Переход на HTPPS: подводные камни

Переход на HTPPS: подводные камни

«Рекомендации для веб-мастеров» Google включили на днях в новой версии очень интересный пункт. Звучит он так:

«Защитите свой сайт с помощью HTTPS. Так вы обеспечите безопасность при передаче данных между пользователем и вашими ресурсами».

Вообще-то раньше Google не раз говорил о том, что HTTPS крайне рекомендуется, что сайты на защищенном протоколе будут иметь преимущество в поисковой выдаче... Но это были пожелания и пряники. Теперь это уже не пожелание, а требование. И не только к финансовым сайтам - а к ЛЮБЫМ. И тут есть над чем задуматься.

Хотя желание видеть все сайты на HTTPS кажется разумным и мудрым, у всякой палки есть два конца. А тут их даже не два.

Подводные камни HTTPS

- управление сайтом на HTTPS - гораздо более сложная техническая задача, чем на HTTP. И не все простые владельцы простых сайтов с ней справятся.

- перевод сайта на HTTPS грозит немедленным падением во всех поисковых системах (о чем те честно предупреждают). И со стороны Google было бы этичнее сначала решить эту болезненную проблему (это же проблема работы поисковиков, в конце концов), нежели переваливать эту тяжкую ношу проседания с завоеванных позиций на конечных пользователей.

- это несет немедленные финансовые потери для владельцев сайтов. Бесплатных SSL сертификатов в природе не существует (и не верьте тем, кто их обещает). Минимум 700 рублей в год за каждый (!) домен придется платить, и платить каждый год! Для некоммерческих сайтов это серьезная обуза, о чем забывают миллиардеры из Google. Фактически под маской «заботы о безопасности» из топов хотят вытолкнуть все мелкие сайты-хобби, которые так украшают интернет.

- едва владелец сайта покупается на цену дешевого сертификата, у него тут же начинается головная боль - огромная часть дешевых сертификатов не принимается браузерами, причем безо всякой закономерности. У пользователя в браузере выскакивают страшные предупреждения о возможной небезопасности сайта, они требуют каких-то подтверждений его действиям. Пользователь не знает, что делать, пугается и тут же уходит с сайта. Причем в разных странах браузеры реагируют по-разному, и живя в России, почти невозможно узнать о том, какие чудеса показывает браузер читателям сайта из Китая или Голландии. А когда узнает - бежит покупать все-таки дорогой сертификат SSL - то есть за 4-5 тысяч, а то и 20 тысяч. И это уже скорее похоже на вымогательство в интересах определенных компаний...

- Справедливости ради могли бы существовать под крылом того же Google бесплатные сервисы по сертификации сайтов. Один такой уже есть (под крылом Mozilla) - letsencrypt.org, вот только он до сих пор в бете, и годится только для очень технически подкованных специалистов.

- Сайты без авторизации пользователей или личные блоги вообще даже теоретически не нуждаются в HTTPS - но теперь их фактически принуждают к покупке сертификата.

Резюме:

1. Для серьезных проектов, особенно коммерческих, нужно переходить на HTTPS.

2. Для некоммерческих проектов, блогов и т.п. - лучше подождать, пока не придумают сервисы для бесплатной сертификации (ну или рискнуть с китайским WoSign).

3. После установки сертификата постарайтесь проверить доступность сайта на всех возможных платформах и из всех доступных стран.