Как защитить сайт с помощью HTTPS

HTTPS (Hypertext Transport Protocol Secure) – это протокол, который обеспечивает целостность и конфиденциальность данных при их передаче между сайтом и устройством пользователя. Посетители сайта рассчитывают, что информация, которую они указывают, не попадет в руки мошенников. Поэтому мы рекомендуем применять протокол HTTPS всем создателям сайтов (независимо от того, какой контент они размещают).

На сайтах, поддерживающих HTTPS, безопасность информации обеспечивается с помощью протокола TLS (Transport Layer Security ‒ безопасность на транспортном уровне), который предусматривает три основных уровня защиты:

  1. Шифрование передаваемых данных во избежание их утечки. Это значит, что злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, отследить их действия на нем или получить доступ к их данным.
  2. Целостность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
  3. Аутентификация гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки посредника. Пользователи будут больше доверять вашему сайту, а значит, и вашему бизнесу.

Рекомендации по использованию HTTPS

Используйте надежные сертификаты безопасности

Если вы решили использовать на своем сайте протокол HTTPS, вам нужно получить сертификат безопасности. Его выдает центр сертификации, который проверяет, действительно ли указанный веб-адрес принадлежит вашей организации. Таким образом обеспечивается защита посетителей от атак посредника. Чтобы обеспечить высокий уровень защиты, выберите сертификат с 2048-битным ключом. Если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный. При выборе сертификата следуйте изложенным ниже рекомендациям.

  • Обратитесь в надежный центр сертификации, который может предоставить вам техническую поддержку.
  • Определите тип сертификата, который вам больше подойдет:
    • Одиночный сертификат для одного защищенного ресурса (www.example.com).
    • Многодоменный сертификат для нескольких заранее известных защищенных ресурсов (например, www.example.com, cdn.example.com, example.co.uk).
    • Сертификат-шаблон для защищенного ресурса, использующего динамические субдомены (например, a.example.com, b.example.com).

Используйте постоянную серверную переадресацию

Для перенаправления пользователей и поисковых систем на страницу или ресурс с поддержкой HTTPS можно применять постоянную серверную переадресацию.

Следите за тем, чтобы HTTPS-страницы можно было сканировать и индексировать

  • Чтобы проверять, могут ли страницы быть просканированы, пользуйтесь инструментом проверки URL.
  • Не блокируйте сканирование своего HTTPS-сайта с помощью файла robots.txt.
  • Не размещайте на HTTPS-страницах теги noindex.

Используйте технологию HSTS

На сайтах, использующих протокол HTTPS, рекомендуется применять технологию HSTS (HTTP Strict Transport Security). В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет http в адресной строке, а Google будет показывать в результатах поиска только защищенные URL. Все это делает вероятность показа незащищенного контента минимальной.

Если вам нужно использовать HSTS, проверьте, поддерживает ли ваш веб-сервер эту технологию, и не забудьте включить ее в настройках сервера.

Технология HSTS повышает уровень безопасности, но усложняет процедуру отката. Поэтому мы рекомендуем включать ее следующим образом:

  1. Выполните переход на HTTPS, не включая HSTS.
  2. Активируйте отправку заголовков HSTS с минимальным значением параметра max-age. Начните отслеживать объем трафика пользователей и других клиентов, а также эффективность зависимых объектов, например объявлений.
  3. Постепенно увеличивайте значение max-age в настройках HSTS.
  4. Если HSTS не затрудняет пользователям и поисковым системам просмотр веб-страниц, то сайт можно добавить в список предварительной загрузки HSTS, используемый большинством популярных браузеров. Это позволяет повысить безопасность и увеличить скорость загрузки страниц.

Распространенные проблемы

Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.

Распространенные ошибки и их устранение
Просроченные сертификаты Вовремя обновляйте сертификаты.
В сертификате неправильно указано название сайта. Убедитесь, что вы получили сертификат для всех имен хостов, которые используются на вашем сайте. Например, если в сертификате указано только имя www.example.com, посетитель, который попытается перейти на example.com (без префикса www.), не попадет туда из-за несоответствия сертификата.
Не поддерживается функция SNI (Server name indication, указание имени сервера) Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать браузеры, которые работают с этой функцией (это все современные браузеры). Если вам нужно обеспечить поддержку устаревших браузеров, используйте выделенный IP-адрес.
Проблемы со сканированием Не блокируйте сканирование своего HTTPS-сайта с помощью файла robots.txt. Подробнее…
Проблемы с индексированием По возможности разрешите поисковым системам индексировать ваши страницы. Не используйте тег noindex.
Устаревшие версии протоколов Старые версии протоколов уязвимы. Используйте последние версии библиотек TLS и протоколов.
Совмещение защищенных и незащищенных элементов В страницы HTTPS можно встраивать только контент, который передается по протоколу HTTPS.
Разный контент на страницах HTTP и HTTPS. Содержание на страницах, использующих HTTP и HTTPS, должно быть идентичным.
Ошибки кода статуса HTTP на страницах с HTTPS Убедитесь, что ваш сайт возвращает правильный код статуса HTTP. Например, для доступных страниц используется код 200 OK, а для несуществующих ‒ 404 или 410.

Как перейти с HTTP на HTTPS

Смена протокола сайта с HTTP на HTTPS считается переносом сайта с изменением URL. Это действие может временно повлиять на учет трафика. Подробнее о рекомендациях по переносу сайтов

Обязательно добавьте в Search Console свой новый ресурс, использующий протокол HTTPS. Search Console расценивает ресурсы HTTP и HTTPS как разные, поэтому относящиеся к ним данные в Search Console не совпадают.

С другими рекомендациями по использованию HTTPS-страниц на сайте можно ознакомиться на странице часто задаваемых вопросов о переходе на HTTPS.

Дополнительные сведения о внедрении TLS

По ссылкам ниже вы можете ознакомиться с ресурсами, которые помогут вам добавить поддержку TLS на свой сайт: