Najwyższy czas na inwestycję w protokół HTTPS. Google będzie ostrzegał przed stronami bez certyfikatu SSL.
Według informacji podanej na oficjalnym blogu Google, wraz z początkiem lipca 2018 roku przeglądarka Google Chrome będzie oznaczała wszystkie strony stosujące protokół HTTP jako strony niezabezpieczone. Jak ta zmiana wpłynie na korzystanie ze stron bez certyfikatu SSL przez codziennych użytkowników internetu? Czy właściciele takich witryn mają czego się obawiać?
Co to jest protokół HTTPS?
HTTP (Hypertext Transfer Protocol) to protokół służący do transferowania żądań zasobów WWW. Protokół ten definiuje w jaki sposób wiadomości są formatowane, przekazywane i jaką akcje mają wykonać serwery i przeglądarki które otrzymały daną komendę.
Najprostszym przykładem będzie wpisanie adresu strony internetowej w pasek adresu przeglądarki. Po kliknięciu „ENTER” wysyłana jest komenda HTTP do serwera, stamtąd żądanie przesyłane jest do strony internetowej a po dziesiątej części sekundy na ekranie pokazuje się strona internetowa którą chcieliśmy wyświetlić.
HTTPS jest szyfrowaną wersją wspomnianego protokołu HTTP. Różnica między tymi dwoma jest taka, że HTTPS szyfruje dane za pomocą protokółu TLS. Oznacza to, że nasze żądania są autoryzowane, co zapobiega przechwytywaniu danych podczas ich wysyłania.
HTTPS a pozycjonowanie
Według portalu Moz, 50% wszystkich linków znajdujących się na pierwszej stronie wyszukiwania korzysta z protokołu HTTPS. Można więc wywnioskować, że implementacja certyfikatu SSL pozytywnie wpływa na pozycje w wyszukiwarce Google. Dyskusja wśród branży SEO w tym temacie toczyła się przez ostatnich kilka lat – w 2014 roku przy okazji Googlowskiego projektu „HTTPS Everywhere” firma z Mountain View zapowiadała bonusy w postaci wyższych pozycji w przeglądarce dla stron korzystających z szyfrowanego protokołu jednak w 2017 roku Google odrzuciło tę ideę. Czy ta informacja oznacza, że nie warto inwestować w zabezpieczanie swojej strony?
HTTPS a Google Adwords
Mimo zapewnień Google o braku powiązania implementacji HTTPS a pozycjach w wyszukiwarce, korzystanie z szyfrowania jest niezwykle istotne z biznesowego punktu widzenia. Okazuje się bowiem, że do stworzenia kampanii produktowej w Google AdWords, jednym z wymagań jest implementacja certyfikatu SSL. W przeciwnym razie, możemy zapomnieć o okienku ze zdjęciem naszego produktu na samej górze wyniku wyszukiwania. Podobna sytuacja odnosi się do innych formatów reklamowych AdWords w momencie, kiedy chcemy reklamować stronę, za której pośrednictwem zbierane są następujące dane:
- numery kart kredytowych,
- numery przelewów,
- numery dowodów osobistych,
- numery ubezpieczeń zdrowotnych.
Jak zapowiadana zmiana wpłynie na naszą stronę internetową?
Właściciele stron internetowych bez zaimplementowanych protokołów HTTPS mogą spodziewać się negatywnego oddziaływania komunikatu wyświetlanego przez Google na użytkowników. Dlaczego? Wyobraźmy sobie zakupy w zwykłym sklepie. Sporo z nich na drzwiach informuje o tym że sklep jest monitorowany oraz że jest pod opieką firmy ochroniarskiej. Większość z nas nie przykłada do tego zbyt większej wagi, być może, podświadomie część z nas czuje się bezpieczniej. Jednak pomyślmy co się stanie, kiedy na drzwiach takiego sklepu zawiśnie kartka, która dosłownie mówi o tym, że sklep NIE jest monitorowany i NIE korzysta z usług ochroniarzy? Tak samo jest z korzystaniem z internetu. Mała część użytkowników zwróci uwagę na to, czy adres URL ma o jedno ‘S’ więcej a jeszcze mniejsza część wie, czym się różni HTTPS od HTTP jednak kiedy Google zaserwuje im wyraźne ostrzeżenie, konsekwencje mogą być bardzo odczuwalne.
Użytkownicy takiej strony nie będą czuli się komfortowo co prawdopodobnie przełoży się na ich szybkie opuszczenie strony oraz:
- spadek czasu trwania sesji,
- wzrost współczynnika odrzuceń,
- spadek współczynnika konwersji celu,
- spadek realizacji celów,
- spadek ilości sesji oraz użytkowników powracających.
HTTPS – Czy warto zainwestować w certyfikat SSL?
Biorąc pod uwagę wyżej wymienione zbliżające się konsekwencje braku zabezpieczenia strony oraz trudności z realizacją kampanii AdWords, inwestycja w w certyfikat SSL wydaje się być rozsądnym działaniem. Ceny certyfikatów SSL zaczynają się od kilkudziesięciu złotych rocznie – dla większości przedsiębiorstw nie będzie to raczej kwota która zaburzy ich płynność finansową. Można też zainteresować się darmowymi rozwiązaniami takimi jak certyfikat Let’s Encrypt, które dostarczane są przez organizacje non-profit dbające o bezpieczeństwo w internecie. Musimy też pamiętać, że w świetle przepisów RODO jesteśmy odpowiedzialni za bezpieczeństwo danych naszych użytkowników a protokół HTTPS jest podstawą do jego zapewnienia. Nie zapominajmy też o użytkownikach, którzy są świadomi różnic między protokołami HTTP a HTTPS, oraz ogólnie zasad bezpieczeństwa w internecie. Ta wąska grupa odbiorców na pewno doceni profesjonalne podejście do bezpieczeństwa użytkowników w sieci zapewnionego przez przedsiębiorstwo.
Jak wdrożyć certyfikat SSL? Migracja z HTTP na HTTPS
Certyfikat SSL najłatwiej kupić jest u swojego aktualnego hostingodawcy. Większość z nich ma zautomatyzowane procesy jeśli chodzi o implementacje protokołu HTTPS. Panel w łatwy sposób prowadzi użytkownika przez proces instalacji. Bardzo ważne jest wykonanie czynności po-wdrożeniowych. Bez pewnych działań może okazać się, że wdrożenie protokołu HTTPS nie będzie działało poprawnie lub nasza strona internetowa nie będzie pozyskiwała tylu użytkowników, co wcześniej. Należy więc:
- Wdrożyć przekierowania 301 z adresów HTTP na HTTPS – w przeciwnym razie wygenerują się duplikacje podstron co negatywnie wpłynie na nasze pozycje w Google,
- Sprawdzić linkowanie wewnętrzne, adresy kanoniczne, linki w menu strony. Wszystkie adresy w obrębie naszej witryny powinny zostać zaktualizowane do wersji HTTPS,
- Wszystkie pliki zaimplementowane na naszej stronie takie jak grafiki, PDFy, wideo powinny również zostać zaktualizowane do wersji HTTPS,
- Zaktualizować plik sitemap.xml,
- Stworzyć nową usługę w Google Search Console dla nowej wersji strony,
- Zweryfikować działanie Google Analytics – czasem okazuje się, że statystyki po migracji do wersji HTTPS nie zbierają się poprawnie. Należy w ustawieniach usługi zmienić protokół na HTTPS, w niektórych przypadkach może okazać się, że konieczne będzie wygenerowanie i dodanie nowego kodu śledzenia witryny,
- W miarę możliwości powinniśmy też zaktualizować adresy URL prowadzące do naszej witryny z innych. Mowa tutaj o profilach w Social Media, banerach reklamowych zamieszczonych na innych stronach, linkach w artykułach sponsorowanych oraz PR-owych, wpisach w wizytówkach i zapleczach. Działanie to pozwoli na zachowanie korzyści z pozyskanych linków do naszej domeny, które pozytywnie wpływają na widoczność w wyszukiwarce.