Embed Size (px)
Citation preview
Переход на HTTPSОсобенности, проблемы и их решение
19 июня 2015
Что такое HTTPS?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Расширение протокола HTTP
Зачем он нужен?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Шифрование данных обеспечивает их защиту от прослушивания или изменения
А конкретней? Зачем HTTPS нужен мне?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• В первую очередь, он нужен вашим пользователям. • Нужен для повышения доверия. • Для поддержания репутации. • Получения более точной статистики переходов. • HTTPs будет одним из ранжирующих факторов. • Скоро не будет сайтов на HTTP. • Поверьте, вам нужен HTTPs!
Мне нечего скрывать...
Примеры по безопасности
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Владельцы сайтов пожаловались на полноэкранные баннеры в Wi-Fi сети московского метрополитенаhttp://siliconrus.com/2014/12/metro-ads/
Билайн автоматически добавляет тулбар с поиском Mail.Ruhttp://habrahabr.ru/post/257133/
Коммерческая СОРМ-like веб-аналитика уже у вашего провайдераhttp://habrahabr.ru/post/247465/
Сниффер пакетов Firesheep для перехвата незашифрованных cookiehttps://ru.wikipedia.org/wiki/Firesheep
SSLstrip от Мокси Марлинспайкаhttp://www.thoughtcrime.org/software/sslstrip/
Ваша задница намного ценнее, чем вы думаете.
Хорошо, как это работает?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• Для обеспечения HTTPS используется сертификат, который
состоит из паблик- и приватного ключа. Один используется
клиентом, другой сервером для шифрования и
расшифровывания запросов. • Используется длина ключа 40, 56, 128 или 256 бит. • Также используются другие вещи, типа
идентификационного номера сессии, параметры
шифрования, алгоритм сжатия и др.
Какие бывают сертификаты?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• Обычные (на один поддомен) • Wildcard (на несколько поддоменов) • EV - с раширенной проверкой • С поддержкой IDN (кириллических доменов)
На что обратить внимание?
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• Центр сертификации (любой популярный) • Размер/длина ключа (не менее 256 бит) • Стоимость/сроки (можно бесплатный, если не нужна расширенная проверка
• Особенности вашего проекта (какой сертификат больше подходит)
Мифы, связанные с HTTPs
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• HTTPS не кешируется • Нужен отдельный IP-адрес • HTTPS медленный • Сайту нужен HTTPS только на странице логина или оплаты
Как перейти на HTTPS
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
1. Изменяете ссылки во внутренней перелинковке 2. Исправляете вложения медиа-контента 3. Исправляете подключение внешних скриптов 4. Выбираете и приобретаете сертификат 5. Устанавливаете на сервер, настраиваете Host и
301 редирект на HTTPS 6. Исправляете ошибки, если нашли
Пошаговая инструкция
1. Ссылки во внутренней линковке
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
http://site.ru -> //site.ru
Убираем название протокола, чтобы сделать исходящие ссылки относительными
2. Вложения медиа-контента
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Также используем https или относительные ссылки для всех встраиваемых
видео, изображений, презентаций, подкастов...
3. Подключения внешних скриптов
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Отображается так, если не безопасно
4. Выбор и приобретение сертификата
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Почитайте отзывы про сертификат перед приобретением
5. Установка, Host, 301 редирект
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
В директиву Host файла robots.txt надо добавить протокол https
Настройте редирект с http версии сайта на https
Как перейти на HTTPS
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
7. Добавляете новую версию сайта в панель для вебмастеров
8. Изменяете адрес в панели 9. Если использовался Disawov Tool,
применяете к новому сайту
Пошаговая инструкция
7. Добавьте https-версию в панель для вебмастеров
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Google Search Console
Панель Яндекса
8. Измените адрес в панели
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
Для Яндекса
Проблемы
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
• На стороне хостинга (надо тестировать сразу после
установки, в частности доступность и редиректы) • Большая работа по правке старого кода/контента. • Баги с используемыми системами рекламы и статистики. • Временная потеря трафика • Потеря лайков • Недоразумения с рекламодателями (из-за реферера).
Полезные ссылки
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
https://letsencrypt.org Проект для упрощения перехода на HTTPS
https://www.startssl.com Бесплатные сертификаты (правда не самые лучшие)
https://rus.gogetssl.com/domain-validation/comodo-positive-ssl/ Одни из дешевых сертификатов
http://lifehacker.com/5745086/ Что такое HTTPs и почему надо об этом позаботиться
https://www.youtube.com/watch?v=gF7DdPSg5o4 Вебинар Google про HTTPs
До встречи на следующих вебинарах!
Кокшаров СергейDevaka.ru
"Переход на HTTPS. Особенности, проблемы и их решение"
