Зачем защищать сайт? Посетители сайта рассчитывают, что указанные ими данные не попадут в руки мошенников.
Чтобы защитить информацию, которую оставляют посетители на вашем сайте, начните использовать протокол HTTPS. Ниже приведены общие рекомендации по защите сайта.
Протокол HTTPS (Hypertext Transport Protocol Secure) позволяет обеспечить сохранность и конфиденциальность
пользовательских данных на сайте. Например, если посетитель заходит на защищенный сайт и указывает свои данные в анкете,
чтобы подписаться на обновления или совершить покупку, он может быть уверен, что эти данные увидит только авторизованный владелец сайта.
Принцип работы HTTPS
На сайтах, использующих HTTPS, информация защищена протоколом TLS (Transport Layer Security ‒
безопасность на транспортном уровне), обеспечивающим три основных уровня защиты:
Шифрование. Передаваемые данные шифруются во избежание их перехвата. Поэтому злоумышленники не смогут узнать,
какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к их данным.
Сохранность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того,
было это сделано намеренно или нет.
Аутентификация. Гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от
атак с перехватом. Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для вашего бизнеса.
Используйте надежные сертификаты безопасности
Если вы решили использовать протокол HTTPS на своем сайте, вам нужно получить сертификат безопасности. Его выдает
центр сертификации, который проверяет, действительно ли указанный веб-адрес принадлежит вашей организации.
Таким образом обеспечивается защита посетителей от атак с перехватом. Чтобы обеспечить высокий уровень защиты, при
настройке сертификата выберите 2048-битный ключ. Если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный.
При выборе сертификата следуйте изложенным ниже рекомендациям.
Получайте сертификат в надежном центре сертификации, который может предоставить техническую поддержку.
Определите, какой тип сертификата предпочтителен для вашего сайта:
Одиночный сертификат для одного защищенного источника (например, www.example.com).
Многодоменный сертификат для нескольких известных защищенных источников (например, www.example.com, cdn.example.com, example.co.uk).
Сертификат-шаблон для защищенного источника с несколькими динамическими субдоменами. (например, a.example.com, b.example.com).
Как указать поисковым системам, что ваш сайт является защищенным
Перенаправляйте пользователей и поисковые системы на страницу HTTPS или ресурс с переадресацией 301 на стороне сервера для адресов HTTP.
Используйте относительные URL для ресурсов, которые находятся на одном защищенном домене.
Например, для перехода на страницу на вашем сайте example.com, использовать a href="/about/ourCompany.php" предпочтительнее,
чем a href="https://example.com/about/ourCompany.php" . Это гарантирует, что ваши ссылки и ресурсы всегда будут использовать HTTPS.
За счет этого также уменьшается вероятность ошибок в локальном развитии сайта, так как изображения, страницы и другие ресурсы загружаются из локальной
среды разработки, а не из производственной среды.
Используйте схожие по протоколам URL-адреса для всех остальных доменов (например, petstore.example.com/dogs/biscuits.php ),
или обновите ссылки своего сайта для перехода непосредственно на ресурс HTTPS.
Используйте веб-сервер, поддерживающий HSTS (заранее убедитесь, что он включен).
В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет http в адресной строке, а Google будет отображать
в результатах поиска только защищенные URL. Все это снижает вероятность показа пользователям незащищенного содержания.
Распространенные ошибки использования HTTPS и TLS
Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.
Описание
Действие
Просроченные сертификаты.
Вовремя обновляйте сертификаты.
В сертификате неправильно указано название сайта.
Проверьте, на какое имя хоста зарегистрирован сертификат. Пример такого несоответствия: адрес вашего сайта example.com,
а сертификат зарегистрирован на www.example.com.
Не поддерживается указание имени сервера SNI, Server name indication).
Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать поддерживаемые браузеры.
SNI поддерживают все современные браузеры. Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес.
Проблемы сканирования.
Не блокируйте сканирование своего сайта HTTPS с помощью файла robots.txt.
Проблемы индексирования.
По возможности разрешите поисковым системам индексировать ваши страницы.
Старайтесь не использовать метатег noindex.
Ошибки в ссылках сайта, перенаправляющих с HTTPS на HTTP.
Используйте относительные URL
без указания протокола (например, //example.com/script.js вместо http://example.com/script.js).
Старые версии протоколов.
Старые версии OpenSSL уязвимы. Используйте последние версии библиотек TLS.
Совмещение защищенных и незащищенных элементов.
Размещайте на страницах HTTPS только защищенное содержание.
Разное содержание на страницах HTTP и HTTPS.
Содержание на страницах HTTP и HTTPS должно быть идентичным.
Ошибки кода статуса HTTP на страницах с HTTPS.
Убедитесь, что ваш сайт возвращает правильный
код статуса HTTP. Например, для доступных страниц используется код 200, а для несуществующих страниц ‒ 404 или 410.
Рекомендации Google по использованию SSL
Зачем защищать сайт? Посетители сайта рассчитывают, что заключает в данные данные не попадут в руки мошенников.
Чтобы защитить информацию, оставляйте посетителей на своем сайте, начните использовать протокол HTTPS.
Ниже приведен общие рекомендации по защите сайта.
Протокол HTTPS (безопасный протокол передачи гипертекста) позволяет обеспечить сохранность и конфиденциальность
пользовательских данных на сайте. Например, если посетитель заходит на защищенный сайт и его собственные данные в анкете,
чтобы подписаться на обновления или совершить покупку, он может быть уверен, что эти данные увидит только авторизованный владелец сайта.
Принцип работы HTTPS
На сайтах, использующих HTTPS, информация защищена протоколом TLS ( Transport Layer Security - безопасность на транспортном уровне ),
обеспечивающий три основных уровня защиты:
Шифрование . Передаваемые данные шифруются во избежание их перехвата. Поэтому злоумышленники не могут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других сайтах или получить доступ к их данным.
Сохранность данных . Любое изменение или искажение переданных данных не зависит от того, было это сделано намеренно или нет.
Аутентификация . Гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атак с перехватом . Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для вашего бизнеса.
Используйте надежные сертификаты безопасности
Если вы решили использовать протокол HTTPS на свой сайт, вам нужно получить сертификат безопасности.
Его выдает центр сертификации , который проверяет, действительно ли веб-адрес принадлежит вашей организации.
Таким образом обеспечивается защита посетителей от атак с перехватом. Чтобы обеспечить высокий уровень защиты,
при настройке сертификата выберите 2048-битный ключ. Если вы уже используете сертификат с менее надежным ключом
(1024-битным), замените его на 2048-битный.
При выборе сертификата следуйте изложенным ниже рекомендациям.
Получайте сертификат в надежном центре сертификации, который может предоставить техническую поддержку.
Определите, какой тип сертификата предпочтителен для вашего сайта:
Одиночный сертификат для одного защищенного источника (например, www.example.com ).
Многодоменный сертификат для нескольких известных защищенных источников (например, www.example.com, cdn.example.com, example.co.uk ).
Сертификат-шаблон для защищенного источника с несколькими динамическими субдоменами. (например, a.example.com, b.example.com ).
Как указать поисковым системам, что ваш сайт защищен
Перенаправляйте пользователей и поисковые системы на страницу HTTPS или ресурс с переадресацией 301 на стороне сервера для адресов HTTP.
Используйте относительные URL для ресурсов, которые находятся на одном защищенном домене.
Например, для перехода на страницу на сайте example.com, используйте a href="/about/ourCompany.php"> предпочтительнее, чем a href="https://example.com/about/ourCompany.php"
Это гарантирует, что ваши ссылки и ресурсы всегда будут использовать HTTPS. За счет этого также можно получить доступ к локальному развитию сайта, так как изображения,
страницы и другие ресурсы загружаются из локальных разработок, а не из производственной среды.
Используйте схожие по протоколу URL-адреса для всех остальных доменов (например, //petstore.example.com/dogs/biscuits.php ), или обновите ссылки для своего сайта для
перехода на ресурс HTTPS.
Использование веб-сервера, поддерживающий HSTS (заранее но, что он включен).
В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет http в адресной строке, а Google отобразит в результатах поиска только
защищенный URL. Все это показывает правдоподобие незащищенного содержания.
Распространенные ошибки использования HTTPS и TLS
Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.
В сертификате названо название сайта
Проверьте, на какое имя хоста зарегистрирован сертификат. Пример такого несоответствия: адрес вашего сайта example.com,
а сертификат зарегистрирован на www.example.com .
Не поддерживание имени сервера ( SNI, указание имени сервера)
Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать поддерживаемые браузеры.
SNI поддерживают все современные браузеры . Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес.
Проблемы сканирования
Не блокируйте сканирование своего сайта HTTPS с помощью файла robots.txt .
Проблемы индексирования
По возможности разрешить поисковое проектирование индексировать ваши страницы. Старайтесь не использовать метатег noindex .
Ошибки в ссылках сайта, перенаправляющих с HTTPS на HTTP
Использовать относительные URL без указания протокола (например, //example.com/script.js вместо http://example.com/script.js ).
Старые версии протоколов
Старые версии OpenSSL уязвимы. Использовать последние версии библиотек TLS.
Совмещение защищенных и незащищенных элементов.
Размещайте на страницах HTTPS только защищенное содержание.
Разное содержание на страницах HTTP и HTTPS
Содержание на страницах HTTP и HTTPS должно быть идентичным.
Ошибки кода статуса HTTP на страницах с HTTPS
Убедитесь, что ваш сайт возвращает правильный код статуса HTTP. Например, для обгонного кода используется код 200 ,
а для несуществующих страниц - 404 или 410 .
Мы все любим нашу безопасность данных в Интернете, и в результате этого мы всегда предпочитаем, чтобы наш интернет
был безопасным и безопасным, будь то в мобильном браузере или на рабочем столе. Мы привыкли сплетничать в Интернете,
чистую банковскую систему, электронную почту, онлайн-покупки для фестивалей с использованием этого более широкого
интернет-источника. Всегда приятно быть онлайн и быть владельцем успешного бизнеса электронной коммерции.
Однако приоритет лучшей защиты данных на первом месте и, в конечном счете, эта защита данных становится важной причиной
после того, как алгоритм изменит выпуск Google из-за «Влияние сертификата SSL на рейтинг в поисковой системе».
Теперь вы можете оставаться впереди своих конкурентов, просто установив SSL-сертификат на свой сайт.
Google резко изменил свой алгоритм с критическим обновлением SSL-сертификата. Официальный представитель Google
из аналитиков Webmaster Trends аналитик Zineb Ait Bahajji и Gary Illyes заявили, что наличие веб-сайта с сертификатом SSL
получит Boost в Google Ranking, а SSL может стать одним из ключевых факторов. Публикация любого веб-сайта в Интернете,
вы будете использовать HTTPS. В эти дни любое небольшое преимущество перед конкурентами поможет веб-мастерам оставаться
впереди и помогать веб-сайту получать хороших посетителей. Поскольку вы знаете, что SSL-сертификат не так дорого сейчас.
Теперь они доступны и просты в установке.
Обратите внимание, что повышение рейтинга Google для использования HTTPS распространяется на все сайты, независимо
от того, есть ли у них личная информация или нет. Это означает, что даже если на вашем сайте нет страницы проверки, страниц
входа в систему или какой-либо финансовой или конфиденциальной личной информации, вы все равно можете получить преимущества SEO,
установив SSL-сертификат на свой сайт.
Google уже опубликовал хорошее руководство по использованию сертификата SSL в своем Справочном центре
Ниже приведены основные советы для начала работы:
Определитесь какой сертификат SSL вам нужен: один, многодоменный или субдоменный
Используйте 2048-битные сертификаты ключей. Это последний стандартный сертификат SSL, и он может обеспечить шифрование до 256 бит.
Использовать относительные URL-адреса для ресурсов, которые находятся в одном безопасном домене
Использовать относительные URL-адреса протокола для всех других доменов
Не блокируйте свой сайт HTTPS при сканировании с помощью robots.txt
Разрешите индексирование ваших страниц поисковыми системами, где это возможно. Избегайте метатеги noindex robots
Что является плюсом для наличия SSL-сертификата, помимо Boost в Google Ranking?
Для веб-сайта электронной коммерции или чего-то, что требует от пользователей ввода их конфиденциальной информации,
такой как имя пользователя, пароль, информация о кредитной карте, данные SSN и другие данные, требующие конфиденциальности,
и должны быть защищены с надлежащей силой шифрования с правильным видом SSL. Сертификат SSL повысит ваши коэффициенты
конверсии с доверием и доверием пользователей и тем самым увеличит ваши доходы. Вы считаете, что SSL-сертификаты являются
дорогостоящими, но вы должны сохранять эти преимущества при расчете своих расходов на SSL-безопасность. Сертификат расширенной
проверки или зеленый сертификат SSL-адреса, как общеизвестно, помогут вам повысить уровень доверия и доверия среди посетителей
веб-сайта и помогут вам повысить коэффициент конверсии. Средние исследования показывают, что более крупные корпорации могут
нуждаться в сертификате Multi Domain SSL, поскольку у них есть много веб-сайтов и много общедоступных доменов, которые теперь
безопасны с использованием Single Domain, и легко управлять сертификатом Single SSL для всего вашего веб-сайта и легко с обновлением и монтаж.
Всегда лучше связаться с тем, у кого есть опыт и опыт. Опыт поможет вам выбрать правильный сертификат SSL.