фактора Google не собирается. В компании считают, что в этом нет смысла: рано или поздно все перейдут на защищенный протокол. Однако на днях сотрудник Гугл Гэри Илш заявил в Твиттере, что этот фактор игнорировать не стоит.
Перевод: «Я не могу сказать точное число, но сигнал влияет на запросы в достаточной степени, чтобы это не игнорировать»
Яндекс также учитывает HTTPS как фактор ранжирования и считает его одним из важных признаков качественного сайта.
Есть и другие аргументы в пользу того, что безопасный протокол важен для поисковых систем. Например, именно сайты с HTTPS чаще всего попадают в ТОП-10 органической выдачи. При этом не стоит ожидать, что после перехода будет существенный рост позиций. Однако это позволит избежать санкций за отказ перехода на HTTPS.
А чтобы не потерять позиции в органической выдаче при переходе на безопасный протокол, воспользуйтесь нашими рекомендациями.
4. Эффективность рекламы
Эффективность рекламных кампаний в ряде случаев тоже снижается. Например, Google Ads урезает количество показов для сайтов без HTTPS.
5. Требование сервисов онлайн-оплаты, эквайринга и рассылок
Переход с http на https делает платежи безопасными. И это уже не опция, а важное требование: например, Яндекс.Деньги и Яндекс.Касса для интеграции с сайтом требуют обязательного наличия SSL-сертификата. Конечно, некоторые интернет-магазины принимают платежи прямым переводом на карту, но в большинстве случаев — это неудобно и вызывает недоверие.
Если вы планируете передавать данные в сервисы рассылок или другие сервисы по API, вероятнее всего, они тоже будут требовать HTTPS. Например, Google требует SSL-сертификат для push-уведомлений — http-сайтам их отправлять запрещено.
Да, это правило можно обойти, используя сторонние сервисы. Но даже в этом случае без HTTPS пользователю придется при подписке дважды давать согласие на push, что неудобно и снижает шанс подписки.
6. Безопасность
Во-первых, злоумышленники могут украсть данные: логин и пароль от админки сайта или личные данные, которые пользователь вводит на сайте. Если утечка данных случится, то придется вложиться в восстановление репутации сайта как благонадежного ресурса. А это существенно дороже, чем установить SSL-сертификат.
Во-вторых, без защищенного протокола интернет-провайдер или публичные wi-fi сети могут вмешиваться в работу ресурса — добавлять рекламные блоки или менять рекламу.
Ну, и упомяну несколько распространенных мифов о переезде на HTTPS, чтобы они не вводили вас в заблуждение
1. Это дорого
Многие не переходят, считая, что это дорого. Есть масса предложений бесплатных SSL-сертификатов — например, Let’s Encrypt хорошие сертификаты начального уровня. У платных сервисов часто встречаются хорошие спецпредложения — первый год бесплатно или бесплатный SSL-сертификат при покупке домена у регистратора.
Важно: не используйте самоподписанный сертификат. Это может быть хуже, чем не использовать сертификат вообще — например, воспринято как обман и попытка украсть данные. В таком случае браузер обязательно выдаст оповещение, что сайту доверять нельзя.
2. Это снижает скорость сайта
Это неверно. Доказательство этому проект https://istlsfastyet.com/, который Google создал, чтобы развеять миф о снижении производительности при безопасном соединении. Результаты говорят сами за себя — для загрузки сайта по защищенному протоколу требуется всего 10 дополнительных килобайт, а это менее 1% загрузки процессора.
3. Это сложно и долго
Это не так — процедура довольно простая и быстрая. Вам нужен будет человек, для которого слова «веб-сервер» и «хостинг» не пустые — разработчика или системного администратора вполне хватит.
Сперва выбираете сертификат, соответствующий типу вашего проекта — они обычно понятно описаны на сайтах, которые предоставляет услугу сертификации, например, https://www.reg.ru/ssl-certificate/.
Тарифы с описаниями на сайте reg.ru
Зачастую поддержка вашего хостинга может взять основную часть настройки на себя даже при бесплатном обращении, а у некоторых хостингов это вообще делается самостоятельно в пару кликов.
Технические настройки можно проверить через любой бесплатный сервис, например, Sslshopper. И проверьте раздел «Уведомления» в Яндекс.Вебмастере: должно появится сообщение, что для сайта site.ru изменилось главное зеркало и теперь главным зеркалом признан домен https://site.ru.
После настройки на страницах сайта в браузере URL должен быть помечен иконкой «замочка» и содержать вначале https.
Ну, и ни на одной странице не должно быть такого уведомления:
Если оно появляется, проверьте, какими URL грузятся изображения, стили и скрипты — там не должен встречаться http.
4. Переезд приведет к потере позиций — сайт выпадет или просядет в выдаче, а трафик уменьшится
Повторюсь, если вы все сделаете правильно по инструкциям Яндекса и Гугла, а также учтете наши рекомендации — просадки или не будет совсем, или она будет минимальной и на короткое время.
По данным reg.ru и центра GlobalSign, количество сайтов с SSL-сертификатами в доменной зоне .ru выросло втрое за последние два года — это уже 15% от всех доменных имен. За четыре года Россия поднялась с тринадцатого на девятое место в мире по числу таких сертификатов. Тренд однозначный и в будущем будет только усиливаться.