Wraz z ideą pt. „HTTPS Everywhere”, która została zaprezentowana na konferencji w 2014r. Google potwierdziło, że strony posługujące się bezpiecznym protokołem będą odnotowywały lepsze rezultaty w rankingach, niż te nieszyfrowane korzystające ze zwykłego HTTP.
Na swoim oficjalnym blogu za pośrednictwem analityków firma z Mountain View zamieściła wpis:
„Zauważyliśmy pozytywne rezultaty (…)” – pisali Zineb Ait Bahajji oraz Gary Illyes.
„W ciągu następnych kilku tygodni opublikujemy szczegółowy praktyki, aby coraz więcej ludzi korzystało z technologii szyfrowania SSL/TLS” – czytamy dalej.
Aktualnie obecność HTTPS posiada znikomą wartość w alogrytmie. Szacuje się, że zmiana wpłynęła tylko na 1% globalnych(!) zapytań.
Czego możemy się spodziewać?
Przede wszyskim używania 2048-bitowego klucza szyfrującego SSL, wyboru certyfikatu (np. dla jednej domeny lub kilku, czy też korzystania z wildfire) oraz indexowania strony w każdym możliwym miejscu.
Czym jest HTTPS?
HTTPS (ang. Hypertext Transfer Protocol Secure) to szyfrowana wersja protokołu HTTP. Witryny internetowe są zabezpieczane poprzez HTTPS, aby szyfrować komunikację między użytkownikiem a serwerem. Innymi słowy – ma zapobiegać przechwytywaniu danych przez osoby trzecie.
Niezaprzeczalną wadą tego protokołu jest dłuższy czas ładowania strony oraz fakt, że serwer musi wykonać więcej obliczeń, czyli jego wydajność spada.
Szyfrujesz swoje połączenia?
Jeżeli twoja strona korzysta już z HTTPS, możesz przetestować poziom zabezpieczeń oraz konfiguracji używając narzędzia Qualys Lab tool.
Narzędzie sprawdza certyfikaty oraz protokoły, a mając na względzie ostatnie problemy z biblioteką OpenSSL oraz luką Heartbleed bardzo ważne jest utrzymanie swojej strony internetowej tzw. „up-to-date”.
Czyli co, mam sobie teraz załatwić s na końcu?
Załatwienie tego „s” na końcu nie jest niestety takie proste, ponieważ trzeba kupić dość kosztowny certyfikat ;)
https://blog.cloudflare.com/google-now-factoring-https-support-into-ranking-cloudflare-on-track-to-make-it-free-and-easy
Zawsze można sobie samemu wygenerować certyfikat niekwalifikowany :-) Taki certyfikat niestety nie jest zaufany w przeglądarkach i odwiedzający stronę będą musieli wrzucić go do wyjątków, aby zobaczyć naszą stronę. Tak czy siak połączenie szyfrowane powinno być wykorzystywane przynajmniej jeśli logujemy się do panela administracyjnego strony, więc jakiś certyfikat powinniśmy mieć.
Bardzo ciekawa kwestia. Dzięki za informację!
Oj oj – self signed cert to strzał w stopę.
Ciekawe stwierdzenie. Uzasadnisz? :)
Oczywiście – jako osoba z IT potrafię sobie sprawdzić co w danych certyfikacie „siedzi”. Zwykły użyszkodnik może nie wiedzieć co to jest to coś niezgodne i wyłączy stronę. Popatrz na standardowy komunikat w IE.
Osobiście uważam, że dopóki Google nie weźmie się za biznes z SSL (patrz rejestracja domen gdzie providerzy już trzęsą portkami bo będą musieli leciec z cen) to certyfikaty będą cholernie drogie.
Takie moje 5 groszy.
Ps. Świetny blog! Dodany do feedly i lęcę po podstronach bo świetnie piszesz :)
Dzięki! :)
Właśnie ta cena ceertyfikatu jest niekiedy zaporowa. Ja nie jestem w stanie wydać tych 800zł (chyba coś koło tego kosztował) na SSL dla jednej domeny. A szkoda bo chętnie bym sobie taki cert sprawił. Zniechęciło mnie to co piszesz, że strona jest blokowana przez tego niezweryfikowanego wydawcę, przy certyfikacie niekwalifikowanym.
Certyfikat to wydatek do 100zł. W serwisach zagranicznych można wyrwać za 40-60zł, na az.pl udało mi się kupić chyba za 10zł na promocji.
Certyfikaty są różne. Te porządne dla bankowości kosztują kilkaset złotych (zielony adres, kłódka + ikonka), natomiast zwykłe potwierdzające tożsamość (tylko kłódeczka jak na https://web4pro.pl) to wydatek poniżej 100zł/rok.
Są też certyfikaty „Wildcard” które obejmują również subdomeny – kosztują oczywiście więcej.
Szczerze, to trochę nie ogarniam postępowania google. Zakładam, że https będzie tam, gdzie są szyfrowane jakieś dane np. logowanie się do stron banków, portali społecznościowych, poczty. No i tam się to przyda.
Jednak po co szyfrować połączenie na zwykłym portalu? A zwykle na takich stronach użytkownicy będą szukali odpowiedzi na pytania. Dla mnie to tylko kolejne utrudnienie, by ludzie więcej płacili na adwords ;)
@Libetias portal portalowi nie równy. Jeden to wpisy i disqus a inny zbiera pewne dane (facebook login, własny system komentarzy, newsletter, lokalizacja na forum, bez nickowe profile itp.). Także w tym drugim przypadku jak najbardziej ssl to nie głupi czy szalony pomysł. Jedynie kwestia „czy strona zarobi na ten certyfikat”, czyli ogólnie koszta i opłacalność.
@Rafal fajny ten nowy wygląd bloga, tak BTW:
– textarea komentarzy przydałoby się większe + przy rozciągnięciu obecnego submit myka na lewo
– czy nawet te krótkie komentarze muszą mieć wysokość tych dłuższych wypocin?
– ikona wpisu się nie wyświetla
Właśnie o tym mówię – jedna storna potrzebuje certyfikatu https, a druga nie. I faworyzowanie strony tylko dlatego, że posiada taki certyfikat jest dla mnie dziwne – strona bez niego może być równie wartościowa, a w pewien sposób została ukarana.