Протокол HTTPS: как повысить доверие клиентов и поисковиков к интернет-магазину

28 апреля 2017 – Анна Конева, Эквид
Протокол HTTPS: как повысить доверие клиентов и поисковиков к интернет-магазину
28 апреля 2017 – Анна Конева, Эквид

Когда клиент оформляет покупку в интернет-магазине, он раскрывает свои личные данные: имя, адрес, телефон, реквизиты банковской карты. Задача интернет-магазина — обеспечить защиту данных покупателя от хакеров, которые могут украсть информацию и использовать в своих целях.

Защитить данные клиентов и повысить их доверие к сайту можно и нужно с помощью протокола HTTPS и SSL сертификата. А ещё эти инструменты могут помочь улучшить позиции интернет-магазина в поисковиках.

Как это происходит и что такое протокол HTTPS и SSL сертификат, рассказываем в статье.

Спойлер для владельцев Эквид-магазинов: данные ваших покупателей уже надежно защищены, а SSL сертификат может пригодиться для других целей. Поэтому тоже предлагаем прочитать статью.

Что такое протокол HTTPS и SSL сертификат

В интернете все данные передаются от устройства к устройству по определенным правилам — протоколу.

Для работы сайтов используется протокол HTTP (от англ. HyperText Transfer Protocol — протокол передачи гипертекста). С его помощью данные, которые покупатель вводит в браузере на своем компьютере, отправляются на сервер, где лежит сайт, и обратно приходит ответ. Например, пользователь нажал кнопку — открылась новая страница, ввел в форму регистрации email — появилось сообщение, что зарегистрировался успешно.

Но HTTP не защищает данные. Представьте, что два человека передают друг другу записки через комнату, полную людей. Любой может прочитать записку, скопировать или подменить. Так же и с данными клиентов интернет-магазина: злоумышленник может узнать реквизиты банковской карты и украсть с неё деньги.

Для защиты важных данных был создан новый протокол HTTPS (от англ. Hypertext Transport Protocol Secure — безопасный протокол передачи гипертекста). Вся информация передается в зашифрованном виде, поэтому никто посторонний не может узнать её и использовать.

Чтобы пользоваться протоколом HTTPS, сайту нужен SSL сертификат — ключ для шифрования данных. Он защищает данные на трех уровнях:

  1. Шифрование данных. Злоумышленник не сможет подглядеть, какую информацию пользователь ввел на сайте, а также отследить его действия на других страницах или получить доступ к его данным. Это как с передачей записок, написанных с помощью шифра — их сможет прочитать только тот, кто знает ключ.
  2. Сохранность данных. Никто не сможет подменить или исказить передаваемые данные. Так же, не зная ключа, невозможно дописать что-то в нашу записку или переписать её совсем, добавив неверные данные.
  3. Аутентификация гарантирует, что пользователь попал на надежный сайт, а не на страницу злоумышленника. Если ключ к шифру знают только двое, каждый сразу понимает, от кого пришла записка. Посторонний не может передать свою записку и обманом узнать нужную ему информацию.

Сайт, защищенный SSL сертификатом, видно по протоколу https перед url-адресом и иконке в виде замочка:
Сайт, защищенный SSL сертификатом, видно по протоколу https перед url-адресом и иконке в виде замочка

SSL сертификаты выдают специальные организации — центры сертификации.

Кому и почему нужно переходить на HTTPS

Протокол HTTPS обязательно должны использовать сайты, на которых пользователи вводят свои платежные данные. Сервисы и интернет-магазины, которые не хотят терять покупателей и заботятся о своей репутации, делают это уже давно.

Но часто интернет-магазины используют технологию шифрования SSL только на странице регистрации или в корзине, где покупатель вводит персональную информацию. А на остальных страницах сайта используется старый, незащищенный протокол HTTP.

Теперь на HTTPS нужно переходить всем и использовать этот протокол для каждой страницы сайта. Вот почему:

  • Новые версии популярных браузеров Google Chrome и Firefox начали помечать сайты, работающие без SSL сертификата, как незащищённые.
    Google Chrome и Firefox начали помечать сайты, работающие без SSL сертификата
    Сейчас серый значок незаметен, но в будущем браузеры планируют изменить индикатор безопасности на красный треугольник для страниц на HTTP. Покупать на таком сайте пользователи скорее всего побоятся.
  • Поисковая система Google теперь выше ранжирует сайты, работающие по HTTPS.
  • Крупные платежные сервисы (например, Яндекс.Касса), могут отказаться работать с сайтом без HTTPS. Другие (например, Apple Pay), уже работают только на HTTPS.
  • Люди больше доверяют магазину, когда видят, что их данные здесь под защитой.
    данные здесь под защитой
  • По перечисленным причинам со временем на HTTPS перейдут все сайты, поэтому лучше решить этот вопрос без спешки сейчас.

Если вы хотите, чтобы клиенты смогли найти ваш интернет-магазин в поисковике и не побоялись делать заказ, переходите на HTTPS.

Как получить SSL сертификат и перейти на HTTPS

Чтобы перейти на HTTPS, нужно купить и установить на сайт SSL сертификат. Но для некоторых магазинов всё гораздо проще. Зависит от того, на каком сайте вы продаете.

Я использую стартовый сайт Эквида

Каждый, кто зарегистрировался в Эквиде, бесплатно получает готовый сайт со встроенным интернет-магазином — стартовый сайт Эквида.

Если вы используете этот сайт, то у вас уже есть SSL сертификат по умолчанию. Магазин на стартовом сайте Эквида соответствует всем требованиям международного стандарта безопасности передачи данных.

Зайдите в свой магазин. Видите в адресе сайта https? Можете быть спокойны, сайт под защитой.
Стартовый сайт Эквида уже защищен SSL сертификатом

Хотите привязать (или уже привязали) к стартовому сайту собственный домен? SSL сертификат для него вы получите автоматически и бесплатно. Для этого:

  1. В панели управления Эквид-магазина перейдите на страницу Настройки → Стартовый сайт и нажмите кнопку «Изменить адрес».
  2. Кликните на поле «Используйте свой домен» и следуйте появившейся инструкции.

Подключение SSL сертификата к Эквид-магазину на собственном домене

Я поставил Эквид на собственный сайт

Магазин от Эквида можно поставить на любой сайт и не беспокоиться за сохранность данных клиентов. Всё потому, что данные вашего магазина хранятся и обрабатываются на наших серверах, то есть вне вашего сайта. Наши сервера надежно защищены SSL сертификатом и данные ваших покупателей в безопасности.

Если Эквид-магазин вставлен в сайт без сертификата, иконка замочка и https в адресе страниц отображаться не будут, а это может не понравиться вашим клиентам. Поэтому важно защитить остальной сайт тоже.

Если ваш сайт сделан с помощью конструктора:

  • Wix, вы можете подключить SSL сертификат бесплатно в настройках. Следуйте инструкции.
  • Tilda и размещен на субдомене (например, mysite.tilda.ws), он поддерживает HTTPS автоматически. Если сайт на собственном домене, вы можно установить бесплатный сертификат от Cloudflare, для этого следуйте инструкции.
  • LPgenerator и домен вы купили у него же, подключить SSL сертификат можно бесплатно в несколько кликов (инструкция). Если купили домен у другого сервиса, придется покупать сертификат отдельно, читайте об этом ниже.
  • uKit, подключите SSL сертификат бесплатно (инструкция). Функция доступна только для тех, что подключил к сайту собственный домен. Для домена вида mysite.ukit.me, который выдается по умолчанию, нельзя активировать SSL-сертификат.

Для сайтов на WordPress, Adobe Muse, Joomla нужно получить (как, рассказываем ниже) и подключить сертификат самостоятельно на хостинге (уточните порядок установки в службе поддержки своего хостинга или следуйте инструкции для WordPress и инструкции для Joomla).

Если используете другой конструктор, обратитесь в его службу поддержки с вопросом про SSL сертификат.

У вас собственный сайт, разработанный с нуля (вами или подрядчиком)? Вам тоже нужно получить и установить SSL сертификат самостоятельно.

Виды SSL сертификатов

Есть 3 вида сертификатов, они отличаются скоростью выдачи и глубиной проверки компании:

  • Сертификаты с проверкой домена (Domain Validation — DV).
    Самый простой. После покупки на адрес администратора домена приходит ссылка для проверки владения доменом. Выдается DV практически моментально, он самый дешевый, есть и бесплатные.
  • Сертификаты с проверкой организации (Organization Validation — OV).
    Во время получения OV вам нужно будет подтвердить существование своего ИП или ООО, права на домен, предоставив необходимые документы. Срок выдачи — 1-3 дня, сертификат платный.
  • Сертификат с расширенной проверкой (Extended Validation — EV).
    Такой сертификат можно узнать по названию компании на зеленом фоне около адреса сайта. При его выдаче проводится тщательная проверка, поэтому посетитель может быть уверен, что домен принадлежит конкретной компании и надежно защищен. Срок выдачи — 3-10 дней. Подойдет для больших сервисов, банков, платежных систем.

Все эти сертификаты защищают данные одинаково, поэтому можно использовать первый вариант — базовый SSL сертификат с проверкой домена. Его покупают на срок от 1 года для одного доменного имени (например, myshop.ru и www.myshop.ru). Сертификат нужно регулярно продлевать, иначе сайт с просроченным сертификатом перестанет открываться.

Стоимость SSL сертификата — от 400 рублей в год. Нет смысла покупать дорогой, принцип работы у всех один и тот же. Но и что попало брать нельзя. Главное, чтобы браузер пользователя «доверял» центру сертификации, который выпустил сертификат. Иначе браузер не покажет https в адресе сайта и не будет считать его защищенным.

Самые популярные из доверенных центров:

  • Comodo
  • Symantec
  • Digicert
  • GeoTrust

Сертификаты этих центров можно купить у регистраторов доменов, хостеров и других продавцов. Кроме них есть еще бесплатные сертификаты. Вариантов много, сейчас поможем вам разобраться:

1. Купить SSL сертификат у своего регистратора домена или хостера

SSL сертификат часто можно купить сразу при покупке домена или хостинга (иногда сервисы выдают сертификаты бесплатно в подарок к покупке). Это идеальный вариант, если вы хотите приложить минимум усилий для перехода на HTTPS.

Вот условия популярных сервисов:

Reg.ru
Выдаёт SSL сертификат бесплатно на 1 год при регистрации домена (кроме кириллического). Купить сертификат можно за 2 999 рублей за год.

RU-CENTER
Стоимость SSL сертификата от 3 600 рублей за год.

GoDaddy
Стоимость SSL сертификата от 2 729 рублей за год при покупке на 3 года, либо от 5 459 рублей при покупке на год.

Если уже пользуетесь одним из этих или другим сервисом, предоставляющим сертификат вместе с хостингом, покупайте у него. Так вы снимете с себя почти все заботы по установке сертификата и настройке HTTPS.

2. Получить бесплатный SSL сертификат

Если ваш хостер не продает SSL сертификаты или ваш бюджет ограничен, можете установить бесплатный сертификат. Они бывают только одного вида — с проверкой домена (DV). Для защиты данных этого достаточно.

Для получения бесплатного сертификата рекомендуем сервисы:

Cloudflare
Выдает бесплатный SSL сертификат на срок до 15 лет. Кроме защиты данных у сервиса есть другие плюсы:

  • базовая защита от DDoS-атак;
  • автоматическое ускорение работы сайта.

Но есть и минусы:

  • Трафик вашего сайта идет через сервер Cloudflare, из-за чего возможны небольшие задержки при загрузке (но не обязательно).
  • Сертификат работает только в современных браузерах (Internet Explorer 7, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Mobile Safari for iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7). Если ваши клиенты пользуются старыми браузерами, https в адресе сайта они не увидят.
  • Выпускается один общий SSL сертификат для нескольких сайтов, регистрирующихся в одно время. Защищает данные этот сертификат так же хорошо, как индивидуальный. Но если вдруг сайт с таким же сертификатом попадёт под подозрение, сертификат будет отозван и вам придется получать новый.
  • Для своего домена вы должны будете использовать данные серверов Cloudflare, то есть он, по сути, будет управлять настройками домена.

Но эти минусы некритичны, в целом Cloudflare — оптимальный вариант для тех, кто не готов тратить на SSL сертификат деньги, но хочет начать защитить данные своих клиентов. Если вы выбираете, остаться на HTTP или использовать сертификат Cloudflare — рекомендуем второй вариант.

Для получения сертификата зарегистрируйтесь на сайте Cloudflare и следуйте инструкции по настройке.

Let’s Encrypt
Бесплатный сертификат без недостатков Cloudflare, но тут есть свои ограничения.

Let’s Encrypt выдает SSL сертификат только на 3 месяца, поэтому для него нужно настраивать автоматическое продление. Для этого вам будут необходим доступ к VPS-серверу своего сайта и навыки администрирования (либо наемный специалист).

Получить SSL сертификат от Let’s Encrypt можно двумя способами:

  1. Вручную на сайте letsencrypt.org через раздел «Ручной режим».
  2. Полуавтоматически или автоматически (в зависимости от программного обеспечения вашего сервера, на котором работает интернет-магазин) через бота Certbot.

3. Купить SSL сертификат у продавца

Если вы не готовы тратить время на настройку сертификата от Let’s Encrypt и не хотите использовать Cloudflare, можно купить сертификат у одного из множества продавцов, например:

Выбирайте SSL сертификат с проверкой домена (DV) на понравившемся вам сервисе. Как мы уже говорили, нет смысла покупать дорогой, потому что все они работают одинаково.

Мой магазин не на Эквиде

Если ваш сайт не защищен SSL сертификатом, следуйте описанным выше инструкциям.

Как не потерять трафик при переходе

Когда вы переходите с HTTP на HTTPS, для поисковых роботов адрес сайта меняется. И это может негативно сказаться на позициях в выдаче.

Чтобы помочь тем, кто заботится о безопасности своих посетителей, популярные поисковые системы разработали своды рекомендаций. Следуя им, вы не только сохраните позиции, но и улучшите их:

Чтобы не упустить клиентов из-за потери позиций в поиске, обязательно используйте эти советы, если устанавливаете SSL сертификат самостоятельно. Или задайте вопрос службе поддержки своего конструктора сайтов, соблюдены ли рекомендации поисковиков.

***

Если остались вопросы про безопасность Эквид-магазина, задавайте их нашей команде поддержки или в комментариях к этой статье.

Об авторе

Анна Конева — контент-маркетолог и редактор в Эквиде. Разбирается в интернет-рекламе и статистике. Любит большие города, пасту и фильмы Вуди Аллена.

Будьте в курсе!

Подпишитесь на еженедельную подборку вдохновляющих статей по электронной коммерции

Можно отписаться в любой момент. Подписываясь, вы даете согласие на обработку данных.

Читайте также