Archiwa tagu: HTTPS

Zalety i wady usług HTTPS

link building

Jeśli masz zarejestrowaną stronę w Google Search Console, a nie jest ona oparta na zabezpieczeniach HTTPS, prawdopodobnie otrzymałeś wiadomość od Google o tym, że od października tego roku użytkownicy przeglądarki Chrome zobaczą komunikat o braku zabezpieczeń na stronie za każdym razem, gdy będą próbowali wypełnić jakieś pole tekstowe.

To kolejny krok Google w celu zapewnienia większego bezpieczeństwa użytkownikom podczas przeglądania sieci. Dotychczas HTTPS był istotny jedynie dla stron, które miały możliwość tworzenia kont i logowania, ale teraz dotyczy on znacznie większego odsetka stron.

Implementacja HTTPS nie jest prostym procesem. Dla przykładu, The Washington Post potrzebował w 2015 roku aż 10 miesięcy do przejścia na HTTPS, a wiele stron skarży się na zmiany w rankingach wyszukiwania podczas migracji na nowy system. Zmiana infrastruktury strony wymaga wiele czasu i nakładów. Istnieje kilka sposobów na implementację HTTPS, w poniższym artykule omówię najpopularniejsze z nich.

Tradycyjna implementacja HTTPS

Tradycyjna implementacja HTTPS zaczyna się od zakupu certyfikatu SSL od zaufanego dostawcy. Najważniejsza zasada, jeśli strona sprzedająca certyfikaty sama go nie posiada na swojej stronie, to go tam nie kupuj! Następnie musisz zweryfikować zakupiony certyfikat i udowodnić, że zarządzasz stroną, dla której go kupiłeś. Następnie SSL będzie już ważny, ale musisz go jeszcze zaimplementować na swojej stronie.

Zalety

Kompletne bezpieczeństwo. Mając zweryfikowany SSL na swoim głównym serwerze, nie ma możliwości przechwycenia połączenia między serwerem a Twoją stroną lub stroną a użytkownikiem.

Możliwość dostosowania. Możesz kupić rozszerzony certyfikat, który nie tylko wyświetla zieloną kłódkę w pasku adresu, ale również umieszcza tam nazwę firmy, dzięki czemu użytkownik może dodatkowo upewnić się, że jest we właściwym miejscu.

Łatwy do implementacji na wielu subdomenach. W przypadku posiadania różnych subdomen możesz albo kupić osobny certyfikat na każdą z nich, albo nabyć specjalną wersję certyfikatu obejmującą wiele subdomen.

Wady

Wysoka cena. Choć podstawowy certyfikat SSL kosztuje około 500 zł w zależności od zaawansowania Twojej strony, koszty te mogą wzrosnąć do dziesiątek tysięcy złotych, jeśli potrzebujesz bardziej zaawansowanych funkcji. Nie wliczam tu już kosztu pracy deweloperów, którzy muszą wdrożyć dany certyfikat na stronie.

Czas potrzebny do implementacji. Im większa strona, tym trudniej jest wdrożyć HTTPS na stronie. Ciężko również ocenić potrzebny do tego czas, ponieważ nie wiadomo, ile problemów może się pojawić po drodze. Warto do swoich szacunków dodać co najmniej kilkanaście procent zapasu na wypadek niespodziewanych problemów.

Let’s Encrypt

Let’s Encrypt to darmowa usługa oferowana przez Internet Security Research Group w celu promocji bezpieczeństwa w sieci. Implementacja Let’s Encrypt jest podobna jak w przypadku tradycyjnego HTTPS. Również musisz zweryfikować certyfikat, a następnie zaimplementować zmiany na serwerze.

Zalety

Darmowa usługa. Nie płacisz dosłownie za nic w przypadku certyfikatów oferowanych przez Let’s Encrypt.

Łatwość implementacji. Let’s Encrypt SSL jest znacznie łatwiejszy do zaimplementowania na stronie niż ma to miejsce w przypadku klasycznego HTTPS. Nie jest tak prosty jak opisywany niżej Cloudfare, ale i tak poradzą sobie z nim mniej obeznane w temacie osoby.

Całkowite bezpieczeństwo. Podobnie jak w przypadku tradycyjnej implementacji HTTPS, chronione jest zarówno połączenie między serwerze i stroną, jak i stroną a użytkownikiem.

Wady

Problemy z implementacją. Let’s Encrypt jest niekompatybilny z kilkoma różnymi platformami, choć raczej nie będą one stanowić dużego odsetka wejść na Twoją stronę – chodzi o platformy typu BlackBerry, Nintendo 3DS itp.

90-dniowe certyfikaty. Podczas gdy tradycyjne certyfikaty SSL są zazwyczaj ważne przez rok albo i więcej, w przypadku Let’s Encrypt mają one ważność jedynie 90 dni, a rekomenduje się ich odnowę co 60 dni. Zapominanie o odnowieniu certyfikatów może narazić stronę na niebezpieczeństwo ataku.

Ograniczone dostosowanie. Let’s Encrypt oferuje tylko tradycyjne certyfikaty SSL, więc nie będziesz mógł kupić rozszerzonej usługi z nazwą firmy. Na ten moment Let’s Encrypt nie oferuje również certyfikatów na wszystkie subdomeny, ale planuje wprowadzić je w styczniu 20118 roku.

Cloudflare

Zdecydowanie najłatwiejszy do przeprowadzenia sposób implementacji HTTPS. Cloudflare oferuje usługę Flexible SSL, dzięki czemu nie będziesz musiał implementować certyfikatów bezpośrednio na swojej stronie. Zamiast tego Cloudflare będzie przechowywać wersję Twojej strony na serwerach oraz zabezpieczać połączenie za pomocą swojej ochrony SSL.

Zalety

Darmowa usługa. W swojej podstawowej wersji Cloudflare oferuje certyfikację za darmo. Jeśli chcesz wypróbować bardziej rozbudowany plan, dopiero wtedy płacisz.

Najłatwiejsza implementacja. Wszystko co musisz zrobić, to założenie konta w Cloudflare i aktualizacja rekordów DNS. Nie trzeba zajmować się żadną dodatkową implementacją i konfiguracją.

Optymalizacja szybkości strony. Poza zabezpieczeniami SSL, implementacja HTTPS przez Cloudflare dostarcza również kilka dodatkowych usług, w tym optymalizację wyniku PageSpeed. Podczas gdy tradycyjna implementacja HTTPS może często mieć negatywne konsekwencje dla szybkości ładowania strony, Cloudflare oferuje możliwość optymalizacji elementów JavaScript, CSS i HTML.

Wady

Niepełne szyfrowanie. Cloudflare oferuje zabezpieczenie między użytkownikiem a zapisaną na serwerach wersją strony, nie szyfruje jednak połączenia między serwerem a stroną. Choć użytkownicy mogą czuć się bezpiecznie odwiedzając Twoją stronę, nadal istnieje szansa na zaatakowanie serwera. Możesz dokonać upgrade’u Cloudflare do pełnej implementacji SSL, ale nie jest to usługa darmowa.

Problemy z bezpieczeństwem. Cloudflare został shakowany w tym roku, przez co opublikowano mnóstwo informacji wrażliwych informacji. Choć wygląda na to, że problemy zostały rozwiązane, a bezpieczeństwo powiększone, to jednak niesmak pozostał.

Brak dostosowania. Podobnie jak w przypadku Let’s Encrypt, darmowa wersja Cloudflare nie pozwala na rozszerzony certyfikat SSL ani nie oferuje bezpieczeństwa dla wszystkich subdomen.

Czy przejście na HTTPS może pomóc w SEO?

link-buildingowej

Na pytanie z tytułu tego artykułu możemy odpowiedzieć jednym zdaniem. Tak, to pomaga. Google chce uczynić sieć bardziej bezpieczną i zachęca twórców stron internetowych do korzystania z protokołu HTTPS. Od niedawna HTTPS jest jednym z czynników wpływających na pozycję w rankingach. Nie jest może kluczowy, ale zawsze daje dodatkowe punkty.

Mimo zalet dotyczących SEO, większość stron jeszcze nie migruje na HTTPS. Według badań przeprowadzonych przez SEMrush wzrost stron wykorzystujących HTTPS różni się w zależności od branży. Dodatkowo większość największych stron internetowych wdrożyła już bezpieczne wersje witryn.

Wykorzystywanie stron HTTPS nie jest jeszcze tak powszechne jak mogłoby się wydawać. Obecnie około 25% całego ruchu w sieci odbywa się na stronach HTTPS. Według Statoperator w czerwcu 2016 roku 10,2% stron z pierwszego miliona największych witryn ma domyślnie włączoną obsługę HTTPS.

Użycie HTTPS pośród najlepszych 100 000 witryn

Po zmniejszeniu przedziału do 100 000 największych witryn internetowych, można zauważyć trzykrotny wzrost popularności stron z HTTPS między rokiem 2014 a 2017. W ciągu ostatnich trzech lat liczba stron HTTPS wśród najlepszych 100 000 zwiększyła się z 7,6 do 31,5%. Spodziewamy się, że w ciągu najbliższych dwóch lat HTTPS będzie na ponad połowie stron internetowych z powyższej listy.

Wykorzystanie HTTPS pośród najlepszych 5000 witryn podzielonych na branże

W kolejnej części badania należy sprawdzić jak wiele z najlepszych 5000 stron podzielonych na 25 branż korzysta z HTTPS. Z badania wynika, że 41% stron wykorzystuje obecnie HTTPS.

Patrząc na poszczególne branże, 316 stron należących do kategorii sztuki i rozrywki korzysta z HTTPS, dzięki czemu ta branża ma największą liczbę stron zabezpieczonych HTTPS. Trzy branże z największym odsetkiem zabezpieczonych hasłem to: finanse (77%), Internet i łączność (63,91%) oraz biznes i przemysł (62%).

Jeśli spojrzeć na drugą stronę medalu, branże z najmniejszym odsetkiem stron wykorzystujących HTTPS to wiadomości (11,25%) oraz sport (15,95%).

Wykorzystanie HTTPS spośród firm Fortune 500 z podziałem na branże

SEMrush przeanalizował również największe amerykańskie przedsiębiorstwa. Najprostszym sposobem było wykorzystanie listy Fortune 500. Podobnie jak w poprzednim przypadku, najwięcej firm korzystających z HTTPS było w branży finansowej (70%) i usługach dla biznesu (74%). Z drugiej strony najmniejszy odsetek HTTPS był wśród firm z branży lotnictwa i obrony (8%) oraz chemicznej (9%).

Wykorzystanie HTTPS i jego korelacja z rankingiem Google

Aby sprawdzić korelację pomiędzy pozycją w rankingu wyszukiwania a wykorzystaniem HTTPS, SEMrush wylosował 100 000 fraz kluczowych na których przeprowadzono badanie.

Blisko 45% rezultatów na pierwszym miejscu oraz blisko 50% rezultatów na miejscu drugim było zabezpieczone przez HTTPS. Różnicę między pierwszym a drugim miejscem można wytłumaczyć innymi czynnikami wpływającymi na SEO.

Choć pierwsze wyniki dla poszczególnych fraz wyszukiwania ma mniejszy odsetek stron HTTPS niż drugi i trzeci wynik, im dalej tym ciekawiej wygląda sytuacja. Im niższy wynik na stronie wyszukiwania, tym mniejszy odsetek stron zabezpieczonych HTTPS. Ciężko jednak powiedzieć, czy to HTTPS jest przyczyną dalszego miejsca w rankingu, czy to raczej ogólna strategia SEO może być lepsza, a co za tym idzie, szanse na wdrożenie HTTPS są wyższe.

Zalety korzystania z HTTPS

Bezpieczeństwo i prywatność. Główną zaletą HTTPS jest fakt, że strona jest przez to bezpieczniejsza dla użytkowników. Jest to szczególnie ważne na stronach, gdzie użytkownicy podają poufne informacje – dane karty, numer PESEL itp.

Zaufanie. HTTPS to najprostszy sposób na zyskanie zaufania użytkowników. Należy dbać o zgodność certyfikatów, w przeciwnym razie jeśli będziesz twierdził, że Twoja strona ma HTTPS, a tak nie będzie, Google wyświetli odpowiednie ostrzeżenie o niebezpiecznej stronie.