11.02.2016
Не секрет, что многие из нас постоянно стремятся максимально обезопасить и зашифровать важную информацию. Но при этом не понятно, почему при столь огромной любви к шифрованию, мы не используем его повсеместно? Тем более, что Google официально заявил о том, что сайты с HTTPS будут иметь преимущество в результатах поиска. Так важен ли сегодня тип протокола HTTPS для SEO или нет? Вот, например, в марте 2015 года команда 39saitov.ru в своем блоге утверждала, что нет. Давайте разберем эту ситуацию сегодня.
Основным препятствием к тотальному переходу на HTTPS является стоимость получения соответствующего сертификата, который также необходимо должным образом настроить и обеспечить его полноценное функционирование. Владельцу сайта необходимо выбрать надежного продавца сертификатов, предоставить пакет документов для подтверждения свей личности, внести оплату и выполнить ряд настроек на сервере. При этом важно помнить о том, что сертификат имеет определенный срок действия, поэтому его придется периодически продлевать.
Чаще всего призыв к переходу на зашифрованное соединение выглядит следующим образом: «NSA производит фиксацию всего нашего трафика, поэтому следует позаботиться о шифровании передаваемых данных». Прежде всего, подобные предложения направлены на увеличение цены пассивного контроля всего трафика. К сожалению, здесь не идет речь о предотвращении создаваемых кибер-мошенниками сложных целевых атак.
Коллектив центра сертификации Let's Encrypt разработал уникальный метод автоматизации проблемы с сертификатами. Более того, они прекрасно понимают, что, выпустив свое решение для наиболее распространенных операционных систем и обеспечив его достойное сопровождение, они смогут охватить практически всю Глобальную сеть. Безусловно, это гениальная разработка, позволяющая больше не вспоминать о проблеме сертификатов.
Возможно. Но не совсем. Проблем не возникнет, если применяются лишь относительные URL, а все используемые ссылки перенаправляются на один и тот же хост. При других условиях корректной работы HTTPS вам не добиться.
Таким образом, можно сделать вывод о том, что присутствие на ресурсе смешанного контента фактически делает невозможным переход на HTTPS.
Что означает выражение «смешанный контент»?
Представьте, к примеру, что вы являетесь оператором «OriginA». Окружностями зеленого цвета обозначены сайты, загружающиеся по протоколам обоих типов. В окружностях красного цвета заключены веб-объекты, работающие исключительно по HTTP. Пунктиром отмечена загрузка информации посредством HTTP. Сплошными линиями – HTTP. В данном случае все ссылки являются абсолютными. В зачеркнутых местах загрузка будет прервана.
Допустим, произведены все настройки сертификата, активирован протокол HTTPS. Изменится ли картинка?
Без обновления абсолютных ссылок в HTML, интернет-обозреватель будет предпринимать попытки «достучаться» к сайтам по http. В большинстве случаев подобные загрузки не приветствуются современными браузерами. Вначале они ограничиваются предупреждениями, а после и вовсе могут заблокировать ресурс.
Чем смешанный контент не угодил браузерам? Что в этом случае предпринять владельцу сайта?
Различные технологии обеспечения безопасности на просторах сети Интернет всю ответственность за контент возлагают на источники его появления. Протокол HTTPS загружает информацию, перенаправляющую клиента на потенциально опасный сайт. Одновременно https-ресурсы нередко получают запросы GET, onMessage или POST от загруженных по HTTP документов. В чем заключаются преимущества POST перед XHR?
Согласно общеизвестному правилу, при взаимодействии надежный документ не сможет превратиться в потенциально опасный. Современные браузеры пытаются применить это правило ко многим ресурсам.
Не секрет, что система Web-безопасности достаточно сложна и всегда полна различных ловушек. Проанализировав ее, браузеры смогли сделать вывод, что наиболее эффективным показателем безопасности является значок замочка, расположенный в начале адресной строки. Это обозначает, что ресурс работает на протоколе HTTPS. Напечатав в строке адреса «https://», вы получите сообщение о полной безопасности представляемого на сайте контента.
Загрузка какого-либо контента через http нарушает заданный https-сайте баланс. Что конкретно происходит на ресурсе после подобного действия, браузеру не особо интересно – он просто пресекает его. Таким образом, пользователи получают предупреждение об угрозе их безопасности на данном веб-ресурсе, а авторы контента контролируют правильность наполнения сайта.
Безусловно, выгоды посетителей от использования подобного решения очевидны. А вот для операторов сайтов переход на https сопряжен с определенными сложностями. Постоянно выпадающие предупреждения о небезопасном контенте ломают структуру сайтов и распугивают посетителей. Именно эта проблема и не позволяет совершить полный переход сайтов на защищенный протокол HTTPS.
Как уже отмечалось, при возникновении проблем, связанных со смешанным контентом, переход на https заметно усложняется. Механизм решения этой задачи несколько отличается от получения сертификата безопасности или настройки сервера. Здесь нет каких-либо автоматических алгоритмов устранения проблемы, избавление сайта от смешанного контента всегда предусматривает крупные финансовые вложения.
Если сайт имеет сложную структуру и состоит из большого количества страниц, ему не поможет ни запуск различных команд, ни создание соответствующих исключений. HTTP-страницы могут подстерегать вас везде.
В настоящее время специалисты заниматься разработками новых путей, позволяющих облегчить этот процесс. Предполагается, что они помогут производить автоматический переход сайтов с http на https. Но и здесь пока нет универсального решения, позволяющего предотвратить появление сообщений о сбоях и ошибках.
При прохождении так называемой цепочки зависимостей некоторые ресурсы заметно тормозят прогресс. Без координации действий устранить взаимные блокировки, возникающие в результате циклических зависимостей, оказывается просто невозможно.
Как правило, проблемы возникают при нехватке промежутка http и https. В идеале это промежуточное состояние должно обладать следующими характеристиками:
Существует ли универсальный путь создания этого состояния?
Как утверждают специалисты, устранить циклическую зависимость без увеличения количества смешанного контента можно. С этой целью необходимо установить соответствующие настройки фильтрации. Подобное решение позволяет удалить основную часть проблем, однако в некоторых случаях с CORS оно все же остается неэффективным. Четвертым необходимым нам свойством этот метод не обладает.
Путем изменения настроек фильтрации вряд ли удастся проконтролировать состояние зависимостей для безопасного перехода на HTTPS. Вот если бы веб-обозреватели имели возможность для http контента применять стандарт Content-Security-Policy-Report-Only, ситуация с безопасностью могла бы кардинально измениться.
Что можно предпринять?
Как показывает практика, в большинстве случаев вышеописанные шаги позволяют добиться желаемого результата.
Однако это не значит, что можно просто перевести отдачу html-ресурсов на https. Если HTML страницы создавались с использованием весьма распространенного тега <iframe>, это вряд ли сработает.
При помощи ALPN клиент получает возможность обращаться к серверу по произвольному протоколу.
Допустим, «https-transitional» - это принципиально новая модель протокола ALPN. Согласно протоколу HTTP Alt-Svc, производится TLS соединение. При этом сервер представляет сочетающийся с доменом сертификат.
Рассмотрим ключевые характеристики подобного сайта:
При этом очень важно грамотно произвести настройку запрета смешанного контента. На сегодняшний день интернет-обозреватели не производят автоматическую замену HTTP на HTTPS, поскольку не уверенны в том, что предоставляемый контент идентичен. Быть уверенными в этом на 100% им позволяет «https-transitional». Помимо этого, сервер может информировать о состоянии транзитного режима посредством заголовка HTTP Alt-Svc.
Выполнив загрузку в транзитном режиме, веб-обозреватель предпринимает попытку произвести замену всех соединений, попавших под блокировку. Если результат достигнут не будет, браузер незаметно выполнит загрузку документа по https. При этом сведения об ошибке должны отобразиться в консоли.
Для сайтов, работающих по https протоколу, подобное решение должно стать спасением от задержек, которые активно проявлялись при использовании Upgrade-Insecure-Requests. Новые предпочтения браузеров будут связаны с TLS, поэтому разработка очередных запросов для https-transitional не потребуется.
Незначительный спад производительности может произойти в процессе замены соединения. Причиной тому станет заголовок Alt-Svc. Попытки браузера обновить все сочетающиеся ресурсы чревата серьезными задержками. Из-за https некоторые из них могут оказаться недоступными. Решение проблемы требует проведения ряда экспериментов для выбора наиболее эффективного метода.
Безусловно, наступит время, когда все ресурсы задумаются об уходе от http. Но стоит отметить, что вышеописанный сценарий не является 100-процентной гарантией недоступности вашего ресурса для мошенников, снимающих шифрование при помощи хакерских атак. Возможен ли переход от транзитного сервера к абсолютно безопасному? Этот вопрос особенно актуален в свете того, что транзитный веб позволяет оставлять алгоритмы запросов для ссылок неизменными.
Взяв за основу особый HTTP заголовок, можно приступить к разработке паттернов. Это метод окажется особенно полезным тем, кто стремится безвозвратно уйти от HTTP.
Если администратору не удастся произвести установку Alt-Svc в infinite, можно смело утверждать об успешно свершившемся переходе. Подключение по HTTP для браузеров станет недоступным, они поймут, что всегда придется использовать исключительно https. Поддержка HTTP может продолжить функционировать для устаревших клиентов. О необходимости ее отключения администратор принимает решение самостоятельно.
Далее транзитный контент должен пройти процедуру tranquility. По мнению специалистов, наиболее эффективным способом ее выполнения станет создание HTTP заголовка. Присутствие бита «tranquil» укажет на то, что загрузка смешанного контента запрещена. Не исключено, что вслед за этим последует появление замочка возле адресной строки данного ресурса.
При должной популяризации транзитного режима браузерам удастся окончательно уйти от HTTP. Предполагается, что началом послужит соответствующий пункт в настройках. Далее следует ожидать получение сообщения предупреждающего характера. Вероятно огромное количество ресурсов надолго задержится в транзитном режиме. Однако пользователи всё равно будут отдавать предпочтение более надежным и удобным сайтам TLS.