Нужно ли переходить на SSL всем сайтам в январе 2017-го? Не все так страшно, как кажется и о пользе чтения первоисточников

от

dog

Привет, друзья IdeaFox!

9 сентября 2016 года компания Google опубликовала небольшую заметку, которая наделала много шуму в среде вебмастеров и автономных блогеров. В ней говорится о том, что начиная с января 2017 года браузер Chrome (56 версия) будет помечать сайты, которые работают на протоколе http как небезопасные.

Скажем прямо, что процедура переезда на HTTPS непредсказуема, так как можно проскочить ее без проблем, а можно и трафик потерять на некоторое время, если где-то ошибешься. А для новичков – это вообще будет настоящим испытанием психики на устойчивость к стрессу =)

На seo-форумах сейчас наблюдаются бурления, проклятия и гневные выкрики в сторону Google. Честно говоря, пока я читал форумные ветки, то постоянно ловил себя на мысли, что там зачастую строчат люди, которые вообще не в теме. Ну, вы знаете таких seo-форумных завсегдатаев, которые готовы трепаться на любую тему. Не читая первоисточника, не понимая сути вопроса.

Итак, давайте чуть подробнее разберем этот “ужас”, который сейчас так часто обсуждают

Во-первых, многие вебмастера стали пугать друг-друга вот этой картинкой:

предупреждение о небезопасном сайте

Что, мол, начиная с января 2017 года в Google Chrome 56-ой версии ВСЕ сайты, работающие без SSL-сертификатов будут помечаться именно так. А так как подобная картинка будет пугать пользователей, то они будут сразу покидать сайт. Тем самым, снижая поведенческие факторы, и т.д и т.п.

Между тем, эта картинка НЕ появится январе 2017 года

В этой статье дословно говорится следующее:

In following releases, we will continue to extend HTTP warnings, for example, by labelling HTTP pages as “not secure” in Incognito mode, where users may have higher expectations of privacy. Eventually, we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS.

https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Перевод:

В следующих выпусках мы продолжим расширять HTTP предупреждения, например, путем маркировки HTTP-страниц, как «не безопасно» в режиме инкогнито, где пользователи могут иметь более высокие ожидания неприкосновенности частной жизни. В конце концов, мы планируем пометить все страницы HTTP как незащищенный, и изменить индикатор безопасности HTTP на красный треугольник, который мы используем для разбитого HTTPS.

О том, когда Гугл начнет подобным образом помечать ВСЕ страницы сайтов «красным треугольником», работающих на незащищенном протоколе http – не сообщается. Но это точно не может случиться в ближайшем времени, так как это слишком уж рискованный шаг даже для такого монополиста, как Google.

Просто представьте себе, что ВСЕ сайты, которые не используют SSL-сертификаты будут помечаться подобным образом в Google Chrome…

Знаете, что будет в этом случае?

Во-первых:

Подобный ход конем не вызовет восхищения со стороны армии вебмастеров всего мира, которые не смогли перейти на HTTPS. Дело в том, что во всем мире есть огромное количество сайтов мелких компаний, которые и не собираются переходить на новый протокол.

Почему? Да потому, что далеко не всем это под силу, особенно если используется какая-нибудь устаревшая CMS. Многие боятся обновить старый движок, а тут им про модный SSL толкуют =)

И, что странно, эта новость никак не продвигается со стороны Гугл.

Буквально одна заметка на их корпоративном блоге и парочка интервью. А теперь представьте, что ЭТО действительно произошло. Что подумает огромная армия обычных вебмастеров и блогеров во всем мире про Гугл? О чем они начнут массово писать на своих блогах? Что подумает бабушка-блогер из Арканзаса, которая с упоением ведет блог про ЗОЖ и кулинарию, но представления не имеет о том, что такое SSL?

Вот именно.

Во-вторых:

Доля Google Chrome начнет медленно падать, уступая менее пароноидальным региональным браузерам-конкурентам. Например, тому-же Яндекс-Браузеру, который решает вопросы безопасности более корректно (правда, он тоже работает на движке от Google).

Ну кому приятно будет пользоваться браузером, который пугает «красным треугольником» при посещении каждого второго сайта? Напомню, что сейчас сайтов, которые работают на незащищенном протоколе – большинство. И я крайне сомневаюсь, что сотни миллионов сайтов массово перейдут на HTTPS к 1-му января 2017 года. Это просто смешно.

Короче говоря, такую страшную картинку мы увидим еще не скоро. Подозреваю, что мы вообще ее никогда не увидим. Ведь по-сути – это принуждение вебмастеров покупать SSL-сертификаты и делать лишнюю работу, что может пошатнуть имидж компании. Никто не любит делать лишнюю работу, по чужому приказу.

А что тогда случится в январе 2017-го года?

Да сайты, работающие на HTTP действительно будут помечаться. Но далеко не все, и даже не все страницы.

Опять, же в этой статье есть другая картинка:

Пример в Google Chrome

И она не такая пугающая, как первая. Действительно, появится строка для сайтов, которые работают на HTTP, и будет выглядеть как на картинке выше. Это просто серая строчка, на которую мало кто обратит внимание, так как она будет встречаться на подавляющем числе обычных сайтов.

И, самое главное, о чем все забывают сказать, пугая друг-друга на SEO-форумах:

Эта серая надпись “Not secure” появится только на тех страницах, где есть поля для ввода пароля ИЛИ есть поля ввода данных для ПЛАТЕЖНЫХ систем (проще говоря, реквизиты банковских карт, электронных кошельков и т.д)

Как проверить свой сайт на это предупреждение?

Я решил досконально разобраться в этом вопросе, так как тоже сначала озадачился вопросом скорейшего переноса своих сайтов на защищенный протокол. И вот, что накопал.

Оказывается, есть специальная версия Google Chrome для разработчиков, в которой уже обкатываются новые функции этого браузера. Называется она Google Chrome Canary (как раз 56-я версия)

https://www.google.ru/chrome/browser/canary.html

Вы можете смело скачать его и установить на свой компьютер, чтобы посмотреть новые возможности  Google Chrome, которые появятся в будущих релизах.

Что можно сделать прямо сейчас:

  1. Установите Google Chrome Canary на свой компьютер;
  2. Откройте собственный блог или сайт в Google Chrome Canary;
  3. Нажмите на клавиатуре F12;
  4. Затем на вкладку “Console”.

Консоль

 

И внимательно посмотрите на предупреждения справа. Если там будет вот такая надпись:

This page includes a password or credit card input in a non-secure context. A warning will be added to the URL bar in Chrome 56 (Jan 2017). For more information, see https://goo.gl/zmWq3m.

оповещение

То действительно, лучше сейчас озадачиться покупкой SSL-сертификата для перехода на протокол HTTTPS. Но опять-же, это предупреждение появляется только в том случае, если на проверяемой странице есть поле для ввода пароля (или любой платежной информации для совершения покупки).

Например, у вас на каждой странице сайта (форума, интернет-магазина) есть сквозная форма для авторизации пользователей.

В этом случае придется задуматься о миграции на HTTPS, чтобы не получить предупреждение в Google Chrome. Ну, и вообще в таких случаях действительно SSL-сертификат нужен из соображений безопасности.

image

Но для подавляющего большинства автономных блогеров, которые просто публикуют статьи для своих друзей – это предупреждение не грозит.

Приведу еще один пример

Есть у меня закрытый сайт, где я размещаю свои курсы и бесплатные видео для блогеров. Разумеется, в нем нужно сначала пройти регистрацию. И если проверить страницу входа на сайт, то действительно я вижу предупреждение, что эта страница будет помечена как небезопасная:

пример страницы с формой авторизации на сайте

И я переведу его на HTTPS в ближайшее время, так как это действительно нужно.

Кстати, можете проверить страницу входа в админку на собственный блог и тоже увидите там точно такое-же предупреждение:

пример страницы с админкой WordPress

Подведем итог:

1. Нужно читать первоисточники, а не форумные бредни =)

2. Для большинства автономных блогов на данный момент “черная метка” НЕ грозит. Если только Вы не владелец форума, интернет-магазина или любого сайта, где необходимо вводить пароли или платежные реквизиты. Причем, большинство интернет-магазинов используют платежные агрегаторы, которые по умолчанию используют SSL-сертификаты.

Единственная проблема для подобных сайтов – это сквозная форма авторизации на каждой странице. Тут уже придется либо избавляться от нее переходя на оформление заказов без регистрации, либо переходить на HTTPS.

3. Вообще, я сам планирую переводить свои сайты на HTTPS. Это хорошая и полезная технология. Но сделаю это тогда, когда МНЕ будет удобно. А не тогда, когда меня пытаются заставить эффективные менеджеры из поисковиков.

3. Я очень сомневаюсь, что пугающая картинка с «адским треугольником» появится в обозримом будущем. Юристы и маркетологи корпорации точно понимают, что все это выглядит довольно сомнительно. И, разумеется, эту тему начнут педалировать конкуренты Google. Уж они-то точно не упустят такую чудесную возможность их потроллить =)

Что скажете? Сами будете переезжать на HTTPS?

P.S. В ближайшие дни выйдет мини-курс по настройке VPS-сервера.

Еще почитать:

  1. Быстрый старт №1: Запускаем полноценную рассылку в сервисе BenchMark Email за 30 минут
  2. Избавился от нудной работы, сэкономил два часа