Прилетело вчера вот такое уведомление из панели Яндекс.Вебмастера на один из сайтов:

На сайте используется недостаточно защищенный протокол HTTP

В настоящее время на главном зеркале сайта для обмена информацией с пользователями используется протокол HTTP, являющийся недостаточно безопасным. Рекомендуем использовать протокол HTTPS, так как он является более безопасным, чем протокол HTTP. Протокол HTTPS позволяет снизить риск перехвата персональных данных пользователей (таких как логины, пароли, номера банковских карт и т. д.), а также избежать подмены информации на самом сайте (например, подмены вашей рекламы на рекламу злоумышленника).

Использование протокола HTTPS повышает уровень безопасности и доверия со стороны пользователей сайта и поисковой системы.

И это уведомление находится не в разделе “Рекомендации”, как вы могли бы ожидать, а в “Возможная проблема”. Вот так. Со временем, уверен, это уведомление переедет в полноценные “проблемы”, без всяких “возможных”, и хочешь - не хочешь, а будешь тратить время и деньги на весь этот никому, на самом деле, не нужный геморрой (это нужно только самому Яндексу) по подключению SSL для всех своих сайтов, если хочешь, чтобы они и дальше получали трафик с поиска.

Сайт, на который пришло уведомление, в принципе не имеет авторизованных пользователей (то есть нет никаких логинов с паролями), ничего не продает (значит не собирает никаких кредитных карт и личных данных) и не является форумом масонов. Это просто обычный информационный сайт, каких миллионы в интернете, ему не нужен, блядь, SSL. Прям бесит это.

Да, а от подмены рекламы на этом сайте сделана бесплатная и абсолютно безгеморройная вещь - Content security policy - которая не требует никаких настроек на сервере и не несет в себе потенциальную тонну рисков, как в случае с установкой SSL, последующей склейкой адресов в поисковиках, постоянной необходимости следить за продлениями сертификатов и т.п.

И не надо мне про LetsEncrypt бесплатный рассказывать, во-первых, с ним тоже бывают проблемы, например, просто глюкнет у вас хостинг/сервер, сертификат не продлится вовремя (окей гугл “lets encrypt не продлился”), вы, возможно, даже и не узнаете об этом сразу, а сайты ваши все это время будут ошибку выдавать вместо загрузки, во-вторых, вы можете понять или нет, что просто делать что-то для того, чтобы просто что-то делать это тупо? Есть реальная необходимость - делай. У тебя банк, или интернет-магазин, или форум сектантов? Делай SSL. У тебя лытдыбр, сайт про рецепты или сборник гифок с котэ? Нахрен тебе этот SSL, бро.