И Яндекс туда же - типа всем нужен HTTPS
Прилетело вчера вот такое уведомление из панели Яндекс.Вебмастера на один из сайтов:
На сайте используется недостаточно защищенный протокол HTTP
В настоящее время на главном зеркале сайта для обмена информацией с пользователями используется протокол HTTP, являющийся недостаточно безопасным. Рекомендуем использовать протокол HTTPS, так как он является более безопасным, чем протокол HTTP. Протокол HTTPS позволяет снизить риск перехвата персональных данных пользователей (таких как логины, пароли, номера банковских карт и т. д.), а также избежать подмены информации на самом сайте (например, подмены вашей рекламы на рекламу злоумышленника).
Использование протокола HTTPS повышает уровень безопасности и доверия со стороны пользователей сайта и поисковой системы.
И это уведомление находится не в разделе “Рекомендации”, как вы могли бы ожидать, а в “Возможная проблема”. Вот так. Со временем, уверен, это уведомление переедет в полноценные “проблемы”, без всяких “возможных”, и хочешь - не хочешь, а будешь тратить время и деньги на весь этот никому, на самом деле, не нужный геморрой (это нужно только самому Яндексу) по подключению SSL для всех своих сайтов, если хочешь, чтобы они и дальше получали трафик с поиска.
Сайт, на который пришло уведомление, в принципе не имеет авторизованных пользователей (то есть нет никаких логинов с паролями), ничего не продает (значит не собирает никаких кредитных карт и личных данных) и не является форумом масонов. Это просто обычный информационный сайт, каких миллионы в интернете, ему не нужен, блядь, SSL. Прям бесит это.
Да, а от подмены рекламы на этом сайте сделана бесплатная и абсолютно безгеморройная вещь - Content security policy - которая не требует никаких настроек на сервере и не несет в себе потенциальную тонну рисков, как в случае с установкой SSL, последующей склейкой адресов в поисковиках, постоянной необходимости следить за продлениями сертификатов и т.п.
И не надо мне про LetsEncrypt бесплатный рассказывать, во-первых, с ним тоже бывают проблемы, например, просто глюкнет у вас хостинг/сервер, сертификат не продлится вовремя (окей гугл “lets encrypt не продлился”), вы, возможно, даже и не узнаете об этом сразу, а сайты ваши все это время будут ошибку выдавать вместо загрузки, во-вторых, вы можете понять или нет, что просто делать что-то для того, чтобы просто что-то делать это тупо? Есть реальная необходимость - делай. У тебя банк, или интернет-магазин, или форум сектантов? Делай SSL. У тебя лытдыбр, сайт про рецепты или сборник гифок с котэ? Нахрен тебе этот SSL, бро.
Читайте также:
- Как обломить Мегафон с внедрением их рекламы на ваши сайты
- А важна ли на самом деле мобильная адаптированность сайтов для Яндекса?
- Оффлайновое чтиво для всех, кто зарабатывает деньги в интернете
- Эксперимент: влияние рекламы на сайте на показатель отказов
- Рекламодатели против Яндекс.Директа - Петросян отдыхает
Просто сделай это!
Выхода все равно нет.
Не хочешь мучаться с обновами - купи SSL на пару лет.
1. Это не всегда просто. Не везде установлены штуки для автоматического сетапа letsencrypt’а. Не везде есть панели. Админов нанимать не дешево. Все равно эта хрень может слететь.
2. Пока есть, пока это “возможная проблема”, а не “проблема”.
3. Ну как бы для каждого, даже самое мелкого сайта еще и покупать SSL это вообще бред, у меня есть сайтики для души, не для денег, и для них что ли тоже покупать? Копеечных сертов сейчас нет, 1-2 тыс. руб. за двухгодовой все равно придется заплатить, что для некоммерческих сайтов как-то слишком жирно, особенно, если у тебя он такой не 1.
4. Я уж не говорю о том, что переделать на сайтах все ссылки, сторонние загружаемые картинки, коды и т.п. на https это не так уж быстро и просто. Опять же, когда сайт у тебя не 1, а 10, например.
Я бы не писал этот пост, если бы Яндекс поместил это уведомление в “Рекомендации”. Но вот в “возможная проблема” это просто не нормально.
Cloudflare дает бесплатные сертификаты и следит за их продлением. Делов на 5 минут.
Тоже бесит. Знаю немало людей которые после переезда, вроде бы по всем правилам, но все равно часть трафа потеряли. И нафига информационнику этот https вообще?
Я вот сижу на виртуальном хостинге. SSL установила тех поддержка, обновляют тоже. За больше чем год ничего не упало. Упадет - пофикшу. Хостинг тоже может обвалиться в любой момент.
По поводу количества сайтов - у меня тоже больше 10 сайтов, взял и сделал.
Не хочешь делать - доверь спецам на кворке.
> будешь тратить время и деньги на весь этот никому, на самом деле, не нужный геморрой
Нихуя не согласен с тобой. HTTPS нужен даже сайтам, где нет авторизации. Зачем? Чтобы не было возможности сделать подложку между твоим сайтом и запросом пользователя.
Например. Пользователь ищет в яндексе “как пролечить геморрой”, тыкает на ссылку, ведующую на твой сайт, а вместо твоего сайта видит рекламу, которую ему подсунул провайдер сети. Чо за хуйня - думает пользователь и закрывает сайт. Переходит на другой, с HTTPS. На нем получает свой ответ без рекламы провайдера.
Для ПС это репутационный риск. Они могут предложить пользователю перейти на определенный сайт, он он благодаря нечистивому провайдеру может попасть совершенно на другую пагу. Это хуево. Вот ПС и приучают каждого вебмастера к новому протоколу. И это есть хорошо, ИМХО.
Безопастность важнее твой лени. Так что подними зад и сделай для своих сайтов HTTPS. Тем более сейчас можно сертификат совершенно бесплатно получить. Потратишь только свое время, но не деньги.
Кстати еще ради чего стоит перейти на htttps - это http/2.
Но добавляется еще лишнее одно звено в цепочку, еще одна зависимость
Зная, что они по любой жалобе сразу вырубают свои нсы, не особо бы на них надеялся.
Ага, полно историй таких.
Ну, молодец, но не все же сидят на виртуалах
И если ни разу за год не упало, это же не значит, что этого никогда не случится. Просто зачем об этом париться, если вообще без этого прекрасно всегда жилось.
Это такая за уши притянутая херня, что мне даже печатать лень. Как же только жил интернет эти 30 лет без SSL везде, ведь атата любой антигеморройный сайт можно подменить. Только вот это нахер никому не надо, на самом деле, ни разу не слышал, чтобы где-то подменялся целый сайт ради какой-то рекламы.
Еще одна херня. Ну какой к черту репутационный риск? Это у Я и Г, у которых в рекламе крутятся откровенные мошенники по опросам или на выдаче первые 4 места заняты рекламой? Да уж, репутация это последнее, что их волнует. А волнует их бабло исключительно и ссл нужен, чтобы это бабло сохранить и отобрать у других, чтобы только ПС могли знать что и где ты смотришь и больше никто, никакие браузерные хреновины и адвара.
Дело не в лени, а в том, чтобы не плодить ненужных сущностей. Делать тебе если нехуй - ну ставь на все свои статейники, дело твое, мне-то что.
Уверен, 10 уников в день на каждом “хомяке” оценят ускорение загрузки сайта на 0.2 секунды))
Полностью с тобой солидарен в этом вопросе! HTTPS изначально продвигали, как решение для сайтов, где присутствует обмен конфиденциальной информацией (магазины, банки и т.п.). На кой его впаривать в обязательном порядке всем подряд? Особенно учитывая, что даже при на 100% правильном переезде трафик можно потерять, и довольно не хило, о чём свидетельствуют кейсы по теме.
Может случиться. Так же как и хостинг может коньки отбросить. Если такое случится - пофикшу.
Добро пожаловать на нашу базу
Я так понимаю замочек рядом с адресом сайта вместо надписи «Не защищено» тебя тоже не радует? ))))
Я немного в теме, поэтому могу тебе сказать: сайты без HTTPS несут опасность для пользователей даже если там не вводятся кредитные карты, логины/пароли и даже если это не гей форум масонов.
Допустим я «атакующий». Вот смотри, если пользователь загружает сайт через HTTPS, то такие сайты просто сразу мимо. Если пользователь загружает сайт по HTTP и у меня есть возможность встрясть в трафик (с помощью атаки человек-посередине, в открытых Wi-Fi сетях, на моём бесплатном прокси/VPN который я сделал публичным и пр.), то я могу на свой выбор:
- внедрять JavaScript от программы BeEF и из браузера выполнять атаки на компьютер пользователя, открывшего твой сайт без HTTP
- внедрять всплывающие окна «Обновите плагин» и ссылки на трояны и бэкдоры
- внедрять сообщения что Утин умер и что в связи с народными гуляньями нужно перечислить 200 рублей на приведённый номер телефона
И так далее. То есть, сайт без HTTP это как больное животное — оно опасно само для себя, с этим всё понятно. Но оно опасно и для окружающих, так как может заразить, например…
Но без хостинга никак, это понятно, поэтому вероятность его падения это неизбежное зло. С ссл все совсем не так.
На виртуалах можно хостить только что-то легкое, для любых ресурсоемких штук нужно вдс и т.п.
Вот именно, спасибо.
Свистелки-перделки меня никак не трогают, ага))
Немного он в теме, да ты опасный чел, похоже))) Так-то вроде все верно пишешь, такие проблемы и правда есть. Но в общем трафике разве это играет большую роль? Хз, мне кажется, нет.
Ну за уши никто не притягивает. Мобильные операторы давно рекламу свою подсовывают на чужие сайты. Погугли, узнаешь много нового.
Яндекс мне таких уведомлений не прикинул на сайт с 35к дейли. Только что проверил.
Гугл делает это насильно через хром и поиск потому что не хочет, чтобы кто-то кроме него спаил данные траффика с сайта на сайт.
Так я в курсе, пост про CSP, на который есть ссылка в тексте, про это и был изначально написан (про Мегафон и его внедрение рекламы).
Как-то избирательно, ага, у меня только на 1 из 10 сайтов пришло, и он не на самый посещаемый. Яндекс еще в своем блоге про это написал в тот же день https://webmaster.yandex.ru/blog/a-vash-sayt-uzhe-na-https
Ну да, поэтому и Яндекс туда же, причины навязывания SSL чисто из бизнеса растут, а все эти “безопасность пользователей” им до лампочки на самом деле.
Ну если перейти можно пушами базу собирать или тупо монетизировать. Так же кое что вообще без https не будет работать как передача виеопотока.
Надеюсь, что все эти “пуши” скоро зажмут так же, как вап-клик, достали эти окошки с подписками везде, сил никаких нет))
У тебя блог без HTTPS и мне в метро рекламу показывает — АТПИСКА.
Да еще и хром ругаетс небезопасно говорит!
Хром тебе с моста скажет прыгать, ты спрыгнешь, надо полагать, хром плохого же не скажет, да))
Кстати, да. Я думал всё будет работать автоматом и бесплатно. Поэтому забил на сертификаты и включил Let’s Encrypt. Всё вроде нормально было, поэтому включил и для всех остальных сайтов. Думал хоть какой-то плюс будет гуглу, типа нет предупреждения, больше доверия, чуть больше трафика будет… Херня. Ничего не изменилось. Ну ладно, хоть работает.
В феврале случайно захожу ночью на статистику - трафика нет. Сайт не работает. И как назло сразу именно 3 магазина, самые важные. Остальные работают. В логах какое-то говно, типа невозможно обновить:
8:22:10 AM ERROR TLS Status: Defective
ERROR Certificate expiry: 2/22/19, 2:54 AM UTC (0.1 days ago)
ERROR Defect: OPENSSL_VERIFY: The certificate chain failed OpenSSL’s verification (0:10:CERT_HAS_EXPIRED).
Типа сертификат старый и хрен я тебе его обновлю. Потратил кучу времени, так ничего и не придумал. Для любого сайта и домена на хостинге сертификат обновляется, но не для этих 3-ех Хотел уже покупать сертификат. Выручил второй вариант от cPanel - Sectigo.
С одной стороны хорошо - чем чаще изменения, тем больше работы админам и программистам )) Но когда сам попадаешь и не можешь решить быстро проблему, понимаешь что нахуй такие новшества )))
Спасибо за этот коммент)) А то достали эти “соглашатели” кругом типа “Ну Гугл же говорит, что плохо без ссл, значит так и есть, все ссл, братья, немедленно!”
А то, что у тебя, как владельца биза, от этого добавляется +1 гемор по установке (или +20 геморов, если у тебя 20 сайтов), +1 гемор по отслеживанию, что все ок работает и обновляется, +1 гемор за переживания, не скажется ли смена урла с http на https на позициях и трафе, это додумать уже тяжело некоторым)
Ну про больше доверия и трафика было бы логично, когда были только платные сертификаты и они стоили довольно дорого. А когда сначала рухнули цены у тавте и комодо, а потом появились и вовсе трастовые бесплатные ссл, которые на виртуалах включаются 1 кликом в панели, то какое уж тут доверие, их же дорвейщики даже юзают теперь на своих дорах)))