Что такое https протокол и как он защищает

Злоупотребление DoH

Для защиты информационной инфраструктуры компаний и ведомств применяются антивирусы, системы обнаружения и предотвращения вторжений. Эти средства обеспечения безопасности используют сигнатурный анализ вредоносной активности. При обработке сетевого трафика, в частности, проверяется тело пакета данных. Средства защиты сравнивают запросы, команды, пути и другую информацию в сетевом пакете с базой своих сигнатур, и при выявлении совпадений происходит блокировка.

Сейчас появляются вредоносные программы, которые злоупотребляют DoH, используя эту технологию для установки шифрованного соединения между заражённым компьютером и командно-контрольным сервером (C&C). Запросы и ответы будут зашифрованы, поэтому не удастся обнаружить и заблокировать вредоносную активность с помощью описанных средств защиты информации. Поэтому злоупотребление DoH является очень привлекательной возможностью для злоумышленников.

SSL сертификат — как работает SSL шифрование

Протокол SSL/TLS помогает двум незнакомым друг с другом пользователям Интернета установить защищенное соединение через обычный, незащищенный канал. С помощью математических алгоритмов оба пользователя – клиент и сервер – договариваются о секретном ключе, не передавая его напрямую через соединение. Даже если кто-то сумеет подключиться к соединению и перехватить все передаваемые данные, расшифровать их ему не удастся.

Протокол SSL использует многослойную среду: с одной стороны от него находится протокол программы-клиента (например, IMAP, HTTP, FTP), а с другой – транспортный TCP/IP. Для SSL шифрования используются симметричные и ассиметричные ключи, полученные с помощью различных математических моделей.

Чтобы понять общий принцип работы SSL, представьте, что вам нужно что-то передать другому человеку. Вы кладете этот предмет в коробку, вешаете замок от воров и посылаете по почте. Адресат получает коробку, но не может ее открыть без ключа. Тогда он вешает на коробку собственный замок и возвращает ее вам. Получив свою коробку с двумя запертыми замками, вы убираете свой замок (ее надежно защищает второй) и возвращаете коробку. В итоге адресату приходит коробка, закрытая только на один – его – замок. Он снимает замок и достает посылку.

Теперь представьте, что в коробку вы положили код от тайного шифра, и адресат его получил. С этой минуты вы можете посылать друг другу зашифрованные сообщения по открытому соединению – даже если они попадут в чужие руки, расшифровать их без ключа не получится.

При установке безопасного соединения по протоколу HTTPS ваше устройство и сервер договариваются о симметричном ключе (его еще называют «общим тайным ключом»), после чего обмениваются уже зашифрованными с его помощью данными. Для каждой сессии связи создается новый ключ. Подобрать его почти невозможно. Для полной защиты не хватает только уверенности, что ваш собеседник на другом конце провода – действительно тот, за кого себя выдает.

Ведь вашу посылку мог перехватить мошенник. Он повесил на вашу коробку свой замок, отправил ее обратно, а потом получил еще раз, уже без вашего замка, зато с секретным кодом внутри. Узнав код, он сообщил его настоящему адресату, который и не подозревал о взломе. Дальше вы продолжаете обмениваться информацией с адресатом, но у мошенника есть секретный ключ, поэтому он читает все ваши сообщения.

Здесь в игру вступают цифровые сертификаты. Их задача – подтвердить, что на другом конце провода находится реальный адресат, управляющий указанным в сертификате сервером. Выдают такие сертификаты специальные центры. Сертификат содержит название компании и электронную подпись, которая подтверждает его подлинность. Именно ее проверяет браузер в момент установки безопасного HTTPS соединения.

По сути, сертификат гарантирует, что замок на вашей коробке уникальный и принадлежит вашему адресату. Если продолжить «коробочную» аналогию – центр сертификации это почтовая служба, которая отправляет посылку, только проверив Ваши данные.

Для сайтов, требующих повышенного уровня безопасности существует расширенная версия цифрового сертификата. В этом случае организация-владелец домена проходит дополнительные проверки, а пользователь видит в адресной строке не только зеленый закрытый замок, но и зеленое поле, а также название организации. Пример:

iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.

Мы предлагаем:

• Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
• Безлимитный хостинг на SSD дисках от 142 руб/мес
• Выделенные серверы в наличии и под заказ
• Регистрацию доменов в более 350 зонах

DNS и угрозы безопасности

DNS — это служба помогающая пользователям взаимодействовать с сайтами в интернете. Подробное её описание можно найти здесь.

В контексте DNS-запросов и возможного злоупотребления ими существует две основных угрозы безопасности пользователей: трекинг и спуфинг.

О трекинге было отчасти упомянуто выше: это сбор информации о запросах пользователя и продажа её сторонним лицам. Даже если дома или на работе используются надёжные DNS-серверы, в общественных местах всегда есть вероятность подключиться к беспроводной сети с небезопасным DNS-сервером, который будет отслеживать все ваши запросы и передавать их куда не следует.

HTTP/1.0 — 1996

В отличие от HTTP/0.9, спроектированного только для HTML-ответов, HTTP/1.0 справляется и с другими форматами: изображения, видео, текст и другие типы контента. В него добавлены новые методы (такие, как POST и HEAD). Изменился формат запросов/ответов. К запросам и ответам добавились HTTP-заголовки. Добавлены коды состояний, чтобы различать разные ответы сервера. Введена поддержка кодировок. Добавлены составные типы данных (multi-part types), авторизация, кэширование, различные кодировки контента и ещё многое другое.

Вот так выглядели простые запрос и ответ по протоколу HTTP/1.0:

Помимо запроса клиент посылал персональную информацию, требуемый тип ответа и т.д. В HTTP/0.9 клиент не послал бы такую информацию, поскольку заголовков попросту не существовало.

Пример ответа на подобный запрос:

В начале ответа стоит HTTP/1.0 (HTTP и номер версии), затем код состояния — 200, затем — описание кода состояния.

В новой версии заголовки запросов и ответов были закодированы в ASCII (HTTP/0.9 весь был закодирован в ASCII), а вот тело ответа могло быть любого контентного типа — изображением, видео, HTML, обычным текстом и т. п. Теперь сервер мог послать любой тип контента клиенту, поэтому словосочетание «Hyper Text» в аббревиатуре HTTP стало искажением. HMTP, или Hypermedia Transfer Protocol, пожалуй, стало бы более уместным названием, но все к тому времени уже привыкли к HTTP.

Один из главных недостатков HTTP/1.0 — то, что вы не можете послать несколько запросов во время одного соединения. Если клиенту надо что-либо получить от сервера, ему нужно открыть новое TCP-соединение, и, как только запрос будет выполнен, это соединение закроется. Для каждого следующего запроса нужно создавать новое соединение.

Почему это плохо? Давайте предположим, что вы открываете страницу, содержащую 10 изображений, 5 файлов стилей и 5 JavaScript файлов. В общей сложности при запросе к этой странице вам нужно получить 20 ресурсов — а это значит, что серверу придётся создать 20 отдельных соединений. Такое число соединений значительно сказывается на производительности, поскольку каждое новое TCP-соединение требует «тройного рукопожатия», за которым следует медленный старт.

Тройное рукопожатие

«Тройное рукопожатие» — это обмен последовательностью пакетов между клиентом и сервером, позволяющий установить TCP-соединение для начала передачи данных.

• SYN — Клиент генерирует случайное число, например, x, и отправляет его на сервер.
• SYN ACK — Сервер подтверждает этот запрос, посылая обратно пакет ACK, состоящий из случайного числа, выбранного сервером (допустим, y), и числа x + 1, где x — число, пришедшее от клиента.
• ACK — клиент увеличивает число y, полученное от сервера и посылает y + 1 на сервер.

Примечание переводчика: SYN — синхронизация номеров последовательности, (англ. Synchronize sequence numbers). ACK — поле «Номер подтверждения» задействовано (англ. Acknowledgement field is significant).

Только после завершения тройного рукопожатия начинается передача данных между клиентом и сервером. Стоит заметить, что клиент может посылать данные сразу же после отправки последнего ACK-пакета, однако сервер всё равно ожидает ACK-пакет, чтобы выполнить запрос.

Тем не менее, некоторые реализации HTTP/1.0 старались преодолеть эту проблему, добавив новый заголовок Connection: keep-alive, который говорил бы серверу «Эй, дружище, не закрывай это соединение, оно нам ещё пригодится». Однако эта возможность не была широко распространена, поэтому проблема оставалась актуальна.

Помимо того, что HTTP — протокол без установления соединения, в нём также не предусмотрена поддержка состояний. Иными словами, сервер не хранит информации о клиенте, поэтому каждому запросу приходится включать в себя всю необходимую серверу информацию, без учёта прошлых запросов. И это только подливает масла в огонь: помимо огромного числа соединений, которые открывает клиент, он также посылает повторяющиеся данные, излишне перегружая сеть.

Где получить бесплатный сертификат?

1. Let’s Encrypt

Это серьезная некомерческая организация, которая предоставляет бесплатные сертификаты. Возможно, вы даже слышали о компаниях, которые спонсируют ее на более $300,000 в год каждая: Facebook, Mozilla, Cisco и Chrome (Google).

На https://clickget.ru, кстати, используется их сертифкат. Можете зайти и посмотреть если хотите.

Единственная проблема, их сайт работает не так, как вы думаете. На нем нельзя получить сертификат. Вот как это сделать если у вас:

1. Виртуальный хостинг

Если у вас виртуальный хостинг, то, возможно, он уже поддерживает выпуск сертификатов через Let’s Encrypt. Лично я знаю что Timeweb, Reg.ru и многие другие это уже поддерживают.

Покажу на примере Таймвеба (которым мы пользуемся), как выглядит выпуск сертификата. Заходите в “Дополнительные услуги”, потом в “SSL сертификаты” и в поле “Сертификат” выбираете SSL Let’s Encrypt:

Все, сертификат будет выпущен в течении пары минут и будет автоматически продлеваться каждые 3 месяца. То есть это сделать проще простого.

Если ваш хостинг не поддерживает Let’s Encrypt, спросите их, возможно, скоро они добавят эту возможность.

2. Свой сервер

Если у вас свой сервер(облачный, VPS, Dedicated и т.п.), то воспользуйтесь сайтом certbot.eff.org. Выбираете там операционную систему и сервер (Apache/Nginx) и получаете пошаговую инструкцию, как все настроить. Правда сможет сделать это только человек, который в этом разбирается.

По идее, можно еще воспользоваться сайтом sslforfree.com, но имейте ввиду, что Let’s Encrypt выпускает сертификаты только на 3 месяца. И каждые 3 месяца нужно его обновлять. Поэтому устанавливать его руками проблематично. Воспользовавшись же способами выше, сертификат будет продляться автоматически, без вашего участия.

2. CloudFlare

Это бесплатный CDN провайдер, используя который, вы получаете кучу полезного, включая бесплатные SSL сертификаты.

Минимальные требования к браузерам и ОС для работы сертификата можно найти внизу этой страницы (Windows Vista+, Firefox 2+, Android 4.0+ и т.п.)

Если вкратце, вам нужно зайти туда, где покупали домены, и перенастроить DNS сервера на CloudFlare, после этого ваш сайт станет доступен через HTTPS. Если вы в этом не разбираетесь,  вам стоит попросить сделать это другого человека. Процедура не должна занять более 30 минут и стоить будет недорого.

1. Сначала регистрируетесь здесь

2. Вводите ваши домены через запятую в поле:

Cloudflare автоматически просканирует и добавит DNS записи

3. После этого добавляете те, что не добавились автоматически(обязательно сравните с теми что у вас вбиты, для этого нужно зайти в DNS записи вашего домена), и жмете далее в самом низу.

4. На следующем шаге выбираете бесплатный тариф. После этого вы получите имена 2х серверов. Теперь вам нужно зайти туда, где вы покупали домен и сменить (делегировать) ваши неймсервера (nameserver или DNS сервер) на новые:

Если все DNS записи вы перенесли корректно, то ваши посетители никаких изменений не заменят(то есть сайт будет работать без перебоев).

5. Когда все перенесется, зайдите в настройки вашего домена на вкладку “Crypto” и там где SSL выберите “Flexible”. Все, теперь SSL соединение с вашим сайтом будет работать

Другие варианты:

1. Еще бесплатные сертификаты выдает StartCom. Я пользовался им пока, в конце 2016 Mozilla, Apple и Google решили перестать доверять этим сертификатам в новых версиях браузеров. И, пока что, StartCom это не исправил.

На будущее:

• Перед тем как ставить переадресацию с HTTP на HTTPS проверьте все ли работает (переадресацию обычно можно настроить в панеле хостинга)
• Нужно заменить все пути к картинкам и т.п. в коде сайта с http:// на // иначе соединение не будет считаться защищенным. Для WordPress можно воспользоваться плагином типа этого.
• При переадресации с HTTP на HTTPS, используя CloudFlare, будьте аккуратны, плагин переадресации должен их поддерживать, иначе будет бесконечная переадресация. Для Вордпресса есть вот этот плагин. Дело в том, что запрос на ваш сайт идет через HTTP в любом случае, нужно читать данные, посылаемые CloudFlare, чтобы понять, открыт ли ваш сайт через HTTP или HTTPS у посетителя.

Вот и все. Даже если вы уже купили сертификат, надеюсь вы перейдете на бесплатный в следующем году

P.S. Если же ваш хостинг не поддерживает это, или, по каким-то причинам, вы хотите сертификат от известной компании, попробуйте этот сайт (там самые дешевые).

Популярные статьи

• 3K
• 11 мин.

Оптимизация блога: что делать, чтобы статьи в блоге занимали высокие позиции

Для эффективного продвижения блога в интернете необходимо заботиться о качественном и постоянно обновляемом контенте. В данной статье расскажем, как раскрутить блог, дадим актуальные советы по эффективной оптимизации блога и не только.

• 4 февраля 2021
• Продвижение

• 36.9K
• 14 мин.

На все руки мастер: полезные сервисы Яндекса. Часть 1

Яндекс – компания, создающая и совершенствующая продукты для того, чтобы люди могли находить нужную им информацию в считанные секунды. На сегодняшний день компания выпустила более 80 сервисов для упрощения жизни и развития бизнеса. Краткий обзор популярных сервисов с описанием читайте в нашей статье.

• 1 февраля 2019
• Продвижение

• 10.4K
• 19 мин.

31 причина, почему у вас нет продаж

Почему нет продаж и нет покупателей – довольно частые вопросы у владельцев бизнеса. Не нужно идти к гадалке или пытаться провести обряд по привлечению заказов – достаточно прочесть нашу статью. В ней мы расскажем о 31 причине, из-за которых клиенты предпочитают другую компанию.

• 20 января 2020
• Продвижение

Применение HTTPS

В некоторых сервисах, например, в электронных платёжных системах, защита данных исключительно важна, поэтому в них используется только HTTPS. Этот протокол также очень часто применяется и в других сервисах, которые обрабатывают приватную информацию, в том числе любые персональные данные. Многие сервисы Яндекса работают только по протоколу HTTPS: Паспорт, Почта, Директ, Метрика, Такси, Яндекс.Деньги, а также все формы обратной связи, имеющие дело с персональными данными пользователей.Все современные браузеры поддерживают протокол HTTPS. Его не нужно специально настраивать — он автоматически включается в процесс, когда это необходимо и возможно.

Различия SSL сертификатов

SSL-сертификаты имеют несколько разновидностей. Они классифицируются следующим доверительным факторам:

1. Проверка в упрощенном виде — DV (domain validation). Подтверждение права на пользование доменом. Обычно такой сертификат можно получить бесплатно.

2. Стандартная проверка OV (organization validation). Кроме права на владение доменом, подтверждается фактическое существование организации.

3. Расширенная проверка EV (extended validation). Подтверждает большую степень доверия – к перечисленным выше факторам прибавляется правомерное осуществление работы компании.

Зачем нужен

Существует 3 основные причины, по которым стоит перевести сайт с HTTP на защищенный протокол HTTPS:

• безопасность для пользователей. Сайты, работающие по протоколу HTTPS, более защищены от кражи информации (паролей, личных данных), чем ресурсы, функционирующие на HTTP;
• поисковое продвижение в Google. Поисковая машина Google еще в 2014 году сделала наличие HTTPS одним из факторов ранжирования. Это означает, что при прочих равных условиях сайт с защищенным соединением будет показываться в выдаче выше конкурента без него;
• повысить лояльность пользователей. Практически все современные браузеры предупреждают пользователей, если сайт не имеет зашифрованного протокола передачи данных. В этом случае в строке с адресом появляется соответствующее предупреждение, а иногда ресурс и вовсе блокируется браузером.

Учитывая множество положительных сторон перехода на HTTPS, перед работой над сайтом вебмастера обращают внимание на этот показатель в первую очередь

Чем отличаются протоколы — разница в безопасности

Буквы HTTP в начале адресной строки означают, что клиент и сервер обмениваются данными по прикладному протоколу – hypertext transfer protocol. Это стандартный протокол для обмена любыми данными в Интернете. Внешне аббревиатура HTTP ничем не выделяется – она такого же черного цвета, что и остальная часть адресной строки. Либо незащищенный протокол вообще не указывается в адресной строке браузера.

Если в адресной строке вместо черной надписи HTTPS появилась зеленая HTTPS, значит, данные передаются по тому же HTTP протоколу, но с дополнительной надстройкой, обеспечивающей криптографическую защиту (отсюда и буква «s», означающая «security», т.е. безопасность). Передаваемые данные шифруются с помощью протоколов SSL и TLS, которые невозможно расшифровать без ключа. Узнать защищенное соединение просто – помимо зеленого цвета букв, в адресной строке появляется изображение закрытого замка и надпись «Надежный».

Протокол HTTPS используется для защиты передаваемых через Интернет конфиденциальных данных и финансовой информации – например, для защиты банковских операций онлайн-магазина, регистрационных данных в соцсетях или информации о счетах пользователей системы онлайн банкинга.

Есть и техническое отличие – HTTP обычно использует порт соединения 80, тогда как HTTPS – порт 443. При необходимости системный администратор может указать другой порт, но они всегда будут разными для HTTP и HTTPS протоколов.

Что дает HTTPS в поиске Яндекс и Google

На скриншоте ниже можно видеть, что на странице результатов поиска Яндекса сайты с безопасным обменом данными и сертификацией SSL отмечены зеленым замочком.

Пользователь может узнать, насколько безопасен ресурс еще до перехода на сайт. Понятно, что сниппеты с замочком имеют более высокую кликабельность и обеспечивают более высокий трафик.

Безопасный обмен пользовательскими данными на сайте – это вопрос репутации бизнеса. Допустим, гражданин решил получить некие финансовые услуги в разрекламированном банке.

У потенциального клиента мгновенно возникает сомнение: «Как это так? Вроде бы солидный, банк, а не удосужились позаботиться о защите клиентов? Может быть это вовсе и не такая респектабельная и надежная финансовая организация, как сама себя позиционирует?»

Не солидно серьезному банку работать по устаревшему проколу HTTP. Может, у вас и сейфы старого образца? Может, у вас кассирами работает неизвестно кто? Такая беззаботность обойдется организации потерей тысяч клиентов, которые хотели, да не решились доверить свои деньги банку, не уделяющему достаточно внимания безопасности клиентов.

Почему корпорация Google решила полностью блокировать загрузку веб-ресурсов без HTTPS в своем фирменном обозревателе Chrome?

Очень просто и логично. Основной рынок для Google – это США. Америка известна тем, что ее граждане по каждому поводу бегут судиться. По числу адвокатов на душу населения США впереди планеты всей.

Вполне вероятно, что Google уже привлекался к судным разбирательствам за то, что американский гражданин или компания, воспользовавшись услугами поиска Гугл, наткнулись на жуликов, потеряли персональные и коммерческие данные, понесли финансовый и репутационный ущерб.

Опытный адвокат сможет выбить из Google миллионы долларов компенсации за моральный и финансовый ущерб.

Вот почему поисковые компании будут вполне жестко требовать от сайтовладельцев обеспечения безопасности и приватности. Ведь речь идет о больших деньгах, которые могу либо заработать, либо потерять Яндекс и Google.

Ну и репутация безопасной поисковой системы – это тоже инвестиция на миллионы долларов.

Требуя от владельцев интернет-проектов внедрения HTTPS Яндекс и Google заботятся о наполнении своего кармана.

Как получить SSL сертификат

На Бегете можно бесплатно получить SSL-сертификат от компании Let’s Encrypt, прямо через панель управления. Можно и получить этот сертификат через сайт компании: https://letsencrypt.org/.

А можно и отвалить бабло какой-нибудь другой компании, и цены там разнятся в диапазоне от косаря до нескольких десятков косарей, в зависимости от различных дополнительных услуг (https для поддоменов, название вашей компании в адресной строке и так далее).

Вот как купить этот сертификат на рег.ру:

https://youtube.com/watch?v=FEDw6nSSviY

Не стоит беспокоиться о том, что выбор будет сделан окончательно и бесповоротно. Сертификаты могут изменяться по мере развития сайта.

2018: 20% крупнейших сайтов не используют HTTPS

В апреле 2019 года стало известно о том, что 20% крупнейших в мире сайтов не используют протокол HTTPS с поддержкой шифрования, несмотря на ограничения, которые с которыми они сталкиваются в связи с этим.

По данным , 79 из 100 наиболее популярных веб-ресурсов, не связанных с компанией, не используют сертификат для защищенных HTTPS-соединений. Такую безопасность игнорируют, в частности, крупнейшая в мире база данных и интернет-портал о кинематографе IMDB и газета The New York Times. Правда, HTTP применяется не на всех страницах сайтов указанных и других крупных компаний.

Для установки безопасного соединения в интернете используется протокол HTTPS с поддержкой шифрования.

Авторы рейтинга Alexa, собирающие статистику о посещаемости сайтов, составили список ресурсов, которые автоматически не перенаправляют небезопасные запросы в ответ на безопасные. Данные Google подтверждаются: 20% из наиболее посещаемых сайтов относятся к разряду небезопасных.

Значок защищенного соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьезного сайта. Если сертификат отсутствует, почти все последние браузеры показывают предупреждение, что соединение с сайтом «не защищено» и не рекомендуют передавать на него конфиденциальную информацию. Отсутствие HTTPS влияет на позиции в поисковой выдаче и оказывает существенно негативное влияние на приватность в целом.

Раньше внедрение HTTPS было весьма дорогостоящим для сайтов, особенно небольших, но к апрелю 2019 года работает множество компаний, предлагающих бесплатную и очень быструю установку SSL-сертификатов. Например, можно отметить сервис Lets’s Encrypt, обеспечивающий автоматическую выдачу бесплатных сертификатов для TLS-шифрования и поддерживаемый Google на правах платинового члена.

Однако крупные сайты не спешат полностью переходить на HTTPS, считая эту миграцию технически сложной и зачастую невыгодной. Планируя такой переход, компании, как правило, задают себе несколько вопросов: «Не станет ли сеть доставки дороже в случае с HTTPS?», «Будет ли сторонний контент на сайте учитывать переход на HTTPS?» и др. Компании приходится проводить множество тестирований и исправлять многочисленные ошибки перед тем, как протокол начнет нормально функционировать.

Если HTML-ресурсы, которые предоставляет компания, имеют ссылки (картинки, скрипты…) на разные хосты и не используются относительные URL, то переход на HTTPS осложняется.

Установка HTTPS может немного пугать неподготовленного пользователя — она требует многих шагов с участием различных сторон, а также специфических знаний криптографии и серверных конфигураций, да и вообще в целом кажется сложной.

Кроме того, по словам эксперта в области информационной безопасности Malwarebytes Жерома Сегуры (Jérôme Segura), HTTPS не гарантирует 100-процентную безопасность. Например, некоторые сайты могут задействовать протокол на главной странице, но не включить его в другие страницы и сервисы.

Сайты, имеющие сертификаты HTTPS, помечаются браузерами значком в виде замка

Проверка 10 000 ведущих сайтов из рейтинга Alexa показала следующее: многие из них подвержены критическим уязвимостям протоколов SSL/TLS, обычно через поддомены или зависимости. Уязвимые криптографические конфигурации выявлены на 5574 хостах, то есть примерно на 5,5% от общего количества.

По словам авторов исследования, сложность современных веб-приложений многократно увеличивает поверхность атаки. Проблему усугубляет отсутствие официально одобренного и согласованного списка рекомендуемых настроек HTTPS. Так, Mozilla SSL Configuration Generator предлагает несколько вариантов конфигурации в зависимости от требуемого уровня защиты.

HTTPS – что это за протокол?

HTTPS – это защищенный протокол передачи гипертекста, который обеспечивает зашифрованную передачу данных между сервером сайта и его пользователями. В качестве инструментов шифрования в этом стандарте используются протоколы SSL/TLS, защищающие информацию методами криптографии.

Как известно, в основе принципа действия интернета находится HTTP – протокол передачи гипертекста. Это технология обмена данными между клиентом (пользователем) и сервером (сайтом): клиент отправляет на сервер запрос и тем самым инициирует интернет-соединение. Сервер же получает запрос, обрабатывает его и возвращает клиенту результат, позволяя открыть сайт или выполнить какое-либо действие на нем.

В процессе обмена данными между клиентом и сервером они могут стать доступны третьим лицам: начиная от злоумышленников-хакеров (которые хотят целенаправленно завладеть ими) и заканчивая интернет-провайдером или администратором сети. Для устранения подобных рисков протокол HTTP был усовершенствован – к нему добавили специальное расширение для шифрования соединения, после чего он получил название HTTPS (secured – защищенный). Обмен данными по зашифрованному протоколу проходит через порт 443, в то время как незащищенный протокол HTTP использует порт 80.

Таким образом, HTTPS – это не отдельный новый протокол, а тот же самый классический протокол HTTP, но защищенный криптографией. Он обеспечивает три важных принципа, позволяя шифровать (защищать от перехвата), сохранять (фиксировать любые изменения) и аутентифицировать (предотвращать перенаправление клиента) данные. Это и есть те самые 3 уровня защиты, благодаря которым HTTPS стал обязательным условием безопасности любых современных сайтов.

Действительно ли HTTP/2 работает быстрее?

Специалисты из HttpWatch провели несколько тестов и выявили серьезное ускорение от использования HTTP/2.

На скриншоте ниже показана скорость загрузки страницы с использованием HTTP/1.1:

А на этом скриншоте — результат с использованием HTTP/2:

Скорость загрузки выросла на 23%. Эксперты HttpWatch также отмечают, что технология пока не до конца оптимизирована, и ожидают реальное ускорение в районе 30%.

Мы в «Айри» также проводили тестирование в январе-феврале 2016 года, чтобы выяснить, сколько может выиграть реальный сайт после перевода на протокол HTTPS + HTTP/2. В среднем по нескольким сайтам, которые уже прошли предварительную оптимизацию по скорости (сжатие и объединение файлов, сетевая оптимизация), клиентская скорость загрузки выросла на 13-18% только за счет включения HTTP/2.

Стоит упомянуть, что не все эксперименты были столь однозначны. На «Хабре» был описан эксперимент, поставленный командой «Яндекс.Почты». Тестировался протокол SPDY, но напомним, что HTTP/2 разрабатывался на основе SPDY и очень близок к нему в плане используемых методов.

Команда «Яндекс.Почты», протестировав SPDY на части своих реальных пользователей, установила, что среднее время загрузки изменилось всего лишь на 0,6% и не превысило статистической погрешности. Однако специалисты «Яндекс.Почты» обнаружили, тем не менее, положительный момент от использования SPDY. Поскольку число соединений с серверами уменьшилось (это ключевая особенность SPDY и HTTP/2), то нагрузка на серверы заметно сократилась).

Основные протоколы сайта

Существует множество разных протоколов для передачи данных, многие из них устарели или просто являются непопулярными. Другие используются для очень конкретных, узкоспециализированных задач и будут малополезными для обычного пользователя. Однако, давайте перечислим самые распространенные:

• • HTTP (Hyper Text Transfer Protocol)
• • HTTPS (HyperText Transfer Protocol Secure)
• • FTP (File Transfer Protocol)
• • POP3 (Post Office Protocol)
• • SMTP (Simple Mail Transfer Protocol)
• • TELNET

Несмотря на то, что мы перечислили несколько протоколов, нужно отметить, что наиболее основными, которые используется практически для всего, будут являться HTTP и HTTPS.Эти 2 протокола используется для всего того, что интересует среднестатистического юзера. Просмотр веб-страниц, взаимодействие с веб-приложениями, интерактивными сайтами. В общем, все то, что возникает в окошке вашего браузера так или иначе работает именно благодаря этим двум протоколам передачи данных.

Что такое https

HTTPS — это усовершенствованный протокол передачи данных, поддерживающий шифрование. Протокол http используется для простого обмена данными между сайтом и пользователем, в то время как протокол https позволяет производить не только обмен данными, но и их шифрование, что усиливает безопасность.

Вот его отличия:

• https – расширенный протокол передачи данных;
• https посылает серверу от вас и обратно зашифрованные данные;
• https работает с 443 TCP-портом, а не с 80.

Почему сегодня важно делать сайты на https

Ну во-первых, ради безопасности данных пользователей — их паролей от соцсетей, онлайн-кошельков, кодов кредиток и так далее. Обеспечивает безопасность ssl-сертификат, включенный в новую версию протокола.
А из этого уже вытекает во-вторых: ради обеспечения будущего своего бизнеса. Как видите, заявление Гугла многих взбудоражило и дало понять: будущее за https. И вам в итоге придется перейти на этот протокол, если хотите получать больше трафика из поисковиков.

Поисковики обеспечивают коммерческим сайтам приток новых клиентов. Большая часть коммерческих сайтов уже отказалась от http в пользу https из-за заявления, сделанного компанией «Google».

Все началось еще со старого заявления, когда летом 2014 года Google заявил о необходимости всем хозяевам сайтов переходить на обновленный вариант http, поскольку это обеспечивает конфиденциальность данных. Также было сказано, что сайты, использующие https, будут выше ранжироваться. Уже этим заявлением компания вызвала ажиотаж среди хозяев ресурсов.

Конечно, для обычных сайтов конфиденциальность данных не так важна, как для сайтов банков или другой коммерции, поскольку не несет в себе угрозы материальных болей (только физико-моральных вроде баттхерта). Однако, если пользователь серьезно относится к сохранности данных, то ему необходим переход с http на https.

Можно ли избавиться от фильтров, если перевести сайт на https

Переход на https может снять фильтр АГС Яндекса. Вот таким макаром:

1. Сначала надо выяснить, в чем была причина наложения АГС;
2. Убрать эту причину;
3. Перевести сайт на https;
4. Дождаться переиндексации.

Подготовка к переезду с http на https

Далее открывается сайт с версией https, например, https://seopulses.ru и проверяется корректность его работы.

Важно! Лучше всего проверить, чтобы в коде сайта не оставалось ссылок на страницы старого протокола (http) для этого в браузере Google Chrome кликаем правой клавишей мыши в любой области и в выпавшем меню выбираем «Посмотреть код страницы» (сочетание клавиш CTRL+U)

На открывшейся странице кликаем на «Меню» (правый-верхний угол) и нажимаем «Найти…» (сочетание клавиш CRTL+F) и вводим адрес сайта с http.

Проверяем, чтобы его не было этих упоминаний (указывается как 0/0).

Для подтверждения факта, можно проверить, что у URL в браузере будет указан зеленый замочек.

Если же появляются проблемы, то лучше всего обратиться к разработчику, чтобы он настроил корректное отображение сайта для действующей CMS-системы.

Настройка сайта в Яндекс Вебмастер

Войдите в Вебмастер Яндекс, в разделе «Индексирование» => «Переезд сайта», поставьте галку напротив «Добавить HTTPS», а затем нажмите на кнопку «Сохранить». Переезд сайта займет некоторое время.

Добавьте сайт с протоколом HTTPS в Яндекс Вебмастер https://webmaster.yandex.ru/sites/add/ и подтвердите права на его управление.

Войдите в раздел «Индексирование» => «Файлы Sitemap». Добавьте ссылку на карту сайта в XML (https://домен_сайта /sitemap.xml).

Я допустил ошибку: не добавил сайт по протоколу HTTPS в Яндекс Вебмастер, работающий по протоколу HTTP. Возникла такая ситуация: сайт работал в обычном режиме, переезд сайта на HTTPS состоялся, все страницы сайта выпали из индекса, ТИЦ обнулился. Прошло больше трех недель, в индексе страниц нет, посещаемость у сайта обычная, ссылки в поиске работают по протоколу HTTPS, при попытке добавить новые статьи в «Оригинальные тексты», Вебмастер не разрешает мне добавлять ссылки по защищенному протоколу.

Я написал в техподдержку Яндекса, и через несколько часов получил ответ от Платона Щукина. Он объяснил мне ситуацию: мой сайт добавлен в Яндекс Вебмастер по протоколу HTTP, сайт выполняет перенаправление на новый адрес с HTTPS, мне нужно добавить сайт в Вебмастер и подтвердить на него права.

Я добавил сайт с HTTPS в Вебмастер, добавил ссылку на карту сайта в XML. Через сутки все страницы сайта по новому протоколу попали в индекс Яндекса.

После перевода моего сайта на протокол HTTPS, повысилась посещаемость с поисковой системы Яндекс. После очередного апдейта, вернулись показатели ТИЦ сайта.