Seo Форум

Поисковая оптимизация => Поисковые системы => Google => Тема начата: Владимир75 от 01-03-2018, 20:01:09

Название: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Владимир75 от 01-03-2018, 20:01:09
Джон Мюллер, которого давно не было слышно в Твиттере, высказался в пользу безопасного протокола для новых сайтов:
«Если вы создаете новый сайт, то делайте это сразу с помощью HTTPS-протокола. Конечно, это не обязательное правило, но это хороший сигнал. Кроме того, гораздо легче работать с HTTPS с самого начала, нежели потом переводить на него уже созданный сайт».
 
Информация о рекламе в Твиттере и конфиденциальность
Безусловно, в словах ведущего сотрудника Отдела качества поиска Google есть здравый смысл. Миграция ресурса с HTTP на HTTPS может представлять ряд сложностей, не критичных (если все делать правильно и поэтапно), но все же сложностей. Взять хотя бы, к примеру, падение позиций ресурса в SERP сразу после переезда. Именно поэтому стартовать сразу с HTTPS видится более чем разумным.
Вместе с тем необходимо помнить, что это не аксиома. Нет желания и объективной надобности следовать современному тренду – можете продолжать использовать устаревший протокол HTTP. На свой стрaх и риск, конечно же…


Напомним, на прошлой неделе стало известно, что в ТОПе выдачи Google не менее 70% сайтов используют безопасный протокол HTTPS.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 02-03-2018, 10:49:12
Конечно, это не обязательное правило, но это хороший сигнал.
Хороший сигнал для всех типов сайтов? Для визиток, статейников и т.д., на которых нет форм для заполнения и отправки данных тоже хороший сигнал?

Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: tartaren от 02-03-2018, 11:45:50
Полагаю со временем большинство сайтов, а может все, будут работать на защищённом протоколе. Возможно не на https в нынешнем его виде. Что называется прогресс не стоит на месте. Недавно два, относительно свежих сайта перевёл на https, на них планируется авторизация и т.п.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 02-03-2018, 13:15:47
Хороший сигнал для всех типов сайтов?
Их хрен поймешь. То будут бонусы в выдаче за ссл, то уже не будет, то теперь опять "хороший сигнал"...

Хотя в целом, польза от хттпс для статейников все же есть) Пуш-сервисы требуют защищенного протокола для полноценной работы, и у кого стоит пуш на сайте, думаю, заметили стремительный рост подписок после перевода на хттпс.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: STRIJ от 02-03-2018, 15:06:06
Я так и делаю. причем на бесплатных сертификатах Let's Encrypt от ISP. Добавляешь домен, нажимаешь пару кнопок и все готово, никакого геморроя, сайт со старта уже на https/
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: borzoid от 02-03-2018, 15:08:00
Если еще при переносе старого сайта на https могут возникнуть некоторые проблемы, то в случае с новым сайтом не вижу ни одной причины не делать его сразу на https
По моему тут нечего обсуждать
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: X от 02-03-2018, 16:21:03
Если еще при переносе старого сайта на https могут возникнуть некоторые проблемы, то в случае с новым сайтом не вижу ни одной причины не делать его сразу на https
По моему тут нечего обсуждать
Согласен на все 100%, даже если на сайте нет форм для ввода данных!
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 02-03-2018, 17:06:25
X, убедительная просьба привести подпись в вид, соответствующий правилам форума. Обсуждение репутации на форуме запрещено.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: X от 02-03-2018, 17:29:10
X, убедительная просьба привести подпись в вид, соответствующий правилам форума. Обсуждение репутации на форуме запрещено.
Готово 8)
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 03-03-2018, 21:28:08
Иногда даже визитке-одностраничнице без каких либо форм и сбора данных и уж тем более платежей, которой и индексация то не нужна а вот https объективно необходим.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 03-03-2018, 21:39:44
suffix, в чем заключается такая необходимость?
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 03-03-2018, 21:46:38
suffix, в чем заключается такая необходимость?

Ну допустим Вы видете мой ник suffix и хотите мне отправить жутко секретную информацию которую нельзя передавать в открытом виде. Ясное дело что Вы переходите на сайт https://www.suffix.ru (https://www.suffix.ru) и там находите всё необходимые данные для отправки мне шифрованного сообщения. Но вот чтобы данные не подменили "атакой по середине" и нужен https.

Понятное дело что ситуация редкая но как видите жизненная
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 03-03-2018, 22:02:32
suffix, я об этом:
Иногда даже визитке-одностраничнице без каких либо форм и сбора данных и уж тем более платежей, которой и индексация то не нужна а вот https объективно необходим.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 03-03-2018, 22:03:23
Иногда даже визитке-одностраничнице без каких либо форм и сбора данных и уж тем более платежей, которой и индексация то не нужна а вот https объективно необходим
Разве что для того, чтобы в браузере писало, что сайт надежный. Как показывает практика - многие на это ведутся, по знакомым даже поспрашивал.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 03-03-2018, 22:04:39
suffix, я об этом:

Так я и привёл же выше пример такой  визитки.

Добавлено: 03-03-2018, 22:05:39

Разве что для того, чтобы в браузере писало, что сайт надежный. Как показывает практика - многие на это ведутся, по знакомым даже поспрашивал.

Нет, для защиты данных от "атаки по середине"
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 03-03-2018, 23:54:52
Нет, для защиты данных от "атаки по середине"
Каких именно данных?
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 03-03-2018, 23:58:52
Каких именно данных?

в моём случае (если бы Вв перешли ро ссылке что я выше оставил то вопрос бы не возник) это public key s/mime сертификата
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 04-03-2018, 00:10:36
если бы Вв перешли ро ссылке что я выше оставил то вопрос бы не возник
А у вас там одностраничная неиндексируемая визитка без формы связи? Выше о таком сайте речь шла.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 11:41:07
именно так

https://www.suffix.ru (https://www.suffix.ru)

форма связи это же когда посетитель свои данные вводит - там такого нет.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Старый от 04-03-2018, 12:27:44
suffix, и зачем вы открыто ключ своего сертификата публикуете?  :)
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 12:39:50
suffix, и зачем вы открыто ключ своего сертификата публикуете?  :)

это же не приват кей а паблик кей - чтобы письмо мне было можно зашифровать и никто кроме меня его не прочитает.

s/mime так и работает - паблик кей нужно публиковать, передавать тем кто письмо мне хочет зашифровать.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Старый от 04-03-2018, 12:41:36
Понял, о чём толкует suffix.  :)
Только в теме речь не о безопасности почты, а использовании SSL на сайте.

Цитировать

 S/MIME предназначена для обеспечения криптографической безопасности электронной почты.
Обеспечиваются аутентификация, целостность сообщения и гарантия сохранения авторства, безопасность данных (посредством шифрования). Большая часть современных почтовых программ поддерживает S/MIME.

Сертификаты S/MIME
Для использования S/MIME необходимо получить и установить индивидуальный ключ/сертификат от центра сертификации (ЦС). Лучше всего использовать различные ключи/сертификаты для цифровой подписи и шифрования, так как это позволит раскрыть при определенных условиях ключ шифрования (например, по решению суда), не дискредитируя при этом цифровые подписи. Для шифрования сообщения требуется знать сертификат приемной стороны, что обычно обеспечивается автоматически при получении письма с сертификатом. Хотя технически возможно послать сообщение, зашифрованное сертификатом получателя и не подписывать сообщение собственным, например, из-за отсутствия оного, на практике, программы с поддержкой S/MIME потребуют установки сертификата отправителя перед тем как позволить шифрование сообщений.

Обычный основной личный сертификат удостоверяет идентичность владельца только путем связывания воедино почтового адреса и сертификата. Он не удостоверяет ни имя, ни род деятельности. Более полное удостоверение можно получить, обратившись к специализированным ЦС, которые предоставляют дополнительные (нотариально эквивалентные) услуги или безопасную инфраструктуру открытого ключа.

В зависимости от политик ЦС, ваш сертификат и всё его содержимое могут быть открыто опубликованы для ознакомления и проверки. В таком случае, ваше имя и почтовый адрес становятся доступными для всех, в том числе и для поиска. Другие ЦС могут публиковать только серийные номера и признак отозванности. Это необходимый минимум для обеспечения целостности инфраструктуры открытого ключа.


Препятствия при практическом использовании S/MIME
Не все приложения электронной почты могут обрабатывать S/MIME, что приводит к письмам с приложенным файлом «smime.p7m», что может привести к недоразумению.
Иногда считается, что S/MIME не сильно подходит для использования вебпочты. Так как требования безопасности требуют, чтобы сервер никогда не смог получить доступ к закрытому ключу, что уменьшает такое преимущество вебпочты, как доступность из любой точки.
Многие различают закрытые ключи для расшифровки и для цифровой подписи. Тех, кто готов предоставить некоторому агенту первый гораздо больше, чем тех, кто готов предоставить второй. Если необходимо безопасное подтверждение авторства (как и обеспечение отсутствия ложного подтверждения), то второй ключ должен быть под строгим контролем владельца, и только его, в течение всего цикла его жизни, от создания, до уничтожения.
S/MIME специально предназначено для обеспечения безопасности на пути от отправителя до получателя. Вредоносное ПО, попавшее в письмо, без препятствий дойдет до получателя, так как нет средств обнаружить его в этом промежутке. Следовательно, необходимо обеспечивать безопасность на оконечном устройстве.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 12:45:56
Таки этом случае условный параноик который хочет отправить мне шифрованное письмо должен быть уверен что оно правильно зашифрованно и когда он копирует s/mime сертификат с этого сайта "атакой по середине" его не подменят. Вот тут и нужен ssl на сайте.

Повторюсь что ситуация редкая аж жуть. Но мне вот пришлось такое сделать - по работе - нашлись полтора параноика
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 04-03-2018, 13:32:22
Ну допустим Вы видете мой ник suffix и хотите мне отправить жутко секретную информацию которую нельзя передавать в открытом виде. Ясное дело что Вы переходите на сайт https://www.suffix.ru и там находите всё необходимые данные для отправки мне шифрованного сообщения.
Что происходит дальше? Как и посредством чего я буду отправлять вам сообщение. Перечислите все звенья цепочки и каким звеном является ваш сайт.

Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 13:51:43
Что происходит дальше? Как и посредством чего я буду отправлять вам сообщение. Перечислите все звенья цепочки и каким звеном является ваш сайт.

На сайте вы видите e-mail. И публичный ключ сертификата s/mime. Копируете сертификат, вставляете в блокнот - сохраняете с разрешением pem. Затем понадобится программа почтовая поддерживаюшая s/mime - bat, thunderbird  или даже gmail но только бизнес-сьют версии. В неё имортируете данный сертификат и при отправке мне письма ставите галочку - зашифровать этим ключом. Вы можете быть уверены что письмо прочитаю только я. Сайт нужен только единожды для копирования сертификата, а ssl на сайте только для того чтобы Вы были уверены что при копировании Вам не подменили сертификат 'атакой по середине' ну и то что сайт именно  suffix-a
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 04-03-2018, 14:09:42
Я в данном вопросе разбираюсь очень слабо, отсюда и многочисленные вопросы.) Так что, сори.)
Другими словами, если сайт на http, а не на https, то ваш public key могут подменить на какой-то другой. Что при этом может произойти? Для какой цели это могут сделать?


Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 14:19:11
Разумеется это никому и нафиг не надо

Добавлено: 04-03-2018, 14:24:51

Но гипотетически - вот Вы позвонили мне и говорите что хотите отправить мне сверхважное письмо которое обязательно нужно зашифровать. Я дал вам адрес сайта. Разговор злоумышленник подслушал. Вы переходите на сайт а Вам подменили ключ при копировании "атакой по середине" которая возможна без ssl. В почтовой программе Вы шифруете этим лжеключом отправляете мне ваше сверхважное письмо и его перехватывают и спокойно читают (ключ то подсунули свой). А я письмо ваше вообще прочитать не смогу
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Старый от 04-03-2018, 14:49:00
А если взломали хост и на сайт вставили чужой код ключа вместо вашего и параллельно имеется доступ к вашей почте?  :)
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 04-03-2018, 14:51:31
А если взломали хост и на сайт вставили чужой код ключа вместо вашего
Что сделать куда проще и удобнее, чем расшифровать письмо) Не обязательно даже быть хакером, социальную инженерию никто не отменял...
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 14:51:49
А если взломали хост и на сайт вставили чужой код ключа вместо вашего и параллельно имеется доступ к вашей почте?  :)

Да конечно ! И это возможно а пяльник животворящий вообще чудеса делает. Я полностью согласен ! Но вот пришлось по работе для полутора параноиков
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 04-03-2018, 14:52:59
suffix, за теорию спасибо.
А на практике, сейчас для инфо-сайтов и визиток без форм для передачи данных нет никакой необходимости в сертификатах. Мало того, по интересующей меня тематике, коммерческие сайты в Гугле в топ10 в основном без https. Только два сайта с сертификатами. А формы для передачи данных стоят, практически на всех.
Кто-то ставит и на визитках и на статейниках сертификаты и это личное желание, в котором нет ничего плохого. Но это не есть необходимость.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 04-03-2018, 14:59:32
Вы правы - не спорю. Но с лета Гугл ещё гайки прикрутит и рано или поздно всем придется.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 04-03-2018, 15:05:32
Но с лета Гугл ещё гайки прикрутит и рано или поздно всем придется.
Он так говорит.

Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: DOleg от 06-03-2018, 10:50:21
vold57, владельцы сайтов смотрят на https однобоко, поэтому ошибочно предполагают, что им переходить необязательно.
Когда пытаешься объяснить, что такое https и ssl в пределах одного поста у себя в блоге, то получается то, о чём знает большинство, "...это для защиты данных, которых у меня нет, а раз я ничего не передаю, у меня даже не блог, а так, бложичек, то и сертификат не нужен.".
Теперь расширьте немного своё представление о ssl. Это не односторонний протокол, он защищает коннект не только как клиент -> сервер, но так же и сервер -> клиент. А что бы долго не объяснять, приведу такой пример...
Атака посредника (https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0). Посредник, при наличии найденной какой-нибудь уязвимости на SBUP, подменяет часть трафика на пути сервер -> клиент и в вашей подписи ссылка может вести уже не на кейассорт, а на кейасорт например, а дальше от фантазии зависит.
Меня уже достала ситуация, когда бродя по сайтам нажимаешь на ссылку, которая открывает дополнительно к ссылке ещё и париматч какой-нибудь или мир танков в новой вкладке. Пишут, что такой подменой могут заниматься и провайдеры, которые предоставляют интернет, но при https им это не доступно. Практически.
Это пара вариантов всего, что сразу вспоминается. На хабре народ много разных вариантов рассматривали.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Sky-fi от 06-03-2018, 11:12:46
Атака посредника

Так вот оно что за "атака посередине")) Познавательно.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 06-03-2018, 11:16:50
Самый яркий пример этой атаки изумительная находка Теле2. Этот сотовый оператор совершенно не стыдясь показывает на всех сайтах сторонние баннеры и рекламу которой разумеется на этих сайтах нет и владельцы сайтов даже не в курсе такой ситуации если сами Теле2 не пользуются.

Разумеется в случае если сайт на https такой фокус у Теле2 не проходит.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Coder от 06-03-2018, 12:03:30
Коллеги!) - https не панацея, и если уже брать провайдеров и прочее, то далече можно зайти.
А насчёт зашиты- и без этого есть методы, позволяющие в значительной степени закрыть явные моменты.

Имхо и просто реплика.

И, как слову - если у клиента комп зас....н и там много что есть стороннего, то и PGP не поможет)

Поэтому, имхо - https нужен там, где нужен - как и все остальное.

А насчет ставить - на новые сайты оптимальнее ставить сразу. Впрочем, есть моменты и решения - например, защищённое на сторонних ресурсах (платежи), на поддоменах.

Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: DeHuC_64 от 15-03-2018, 11:43:46
Серьёзные проекты должны именно на нём и работать
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vacuum от 15-03-2018, 12:51:13
Я так и делаю. ... нажимаешь пару кнопок и все готово, никакого геморроя, сайт со старта уже на https/

Можно для простачка - в личку или сюда - Как за пару кнопок это сделать. Например на WP
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: beesyst от 15-03-2018, 14:51:08
По моему тут нечего обсуждать

Согласен. Зачем обсуждать то, что и так понятно: нужно изначально делать сайты с SSL.
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Федор Тимофеев от 23-03-2018, 03:24:07
Ну если это благо для всех (https), так чего за это деньги брать без конца и ежегодно.
Возьми заплати один раз и пусть стоит на всегда на сайте этот протокол.

Умер сайт, не беда, появятся новые.

А вот долгоживущему сайту почему надо постоянно покупать продление?
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vienas от 23-03-2018, 11:26:21
Если на сайте нет сбора личных данных, прямых платежей - https - не нужен и на выдачу вообще не влияет
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Владимир75 от 23-03-2018, 11:51:24
Если на сайте нет сбора личных данных, прямых платежей - https - не нужен и на выдачу вообще не влияет
То есть Вы лучше гугла знаете))))
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vienas от 23-03-2018, 12:19:09
То есть Вы лучше гугла знаете))))
Я практик с реальными с топами в бурже - мои клиенты очень довольны.
Увижу просадки - переставлюсь на https. Пока это не требуется абсолютно.

Гуглевцев тоже нужно поменьше слушать - а то они в своих твиттерах всем мозги набекрень вставляют :)
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: Владимир75 от 23-03-2018, 12:40:58
Я практик с реальными с топами в бурже - мои клиенты очень довольны.
Увижу просадки - переставлюсь на https. Пока это не требуется абсолютно.

Гуглевцев тоже нужно поменьше слушать - а то они в своих твиттерах всем мозги набекрень вставляют :)
Ну если практик, то должны понимать, что это один из факторов который стоит принимать во внимание, а вот когда Гугл в хроме будет отмечать Сайты без защищённого соединения не надёжными, тогда думаю Вам будет понятнее...
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vienas от 23-03-2018, 12:47:38
Ну если практик, то должны понимать, что это один из факторов который стоит принимать во внимание, а вот когда Гугл в хроме будет отмечать Сайты без защищённого соединения не надёжными, тогда думаю Вам будет понятнее...
Да мне и так это давно понятно. На позиции это не влияет абсолютно. И защищать там нечего - так все организованно - главное это телефонные звонки с сайта. 99% прихожан вообще на эти бирки не смотрят.

Нет сбора данных - все ОКейно
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: suffix от 26-03-2018, 17:29:52
suffix, за теорию спасибо

Просто в качестве эксперимента довёл до А+ в тесте "секурности" от Мозиллы:

https://observatory.mozilla.org/analyze.html?host=suffix.ru (https://observatory.mozilla.org/analyze.html?host=suffix.ru)

Но это только сайт на html без cms можно сделать (у сайта про хрюш который Вы знаете к примеру только B+)
Название: Re: Google: создавайте новые сайты сразу на HTTPS
Отправлено: vold57 от 26-03-2018, 17:52:02
Просто в качестве эксперимента довёл до А+ в тесте "секурности" от Мозиллы:
Здорово! ))