Посмотрите на свой номер телефона. У нас это +380 97 404 30 30. Что мы имеем:
- +380 – телефонный код страны;
- 97 – код оператора мобильной связи;
- 404 30 30 – номер абонента.
А теперь попробуйте ответить на вопрос – что такое телефонный код? В Википедии удалось найти вот такое:
Телефонный код – это система, позволяющая пользователям телефонных устройств осуществлять или принимать междугородные и международные телефонные вызовы. Код зоны нумерации (называемый ABC для географически обусловленной зоны нумерации или DEF – для нумерации, которая не подпадает под определение зоны) – две или три десятичные цифры – та часть телефонного номера, которая указывает междугородний узел связи.
Если вы кому-то перескажете это определение, понятнее человеку не станет. Но это же не мешает всем нам пользоваться телефонами…
Вот та же ситуация и с протоколом HTTPS – вы сталкиваетесь с ним каждый день, используя интернет. И нет там ничего сложного. Но если попытаетесь кому-то объяснить, что это такое, будет непросто)).
Сегодня попробуем разобраться с этой темой, но не как технари, с огромным количеством терминов и определений, а на уровне, который позволит вам работать с этим протоколом, как SEO-специалисту. А это сильно все упрощает.
Что такое HTTPS
Начнем с совсем уже примитивных вещей. Какой бы сайт вы не загружали в браузере, есть всего 2 варианта начала его адреса:
http://prosuver.ua/
https://prosuver.ua/
HTTP или HTTPS – один из них всегда будет присутствовать в url. Без них невозможно загрузить сайт. Потому что это протоколы, которые обеспечивают выход в интернет и регламентируют передачу данных. Точно так же, как +380 обеспечивает выход на страну.
Дальше следовало бы дать определение, но оно будет примерно таким же, как и определение телефонного кода выше. Даже если вы выучите его наизусть, использовать не будете. Здесь важно понимание, как это работает, а не термины. Вместо этого, давайте посмотрим расшифровку этих аббревиатур.
HTTP расшифровывается как Hyper Text Transfer Protocol – это протокол передачи гипертекста (если перевести дословно).
HTTPS расшифровывается как Hyper Text Transfer Protocol Secure – это безопасный протокол передачи гипертекста.
Осталось разобраться, что такое гипертекст и протокол передачи.
Гипертекст – это текст с гиперссылками. Например, если вы создадите документ в Microsoft Word, напишите немного текста и какие-то слова сделаете ссылками на страницы в интернете – это уже будет гипертекст. Второй пример – это данная страница. Здесь есть текст, ссылки и другие виды контента – это тоже гипертекст. То есть, под это определение попадает любая страница любого сайта.
С протоколом еще проще. Это своего рода инструкция, которая определяет, что и как должно передаваться в интернете. Причем она создана не для вас, как пользователя интернета. Она нужна вашему браузеру, чтобы он знал, как запросить нужную информацию у сервера, и серверу, чтобы он знал, как ее передать.
То есть, HTTPS – это своего рода набор инструкций, которые помогают браузерам и серверам, на которых хранятся сайты, организовать защищенную передачу информации. Вообще-то это касается не только браузеров и серверов, но нам важны именно они. Чтобы было понятнее, давайте посмотрим, как это работает.
Чем отличается HTTPS от HTTP
Чтобы понять в чем разница между протоколами HTTP и HTTPS, нужно посмотреть, как они работают. Потому что наличие защиты – это всего лишь надстройка или расширение. А базовый принцип не изменился.
Как работает протокол HTTP
Давайте разбираться на примере моей статьи про анализ конкурентов. Чтобы прочесть ее вы должны ввести в адресную строку браузера url-адрес:
https://prosuver.ua/ru/blog/seo/analyze-competitors-websites/
Но если бы PROSUVER работал на HTTP, адрес был бы следующий:
http://prosuver.ua/ru/blog/seo/analyze-competitors-websites/
Пока будем считать, что так и есть. После того, как вы нажмете Enter, произойдет привычная загрузка страницы, и вы увидите ее вот в таком виде:
Но так страницу видят только пользователи. На сервере она хранится в виде HTML-документа (немного упрощаю, но так понятнее):
Вот его и пересылает сервер по запросу браузера. То есть, когда вы ввели адрес страницы в адресную строку и нажали Enter, браузер отправляет запрос серверу на получение HTML-документа. Получает его. Потом запрашивает дополнительно стили, скрипты и картинки, ссылки на которые прописаны в этом документе. И собирает из всего этого визуальный вариант страницы. Результат вы видите на экране.
Если адрес окажется неверным и такой страницы сервер у себя не найдет – он должен будет отправить 404 ошибку. Если у страницы изменился адрес и настроено постоянное перенаправление на новый, значит сервер вернет 301 ответ. Браузер и здесь его «поймет». Таких кодов ответа достаточно много, но о них поговорим в другой статье.
Все это в сумме и регулирует протокол HTTP. Если бы не было единых правил, браузер и сервер просто не смогли бы «договориться».
Как работает протокол HTTPS
Вы когда-нибудь делали бекап на диск с шифрованием? Если да – чем он отличается от обычного? Только первоначальной настройкой диска и еще каждый раз при его использовании нужно будет пароль вводить. Здесь почти так же.
Для того, чтобы сайт начал работать на HTTPS его нужно настроить. Для этого нужно получить SSL сертификат и подключить его к сайту. О сертификатах и настройке чуть ниже, а пока исходим из того, что уже все сделано. Разберем принцип работы HTTPS протокола:
- Вы вводите в адресную строку браузера url-адрес страницы, которую хотите загрузить.
- Браузер отправляет запрос серверу на получение HTML-документа.
- Сервер, на котором хранится сайт, вместо HTML-документа отправляет копию SSL/TLS сертификата.
- Браузер принимает его, отправляет запрос в центр сертификации (место, где вы получили сертификат) и сверяет данные в полученной копии с данными, которые хранятся в центре. Убеждается, что все ок.
Первый этап завершен. Браузер убедился в том, что это именно тот сайт, от которого ему и нужно получить документы. Но обмениваться данными рано. Они все еще не защищены. Теперь браузеру и серверу нужно «договориться» о шифре, который они будут использовать для шифровки данных. «Придумать» его может любая сторона. Но здесь есть проблема – как передать этот ключ, чтобы уже его не перехватили злоумышленники? Ведь, если ключ будет перехвачен, все дальнейшие действия бессмысленны.
Для этого предусмотрены 2 вида шифрования: симметричное и ассиметричное. Симметричное – это значит, что у обоих сторон есть один и тот же ключ, которым они зашифровывают и расшифровывают сообщения. Это то, к чему мы должны прийти.
Ассиметричное нужно для того, чтобы этот ключ передать. Выглядит это так – у браузера, как и у сервера, есть 2 ключа – открытый и закрытый. Считайте, что это опция по умолчанию)). Первый (умеет только зашифровывать) хранится в интернете и получить к нему доступ может любой. Второй (умеет только расшифровывать) – есть только у сервера/браузера. И когда вам нужно передать другой стороне что-то секретное, вы должны найти открытый ключ и зашифровать свое сообщение. Расшифровать его может только вторая сторона, поэтому его можно переслать, не боясь перехвата.
Возвращаемся к принципу работы HTTPS:
- После проверки SSL сертификата браузер находит в интернете открытый ключ сервера. Затем создает ключ для симметричного шифрования. Шифрует его с помощью открытого ассиметричного ключа. И отправляет серверу.
- Сервер расшифровывает сообщение при помощи закрытого ассиметричного ключа. И подтверждает, что соединение установлено.
- Затем происходит обмен данными, но теперь все сообщения шифруются с помощью ключа для симметричного шифрования. Поскольку такой ключ генерируется для каждого сеанса, его еще называют сеансовым.
Сам обмен данными происходит так же, как описано в принципах работы HTTP. Просто при использовании протокола безопасности добавляется проверка подлинности сайта, обмен ключами и шифрование всех пересылаемых данных. В результате вместо того, чтобы пересылать данные для авторизации вот в таком виде:
<p>Name: Maxim</p>
<p>url: https://domain.com/login</p>
<p>login: ivanov888</p>
<p>password: 123456789</p>
Они будут пересланы в таком:
На скрине показано не то шифрование, которое делает защищенный протокол, но зато позволяет наглядно увидеть, что оно из себя представляет.
Таким образом, основная разница между HTTP и HTTPS в наличии шифрования всех пересылаемых данных. Что делает такой обмен если не полностью безопасным, то хотя бы максимально защищенным. Теперь нужно выяснить насколько это вообще важно.
Какой протокол лучше для вашего сайта и почему
Если бы речь шла только про чтение статей в интернете, говорить было бы не о чем. Какая вам разница, кто и что перехватит? Проблема в том, что обмен данными двухсторонний и вы не только читаете, но и проводите в интернете платежи, заходите в онлайн-банкинг, авторизовываетесь на разных сайтах, заходите в свои аккаунты в соц. сетях и еще много всего. Перехват таких данных ничем хорошим не закончится.
То есть, для сайта, где есть передача персональных данных HTTPS шифрование является необходимостью.
Если такие данные не передаются, например, это может быть информационный сайт, где даже комментарии не предусмотрены, теоретически использование HTTPS не обязательно. Но на практике вы столкнетесь с двумя проблемами.
1. Предупреждение в браузере о том, что сайт небезопасен
Если сайт работает на HTTPS в строке браузеры вы увидите замочек:
Если на HTTP, будет вот так:
Это пример из Safari, в других браузерах будет немного по-другому, но смысл тот же.
Если вы не используете сертификат безопасности, пользователи будут видеть такую отметку. Кто-то скажет «ну и что, кто на нее смотрит», но для некоторых это важно, и они могут закрыть страницу и уйти на другой сайт. А значит даже для таких сайтов есть смысл использовать HTTPS. Тем более, что это можно сделать бесплатно.
2. Проблемы при SEO-продвижении
Google еще в 2014 году подтвердил, что наличие HTTPS – это фактор ранжирования. Но зачем верить на слово? Проверьте…
Возьмите любой запрос и вбейте в поисковую строку Google. Вы там видите сайты на HTTP? В некоторых нишах один такой сайт может и найтись в ТОП 10, да и то, редко. А это значит, что при прочих равных, ПС отдает предпочтение сайтам на HTTPS. Вы же не хотите продвигать сайт и надеяться, что станете тем единственным проектом, который попадает в ТОП 10 с HTTP протоколом?
Конечно исключения могут быть, но все это частные случаи и те, кто ими занимается, вряд ли будут читать эту статью.
Несколько слов про SSL сертификат
Разбираться с SSL сертификатами будем в отдельной статье. Но поскольку нам пришлось их затронуть, рассматривая принципы работы HTTPS, несколько моментов обсудим.
- Что это такое?
Его могут называть по-разному – цифровой документ, цифровой сертификат, протокол безопасности, который удостоверяет подлинность сайта и позволяет передавать данные в зашифрованном виде.
- Как его получить?
Сертификаты выдают центры сертификации. Найти их не проблема. Но обычно даже искать не приходится, вы можете заказать его через своего хостера. Посмотрите в аккаунте или спросите у службы поддержки.
- Это платно или бесплатно?
Есть платные и бесплатные. Самый распространенный бесплатный вариант – Let’s Encrypt. Из платных можно выделить Sectigo, DigiCert, GeoTrust, Thawte. Их намного больше, это просто для примера.
- Как установить?
Есть очень простой и удобный способ – пишите в службу поддержки своего хостера и просите установить. Они сами все сделают.
- SSL или TLS?
Часто можно увидеть вместо SSL – TLS. Это требует пояснения. Первоначально был SSL, который успешно работал до 2014 года. А затем в нем выявили уязвимость и на замену был разработан TLS – обновленная версия SSL. В большинстве случаев, когда вы слышите про SSL, речь идет про TLS. Но если вы будете обсуждать с владельцем сайта HTTPS сертификат для сайта и скажете TLS, в большинстве случаев он не поймет, о чем речь, потому что на слуху по-прежнему SSL. Так что говорим SSL, имеем ввиду TLS.
- Как посмотреть какой сертификат у сайта?
Смотреть чужие сертификаты почти не имеет смысла. Но бывают ситуации, когда владелец сайта хочет выбрать сертификат, но не знает какой. Можно почитать рейтинги, но кто их пишет и сколько из них рекламных… Проще открыть пару десятков качественных сайтов и посмотреть, кто что использует. А кому-то и просто интересно, как он выглядит.
Чтобы увидеть сертификат, нужно нажать на замочек перед url адресом в адресной строке браузера. Затем нажать «Показать сертификат» или «Действительный сертификат» (в зависимости от браузера). В результате вы увидите, кем выдан, действителен или нет, до какой даты:
Заключение
В заключение хотелось бы сделать небольшое предостережение. Если вы владелец сайта или начинающий SEO-специалист, разобрались что такое HTTPS соединение, осознали тот факт, что использовать его необходимо, и имеете сайт на HTTP – не спешите менять протокол.
Если вы только делаете сайт – установка сертификата должна выполняться сразу. Если сайт без трафика и терять нечего – аналогично. Но! Если он уже получает трафик из поисковых систем – сперва изучите как перейти с HTTP на HTTPS не потеряв этот трафик.
