Google призывает повсеместно использовать протокол HTTPS, который обеспечивает конфиденциальность данных при их пересылке между веб-сервером и браузером посетителя сайта. Google рекомендует не просто использовать этот протокол, а использовать его всегда, по умолчанию!
Уже давно пользователи сервисов Google — таких как поиск, почта или облачный диск — подключаются к ним по HTTPS.
Летом 2016 года Google выступил с предложением «HTTPS повсюду».
Использование сайтом протокола HTTPS рассматривается поисковой системой Google при индексации этого сайта в качестве позитивного фактора. То есть при, условно, равнозначном содержании двух веб-страниц доставляемая по защищённому протоколу будет оценена выше.
По свежим статистическим данным, более половины веб-страниц, полученных пользователями браузера Chrome в 2016 году, были доставлены по протоколу HTTPS.
Сейчас о статусе соединения с веб-сайтом пользователя информируют все современные браузеры. Вот примеры того, как это делают: Chrome, FireFox, Opera и Internet Explorer.
| HTTP | HTTPS | |
| Chrome | .png){kind=small} |
.png){kind=small} |
| FireFox |  |
.png){kind=small} |
| Opera |  |
 |
| Internet Explorer |  |
.png){kind=small} |
Однако, как показывают исследования, пользователи очень часто не обращают должного внимания на индикатор защищённости соединения.
Если при посещении новостного или поискового сайта такая невнимательность не очень опасна (хотя и нежелательна из соображений приватности), то при оформлении заказа в интернет-магазине или при посещении своего интернет-банка она может обойтись очень дорого.
Чтобы преодолеть эту проблему, Google решил пойти дальше. С января 2017 года в браузере Chrome статус защищённости соединения будет отображаться не только в адресной строке, но и в полях ввода данных пользователя. Например, в форме входа зарегистрированного пользователя, в форме заказа интернет-магазина или в форме транзакции банка.
Это предварительные эскизы, иллюстрирующие концепцию. Конкретная графическая реализация указанного уведомления станет известна позже.
Её цель — дополнительно напомнить пользователю о защищённости или незащищённости соединения в тот момент, когда он собирается отправить веб-серверу свои данные.
Если раньше браузер Chrome показывал пользователю, что соединение безопасно, то с января 2017 года пользователю будут напоминать, что соединение небезопасно.
Все современные веб-серверы поддерживают протокол HTTPS. Для включения этого протокола вебмастеру потребуется SSL-сертификат, приобретённый официально.
О возможных типах и особенностях SSL-сертификатов можно узнать здесь.
Некоторые считают, что включение на сервере поддержки протокола HTTPS замедлит скорость доставки веб-страницы её посетителю. На сайте «HTTP vs HTTPS» размещена тестовая страница для сравнения скорости её доставки по протоколам HTTP и HTTPS.
Конкретные результаты этого теста будут зависеть от характеристик компьютера посетителя и его канала подключения к интернету. Вот результат одного из экспериментов.
| Скорость загрузки веб-страницы, с | ||
| Браузер | HTTP | HTTPS |
| Chrome | 9,5 | 0,9 |
| FireFox | 9,5 | 0,9 |
| Opera | 11,2 | 0,9 |
| Internet Explorer | 9,6 | 1,1 |
Из этой таблицы видно, что по протоколу HTTPS содержимое веб-страницы доставляется в 10 раз быстрее, чем по протоколу HTTP.
Справедливости ради нужно отметить, что разница в скорости доставки по этим протоколам зависит от характера содержимого страницы. Чем больше на странице отдельных элементов, тем больше будет различаться скорость доставки по разным протоколам. Но общая тенденция увеличения скорости доставки содержимого страницы по протоколу HTTPS сохранится.
Сегодня Chrome — самый популярный браузер среди российских пользователей интернета, поэтому к мнению Google стоит прислушаться.
Вот несколько советов от Google по переходу на HTTPS.
- Решите, какого типа SSL-сертификат Вы хотите использовать: для одного домена, мультидоменный или с защитой поддоменнов.
- Используйте 2048-битные сертификаты.
- Используйте относительные ссылки внутри вашего защищённого домена.
- Всегда указывайте тип протокола во всех ссылках на ресурсы, расположенные в других доменах.
- Обеспечьте корректную переадресацию страниц вашего сайта.
- Не блокируйте доступ к файлу robots.txt поисковым машинам.
- Позволяйте поисковым системам максимально индексировать ваш сайт. Избегайте в файле robots.txt команды noindex.
Если вы уже используете HTTPS на своём сайте, стоит протестировать его работу внешними инструментами. Например, Qualys Lab Tool. И конечно, не следует забывать об общей оптимизации настройки вашего веб-сервера, влияющих, в том числе, на производительность.
Гугл не одинок в продвижении HTTPS. Такой же позиции и также давно придерживается организация, занимающаяся защитой гражданских прав в цифровом мире, Electronic Frontier Foundation.
Приобрести SSL-сертификаты для вашего веб-сервера можно здесь и прямо сейчас, не отходя от компьютера.
P.S. О чем еще мы пишем:
- Куда идем мы с «облаком» в 2017-м
- SSL SSL-ю рознь: какой сертификат выбрать?
- Область покрытия SSL-сертификатов
