Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

Как защитить сайт с помощью HTTPS

HTTPS (Hypertext Transport Protocol Secure) – это протокол, который обеспечивает целостность и конфиденциальность данных при их передаче между сайтом и устройством пользователя. Посетители сайта рассчитывают, что информация, которую они указывают, будет в полной сохранности. Поэтому мы рекомендуем применять протокол HTTPS всем создателям сайтов независимо от того, какой контент они размещают.

На сайтах, поддерживающих HTTPS, безопасность информации обеспечивается с помощью протокола TLS (Transport Layer Security, безопасность на транспортном уровне), который предусматривает три основных уровня защиты:

  1. Шифрование передаваемых данных во избежание их утечки. Это значит, что злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, отследить их действия на нем или получить доступ к их данным.
  2. Целостность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
  3. Аутентификация. Она гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки посредника. Пользователи будут больше доверять вашему сайту, а значит, и вашему бизнесу.

Рекомендации по использованию HTTPS

Используйте надежные сертификаты безопасности

Если вы решили включить на своем сайте протокол HTTPS, вам нужно получить сертификат безопасности. Его выдает центр сертификации, который проверяет, действительно ли указанный веб-адрес принадлежит вашей организации. Таким образом обеспечивается защита посетителей от атак посредника. Чтобы обеспечить высокий уровень защиты, выберите сертификат с 2048-битным ключом. Если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный. При выборе сертификата следуйте изложенным ниже рекомендациям.

  • Обращаться следует в надежный центр сертификации, который может предоставить вам техническую поддержку.
  • Определите тип сертификата, который вам больше подойдет:
    • Одиночный сертификат для одного защищенного ресурса (www.example.com).
    • Многодоменный сертификат для нескольких заранее известных защищенных ресурсов (например, www.example.com, cdn.example.com, example.co.uk).
    • Сертификат-шаблон для защищенного ресурса, использующего динамические субдомены (например, a.example.com, b.example.com).

Используйте постоянную серверную переадресацию

Для перенаправления пользователей и поисковых систем на страницу или ресурс с поддержкой HTTPS можно применять постоянную серверную переадресацию.

Следите за тем, чтобы HTTPS-страницы можно было сканировать и индексировать

  • Чтобы проверять, могут ли страницы быть просканированы, пользуйтесь инструментом проверки URL.
  • Не блокируйте сканирование своего HTTPS-сайта с помощью файла robots.txt.
  • Не размещайте на HTTPS-страницах теги noindex.

Используйте технологию HSTS

На сайтах с HTTPS рекомендуется применять технологию HSTS (HTTP Strict Transport Security). В этом случае, даже если пользователь введет http в адресной строке, браузер запросит страницы HTTPS, и в результатах поиска Google появятся только защищенные URL. Все это делает вероятность показа незащищенного контента минимальной.

Если вы решили использовать HSTS, проверьте, поддерживает ли ваш веб-сервер эту технологию, и не забудьте включить ее в настройках сервера.

Технология HSTS повышает уровень безопасности, но усложняет процедуру отката. Поэтому мы рекомендуем включать ее следующим образом:

  1. Выполните переход на HTTPS, не включая HSTS.
  2. Активируйте отправку заголовков HSTS с минимальным значением параметра max-age. Начните отслеживать объем трафика пользователей и других клиентов, а также эффективность зависимых объектов, например объявлений.
  3. Постепенно увеличивайте значение max-age в настройках HSTS.
  4. Если HSTS не затрудняет посетителям и поисковым системам просмотр веб-страниц, то сайт можно добавить в список предварительной загрузки HSTS, который используется большинством популярных браузеров. Это позволяет повысить безопасность и увеличить скорость загрузки страниц.

Распространенные проблемы

Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.

Распространенные ошибки и их устранение
Просроченные сертификаты Вовремя обновляйте сертификаты.
В сертификате неправильно указано название сайта Убедитесь, что вы получили сертификат для всех имен хостов, которые используются на вашем сайте. Например, если в сертификате указано только имя www.example.com, посетитель, который попытается перейти на example.com (без префикса www.), не попадет туда из-за несоответствия сертификата.
Не поддерживается функция SNI (Server name indication, указание имени сервера) Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать браузеры, которые работают с этой функцией (это все современные браузеры). Если вам нужно обеспечить поддержку устаревших браузеров, используйте выделенный IP-адрес.
Проблемы со сканированием Не блокируйте сканирование своего HTTPS-сайта с помощью файла robots.txt. Подробнее…
Проблемы с индексированием По возможности разрешите поисковым системам индексировать ваши страницы. Не используйте тег noindex.
Устаревшие версии протоколов Старые версии протоколов уязвимы. Используйте последние версии библиотек TLS и протоколов.
Совмещение защищенных и незащищенных элементов Встраивайте в страницы HTTPS только контент, который передается по протоколу HTTPS.
Разный контент на страницах HTTP и HTTPS. Содержание на страницах, использующих HTTP и HTTPS, должно быть идентичным.
Ошибки кода статуса HTTP на страницах с HTTPS Убедитесь, что ваш сайт возвращает правильный код статуса HTTP. Например, для доступных страниц используется код 200 OK, а для несуществующих ‒ 404 или 410.

Как перейти с HTTP на HTTPS

Смена протокола сайта с HTTP на HTTPS считается переносом сайта с изменением URL. Это действие может временно повлиять на учет трафика. Ознакомьтесь с нашими рекомендациями по переносу сайтов.

Обязательно добавьте в Search Console свой новый ресурс, использующий протокол HTTPS. Search Console расценивает ресурсы HTTP и HTTPS как разные, и поэтому данные о них учитываются отдельно.

Подробнее о том, как перейти на HTTPS, рассказывается на странице часто задаваемых вопросов.

О внедрении TLS

По ссылкам ниже вы можете ознакомиться с ресурсами, которые помогут вам добавить поддержку TLS на свой сайт:

Если вы пользуетесь сервисом Search Console и на вашем сайте возникают постоянные или неустранимые проблемы с безопасностью, сообщите нам.

Сообщить о проблеме с безопасностью