Защищённое соединение уже лет 5 как превратилось из новомодной тенденции в необходимость. Но до сих пор есть много сайтов, работающих на незащищённом протоколе http. Владельцы сайтов не спешат подключать ssl по разным причинам: технические сложности в софте хостинга или движка, боязнь просадки позиций, нежелание улучшать сайт, предрассудки или другие проявления информационной неграмотности в теме.

Если сайт работает по незащищённому протоколу http, то все передаваемые сайту и с сайта данные могут быть прочитаны и даже подменены. Следствием будут сворованные пароли, сессионные куки, встраивание рекламного и зловредного кода. Причём, это актуально не только в случае, когда вы пользуетесь публичным бесплатным wi-fi. Запросы к сайтам проходят через десятки сетевых узлов, любой скомпрометированный узел может создать вышеописанную картину.

не защищённое соединение

Чтобы избежать рисков, пользователи интернета отдают предпочтение защищённым сайтам, покидают сайт при виде сообщения о незащищённом соединении. Так незащищённое соединение портит имидж сетевого ресурса и ухудшает поведенческий фактор. А следом за посетителями от сайта отворачиваются и поисковые системы, которые стремятся дать пользователям поиска лучший результат.

Ради безопасности пользователи устанавливают браузерное расширение HTTPS Everywhere, оно заставляет использовать соединение HTTPS, когда это возможно. И есть исследования, рекомендующие создателям браузеров встраивать этот функционал в свои сборки. А что будет, если ваш сайт без подключенного SSL запросить по протоколу https? Советую это проверить прямо сейчас, ведь веб-серверы работают по такому принципу: если https-конфигурация для запрошенного домена не найдена, задействуется дефолтная или первая попавшаяся https-конфигурация. Иными словами, по https-запросу вашего сайта может открываться другой сайт. Конечно, он откроется с ошибкой — что сертификат не соответствует сайту, но от этого не намного приятней.

сайт без ssl при запросе https

Иными словами, в 2019 подключить SSL к сайту должно быть таким же обязательным шагом, как и зарегистрировать доменное имя, и таким же простым шагом. Большая заслуга в популяризации SSL принадлежит центру сертификации Let’s Encrypt, бесплатность и открытость технологий которого позволила интегрировать его каждый популярный хостинговый софт. И запрос, регистрация и подключение сертификата производятся часто одним чекбоксом «подключить», а продление происходит автоматически без участия администратора сайта.

А в чём отличие между бесплатным и платным сертификатом? Самое заметное отличие — зелёная плашка с названием фирмы рядом с адресной строкой браузера. Это солидно и внушает доверие, но далеко не каждый платный сертификат даёт зелёную плашку. Другое отличие — в сроке действия. LE-сертификат выдаётся на 3 месяца, а платный — на год и более. Но, мне кажется сомнительным связывать окончание срока действия текущего сертификата с намерениями фирмы прекратить свою дальнейшую деятельность. А недолговременные сертификаты меньше смысла компрометировать. Следующее отличие — для получения платных сертификатов обычно требуется расширенная проверка документов владельца сайта, что как бы тоже должно внушать доверие потенциальным клиентам и партнёрам. И, пожалуй, ещё одно — если данные сайта с платным сертификатом всё же будут скомпрометированы, то центр сертификации выплатит установленную компенсацию. Конечно, только в случае, если утечка произошла по вине сервиса. И думаете, много желающих купить сертификат за $10, скомпрометировать и получить $10 000? Ну да — ну да, очередь за компенсациями стоит (нет). Но какой сертификат использовать — выбирать вам. Благо, выбор есть. Можно и вообще обойтись без SSL — 10 лет сайт без него жил, и ещё столько же проживёт. Если не пугают возможные последствия, описанные выше.

Запись опубликована 21 ноября 2019 года. Пост окончен, но в рубрике «Web-кодинг» есть не менее интересные посты:

Подписка на RSS канал блога RSS подписка (как это?) поможет вам не пропустить ничего интересного на этом блоге.