Владельцы небольших интернет-магазинов часто задаются вопросом: нужно ли переводить свою торговую площадку на протокол HTTPS, как это настоятельно рекомендуют многие эксперты по digital-маркетингу? Насколько это важно и стоит ли своих затрат? Если коротко – да, смысл есть, для электронной коммерции это важный момент. А если нужны подробности – читайте рекомендации специалистов performance-агентства Kinetica, которые в своём корпоративном блоге подробно разобрали необходимость перехода на HTTPS.
Для начала – экспресс-консультация от «Яндекса». Любое действие в интернете - это обмен данными. Каждый раз, когда вы запускаете видеоролик, посылаете сообщение в социальной сети или открываете любимый сайт, ваш компьютер отправляет запрос к нужному серверу и получает от него ответ. Как правило, обмен данными происходит по протоколу HTTP. Этот протокол не только устанавливает правила обмена информацией, но и служит транспортом для передачи данных - с его помощью браузер загружает содержимое сайта на ваш компьютер или смартфон.
При всём удобстве и популярности HTTP у него есть один недостаток: данные передаются в открытом виде и никак не защищены. На пути из точки А в точку Б информация в интернете проходит через десятки промежуточных узлов, и, если хоть один из них находится под контролем злоумышленника, данные могут перехватить. То же самое может произойти, когда вы пользуетесь незащищённой сетью wi-fi, например, в кафе. Для установки безопасного соединения используется протокол HTTPS с поддержкой шифрования.
Защиту данных в HTTPS обеспечивает криптографический протокол SSL/TLS, который шифрует передаваемую информацию. По сути, этот протокол является «обёрткой» для HTTP. Он обеспечивает шифрование данных и делает их недоступными для просмотра посторонними. Протокол SSL/TLS хорош тем, что позволяет двум незнакомым между собой участникам сети установить защищённое соединение через незащищённый канал.
А теперь – объясним по пунктам, почему важно перевести интернет-магазин на HTTPS.
Установка HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Протокол исключает перехват информации сторонними сервисами и мошенниками.
В свою очередь, GDPR (General Data Protection Regulation - генеральный регламент о защите персональных данных) требует наличия SSL-сертификата и HTTPS на сайте, если вы собираете или передаете персональные данные.
При проверке контролирующий орган, скорее всего, будет трактовать закон в свою пользу, поэтому лучше перестраховаться. Если вы собираете персональные данные, в том числе файлы-куки и IP-адреса, стоит выполнить эту рекомендацию.
Google Chrome с июля 2018 года начал помечать небезопасные сайты.
«Яндекс» также считает, что HTTPS является одним из признаков качественного сайта, а его отсутствие - риск для пользователя. Поэтому «Яндекс Браузер» вскоре тоже будет предупреждать пользователей, что они открыли небезопасную версию сайта, то есть HTTP. Конкретные сроки запуска новой версии для всех пользователей «Яндекс» не указал, но уже анонсировал.
Таким образом, Google и «Яндекс» продолжают политику продвижения безопасных протоколов в сети. Они рассчитывают, что оповещения в браузерах снизят посещаемость небезопасных ресурсов, и владельцы сайтов перейдут на HTTPS.
Не забывайте и про доверие пользователей. Многие пользователи тратят деньги и вводят данные банковских карт в интернете, они привыкли и рассчитывают на безопасность. Любое предупреждение от браузера, любое сообщение о небезопасном соединении и возможных рисках отпугнёт их от вашего сайта. HTTPS в этом плане существенно повышает уровень доверия.
Наличие HTTPS - фактор ранжирования в поисковой выдаче Google. Он даёт довольно слабый импульс в ранжировании и увеличивать вес этого фактора Google вроде бы не собирается. В компании считают, что в этом нет смысла: рано или поздно все перейдут на защищённый протокол. Однако не так давно сотрудник Google Гэри Илш заявил в своём Twitter, что этот фактор игнорировать не стоит.
Перевод: «Я не могу сказать точное число, но сигнал влияет
на запросы в достаточной степени, чтобы это не игнорировать»
«Яндекс» также учитывает HTTPS как фактор ранжирования и считает его одним из важных признаков качественного сайта.
Есть и другие аргументы в пользу того, что безопасный протокол важен для поисковых систем. Например, именно сайты с HTTPS чаще всего попадают в топ-10 органической выдачи. При этом не стоит ожидать, что после перехода будет существенный рост позиций. Однако это позволит избежать санкций за отказ перехода на HTTPS.
А чтобы не потерять позиции в органической выдаче при переходе на безопасный протокол, воспользуйтесь рекомендациями «Кинетики» по переезду на HTTPS.
Эффективность рекламных кампаний в ряде случаев тоже снижается. Например, Google Ads урезает количество показов для сайтов без HTTPS. Согласитесь, весомый аргумент.
Переход с HTTP на HTTPS делает платежи безопасными. И это уже не опция, а важное требование: например, «Яндекс.Деньги» и «Яндекс.Касса» для интеграции с сайтом требуют обязательного наличия SSL-сертификата. Конечно, некоторые интернет-магазины принимают платежи прямым переводом на карту, но в большинстве случаев - это неудобно и вызывает недоверие.
Если вы планируете передавать данные в сервисы рассылок или другие сервисы по API, вероятнее всего, они тоже будут требовать HTTPS. Например, Google требует SSL-сертификат для push-уведомлений - http-сайтам их отправлять запрещено.
Да, это правило можно обойти, используя сторонние сервисы. Но даже в этом случае без HTTPS пользователю придётся при подписке дважды давать согласие на push, что неудобно и снижает шанс подписки.
Во-первых, злоумышленники могут украсть данные: логин и пароль от админки сайта или личные данные, которые пользователь вводит на сайте. Если утечка данных случится, то придётся вложиться в восстановление репутации сайта как благонадёжного ресурса. А это существенно дороже, чем установить SSL-сертификат.
Во-вторых, без защищённого протокола интернет-провайдер или публичные wifi-сети могут вмешиваться в работу ресурса - добавлять рекламные блоки или менять рекламу.
Ну, и упомянем о нескольких распространённых мифах о переезде на HTTPS, чтобы они не вводили вас в заблуждение.
1. «Это дорого». Многие не переходят на защищённый протокол, считая, что это дорого. При этом есть масса предложений бесплатных SSL-сертификатов, например, Let’s Encrypt - хорошие сертификаты начального уровня. У платных сервисов часто встречаются хорошие спецпредложения - первый год бесплатно или бесплатный SSL-сертификат при покупке домена у регистратора.
Важно: не используйте самоподписанный сертификат. Это хуже, чем не использовать сертификат вообще - например, это может быть воспринято как обман и попытка украсть данные. В таком случае браузер обязательно выдаст оповещение, что сайту доверять нельзя.
2. «Это снижает скорость сайта». Неверно. Доказательство этому проект Istlsfastyet, который Google создал для того, чтобы развеять миф о снижении производительности при безопасном соединении. Результаты говорят сами за себя - для загрузки сайта по защищённому протоколу требуется всего 10 дополнительных килобайт, а это менее 1% загрузки процессора.
3. «Это сложно и долго». На самом деле, процедура довольно простая и быстрая. Вам нужен будет человек, для которого слова «веб-сервер» и «хостинг» не пустые - разработчика или системного администратора вполне хватит.
Сперва выбираете сертификат, соответствующий типу вашего проекта - они обычно понятно описаны на сайтах, которые предоставляет услугу сертификации, например, на Reg.ru.
Зачастую поддержка вашего хостинга может взять основную часть настройки на себя даже при бесплатном обращении, а у некоторых хостингов это вообще делается самостоятельно в пару кликов.
Технические настройки можно проверить через любой бесплатный сервис, например, Sslshopper. И проверьте раздел «Уведомления» в «Яндекс.Вебмастере»: должно появиться сообщение, что для сайта site.ru изменилось главное зеркало и теперь главным зеркалом признан домен https://site.ru.
После настройки на страницах сайта в браузере URL должен быть помечен иконкой «замочка» и содержать в начале https.
Ну, и ни на одной странице не должно быть такого уведомления:
Если оно появляется, проверьте, какими URL грузятся изображения, стили и скрипты - там не должен встречаться http.
4. «Переезд приведет к потере позиций - сайт выпадет или просядет в выдаче, а трафик уменьшится». Повторимся, если вы всё сделаете правильно по инструкциям «Яндекса» и Google, а также учтёте наши рекомендации - просадки или не будет совсем, или она будет минимальной и на короткое время.
По данным Reg.ru и центра GlobalSign, количество сайтов с SSL-сертификатами в доменной зоне .ru выросло втрое за последние два года - это уже 15% от всех доменных имён. За четыре года Россия поднялась с тринадцатого на девятое место в мире по числу таких сертификатов. Тренд однозначный и в будущем будет только усиливаться.
Источник: Kinetica.
Читайте также:
Оптимизация сайта и мобильный UX: чек-лист для разработки приложения.
Что такое технология PWA и чем она может быть полезна для малого бизнеса.
Бесконечный улучшайзинг: что нужно учесть при разработке мобильного приложения.