Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji

Google może i rzeczywiście indeksuje adresy URL inne niż HTTPS

Uwaga: Poniższy artykuł pomoże Ci w: Google może i rzeczywiście indeksuje adresy URL inne niż HTTPS

W 2014 roku Google wdrożyło bezpieczną wersję protokołu przesyłania hipertekstu (https) jako: sygnał rankingowy.

Dało to jednak podstawę do niebezpiecznego założenia, że ​​nigdy nie należy używać żadnego innego typu protokołu (takiego jak HTTP).

To nie jest prawda.

W rzeczywistości Google nadal indeksuje adresy URL inne niż https.

To samo stwierdził John Mueller Twitter w lipcu 2021 r.:

Obalamy mity: protokół HTTPS nie jest wymagany do rankingu

Jedną z przyczyn utrwalenia tego mitu jest fakt, że protokół HTTPS jest wymaganym elementem rankingowym.

Co nie jest prawdą, co właśnie wykazaliśmy.

HTTPS jest bardziej sygnałem rozstrzygającym remis niż cokolwiek innego i nie ma dużej wagi. Założenie jest takie, że przy założeniu, że witryna korzysta z protokołu HTTPS zamiast HTTP, będzie miała wyższą pozycję w rankingu niż witryna HTTP.

Po raz kolejny jest to tylko jeden z tych sygnałów o rozstrzygnięciu remisu, który w ostatnich latach zyskał na popularności ze względu na szerzone mity Twitter i gdziekolwiek.

Google nawet tak twierdzi

Jakiś czas temu zapytano Gary’ego Illyesa Twitter na ten temat i wyjaśnił również, że HTTPS jest bardziej sygnałem umożliwiającym zerwanie umowy niż cokolwiek innego:

Nie dyskontuj protokołu HTTP

Innymi słowy, nie dyskontuj protokołu HTTP na rzecz protokołu HTTPS z niewłaściwych powodów. Rozstrzygający charakter protokołu HTTPS oznacza, że ​​w przypadku sporej liczby witryn sygnał HTTPS prawdopodobnie nie będzie miał większego znaczenia.

Dla tych, którzy znajdują się na bardzo konkurencyjnych SERP (stronach wyników wyszukiwania), to rozwiązanie rozstrzygające może dać niektórym witrynom dodatkowy dodatkowy impuls w wyniku użycia protokołu HTTPS.

Należy jednak zwrócić uwagę na naciski Google, aby więcej witryn korzystało z protokołu HTTPS, powołując się na obawy związane z bezpieczeństwem protokołu HTTP.

Jest to prawdopodobnie pusta wymówka (i że takie ogólne oświadczenie ma żywotny interes finansowy), a fakt, że żadne dane dotyczące danych użytkowników nie są nigdy w znaczący sposób udostępniane w Google Analytics (i nigdy nie były), korzystanie z protokołu HTTPS ma pewne zalety.

Jakie są zalety protokołu HTTPS?

Korzystanie z protokołu HTTPS w porównaniu z jego niepewnym odpowiednikiem, HTTP, ma wiele zalet.

Należą do nich:

  1. Większe bezpieczeństwo użytkowników i ich danych
  2. Łatwość wdrożenia dzięki rozwiązaniom takim jak Let’s Encrypt
  3. Lepsze rankingi wyszukiwania w Google
  4. Wczesne przyjęcie nowego standardu
  5. Obsługa przeglądarki dla HTTP/2
  6. Zwiększona prędkość dla użytkowników

Każdy z tych powodów wystarczy, aby rozważyć migrację witryny do protokołu HTTPS, ale łącznie jasny wybór jest oczywisty: czas wdrożyć protokół HTTPS na swoim serwerze internetowym, jeśli jeszcze tego nie zrobiłeś!

Prywatność dzięki większemu bezpieczeństwu użytkowników i danych

HTTPS uniemożliwia podsłuchującym przechwytywanie i odczytywanie ruchu. Chroni także przed „atakiem typu man-in-the-middle”, w którym osoba atakująca umieszcza się pomiędzy Tobą a serwerem docelowym, aby odczytać lub zmienić dane.

Jeśli sprawdzisz certyfikat dowolnej witryny internetowej korzystającej z protokołu HTTPS, zostanie on podpisany przez zaufany urząd certyfikacji, dzięki czemu będziesz mógł sprawdzić, czy nikt nie manipulował informacjami, zanim dotrą one do Twojego komputera.

Uniemożliwia to atakującym oszukiwanie użytkowników, którzy myślą, że odwiedzają jedną witrynę, podczas gdy w rzeczywistości znajdują się w innej witrynie (często dzieje się to w drodze phishingu).

Osoba atakująca nie może sfałszować certyfikatu, ponieważ nie ma dostępu do klucza prywatnego użytego do jego podpisania.

Dlatego jeśli ktoś spróbuje wysłać Ci link do strony internetowej, która wygląda na https://www.paypal.com, możesz sprawdzić certyfikat i przekonać się, że faktycznie należy on do paypalsecure.paypal2.com, co z pewnością nie jest oficjalna strona PayPal.

Bezpieczeństwo protokołu HTTPS wynika z zastosowania kryptografii w infrastrukturze klucza publicznego (PKI). PKI składa się z urzędów certyfikacji (CA) i listy zaufanych certyfikatów głównych zainstalowanych na komputerach; umożliwiają one przeglądarkom internetowym i innemu oprogramowaniu sprawdzanie, czy witryny internetowe są autentyczne lub fałszywe.

System użytkownika zawiera już kilka certyfikatów, w tym te potrzebne do uzyskania dostępu do zasobów sieciowych, takich jak serwery poczty e-mail za pośrednictwem połączeń szyfrowanych (SSL), weryfikacji tożsamości za pomocą Secure Shell (SSH), chronionej poczty e-mail S/MIME i tak dalej. Użytkownicy, którzy przestrzegają dobrych praktyk bezpieczeństwa, będą posiadać certyfikat przeglądanej witryny i wszystkich jej subdomen.

Bezpieczeństwo jest często kwestią drugorzędną przy tworzeniu stron internetowych i SEO, ale nie powinno tak być. Jeśli nie zależy Ci na prywatności użytkowników, to jedno — ale jeśli tak, upewnij się, że podejmujesz wszelkie środki ostrożności, aby chronić ich dane przed atakującymi.

Wpływ protokołu HTTPS na wydajność

Strony HTTPS ładują się szybciej niż strony HTTP, ponieważ obciążenie szyfrowaniem jest zwykle znikome w porównaniu z rozmiarem strony w postaci zwykłego tekstu, szczególnie w nowoczesnych systemach i sieciach.

Typowa strona HTTPS może ładować się nieco wolniej, jeśli wymagane jest większe szyfrowanie (np. certyfikat o rozszerzonej walidacji), ale nie zawsze znacznie.

Powodem, dla którego protokół HTTPS może być szybszy niż HTTP, jest to, że przeglądarka może rozpocząć pobieranie innych zasobów (takich jak reklamy, urządzenia śledzące lub obrazy), zanim odbierze całą stronę HTML.

Przeglądarki są zoptymalizowane do pobierania więcej niż jednej rzeczy na raz za pośrednictwem tego samego połączenia – pod warunkiem, że wszystkie są częścią tej samej bezpiecznej sesji. Oznacza to, że korzystanie z protokołu HTTPS nie uniemożliwia pełnego wykorzystania technik optymalizacji sieci.

Niektórzy mogą argumentować, że poprawa szybkości ładowania jest trywialna, ponieważ większość użytkowników ma szybkie połączenia i systemy komputerowe zdolne do jednoczesnej obsługi wielu żądań. Chociaż dotyczy to wielu użytkowników, wciąż jest wielu bez takiego luksusu.

Więc co?

Jeśli nie korzystasz jeszcze z protokołu HTTPS w swojej witrynie, czas to zmienić. Korzyści jest wiele i nie potrzebujesz certyfikatu wydanego przez zaufany urząd certyfikacji, aby je uzyskać. Musisz zaktualizować oprogramowanie serwera, aby obsługiwał TLS 1.1 Lub 1.2choć (patrz linki poniżej).

HSTS i jego związek z HTTPS

Jako specjalista SEO być może widziałeś w niektórych rekomendacjach audytu SEO informacje na temat HSTS. Co to właściwie jest i jaki ma związek?

HSTS, czyli HTTP Strict Transport Security, to nagłówek HTTP, który pozwala witrynie internetowej poinformować przeglądarki, że powinny wchodzić z nią w interakcję wyłącznie przy użyciu protokołu HTTPS, a nigdy za pośrednictwem niezabezpieczonego protokołu HTTP.

Przeglądarki będą zapamiętywać te informacje przez pewien czas.

Typowa wartość w nagłówkach Strict-Transport-Security wynosi około sześciu miesięcy, ale możliwe są nawet dwa lata, w zależności od częstotliwości zmiany zawartości witryny.

Zwykle użytkownicy mogą bez problemu dotrzeć do witryny HSTS, ale jeśli przypadkowo odwiedzą ją za pośrednictwem protokołu HTTP (np. wpisując adres URL bezpośrednio w przeglądarce), przeglądarka wyświetli komunikat o błędzie.

Strict-Transport-Security nie może chronić Cię przed użytkownikami, którzy wyłączą nagłówek HSTS, ani nie zastępuje protokołu HTTPS. Najlepiej stosować go w połączeniu z protokołem HTTPS w zwykłej witrynie HTTP.

Ponieważ Strict-Transport-Security nakazuje przeglądarkom oczekiwać wyłącznie ruchu HTTPS, niektórzy programiści używają go również w oczekiwaniu na wdrożenie protokołu HTTPS, aby uniemożliwić odwiedzającym zobaczenie ostrzeżeń o mieszanej zawartości.

Wadą jest to, że TLS 1.1 I 1.2 wymagają większej mocy obliczeniowej niż poprzednie wersje; mogą też występować problemy ze zgodnością ze starszymi urządzeniami lub oprogramowaniem, które jeszcze ich nie obsługują. W niektórych przypadkach siła szyfrowania może również zostać zmniejszona. Stanowią również zagrożenie dla bezpieczeństwa, narażając klientów na potencjalne problemy, gdy ich następca (TLS 1.3) zmniejsza to ryzyko.

Warto również zauważyć, że nie wszystkie strony internetowe muszą korzystać z protokołu HTTPS. Ogólna zasada jest taka, że ​​jeśli Twoja witryna wymaga wprowadzenia danych przez użytkownika (np. sklepu internetowego lub danych logowania), powinna obsługiwać wyłącznie protokół HTTPS. Jeśli tak nie jest, możesz przynajmniej rozważyć ustawienie protokołu HTTP i przekierowanie niezabezpieczonego ruchu do protokołu HTTPS.

Jednak w obliczu przejścia Google na protokół HTTPS sensowne może być użycie opcji Let’s Encrypt na swoim serwerze internetowym i zakończenie tego.

Szyfrowanie: dlaczego warto go używać w swojej witrynie

HTTPS szyfruje połączenia między użytkownikami i serwerami w Twojej witrynie, aby uniemożliwić atakującym przeglądanie poufnych informacji, takich jak hasła lub numery kart kredytowych, które mogłyby zostać przesłane zwykłym tekstem.

Szyfrowanie chroni użytkowników przed atakami typu „man-in-the-middle”, podczas których osoba atakująca może próbować przechwycić informacje przesyłane z komputera użytkownika na serwer i zmienić to, co zobaczy, aby nakłonić go do przekazania poufnych informacji lub podjęcie innych działań, które są dla nich szkodliwe.

Szyfrowanie witryny powinno być włączone na każdej stronie witryny, ale niekoniecznie we wszystkich subdomenach; jeśli masz bloga, który nie jest częścią Twojej głównej domeny, nie chciałbyś, aby korzystał z protokołu HTTPS. To samo dotyczy innych zasobów, takich jak obrazy i filmy. Przydatna treść jest w porządku bez protokołu HTTPS, ale wszystko, co ma dane logowania lub inne prywatne dane, powinno z niej korzystać.

Jednak ze względu na prostotę konfiguracji protokołu HTTPS możesz po prostu zdecydować się na rozwiązanie ogólne, ponieważ używanie innego protokołu w innych częściach witryny nie przynosi żadnych korzyści SEO.

Niektóre typy witryn internetowych odniosą większe korzyści z protokołu HTTPS niż inne. Ogólnie rzecz biorąc, każda witryna internetowa zawierająca hasła, dane finansowe lub informacje umożliwiające identyfikację powinna być szyfrowana. Podczas konfigurowania witryny e-commerce najważniejszą rzeczą, jeśli chodzi o szyfrowanie, jest uzyskanie certyfikatu i poprawna konfiguracja serwera internetowego. Obecnie istnieje kilka możliwości wyboru certyfikatu SSL: certyfikaty oparte na nazwach (DV), certyfikaty z symbolami wieloznacznymi (OV), certyfikaty wielodomenowe/SAN i rozszerzona weryfikacja (EV).

Zabawa w webmastera: szyfrowanie jest tego warte

Aby chronić użytkowników przed wieloma rodzajami cyberataków — w tym podsłuchiwaniem i atakami typu man-in-the-middle — wszystkie witryny internetowe powinny do przesyłania danych używać protokołu HTTPS, a nie HTTP. Protokół HTTPS pomaga zapewnić, że poufne informacje użytkowników są szyfrowane i zabezpieczone przed manipulacją przez osoby trzecie.

Zielona kłódka w Twojej przeglądarce, pokazująca, że ​​jest bezpieczna

W pasku adresu przeglądarki pojawi się zielona kłódka, która oznacza, że ​​znajdujesz się na zaszyfrowanej stronie.

Od lipca 2018 roku przeglądarka Google Chrome zaczęła nawet ostrzegać użytkowników odwiedzających niezabezpieczone witryny.

Twoje hasło i numer karty kredytowej są (ogólnie) bezpieczne

Jeśli ktoś spróbuje ukraść Twoje hasło lub numer karty kredytowej, nie będzie mógł odczytać informacji ze względu na szyfrowanie.

Szyfrowanie wymusza stosowanie protokołów bezpieczeństwa i jest stale udoskonalane

Kiedy witryna korzysta tylko z protokołu HTTPS lub aplikacja ma opcję przełączenia się na protokół HTTPS, jeśli działa na serwerze lokalnym, występuje mniej luk w zabezpieczeniach. Gdy zostanie znaleziony, problemy z protokołem można rozwiązać szybciej, ponieważ wszystkie strony internetowe stosują te same wytyczne: szyfrowanie. Ponadto ponieważ większość witryn korzysta z zaszyfrowanych certyfikatów SSL (a nie z podpisem własnym), oznacza to, że zawarte w nich informacje są weryfikowane przez zaufaną organizację — to kolejny świetny sposób na zapewnienie bezpieczeństwa danych.

Bezpłatnie i łatwo dzięki Let’s Encrypt

Konfiguracja certyfikatu SSL dla Twojej witryny za pomocą Let’s Encrypt jest bezpłatna i łatwa.

Nawet jeśli Twoja witryna nie wykorzystuje żadnych poufnych informacji, możesz użyć szyfrowania, aby chronić hasła użytkowników i numery kart kredytowych. To świetny sposób, aby mieć pewność, że informacje użytkowników pozostaną prywatne, a jednocześnie poprawić ich wygodę.

Im więcej witryn korzysta z Let’s Encrypt do szyfrowania swoich użytkowników, tym bardziej jest to niesamowite. A ponieważ Let’s Encrypt można zaufać, ponieważ jego certyfikaty są wydawane przez organizacje takie jak Mozilla i Google, używanie protokołu HTTPS ma sens nawet w przypadku witryn innych niż eCommerce.

Nie popełnij błędu, myśląc, że tylko dlatego, że w Twoich witrynach nie gromadzi się żadnych danych, możesz mieć wymówkę, aby nie przechodzić na HTTPS. Istnieją zalety, które trudno zignorować.