Почему сайты должны использовать HSTS для повышения безопасности и SEO

  1. HSTS
  2. HTTPS
  3. Как HSTS повышает безопасность сайта
  4. Как HSTS помогает скорости загрузки страницы и SEO
  5. Как мне применить HSTS?
  6. Заключение

Пользователи сайта и поисковые системы не воспринимают безопасность сайта незначительно, поэтому, вероятно, вы слышали о дополнительных мерах безопасности, таких как HTTPS Пользователи сайта и поисковые системы не воспринимают безопасность сайта незначительно, поэтому, вероятно, вы слышали о дополнительных мерах безопасности, таких как HTTPS.

Но менее известный уровень безопасности, называемый HTTP Strict Transport Security (HSTS), также доступен и может помочь защитить ваш сайт и вашу поисковую оптимизацию (SEO). Давайте рассмотрим, что такое HSTS и как он работает.

HSTS

HSTS - это заголовок ответа, который сообщает браузеру, что он может подключиться только к определенному веб-сайту с использованием HTTPS. HSTS повышает скорость и безопасность веб-сайтов HTTPS. Чтобы полностью понять, что делает HSTS, вам нужно немного поработать над HTTPS.

HTTPS

HTTPS (Hyper Text Transfer Protocol Secure) является безопасной версией HTTP. Когда пользователь подключается к сайту с использованием HTTPS, веб-сайт шифрует сеанс с помощью сертификата уровня защищенных сокетов (SSL). С точки зрения непрофессионала, он добавляет дополнительный уровень безопасности к сеансу сайта и защищает от хакеров, которые могут попытаться украсть информацию у веб-пользователей.

Как вы можете себе представить, это особенно полезно для электронной коммерции, банковской деятельности или других транзакционных сайтов, таких как Paypal, которые требуют от пользователей ввода конфиденциальной информации.

Использует ли сайт HTTPS или нет, ясно видно пользователям. Те, которые являются безопасными, будут иметь зеленый защищенный символ в URL.

Те, которые являются безопасными, будут иметь зеленый защищенный символ в URL

С другой стороны, те, сайты, которые все еще используют только HTTP, будут помечены как «небезопасные». в поле унифицированного указателя ресурса (URL).

в поле унифицированного указателя ресурса (URL)

HTTPS является подтвержденным фактором рейтинга Google с 2014 года и хотя он не сразу взлетит ваш сайт до вершины страниц результатов поиска (SERP), он даст вам дополнительный импульс и даст дополнительный уровень доверия посетителям сайта. Мне нравится думать, что использование HTTPS дает веб-странице импульс и обычно продвигает страницу HTTPS вперед в поисковой выдаче.

Хотя HTTPS является значительным улучшением по сравнению с предшественником, он не лишен недостатков, и именно здесь приходит HSTS.

Как HSTS повышает безопасность сайта

Одним из недостатков, связанных с HTTPS, является то, что он не полностью защищен от взлома. Это оставляет ваш сайт открытым для удаления SSL. Это происходит, когда хакер меняет соединение с зашифрованного соединения на более старую версию.

Это часто происходит с 301 перенаправления - если веб-сайт использует 301 перенаправления для переключения с HTTP на HTTPS. Перенаправление 301 обычно происходит так:

  • Кто-то набирает в examplesite.com свой браузер.
  • Поскольку examplesite.com использует перенаправление 301, браузер сначала пытается загрузить http://examplesite.com. Это происходит потому, что браузер не может заранее знать, что конкретный сайт использует HTTPS.
  • Как только он сталкивается с перенаправлением и получает сообщение об обратном, браузер получает разрешение на загрузку https://examplesite.com.

Хотя это и не выглядит большим делом, вам действительно нужно беспокоиться о тех нескольких миллисекундах между ними, потому что это делает сайт уязвимым для хакеров, которые пытаются урезать ваш SSL-сертификат.

Когда сервер первоначально вызывает версию HTTP, хакеры могут подключиться и перехватить запрос по небезопасному HTTP, который заблокирует сайт от использования HTTPS. Само собой разумеется, что чем больше сайтов переключаются на HTTPS, тем больше хакеров учатся взламывать обновленные коды безопасности.

Есть решение для этого, сделайте ваш сайт еще более безопасным, применяя HSTS.

HSTS заставляет сайт загружаться через HTTPS, игнорируя любые вызовы, чтобы сначала попытаться установить соединение HTTP, как в случае перенаправления 301. Это существенно обходит начальную загрузку HTTP, заставляя браузер помнить, что этот сайт действительно поддерживает HTTPS. Сюда, браузер немедленно загрузит безопасную версию и исключает возможность хакеров взломать соединение.

Как HSTS помогает скорости загрузки страницы и SEO

В дополнение к добавлению дополнительного уровня безопасности на ваш сайт, использование HSTS может также дать вам повышение SEO, так как использование HSTS делает ваши веб-страницы загружаться еще быстрее.

Мы знаем, что время загрузки очень важно, когда речь идет как о поисковом рейтинге, так и об опыте пользователей. С ростом использования мобильных устройств и первой инициативой Google в области мобильных устройств, скорость загрузки страницы важнее чем когда-либо

В начале прошлого года Google выпустила изучение со следующими выводами:

Среднее время полной загрузки средней целевой страницы для мобильных устройств составляет 15,3 секунды:

Тем не менее, исследования также показывают, что 53 процента людей покинут мобильную страницу, если ее загрузка займет более трех секунд.

Тем не менее, исследования также показывают, что 53 процента людей покинут мобильную страницу, если ее загрузка займет более трех секунд

Очевидно, что веб-пользователи не прощают, когда дело доходит до времени загрузки.

А для сайтов электронной коммерции, которые, кажется, имеют больше стимулов для применения HSTS, новости еще хуже. Посмотрите на эту статистику покупок от Google:

Мобильные сайты отстают от настольных сайтов по ключевым показателям вовлеченности, таким как среднее время на сайте, количество посещений страниц и показатель отказов
Мобильные сайты отстают от настольных сайтов по ключевым показателям вовлеченности, таким как среднее время на сайте, количество посещений страниц и показатель отказов. Много покупок происходит в Интернете, но отстающие сайты - не те, которые делают продажи. Скорость загрузки страницы напрямую влияет на показатели например, среднее время, проведенное на сайте, количество посещений страниц и показатель отказов. Если вы видите низкие показатели вовлеченности, вы, вероятно, видите низкие продажи.

Эти показатели вовлеченности также являются ключевыми факторами в вашей общей SEO. Веб-страницы с высоким качеством связи и хорошим пользовательским интерфейсом для Google, что может привести к повышению рейтинга. Поскольку скорость загрузки страниц очень важна, компании имеют смысл сделать все возможное, чтобы их сайты загружались молниеносно. Они могут включить HSTS.

Помните, что если вы попытаетесь загрузить сайт, используя только HTTPS, он сначала попытается вызвать версию HTTP, прежде чем понять, что страница поддерживает HTTPS. Эта первоначальная попытка HTTP приведет к небольшой задержке времени загрузки вашего сайта. Хотя скорость загрузки страницы может составлять только миллисекунды, каждая миллисекунда считается. С включенным HSTS браузер знает, что нужно использовать только HTTPS, что делает переадресацию мгновенной и устраняет время задержки.

Как мне применить HSTS?

Прежде чем вы сможете включить HSTS, у вас должен быть установлен действительный сертификат SSL. Браузер пользователя должен будет увидеть заголовок HSTS хотя бы один раз, прежде чем он сможет мгновенно перенаправить на определенную страницу. Это означает, что при первом посещении пользователем определенного домена все равно придется пройти процесс HTTP-HTTPS.

Чтобы устранить это как можно больше, Chrome создал список предварительной загрузки HSTS , Это список доменов, для которых HSTS будет включен автоматически, поэтому пользователи могут автоматически подключаться с помощью HSTS.

Chrome позволяет любому пользователю отправить свой домен в список HSTS, если он соответствует следующим требованиям:

Chrome позволяет любому пользователю отправить свой домен в список HSTS, если он соответствует следующим требованиям:

HTTPS должен быть включен в корневом домене и всех поддоменах, особенно www.subdomain, если для него существует DNS-запись. Это включает любые субдомены, которые используются исключительно в интрасетях. Политика HSTS включает в себя все субдомены с большим максимальным возрастом и флагом «предварительной загрузки», чтобы указать, что владелец домена согласен на предварительную загрузку.

По состоянию на сейчас Firefox, Safari, Opera и Edge также используют список предварительной загрузки Chrome , поэтому опция доступна для доменов в большинстве основных браузеров.

Чтобы включить HSTS на вашем сайте, вам нужно добавить активированный заголовок HSTS. Вы можете сделать это через свой хостинг сайт или активировать его самостоятельно.

Заключение

Вы должны использовать HSTS? Я думаю, что вы должны, если вы не издатель контента и не испытываете проблемы с переключением на HTTPS. На сайте HTTPS сложно показывать рекламу, поэтому многие издатели пытаются переключиться на HTTPS. Они, вероятно, будут бороться за показ объявлений с использованием HSTS.

Каждый веб-сайт может получить дополнительный уровень безопасности не только с точки зрения SEO, но и с точки зрения клиента. Если у вас есть сайт электронной коммерции или транзакционный сайт, HSTS быстро становится обязательным.
Подумайте об этом следующим образом: дополнительная безопасность и более быстрое время загрузки означают лучшее SEO и, в конечном итоге, лучший пользовательский опыт.

Мнения, выраженные в этой статье, принадлежат автору гостя и не обязательно относятся к Search Engine Land. Штатные авторы перечислены Вот ,


Об авторе

Как мне применить HSTS?