Что такое HTTPS и почему это так важно?
Содержание
Итак, что это за штука https, которую я вижу снова и снова? Имя HTTPS происходит от Hyper Text Transfer Protocol Secure, исходное имя протокола – HTTP, ключевой буквой здесь является «s» в HTTPS, что означает безопасность.
Когда вы отправляете и получаете данные через браузер, это можно сделать двумя способами. Либо Standard или Обеспеченные. Когда вы посещаете сайты, использующие стандартный протокол HTTP, это означает, что ваш обмен данными с сервером осуществляется без шифрования. В большинстве случаев это нормально, поскольку вы, вероятно, только читаете контент, предоставленный веб-сайтом, а не предоставляете ценные личные данные.
Но в случаях, когда вы предоставляете личную информацию (особенно данные для выставления счетов, банковские или идентификационные данные), это не оптимально, поскольку потенциальный злоумышленник может перехватить этот контент и изменить его на лету. Что, в свою очередь, может привести к попыткам взлома или кражи. Это означает, что для онлайн-бизнеса и безопасных сайтов электронной коммерции использование HTTP абсолютно неприемлемо.
Обмен личными данными, такими как транзакции по кредитным картам, требует HTTPS, но с текущим ростом хакерских атак спрос на то, что Google называет HTTPS Everywhere, растет с каждым днем.
Почему HTTPS становится более важным
Теперь, когда вы знаете, что такое HTTP, важно понять, почему это важно. Чтобы упростить: HTTPS помогает защитить ваши действия в Интернете.
Сайт HTTP, который работает без шифрования, может быть более уязвим для атак. Взломанные сайты также могут привести к установке на них вредоносного ПО, что повлияет на читателей, поскольку вредоносные программы затронут и браузеры. Эта ситуация вызывает растущую озабоченность в связи с попытками автоматического взлома, имеющими место во всем мире. Использование HTTPS поможет предотвратить многие из этих атак, преобразовав все передаваемые данные в зашифрованные соединения, которые являются более сложными механизмами шифрования для взлома.
Использование HTTPS может сделать Интернет более безопасным и безопасным. Но до сих пор это был долгий путь, и еще многое предстоит сделать, прежде чем HTTPS станет универсальным. Кроме того, важно помнить, что HTTPS – не единственный фактор, который следует учитывать при создании безопасных веб-сайтов – существует множество других шагов, которые веб-менеджеры должны выполнить для обеспечения безопасности блога.
У HTTPS в прошлом было много недостатков
Почему HTTPS становится все более важной в настоящее время? В прошлом HTTPS изо всех сил пытался завоевать популярность, поскольку сертификаты SSL (фактические веб-документы, отвечающие за создание механизмов шифрования) не были бесплатными. Вместо этого, чтобы они были действительными, они должны были быть выданы конкретными центрами сертификации.
Так что единственным вариантом для людей с ограниченным бюджетом были «самоподписанные» сертификаты. Это не жизнеспособная альтернатива, поскольку они выдают предупреждение в вашем браузере. Предупреждения от самозаверяющих сертификатов достаточно, чтобы заблокировать попытки читателей зайти на ваш сайт, поскольку игнорировать его может показаться слишком опасным. Это делает «самоподписные» сертификаты бесполезными для любых серьезных попыток расширить свое присутствие в Интернете. Тем не менее, они по-прежнему являются вариантами, когда используются только для веб-сайтов, которые являются частью вашей собственной сети и к которым осуществляется доступ изнутри, но, опять же, это не очень помогает развитию вашего бренда в Интернете.
Это было огромным недостатком для блоггеров и малого бизнеса во всем мире. В то время как более крупные компании не имеют проблем с расходами, блоггеры с ограниченным бюджетом, которые еще не получают достаточного дохода от своего веб-сайта, просто не могут позволить себе платить за такие сертификаты. И без надежной альтернативы они были SOL for SSL.
Вдобавок ко всему, как только сайт был загружен по HTTPS, время загрузки этого сайта пострадало. Это было связано с дополнительными накладными расходами, которые пришлось выдержать серверу из-за необходимости шифровать все данные перед их отправкой. Совсем не эффективный процесс, если вы изначально хотели и могли себе это позволить.
Версия 3 SSL устарела
Чтобы добавить еще больше оскорблений, действующие сертификаты SSL работали на устаревшей платформе. Последняя версия SSL, называемая версией 3, которая началась в 1996 году, имела все больше и больше уязвимостей, настолько, что Инженерная группа Интернета (IETF) решила сделать ее устаревшей.
Новый протокол TLS намного более безопасен во всех отношениях, что привело к тому, что весь SSLv3 был запрещен в основных браузерах.
Больше мощности процессора, Let's Encrypt, TLS и HTTP / 2 изменили правила игры
С появлением нового оборудования, более быстрых процессоров, более быстрых веб-серверов (таких как nginx и lighttpd) и более быстрых механизмов кэширования (таких как лак) накладные расходы на поддержку HTTPS значительно сократились. Это означает, что новым приверженцам SSL не нужно беспокоиться о замедлении времени загрузки.
Кроме того, новый протокол TLSv1.2, представленный для SSL, сделал SSLv3 устаревшим и проложил путь для более быстрого внедрения SSL.
Вдобавок к этому недавний запуск HTTP / 2 станет последним гвоздем в гроб для сторонников HTTP. HTTP / 2 – это улучшенный протокол по сравнению с исходным HTTP, который был продуман и разработан в настоящее время. Незашифрованный HTTP – это старый протокол, который отлично работает, но не так оптимизирован для сегодняшних нужд (не волнуйтесь – мы поговорим больше о HTTP / 2 в следующей статье).
HTTP / 2 использует мультиплексирование для повышения производительности по сравнению с традиционным HTTP. Изображение предоставлено CloudFlare
Эти (и многие другие) факторы вместе снижают влияние работы сайта по HTTPS почти до нуля. А как насчет стоимости? Этот последний вопрос был изменен одной переменной и называется Let's Encrypt.
Давайте зашифровать
Давайте Encrypt это свободный сертификат орган. Это означает, что он может выдавать бесплатные сертификаты со сроком действия 90 дней, а внедрение сертификатов ничего не стоит. Let's Encrypt недавно вышел из бета-версии и с тех пор работает отлично. Эта последняя часть головоломки сделала Google «HTTPS повсюду» на шаг ближе к реализации. Основная проблема, с которой сейчас сталкивается Google, – это принятие.
К счастью, у Let's Encrypt есть несколько способов выдать сертификат: через Интернет с помощью ZeroSSL, с помощью плагина wordpress через WP-Encrypt или на сервере с новыми пакетами в Debian и других дистрибутивах Linux под названием Certbot.
WP Encrypt бесплатный плагин WordPress
Бесплатный плагин WP Encrypt WordPress упрощает установку бесплатного SSL-сертификата Let's Encrypt и управление им. Вы можете использовать плагин, чтобы создать сертификат, зарегистрировать его, и они переместят ваш сайт на HTTPS. Но самое приятное то, что плагин будет автоматически обновлять ваш сертификат каждые 90 дней, поэтому у вас всегда будет действующий сертификат SSL.
Хостинг, совместимый с Let's Encrypt
Второй простой способ добавить Let's Encrypt – через вашу хостинговую компанию. Многие популярные хосты интегрируют Let's Encrypt со своими пакетами, чтобы их клиенты могли легко и доступно добавлять SSL на свои сайты WordPress. Некоторые из наших фаворитов включают Cloudways, WP Engine и Flywheel. Эти первые последователи сделали добавление SSL простой частью и без того простых процессов настройки веб-сайтов.
Google уже продвигает HTTPS с помощью SEO Ranking Boost
Google уже начал рассматривать внедрение HTTPS как часть своего собственного алгоритма ранжирования SEO еще в 2015 году. Затем они объявили в 2016 году, что собираются реализовать очень незначительное повышение рейтинга для всех веб-сайтов, которые переключаются с HTTP на HTTPS. Согласно Google, в настоящее время этого недостаточно, чтобы существенно повлиять на рейтинг, но это показатель того, что впереди.
Как видите, Google уже внес явные изменения в 2015 и 2016 годах, а теперь они собираются раздвинуть границы еще больше в 2017 году.
В 2017 году в Google Chrome появится предупреждение
С широко распространенным в настоящее время протоколом HTTP / 2 и, возможно, даже с увеличением количества пользователей Let's Encrypt, которые сейчас насчитывают миллионы по всему миру, Google начал делать следующий шаг. Google недавно объявил, что они начнут отображать восклицательный знак для всех незашифрованных сайтов, начиная с их недавнего обновления Google Chrome.
Затем, начиная с января 2017 года, они планируют помечать HTTP-сайты, которые передают конфиденциальные данные пользователей (например, пароли, информацию о кредитных картах и т.д. ), Красным предупреждающим знаком. Это, несомненно, вызовет недоверие ко всем тем сайтам, которые не перейдут на новый уровень.
Я уверен, что это смелый шаг, но он кое-что говорит о том, куда движется Интернет. В связи с тем, что все больше и больше сайтов переключаются на HTTPS, а использование Интернета во всем мире растет, HTTPS в ближайшие годы станет стандартом де-факто.
Резюме
Наконец-то появились новые технологии, делающие HTTPS намного более привлекательным. Благодаря включению более быстрых веб-серверов, более быстрых процессоров, улучшенных механизмов шифрования протоколов через TLSv1.2, недавно запущенного протокола HTTP / 2 и Let's Encrypt, предоставляющих бесплатные сертификаты всем, кто хочет их, был проложен путь к более быстрому внедрению HTTPS. Вдобавок к этому принудительное применение переключателя Google в будущих обновлениях – еще один толчок в сторону HTTPS.
Но не волнуйтесь – как упоминалось в первой статье этого поста, для блогов и журналов вы не должны чувствовать давление, заставляющее спешить на HTTPS. Вам следует тщательно продумать свой переход от HTTP к HTTP, поскольку это может повлиять на рейтинг вашего сайта в поисковых системах. Но для веб-сайтов, основанных на электронной коммерции и членстве, вам потребуется активный HTTPS на страницах входа и оформления заказа, чтобы пользователи не видели предупреждения в 2017 году.
Я дал вам достаточно причин для перехода? В моей следующей статье я собираюсь изучить, как переключиться на HTTPS в WordPress с помощью плагинов, как добавить свой сертификат в cPanel, Vesta или свой собственный VPS с помощью nginx. Оставайтесь в курсе!
Источник записи: https://www.wpexplorer.com