0,0
рейтинг
7 августа 2014 в 20:33

Разработка → Google повышает сайты с HTTPS в выдаче

image

Google начнёт использовать HTTPS в качестве фактора положения сайта в своей поисковой выдаче — этот шаг должен побудить измениться веб-разработчиков, которые не спешили с повышенными мерами безопасности или которые сомневались, насколько это важно для их сайта, пишет TechCrunch.

Поддержка HTTPS не будет иметь такого же веса, как например качество контента, и в первое время новый критерий будет затрагивать не более 1 % всех глобальных запросов — таким образом Google даёт веб-мастерам время на переход на HTTPS. Однако со временем эффект шифрования на поисковую выдачу будет усиливаться, по мере того как компания уделяет всё большее значение безопасности сайтов.

Google также обещает опубликовать серию статей об эффективном применении TLS (HTTPS также известен как HTTP над TLS или Transport Layer Security), так что разработчики сайтов смогут лучше понять, что они должны сделать для того, чтобы реализовать технологию, и каких ошибок можно избежать. Эти советы будут включать такие вопросы, как какой тип сертификата необходим, как использовать относительные URL-адреса для ресурсов на том же защищённом домене, передовой опыт по индексации сайтов и многое другое.

Кроме того, Google советует веб-разработчикам проверить свои сайты с HTTPS с помощью инструмента Qualys Lab. В случае возникновения вопросов компания предлагает обращаться в свой Справочный форум для веб-мастеров, где её сотрудники уже участвуют в активных дискуссиях с сообществом.

Объявление привлекло много откликов от разработчиков сайтов и участников SEO-отрасли — например, пост в блоге Google набрал больше 1000 комментариев. По большей части, сообщество, кажется, поддерживает нововведение или по крайней мере признаёт, что они ожидали чего-то подобного и не удивлены.

Сам Google в последние месяцы предпринимал шаги, чтобы лучше защитить ​​собственный трафик, в том числе включив шифрование трафика между своими серверами. Gmail также теперь всегда использует зашифрованное HTTPS-соединение, что защищает письма от перехвата на пути между компьютером пользователя и серверами Google. HTTPS и шифрование сайтов существуют уже многие годы, но, видимо, последние разоблачения о государственных масштабах слежки за пользователями наконец-то подталкивают сообщество к повышенному вниманию к своей безопасности.
Александр Андрейко @aleksandrit
карма
57,1
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (69)

  • +30
    Я не знаю, хорошо это или плохо...
    Один фермер получил в подарок для своего сына белую лошадь. Сосед пришел к нему и сказал: «Вам очень повезло. Мне вот никто не подарил такую чудесную белую лошадь!» Фермер ответил: «Не знаю, хорошо это или плохо...»

    Сын фермера сел на лошадь, та понесла и сбросила всадника. Сын фермера сломал себе ногу. «Ох, какой ужас! — сказал сосед. — Вы были правы, говоря о том, что история эта может плохо обернуться. Наверняка тот, кто сделал вам этот подарок, хотел принести вам вред. Теперь ваш сын останется калекой на всю жизнь!» Но фермер не казался чрезмерно удрученным. «Я не знаю, хорошо это или плохо», — ответил он.

    Началась война, и всю молодежь забрали на фронт, кроме сына фермера с его искалеченной ногой. Сосед снова пришел к фермеру и сказал: «Только ваш сын не ушел воевать, как же ему повезло». А фермер повторил: «Я не знаю, хорошо это или плохо».

    «Энциклопедия относительного и абсолютного знания» Бернард Вербер
    • –5
      Плюсану, потому что сам в своое время читал это и многое подобное.
      Но сейчас для меня эти слова выглядят скорее как абсолютное нежелание изучить контекст ситуации и, более того, ленность ума..:)
      Но, здравое зерно, конечно, есть. Это уж скорее о том, чтобы не сильно обижать людей своими ответами)
    • +26
      Не знаю почему Вы решили написать это именно здесь, эту цитату можно отнести абсолютно к любому изменению в жизни, а вот как она относится конкретно к этому посту?
      • +11
        Хотелось написать, о том, какое это хорошее нововведение… Потом, немного подумав, захотелось написать о том, что это может плохо сказаться на всяких сайтах-визитках, и прочих мелких сайтах, так что это не особо хорошее нововведение… Потом я понял, что об этом уж точно напишут в комментариях люди, которые разбираются в данной сфере лучше меня, а я всё-таки не знаю, хорошо это, или плохо…
        • +1
          Как раз для таких случаев у поисковиков есть классификаторы запросов, которые будут вносить свой вклад в вес того же самого https. Иными словами, по запросам типа «купить» https важен, а для запросов «картинки для рабочего стола» https не так уж и принципиален.
        • +1
          Опять таки, не удивлюсь, если сайты с SSL heartbleed Google будет намеренно опускать, ведь поисковики заботятся о своей аудитории.
  • +2
    То есть теперь:
    1. Прибавится проблемы с получением сертификата.
    2. Можно ли на одном IP держать несколько HTTPS виртуальных хостов, вроде как нет, что опять же увеличивает проблемы в обслуживании.
    3. Проблемы с поддоменав, туда вроде бы на халяву не дают сертификаты.
    Кто в итоге в плюсах, компании по продаже сетрификатов.
    • +10
      Кто в итоге в плюсах, компании по продаже сетрификатов.

      Это из серии, что Лаборатория Касперского пишет вирусы?) Тут видимо продавцы сертификатов перехватывают трафик и продают мошенникам и государствам.
      1. Прибавится проблемы с получением сертификата.

      Это да, но точно так же каждый год появляются проблемы с поддержкой новых устройств, браузеров. А защищенное соединение нужно сайту не меньше (а то и больше), чем пользователю. Нельзя жить вчерашним днем.
      2. Можно ли на одном IP держать несколько HTTPS виртуальных хостов, вроде как нет, что опять же увеличивает проблемы в обслуживании.

      Можно.
      3. Проблемы с поддоменав, туда вроде бы на халяву не дают сертификаты.

      StartSSL дает бесплатный сертификат на домен и 1 поддомен, Wildcard-сертификаты дает на все.
      • –10
        Не стоит упоминать StartSSL, их сертификаты не валидны в Firefox и Google Chrome на Android.
        • +8
          Вы просто не умеете их готовить.
          2anticafe.ru/ — все ок)
          • 0
            Воу! Не затруднит ли вас подсказать в ЛС в чём загвоздка и что я делаю неправильно? Буду весьма признателен.
            • +16
              Загвоздка в том, что для публичный ключ должен состоять из нескольких ключей. www.startssl.com/?app=42 читайте доки ;)
              • 0
                Спасибо большое :)
        • 0
          Где можно почитать подробнее?
          • +1
            Я ошибся (выше в этой ветке есть ответы почему и в чём).
            • 0
              Бывает. Я уж подумал что гугель отозвал.
        • 0
          Скорее всего, вы просто используете для своего сертификата class2 промежуточный сертификат sub.class1.server.ca.pem, как написано в инструкции.

          А нужно грузить sub.class2.server.ca.pem. Class1 только для бесплатных сертификатов.
    • 0
      Сертификат не так уж и дорого стоит, что бы так расстраиваться
      • 0
        сколько например Вы видели самый дешевый? Просто для справки. А то я только от $30 встречал.
        • 0
          я покупаю за 9$
          • +2
            Покупаю комодовский PositiveSSL по $4,85, если брать сразу на несколько лет то еще дешевле. Здесь
            rus.gogetssl.com/domain-validation/comodo-positive-ssl/
            • +3
              На startssl вообще бесплатно
              • 0
                Для коммерческого сайта, как-то не очень подходит. Хотя для личного блога конечно подойдет и startssl
                • +2
                  У коммерческих сайтов есть ресурс для приобретения не бесплатного сертификата
                  • 0
                    И причем тут это? Типа если сайт коммерческий то тот же сертификат который можно купить за 5 баксов, лучше купить за 49 евро?
                    Я всего лишь дал ссылку на сайт где можно купить дешевле «взрослые» сертификаты.
                    • +1
                      Как вы отличаете «взрослый» сертификат от «не взрослого»? И чем ваш взрослый за деньги отличается от того же бесплатного в StartSSL? Оба они идут как level1.
                      • –5
                        отличается от того же бесплатного в StartSSL

                        Ну банально, отличается уровнем доверия к компании которая его выдает.
                    • +2
                      Я имел ввиду, что для коммерческого продукта, сертификат можно и купить за 5 долларов, а не скачать бесплатный с startssl
      • –1
        Не всегда он имеет смысл, есть сайты например тот же башорг, и какой смысл ему работать по HTTPS? Дело не в цене дело в том что на всё это надо тратить деньги. Опять же сертификаты не принадлежат тебе. Сейчас с ними всё ок, завтра их из за каких нибудь санкций начнут отзывать, или по причине борьбы с пиратством. Лично мне не нравится появления ещё одного не всегда нужного звена, которое к тому же контролируется третьими лицами.
        • –1
          Есть сайты вообще без учетных записей пользователей. Для чего им SSL?
          • 0
            Так и я о том же, вскоре гугл это исправит.
          • +17
            Для подтверждения достоверности источника.
            • 0
              Для чего башоргу подтверждать достоверность источника?
              • +4
                Например, чтобы доход от рекламы на башорге получали владельцы башорга, а не Beeline-in-the-Middle.
                • 0
                  Если beeline-in-the-middle так захочет, запросто сможет включить в условия договора какую-нибудь хрень, обязывающую включить в браузер клиента их собственный доверенный центр сертификации, после чего mitm станет возможным и с ssl.

                  И все проглотят как миленькие. С beeline-in-the-middle законодательными мерами надо бороться, а не так.
                  • +1
                    > И все проглотят как миленькие.

                    Не проглотят.

                    С теоретической точки зрения, такой пункт в договоре фактически заставляет меня раскрывать Билайну все данные о моих финансовых транзакциях, логины и пароли. Мало кто доверяет Билайну до такой степени.

                    С практической точки зрения, установить новый CA-сертификат достаточно сложно, чтобы основная целевая аудитория Билайна с этим систематически не справлялась. Уйти к другому оператору (учитывая MNP) будет проще, чем выполнить условия договора с Билайном. Поэтому такой пункт бессмысленно куда-либо вписывать, он не будет работать.
                    • 0
                      Не бессмысленно. Оператор при подключении в офисе установит сертификат. А договоры никто не читает.
                      • +1
                        Оператор при подключении GSM-модема в офисе установит сертификат на что?

                        Опять же, на таком уровне гипотез вообще бессмысленно что-либо от чего-либо защищать. Всё равно оператор в офисе при подключении установит бэкдор.
          • 0
            Для того чтобы был шифрованный канал передачи, гарантирующий неизменность контента промежуточной стороной?
            Первое что приходит в голову недавняя история про вставку в любые сайты некого тулбара при использовании мобильного интернета от Билайн.
          • 0
            Есть 4chan без учётных записей. Для чего у них уже есть SSL?
            • +1
              Для понта.
  • +11
    Поддерживаю, конечно, но очень хочется, чтобы сертификаты стали дешевле. Пора Google войти в этот бизнес и обвалить цены.
    • –3
      Есть бесплатные сертификаты, StartSSL, например.
      Но, насколько я понимаю, для каждого https домена должен быть свой IP. А вот это уже действительно неприятно.
      • 0
        StartSSL не выдает бесплатные сертификаты коммерчески проектам.
        • 0
          Они это как-то проверяют? Я у них брал сертификат для небольшого интернет-магазина, уже скоро срок действия кончится, пока не отозвали.
          • +3
            Получил у них для одного сайта, запросил еще для одного, в ответ как раз про «не выдает бесплатные сертификаты коммерчески проектам». Написал, что сайт не коммерческий, ответ примерно такой: «мы не можем это проверить, поэтому не выдадим»
            • 0
              Возможно они просто выдают на 1 аккаунт 1 сертификат и достаточно зарегистрировать несколько аккаунтов для обхода ограничения (не помню есть ли там какие-то сложные для обхода проверки).
              • +2
                Нет, они заходят на ресурс и визуально его валидируют, плюс сразу отказывают доменам если в домене есть допустим слово shop.
                • 0
                  Ну можно на время проверки повесить на домен что-нибудь в виде личного блога.
                  Хотя мне почему-то выдали для вполне рабочего интернет-магазина. Может быть раньше такого правила не было.
                  • +3
                    Они выдают для магазинов, вот только это ближе к рулетке. Можно один год просидеть на их сертификате, а при продление напороться у вас вероятно коммерческий ресурс, поэтому покупайте специальный сертификат. :)
        • 0
          Получал у них сертификат для коммерческого проекта. Бесплатно. Никто слова не сказал.
      • –7
        Я тут выше уже написал про StartSSL: habrahabr.ru/post/232629/#comment_7848381
    • +2
      Выше скидывал ссылку на rus.gogetssl.com/domain-validation/comodo-positive-ssl/ всего $4,85, если брать на 5 лет, то по $3,79. Вполне нормальная цена.
      • 0
        Ну согласитесь, для личного блога, например, в сертификате нет никакой надобности. Если Google принудительно заставит их получать, то они должны быть бесплатны (или в комплекте с доменом).
        Или для юр.лиц, которым нужна безналичная оплата (внутри страны), тоже могут возникнуть проблемы.
  • +12
    Наконец-то хабр будет доступен по https!
    • –3
      <Зануда>Он же доступен :)</Зануда>
      wget https://habrahabr.ru/
      --2014-08-07 23:48:38-- https://habrahabr.ru/
      Распознаётся habrahabr.ru (habrahabr.ru)… 212.24.44.141, 212.24.44.133
      Подключение к habrahabr.ru (habrahabr.ru)|212.24.44.141|:443… соединение установлено.
      HTTP-запрос отправлен. Ожидание ответа… 301 Moved Permanently
      Адрес: habrahabr.ru/ [переход]
      --2014-08-07 23:48:39-- habrahabr.ru/
      Подключение к habrahabr.ru (habrahabr.ru)|212.24.44.141|:80… соединение установлено.
      HTTP-запрос отправлен. Ожидание ответа… 200 OK
      Длина: нет данных [text/html]
      • +2
        <Зануда>Юридически, в Вашем примере он как раз не доступен по https</Зануда>
        • –1
          Ну почему же — страница отвечает по https-протоколу по стандартному порту 443 и сообщает вполне конкретную информацию. Так что если говорить в контексте именно протокола, то еще как доступен.

          HTTP/1.1 301 Moved Permanently
          Server: nginx/1.4.7
          Date: Thu, 07 Aug 2014 20:28:59 GMT
          Content-Type: text/html
          Content-Length: 178
          Connection: keep-alive
          Keep-Alive: timeout=5
          Location: habrahabr.ru/

          <html>
          <head><title>301 Moved Permanently</title></head>
          <body bgcolor="white">
          <center><h1>301 Moved Permanently</h1></center>
          <hr><center>nginx</center>
          </body>
          </html>
          

          • –1
            Технически страница ничего не отвечает, nginx Вам отвечает, что «перемещено навсегда»
            • –1
              не отвечает

              отвечает


              Вас ничего не смущает?) И логично, если http-сервер у нас Nginx. то и отвечать должен он.
              • +2
                Запятая — знак препинания в русском и многих других языках.

                Зна́ки препина́ния — элементы письменности, выполняющие вспомогательные функции разделения (выделения) смысловых отрезков текста, предложений, словосочетаний, слов, частей слова, указания на грамматические и логические отношения между словами, указания на коммуникативный тип предложения, его эмоциональную окраску, законченность, а также некоторые иные функции.

                В моём предложении был использован знак препинания «запятая», для указания на то, что это разные части предложения, а значит слово «отвечает» и словосочетание «не отвечает» не противоречат друг-другу в данном случае.
                • +7
                  Вот вы зануды…
  • +2
    Я думаю, что наличие https вряд ли будет решающим фактором при ранжировании выдачи. Думаю, что воздействие негативных факторов будет всегда оставаться намного сильнее. А этих негативных факторов стало так много, что практически невозможно их не иметь. Они уже давно противоречат здравому смыслу. В особенности это касается тех сайтов, которые делают ту же деятельность, что делает Google — осуществляют поиск или сортировку какой-то информации.
  • +7
    Хорошо бы ещё сделать так, чтобы HTTPS на сайтах не делали для галочки. А то я месяц назад поставил в FF плагин HTTPNowhere, так добрая треть разных мелких сайтиков выдавала по HTTPS самые разнообразные глюки — то вёрстка в одну колонку шириной пикселей в 30 у левого края, то всё показывает, кроме контента по центру, то вообще ошибка 403. Через неделю выключил плагин, надоело исключения подтверждать для каждого форума/блога, на который я случайно забредал из поисковика.
    Вот два примера (просто взял пару соседних вкладок и проверил):
    gismeteo.ua — не найден маршрут. А на 80 порт всё работает. Пусть это мои недоработки где-то, но почему у хабра идёт редирект? Значит, можно сделать по-человечески.
    bigler.ru — сертификат выписан на имя «localhost»! То есть у админа всё работает. Да ещё заглушка так и осталась (To change this page, upload a new index.html to your private_html folder).
  • 0
    До ввода DANE, которую гугл как раз притормозил, это всё выглядит лоббированием удостоверяющих центров или даже рекламой SPDY.
  • +3
    Я так понимаю (всё, что ниже — моё собственное имху, местами — спорное), что гугл будет проводить достаточно длинную многоходовку.
    На текущий момент достаточно того, что сайт помимо того, что отдаёт по http контент — будет также и по https доступен. Нет нужды менять основное зеркало с www.site.ru на www.site.ru — достаточно в довесок иметь копию. Кому нужно — будет пользоваться https.
    Потом, в будущем, когда постепенно появится много новых сайтов — уже будет сигнал более мощным, начнётся практика создания нового сайта начиная с https — и оно будет главным зеркалом, а http будет в нагрузку, для галочки.

    Тут дело не в том, что гугл будет продавать сертификаты — вот не нужно такой паранойи. Для гугла важно различать плохие сайты и хорошие сайты. Это как со спамом: если бы за каждое письмо платили бы по рублю — то проблемы были бы у спамеров, а не у обычных пользователей (ну заплатил пять рублей в неделю, подумаешь)… Спамеру платить за миллионы писем в день — накладно. Так и тут: на каждый дорвей не накупишь сертификат — и появляются косвенные, но достаточно удобные признаки различать «этот сайт хорош», «этот сайт не хорош». Сигнал не единственный, один из — как раньше было например наличие своего доменного имени, а не бесплатного хостинга на народе. Просто очередной виток борьбы щита и меча. Вот про этот аспект никто из комментирующих не обратил внимание.
  • 0
    Я так и не воткнул немного — сейчас можно добавлять в индекс сайт как с http:// так и с https:// (Тоесть везде в сайтмапах и по сайту ссылки делать и так и так) Насколько мне известно лучше выбрать один вариант и ему следовать(Я выбрал http ) — вопрос после нововведений стоит ли продвигать сайт с 'https://' или это никак не повиляет и надо только чтобы на домене была реализована возможность https?
  • 0
    Бесплатный SSL — www.freessl.su

    Если вы предоставляете услуги SEO клиентам, то можете воспользоваться партнерской программой от ЛидерТелеком — www.instantssl.su/products/partner

    А если SSL-сертификат нужен не формально чтобы был, а для увеличения продаж (по статистике продажи на сайте с зеленой адресной строкой на 10-40% выше) — то можете посмотреть как он будет смотреться на вашем сайте — www.leader-ev.ru/demo/info

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.