Что говорят те, кто перешел на https, когда это еще не стало мейнстримом
За последние два года число сайтов в доменной зоне .ru с действительными SSL-сертификатами выросло более чем в три раза и достигло 775,9 тысяч. Об этом свидетельствуют данные хостинг-провайдера и регистратора Reg.ru и удостоверяющего центра GlobalSign.
Россия в январе 2019 года заняла девятую строчку в рейтинге стран по числу таких сертификатов, тогда как в 2014–2015 годах занимала 13-ю позицию. Всего в зоне .ru насчитывается 5,03 млн доменных имен, таким образом, с защищенным протоколом работают около 15% сайтов.
Лидером среди удостоверяющих центров является Let’s Encrypt, позволяющий пользователям бесплатно получать сертификаты начального уровня, - сегодня на обслуживании компании находится около 500 тыс. SSL-сертификатов. Среди других удостоверяющих центров, продуктами которых охотно пользуются вебмастера, также значатся COMODO, GlobalSign, cPanel и DigiCert.
Наибольшей популярностью среди владельцев доменов в зоне .ru пользуются доступные сертификаты уровня Domain Validation. В прошлом году общее число SSL-сертификатов такого типа составило 574 400.
Лидерами рейтинга стран-пользователей SSL стали США, Германия и Великобритания с 23,1 млн, 4,9 млн и 1,9 млн действующих сертификатов соответственно. Девятое место в этом рейтинге - не такое уж большое достижение для России. Почему же рунет так медленно и неохотно переходит на безопасный протокол?
Об этом и о «сложностях» перехода на https, а также о влиянии смены протокола на ранжирование сайтов, рассказывают участники рынка, те, кто перешел на https, когда это еще не стало мейнстримом.
Безопасность
Раньше всех согласившихся участвовать в нашем опросе, на защищенный протокол перешел хостинг-провайдер и регистратор доменов Reg.ru. По словам представителя компании Антона Бобкова, сайт Reg.ru перешел на https-соединение практически с самого начала работы, более 10 лет назад:
«Причина на тот момент была только одна — безопасность для клиентов. Так как для регистрации доменов по регламенту требуются персональные данные, то безопасность их передачи всегда стоит на первом месте. На тот момент https выполнял только эту функцию, ради которой и был разработан. Однако со временем защищенный протокол начал «приобретать» новые, на мой взгляд, важные функции. К таким я отношу и приоритет в ранжировании поисковиков, и поддержка браузеров, которые стараются привлекать внимание пользователей к защищенным сайтам».
Сначала компания использовала обычные сертификаты класса DV (Domain Validated), но со временем перешла на сертификаты класса EV (Extended Validated).
Суть в том, что каждый SSL-сертификат предназначен для особого типа сайтов. Например, DV сертификат подходит только для сайтов-визиток (где не требуется авторизация пользователей или предоставление персональных данных) то есть там, где нет потребности в большом доверии со стороны посетителей сайта, а также для внутренних нужд различных организаций. Такой сертификат подтверждает владение доменом и его получение не требует предоставления определенных документов. Однако, так как метод частично автоматический, есть риски, что мошенник может подделать сайт и получить такой сертификат. Прежде чем фейк будет обнаружен, могут найтись доверчивые и невнимательные пользователи, которые попадутся на эту удочку.
Интернет-магазинам и другим проектам, которым важно доверие к компании и продуктам неплохо было бы иметь хотя бы OV (Organizational Validated) сертификат, так как тут возможность «подделки» уже гораздо ниже. При получении такого сертификата проходит более тщательная проверка. Например, запрашиваются документы компании и представители удостоверяющего центра связываются с компанией по телефону.
Самый высокий класс SSL-сертификата — это EV или SSL c расширенной проверкой. Их выбирают сайты с большим количеством посещений и авторизаций, банки, крупные СМИ и другие. Использование сертификата сегодня говорит о том, что компания заботится о своей репутации в сети и заботится о своих клиентах и пользователях. Получив EV сертификат, компания Reg.ru максимально защитилась от случаев мошенничества через перехват пользовательских данных.
На вопрос о том, замечены ли были какие-то изменения в ранжировании сайта после перехода на https, в Reg.ru пояснили, что:
«Говорить об изменениях в ранжировании сложно, поскольку мы используем SSL-сертификат давно, а поисковые системы начали учитывать наличие сертификата только с 2014 года. Сегодня наши позиции в поисковой выдаче одни из лучших в своем сегменте, но это обусловлено как наличием SSL-сертификата, так и грамотной работой SEO-специалистов».
Начало
6 августа 2014 года в официальном блоге Google Webmaster Central появилась статья «HTTPS as a ranking signal», в которой сообщалось, что Google будет учитывать использование сайтом протокола http в качестве одного из факторов ранжирования. Это заявление было подытожено призывом ко всем вебмастерам осуществить переход с протокола http на https в целях повешения безопасности передачи информации в интернете.
Некоторые вебмастера и владельцы сайтов отнеслись к этому сообщению достаточно серьезно и начали планировать переезд.
Сергей Петренко (Searchengies.ru):
«Свой личный блог я перевел на https очень давно — 4 года назад. Правда, тогда пришлось оставить две версии, чтобы не создавать массу битых картинок, недоступных по https. Первоначально это была просто интересная задача без особого практического смысла.
Затем, когда получили широкое распространение бесплатные сертификаты от Let’s Encrypt, переход на https стал гораздо доступнее и мы постепенно перевели и другие проекты — searchengines.ru, searchengines.guru, ну а новые сразу делались https-only.
Резоны для такого перехода довольно просты: безопасность — даже для персонального блога может быть актуальна демонстрация подлинности домена, скорость — все разработки последних лет, такие, как SPDY или HTTP/2, базируются на SSL-обмене данными».
Елена Камская (SiteClinic):
«Мы перешли, когда Google только начал пропагандировать безопасный протокол. Встал вопрос о переносе на https сайтов нескольких крупных клиентов, и мы захотели сначала «прочувствовать» весь процесс на себе».
В конце этого же года Google предупредил, что в ближайшее время браузер Chrome начнет помечать веб-сайты, использующие протокол http, как небезопасные. Более того, команда разработчиков браузера настоятельно рекомендовала создателям сторонних веб-приложений помечать ресурсы, не перешедшие на использование https, как сомнительные или небезопасные.
Однако точная дата появления подобных пометок в Chrome стала известна лишь несколько лет спустя.
Продолжение
Сообщение том, что все это не шутки, и Google серьезно относится к безопасности пользователей, а с января 2017 года начнет маркировать http-страницы в Chrome как небезопасные, появилось в сентябре 2016 года.
Именно тогда многие владельцы сайтов перевели свои ресурсы на безопасный протокол.
Дмитрий Севальнев (Пиксель Плюс):
«По клиентским проектам мы начали массовую миграцию порядка двух лет назад, сейчас переводим всех по умолчанию. Основная причина изложена тут «Chrome начнет помечать HTTP-сайты как небезопасные», то есть, проекты могли значимо потерять в конверсии, чего, конечно, мы допустить не могли».
Алексей Волков (Digital.Tools):
«Уже тогда стало очевидно, что https станет стандартом де факто, так как браузер Chrome самый популярный. Это вопрос времени. Клиенты постепенно к этому привыкали. В начале 2017 года, когда мы давали рекомендации перейти на https, люди смотрели на это, как на красную тряпку. Но постепенно отношение к смене протокола перешло от статуса «нормально» до «приветствуется».
Однако большая часть российских вебмастеров была уверена, что эти меры коснутся только сайтов, собирающих данные кредитных карт. Однако, как стало ясно из полученного в январе 2017 года предупреждения Google, которое начало массово рассылаться владельцам российских ресурсов, это касается любых страниц, содержащих формы вида логин/пароль, и даже кнопок социальных сетей.
Здесь отечественным специалистам пришлось столкнуться с неожиданной проблемой – нюансы корректного переезда с http на https в двух основных поисковых машинах русскоязычного рынка – Яндексе и Google несколько различались. И для того, чтоб переезд был максимально безболезненным и не привел к падению трафика, нужно было учитывать ряд определенных моментов.
Трафик
Алексей Волков (Digital.Tools):
«В самом начале, когда Яндекс еще понимал host в robots.txt и не предоставлял инструментов склейки в панели Вебмастера, при переходе проблемы были почти у всех. Потому что в помощи Вебмастера Яндекса был описан некорректный порядок действий: в другом порядке нужно было делать склейку. То ли мы сильно хитроумные, то ли везучие, но у нас не было ни одного случая падения трафика на клиентских проектах после перехода на https».
Елена Камская (SiteClinic):
«Когда мы делали переход, Яндекс еще поддерживал директиву HOST. Мы выбрали самый безопасный, с нашей точки зрения, путь – 301 редирект только для Google и параллельная склейка сайта в Янедксе через HOST. Но через пару недель начались проблемы с Яндексом, и мы настроили глобальный 301 редирект для всех.
Нам повезло – трафик из Яндекса не просел, а трафик из Google поднялся почти в 2,5 раз и превысил долю Яндекса».
Дмитрий Севальнев (Пиксель Плюс):
«По трафику клиентских проектов ситуация следующая, в том случае, если все сделано грамотно с точки зрения переезда:
90% — без изменений, 5% — небольшой рост трафика после, 2,5% — резкий рост трафика после (чаще, в Google, вероятно, причина в снятии каких-то остатков хостовых санкций) и 2,5% — падение (вероятно, причина в ошибках самого зеркальщика или прочих настройках)».
Возможная потеря трафика при смене протокола до сих пор волнует очень многих и зачастую останавливает от начала этого процесса. На наш вопрос в Яндексе поспешили успокоить вебмастеров:
«Мы знаем, что многие владельцы сайтов опасаются потери трафика при переезде. Наши измерения показывают, что при соблюдении наших инструкций трафик на сайт при переезде на https не теряется».
Ранжирование
В 2014 году Google оценил https, как довольно слабый сигнал ранжирования, влияющий менее чем на 1% мировых запросов. Однако в конце 2015 года Google начал индексировать https-версию страницы по умолчанию. Тогда и начался небольшой, но устойчивый рост доли https-сайтов в топе результатов выдачи поисковика.
В октябре 2016 года стало известно, что небольшой импульс в ранжировании Google по-прежнему получают все https-страницы – даже при наличии ошибок протокола.
Так как количество https-сайтов в топе увеличивалось, все большее количество вебмастеров стало задаваться вопросом, не увеличился ли вес этого фактора в формуле ранжирования поисковика.
В апреле 2017 года инженер Google Гэри Илш, на вопрос сотрудника Moz Питера Мейерса: «После того, как доля https-результатов достигла 50%, планирует ли Google предоставлять защищенным сайтам преимущество в ранжировании?» ответил так:
«Нет. Мы повторно рассмотрели эту идею несколько месяцев назад и решили от нее отказаться».
Позиция Google не изменилась и через год, когда доля защищенных страниц в поисковой выдаче Google превысила 70%. Сотрудник поиска Джон Мюллер подтвердил, что наличие протокола https на сайте является очень слабым сигналом ранжирования для Google. При этом он действует на уровне страницы, а не сайта, и не привязан к отдельным отраслям.
В целом, в компании считают, что смысла в предоставлении преференций в ранжировании нет: рано или поздно все сайты перейдут на безопасный протокол. Именно поэтому прошлой осенью Google убрал зеленую текстовую метку «Защищено» для https-сайтов в Chrome. По мнению Google, пользователи должны ожидать, что интернет безопасен по умолчанию, а предупреждения нужно выводить лишь в том случае, когда есть проблемы.
Вебмастера и владельцы сайтов, перешедших на безопасный протокол, не отмечают никаких изменений в ранжировании после перехода. Однако, в отличие от западных вебмастеров, российских больше волнуют не преференции в ранжировании после смены протокола, а возможные санкции за отказ переходить на https.
Роман Волков (ТехноРейтинг):
«Изменений в ранжировании после перехода я не заметил, и вряд ли это можно увидеть - уж очень незначительный это сигнал, всего один из пары сотен других. Гораздо весомей мне кажутся минусы от неиспользованная https, а установка сертификата сейчас это уже стандарт, это скорее требование ПС, чем SEO-фактор.
Я называю это требованием поиска, так как многие информационные сайты не собирают никакой пользовательской информации. Но, поиск хочет - поиск получает. ПС устанавливают правила пользования своими сервисами, а мы подстраиваемся, благо плохого в этом требовании ничего нет, как и сложностей с переходом на https».
Сергей Людкевич (ludkiewicz.ru):
«Несмотря на то, что поисковые системы достаточно активно призывают владельцев сайтов переводить их на защищенный протокол https, на данный момент каких-либо преференций в ранжировании у https-сайтов по сравнению с http не замечено.
Более того, переход с http на https не всегда происходит безболезненно в плане сохранения поискового трафика, особенно в Яндексе. Единственная проблема, потенциально опасная для ранжирования в плане ухудшения пользовательских факторов, с которой сейчас могут столкнуться владельцы сайтов на http - это пока что малозаметная пометка в браузерах о незащищенном соединении, которая, на мой взгляд, может воздействовать только на совсем уж параноидально настроенных пользователей.
Однако если поисковые системы примут более действенные методы, нежели просто увещевания, для наглядной демонстрации своего предпочтения именно к сайтам с защищенным протоколом, то, полагаю, переход на него станет неизбежным. Пока же он желателен (в долгосрочной перспективе), но не необходим».
Алексей Волков (Digital.Tools):
«Не думаю, что наличие самого по себе https протокола сильно влияет на ранжирование. То, что мы видим корреляцию с высоким процентом сайтов на https в топе, вероятней всего не является результатом работы формулы ранжирования, а того, что таких сайтов стало много.
Более того, мы видим, что в топе находятся не 100% только https-сайты. Поисковикам есть из чего выбрать, и думаю, если бы https имел существенную значимость, как фактор ранжирования, то абсолютно все сайты в топ-10 были бы на безопасном протоколе. Уж 10-то сайтов на https в 2019 году поисковики могут найти на любой коммерческий запрос».
Илья Русаков (Impulse.guru):
«На https мы перешли относительно недавно - в марте 2018 года. Связано это с тем, что, как и любое агентство, очень долго выкатывали свой новый сайт. Именно его мы сразу делали на безопасном протоколе, а старую версию даже не обновляли. Поэтому говорить о результатах в поисковой выдаче нельзя, так как подвинуть «титанов» только переездом на https невозможно.
Не так давно мы перенесли мой личный блог по продвижению сайтов на сайт агентства. Здесь уже можно побороться, но пока говорить о каких-либо изменениях в ранжировании рано, так как блог еще не полностью «подклеился».
Https действительно безопаснее, об этом нам постоянно напоминают поисковые системы, их технологии (отметки в браузерах). Поэтому считаю переход вполне логичным и необходимым».
На вопрос Яндексу «Влияет ли https на ранжирование?» российский поисковик ответил:
«Мы стараемся учитывать все имеющиеся у нас данные, относящиеся к качеству сайта. Безопасность — важный атрибут качества для пользователя, а один из признаков безопасного сайта — использование протокола HTTPS. Выбирая защищенный протокол, владелец сайта заботится о безопасности пользовательских данных, и это может быть учтено в ранжировании».
Напомним, Яндекс в начале этого года начал проверять корректность сертификата безопасности сайта. Если на сайте используется некорректный SSL-сертификат, пользователь видит в браузере специальное предупреждение. Примечательно, что поисковик подчеркнул, что в будущем такие предупреждения будут не только в браузере, но и в поисковой выдаче.
Целесообразность
Так есть ли смысл в переходе на https? А для информационных сайтов, не собирающих пользовательскую информацию?
Большая часть участников рынка твердо уверена, что смысл есть, а вот уточнение - о пользе для информационников - вызывает сомнения.
Елена Камская (SiteClinic):
«Считаю, что безопасный протокол – musthave для всех сайтов, связанных с электронной коммерцией. Но вот нужен ли он информационным ресурсам, которые ничего не продают и которые не запрашивают у клиента никаких личных платежных данных – это уже вопрос. Пока что единственное «неудобство» для таких сайтов – это отметка о небезопасности в Google Chrome, но реальной необходимости переходить на https для информационников я не вижу».
Вот как объяснили в Яндексе необходимость переезда контентных сайтов без авторизации на защищенный протокол:
«При использовании небезопасного протокола может пострадать контент и внешний вид информационного сайта. Например, на стороне интернет-провайдера реклама на таком сайте может быть заменена на другую. Также могут быть вставлены дополнительные блоки рекламы — дохода от нее владелец ресурса не получит, а восприятие сайта пользователем может ухудшиться. К сожалению, подобное случается довольно часто, поэтому мы рекомендуем использовать HTTPS в том числе и владельцам контентных сайтов».
В качестве иллюстрации можно привести «веселую» историю про «Бургер Кинг на всех сайтах», когда Михаил Болдырев (студия Клондайк), обнаружил рекламу Бургер Кинг на всех сайтах своих клиентов и установил, что сотовые операторы прекрасно могут вмешиваться в трафик пользователей и встраивать свою рекламу в посещаемые сайты.
В 2017 году Михаил пришел к выводу, что от таких случаев может защитить только переход на https:
«Https как раз и задуман для этого, чтобы «злоумышленник посредине» (в данном случае провайдер) не вставил свои рекламные и прочие скрипты в трафик между сервером сайта и конечным пользователем. Иначе — страшная красная надпись и сайты перестанут открываться».
Актуальность этого вывода и в текущем, 2019 году, подтверждает член комитета по рекламе IAB Russia Сергей Потемкин (Медиагруппа «Звезда»):
«Мы знаем, что некоторые операторы мобильной связи экспериментировали с показом рекламы «поверх» интернет трафика пользователя. Считаем это нелегитимным вмешательством в контент. Наше исследование проблематики показало, что медиа/сайты использующие https на данный момент защищены от подобного произвола интернет-провайдеров».
Хорошо иллюстрирует целесообразность перехода на https краткая цитата из обсуждения по теме на форуме Searchengines.guru:
Могут ли все сделать так, «чтоб не могли»?
Так можно ли сделать рунет безопасным, или есть какие-то объективные сложности для перехода всех сайтов на протокол https?
Те, кто уже перешел, считают, что нет, и переход на защищенный протокол для всех 5 млн. доменов, зарегистрированных в зоне .ru, это всего лишь вопрос времени и сознательности владельцев ресурсов.
Сергей Петренко (Searchengies.ru):
«Не думаю, что массовый переход на https вызовет сложности. Для этого надо просто, чтобы большинство провайдеров — хостинги сайтов, лендингов и так далее, — начали по умолчанию предлагать именно https. То есть это, конечно, не очень просто для большого сервиса, но такими запусками на стороне десятка-другого крупных провайдеров можно сильно улучшить ситуацию».
Антон Бобков (Reg.ru):
«Как таковых сложностей для перехода нет. Все упирается как правило в недостаточный уровень технологической грамотности и в сознательность. На сегодняшний день есть множество поставщиков SSL-сертификатов с самыми разными предложениями и ценами, вплоть до бесплатной защиты. Например, Reg.ru, совместно с удостоверяющим центром GlobalSign, уже несколько лет выдает DV-сертификаты бесплатно в комплекте с доменом или хостингом. То есть передача данных по защищенному протоколу доступна каждому владельцу сайта. Кроме того, поисковики учитывают наличие https-протокола, что в результате может положительно сказаться на ранжировании.
Тотальный переход на HTTPS необходим и неизбежен, так как в сети безопасность данных является одним из основных факторов доверия пользователей. Наряду с этим должна вырасти и грамотность пользователей, которые в свою очередь должны уделять больше внимания вопросу безопасности в сети, особенно при регистрации на различных сайтах. Но важно понимать, что просто перейти на https бессмысленно. Необходимо соотносить тип SSL-сертификата и тип сайта и выбирать нужное сочетание».
Андрей Губа (технический директор Одноклассников):
«HTTPS, де-факто, уже какое-то время является стандартом в индустрии, поэтому отсутствие https у какого-либо проекта вызывает недоумение и опасение. В текущих реалиях его внедрение при наличии множества инструментов "из коробки", большого объема документации и возможности, в том числе, получить сертификат бесплатно, для большинства проектов не будет проблемой.
В то же время, использование https, само по себе, не является серебряной пулей, решающей все проблемы, ведь подход к обеспечению безопасности проекта должен быть комплексным».
Сергей Потемкин (Медиагруппа «Звезда»):
«Для каждого конкретного сайта практической сложности нет. Расходы — минимальны. Каждый издатель/владелец сайта может взвесить все факторы и принять лучшее для себя решение.
Необходимо помнить, что если сайт/сервис/медиа подпадает под определение «организатора распространения информации в информационно-коммуникационной сети «Интернет», при переходе на https потребуется передача ключей в ФСБ РФ».
Команда Яндекса:
«Сегодня существует довольно много возможностей подключить HTTPS-протокол бесплатно. Какой сертификат использовать: платный или бесплатный, — решает сам владелец сайта. Обычно цена зависит от сложности шифрования и дополнительных услуг (например, от количества поддоменов сайта). О том, как перевести сайт на HTTPS, читайте в нашей инструкции — мы обновили ее и сделали еще более подробной. Если после прочтения у вас останутся вопросы, смело пишите в техподдержку — обязательно ответим».
Дмитрий Севальнев (Пиксель Плюс):
«По статистике сервиса Пиксель Тулс сейчас: доля https в ТОП-10 выдачи Яндекса составляет 79,5%, а в ТОП-10 выдачи Google- 75,8%. То есть, можно констатировать факт перехода рунета на https. 8 из 10 сайтов — это серьезный показатель.
Сложностей для полного перехода никаких нет. Что будет далее? Скорее всего, небольшой дальнейший рост и выход на плато».