Протокол HTTPS: с чем его есть?

29.08.2018

Мои клиенты, заказывая сайты под ключ, часто интересуются, нужно ли им ставить на свой сайт платный HTTPS протокол, или будет достаточно бесплатного HTTP? Это приобретает массовый характер, поэтому я решил написать небольшую статью на эту тему.

По поводу HTTPS протокола уже сломано немало копий. Масла в пожар подливают многие, и особенно часто это делают крупные веб-студии. Почти все они используют HTTPS как некоего мифического зверя из разряда «Маст хэв», укротить которого под силу только им одним. Штука эта, конечно, интересная, но так ли он нужен для большей части сайтов? Давайте разбираться!

Что такое HTTP?

Вся активность пользователей в интернете по большому счету сводится к обычному обмену информацией. Они скачивают музыку, отправляют друзьям ссылки на интересные ресурсы, читают новости, ищут интересующие их товары или услуги. Каждый клик мышки приводит к очередному запросу на тот или иной сервер и получению оттуда ответа.

Когда пользователь открывает очередной сайт, то в адресной строке он часто видит HTTP перед названием открытой страницы. Это не что иное, как стандартный протокол обмена данными с сервером, на котором висит просматриваемый сайт. Другими словами, это некие правила обмена информацией между ПК пользователя и сайтом, на который он хочет зайти. А само сочетание букв HTTP является аббревиатурой, которая расшифровывается как HyperText Transfer Protocol.

До 2017 года HTTP был весьма популярен и использовался практически повсеместно. У этого протокола всё хорошо, за исключением одного: некоторые специалисты утверждают, что он не обеспечивает никакой защиты при обмене информацией. Звучит жутко, но на самом деле тут нет ничего страшного. Скажу по секрету, что вообще-то никакие протоколы не обеспечивают 100% защиты от потери данных при их пересылке, но об этом мы поговорим немного позднее.

Суть проблемы тут в следующем: утверждается, что если сайт работает по протоколу HTTP, то некие коварные злоумышленники могут различными гадкими способами перехватывать часть отправляемой и принимаемой информации, по сути похищая её. И, теоретически, среди похищенной информации может быть пароль пользователя от какого-то ресурса или даже номер его кредитной карточки.

В связи с этим в 2018 году начали активно продвигать новый протокол HTTPS, который по сути своей является тем же HTTP, только с применением шифрования передаваемых данных. Звучит круто, правда? Но так ли это на самом деле?

Что такое HTTPS?

Сочетание букв HTTPS является аббревиатурой, которая расшифровывается как HyperText Transfer Protocol Secure. Как понятно из новой приставки к старому названию, этот новомодный протокол должен гарантировать безопасность обмена данными между сайтами и устройствами пользователей.

Такая постановка вопроса, само собой, пришлась по душе крупнейшим поисковикам (в нашем случае мы рассмотрим Яндекс и Google как основных игроков на рынке поисковых систем РФ), которые начали активно за неё топить. Оно и понятно, ведь в наше время обмен данными растет с каждым годом на порядки, так что лишний раз обезопасить себя и своих клиентов, вроде как, не помешало бы.

И всё было бы хорошо, если бы не один момент… Сам принцип работы этого протокола 100% гарантии невозможности утечки данных не дает! Он лишь шифрует данные, а не полностью исключает возможность их кражи. Понимаете? Данные во время обмена информацией с сервером всё равно можно будет украсть, просто полученная информация будет в зашифрованном виде. Но зашифрованную информацию ведь можно и расшифровать… Даже фашисты не смогли долго держать в секрете свой шифр Enigma, который расшифровали, когда и компьютеров то толком еще не было. А сейчас в распоряжении злоумышленников все вычислительные мощности мира.

Так что невероятная защита данных при использовании HTTPS это просто очередной мыльный пузырь цифровой индустрии, на котором заколачиваются миллионы долларов ежедневно. Конечно, определенную защиту такой протокол предоставить способен, но она далеко не абсолютна. Это очень важный момент для понимания сути вопроса.

Единственное, что я бы выделил в отдельный плюс HTTPS — это так называемая аутентификация, которая значительно усложнит жизнь фишинговым сайтам, так как она гарантирует, что пользователи попадут именно на тот сайт, на который они хотят зайти, а не на его клон, созданный мошенниками для завладения их личными данными.

Так кому же нужен этот HTTPS?

На сегодняшний момент установка HTTPS будет логичной для интернет-магазинов, работающих с прямой оплатой через сайт и собирающих с клиентов их личную информацию для оформления заказа. Таким магазинам доверия, конечно же, будет побольше.

Отдельно в очереди на переход с HTTP на HTTPS стоят всевозможные популярные сайты с большой посещаемость (особенно, если они требуют регистрации пользователей для входа). Именно поэтому все крупные социальные сети дружно перешли на этот протокол. Но обезопасило ли это пользователей от взломов их аккаунтов? Нет! Аккаунты как ломали пачками, так и ломают. Просто используют для этого немного более изощренные методы.

Собственно говоря, вот и всё. Больше этот протокол реальной пользы не способен принести никаким сайтам, так как с большей их частью просто нет обмена невероятно важной информацией, кража которой обойдется дорого её владельцу.

И в качестве «вишенки на торте» я еще раз проакцентирую внимание на том, что старый добрый HTTP является бесплатным. А вот новомодный HTTPS — платный! И суммы там нередко заходят за 10 тыс. рублей в год, ведь из процесса его установки уже давно сделали целый аттракцион, поделив SSL сертификаты на разные группы и подгруппы, выставив за каждую из них отдельный круглый ценник.

Что такое SSL сертификат?

SSL сертификат является условной грамотой, позволяющей тому или иному сайту работать через протокол HTTPS. Такая себе цифровая индульгенция нашего времени, которую по старой доброй традиции нужно будет купить. Да не просто купить, а еще и ежегодно отчислять кругленькую сумму за поддержание SSL в рабочем состоянии.

При этом, как я уже отмечал выше, 100% защиты этот протокол не дает, хоть и делает перехват данных более трудоемким процессом.

А если учесть, что с 2018 года все сайты, продолжающие использовать бесплатный протокол HTTP, будут искусственно маркироваться различными браузерами как «небезопасные», то картина становится совсем уж неприличной. Ведь получается, что цифровая индустрия дружно старается загнать всех владельцев сайта в одно стойло, заставив их покупать безопасные, но при этом не очень то и безопасные HTTPS протоколы. Другими словами, для большей части сайтов, не нуждающихся в этой дополнительной защите, подобные траты будут сильно напоминать налог на воздух. Вот такие дела…

Поэтому я всегда говорю своим клиентам, что если все будет двигаться так, как сейчас, то со временем эта заграничная грабительская кабала их таки настигнет. Но, к счастью, еще есть время. Так что, если на сегодняшний момент Ваш сайт не является интернет-магазином, социальной сетью или крупным медиа ресурсом, то и покупка дорогостоящего HTTPS протокола Вам особой пользы не принесет. Сделать ее можно разве что в целях увеличение доверия к Вашему ресурсу или с целью небольшого улучшения ранжирования сайта в поисковиках (если вы используете SEO для продвижения), но тут уже каждый должен решать сам за себя.

Справедливости ради нужно отметить, что есть способы получения простейших SSL сертификатов на бесплатной основе. В основном подобное предлагают крупные доменные магазины. Однако, бесплатным будет только первый год. Так что, как ни крути, это фишка из серии «первая доза — бесплатно». Год пройдет и всё равно за SSL сертификат надо будет платить, так как многое на HTTPS уже будет завязано на этом сайте, начиная от проиндексированных поисковиками страничек.

Альтернативным вариантом получить бесплатный SSL является заказ сертификата типа Let’s Encrypt, который является некоммерческим SSL-сертификатом, обычно выдаваемым на 90 дней с автоматическим продлением за 2 недели до его окончания (т.е. фактически он бессрочный). Сейчас предоставление данного типа https протокола предлагают многие хостинги для своих постоянных клиентов. Звучит хорошо, но есть один нюанс: этот тип сертификата считается менее безопасным, чем его платные аналоги, и никаких дополнительных гарантий отсутствия утечек данных он не дает. Как следствие, такое решение можно использовать в виде временной заплатки для поисковиков, дабы не терять в ранжировании.

Сложно ли установить SSL сертификат на сайт?

Одновременно сложно и несложно. Вот такой парадокс.

Дело в том, что перед переходом на HTTPS сайт требует предварительной подготовки. Помимо этого нужно будет настроить директивы Hosts в robots.txt и установить 301 редирект с http на https. Звучит страшно, но по факту это рутинные операции, которые вполне по плечу любому опытному разработчику сайтов. А вот у неопытных новичков, которые ранее не сталкивались со всем этим, могут возникнуть определенные сложности, так как многое там зависит не только от купленного SSL сертификата (от его вида), но и от хостинга, на котором размещается сайт.

Поэтому, если вы решили установить на свой сайт HTTPS протокол, то настоятельно советую обращаться только к опытным специалистам, которые сделают всё как положено. Штука ведь не из дешевых.

КОНТАКТЫ

Заказать разработку сайта под ключ