Tον Αύγουστο του 2014 η Google σε σχετική ανακοίνωσή της μάς γνωστοποίησε ότι η χρήση HTTPS περιβάλλοντος στα websites θα αποτελούσε στο εξής παράγοντα για την κατάταξή τους στα αποτελέσματα αναζήτησης. Δεδομένης της ισχύος και του κύρους που φέρει το συγκεκριμένο brand, η Google φαίνεται με αυτή την ανακοίνωση να επηρέασε το τοπίο στον χώρο του διαδικτύου και να διαμόρφωσε νέες τάσεις για άλλη μία φορά.
Η ίδια τα τελευταία χρόνια έχει ενσωματώσει κρυπτογραφημένες συνδέσεις σε υπηρεσίες της (Gmail, Google Drive, μπάρα αναζήτησης, Google Maps κ.λπ.), έτσι ώστε να εξασφαλίσει ένα περισσότερο ασφαλές περιβάλλον για τους χρήστες της. Η χρήση του HTTPS ως σήμα κατάταξης εφαρμόζει ουσιαστικά την ευρύτερη προσπάθεια της εταιρίας για ένα πιο ασφαλές διαδίκτυο πάντα και παντού, μία προσπάθεια την οποία εκφράζει με το μήνυμα “HTTPS everywhere“.
Το HTTPS & η αναγκαιότητά του
To HTTPS (Hypertext Transfer Protocol Secure) αποτελεί πρωτόκολλο επικοινωνίας, το οποίο εφαρμόζεται μέσω των Πιστοποιητικών Ασφαλείας (SSL Certificates) και δημιουργεί ασφαλή κανάλια για τη διενέργεια προστατευμένων συνδέσεων στο διαδίκτυο. Χάρη σε αυτό, κρυπτογραφείται η επικοινωνία ανάμεσα στις δύο συναλλασσόμενες πλευρές και παράλληλα πιστοποιείται η ταυτότητα του site αλλά και τoυ web server στον οποίο πραγματοποιείται η φιλοξενία. Η χρήση HTTPS διακρίνεται στο url μίας σελίδας με το “s” (secure) στο τέλος του http. Για παράδειγμα, αντί για http://www.tophost.gr/, το url γίνεται https://www.tophost.gr/
Με το https – και άρα με τη χρήση SSL – ο χρήστης μπορεί να γνωρίζει:
- την ταυτότητα του site που επισκέπτεται
- ότι οι ενέργειες που πραγματοποιεί στο site και τα δεδομένα που μεταδίδονται κατά την επικοινωνία του με αυτό, παραμένουν προστατευμένα
Η ανάγκη για ασφάλεια στην επικοινωνία και την πλοήγηση στο διαδίκτυο έχει μεγαλώσει, καθώς έχει αυξηθεί σημαντικά η συχνότητα με την οποία πραγματοποιούνται κακόβουλες ενέργειες στον συγκεκριμένο χώρο.
Πώς μπορεί όμως ο χρήστης να παραμένει συνεχώς προστατευμένος σε όλη τη διάρκεια της online δραστηριότητάς του; Με το Always-On SSL (AOSSL), το οποίο εφαρμόζει HTTPS περιβάλλον για όλα τα δεδομένα ενός site και όλες τις σελίδες του. Στο AOSSL δεν αρκεί να είναι σε HTTPS μόνο η login ή η σελίδα πληρωμής ενός site, αλλά όλες οι εσωτερικές σελίδες και το περιεχόμενο συμπεριλαμβανομένων των αρχείων CSS, widgets, java script, φωτογραφιών, videos κ.λπ., έτσι ώστε να παρέχεται αδιάλειπτη προστασία στους online χρήστες καθ’ όλη τη διάρκεια της πλοήγησής τους. Οποιοδήποτε component δεν βρίσκεται σε https, είναι εν δυνάμει εκμεταλλεύσιμο για υποκλοπή δεδομένων ή την εκτέλεση επίθεσης.
Η Google αναγνωρίζοντας λοιπόν την ανάγκη για συνεχή προστασία, επιλέγει να την αναδείξει, ανταμείβοντας σελίδες οι οποίες θα εφαρμόσουν την Always-On SSL προστασία, με καλύτερες κατατάξεις στα αποτελέσματα αναζήτησης.
Το HTTPS ως παράγοντας κατάταξης
Στη σχετική ανακοίνωσή της η Google αναφέρει ότι η χρήση HTTPS θα αποτελεί αρχικά μικρής κλίμακας κριτήριο, με πολύ μικρό ποσοστό συμμετοχής στη διαμόρφωση των αποτελεσμάτων κατάταξης. Έτσι, οι διαχειριστές ιστοσελίδων θα έχουν στη διάθεσή τους χρόνο να προχωρήσουν στις απαραίτητες προσαρμογές για το site τους.
Ένα ερώτημα που προκύπτει, είναι αν η εγκατάσταση και χρήση SSL σε όλο το site μπορεί να εγγυηθεί καλύτερη θέση στα αποτελέσματα αναζήτησης. Η απάντηση είναι ότι βοηθάει στην κατάταξη, αλλά από μόνη της η χρήση πιστοποιητικού δεν επαρκεί για την τελική διαμόρφωση των αποτελεσμάτων. Μία σελίδα με ποιοτικό, αξιόπιστο, χρήσιμο και συνεχώς ενημερωμένο περιεχόμενο, θα επιτυγχάνει πάντα καλύτερα αποτελέσματα σε σχέση με μία σελίδα η οποία δεν εφαρμόζει τίποτα από τα παραπάνω και απλά παρέχεται σε https περιβάλλον.
Eνώ, λοιπόν, η Google προσμετρά ακόμη σε μικρό ποσοστό τη χρήση SSL στα αποτελέσματα κατάταξης, μπορείς να προετοιμαστείς κατάλληλα, προσαρμόζοντας τη σελίδα σου σε HTTPS περιβάλλον. Με τη χρήση SSL άλλωστε, εκτός από βελτιωμένο SEΟ, θα έχεις εξασφαλίσει παράλληλα για τους επισκέπτες του site σου συνεχή και αδιάλειπτη προστασία! Ας δούμε λοιπόν κάποια βασικά βήματα που μπορείς να ακολουθήσεις για να εφαρμόσεις το “HTTPS everywhere” και εσύ στη δική σου ιστοσελίδα.
Βήματα μετάβασης από HTTP σε HTTPS
H Google αντιμετωπίζει την αλλαγή σε HTTPS σαν καταχώρηση καινούριου url. Γι’ αυτόν το λόγο είναι σημαντικό να ακολουθήσεις τα βήματα της μετάβασης πολύ προσεκτικά, έτσι ώστε να μην χάσεις τα αποτελέσματα ranking, που έχεις ήδη επιτύχει. Στη συνέχεια παραθέτουμε κάποια βήματα, για τα οποία χρειάζεται να υπάρχει μια σχετική εμπειρία για να υλοποιηθούν με επιτυχία.
- Θα πρέπει καταρχήν να επιλέξεις κάποιο πιστοποιητικό ασφαλείας, με RSA key τουλάχιστον 2048bit. Ανάλογα με το πόσα domains ή subdomains θέλεις να προστατέψεις, μπορείς να επιλέξεις:
- Standard SSL για προστασία ενός top-level domain name
- Wildcard SSL για την προστασία ενός top-level domain & απεριόριστων subdomains
- SAN SSL για την προστασία πολλαπλών domain names
Μπορείς επίσης να κάνεις την επιλογή σου με βάση τα επίπεδα πιστοποίησης που έχει ακολουθήσει η εκδούσα αρχή για την τελική έκδοση του SSL, επιλέγοντας ανάμεσα σε Domain, Organization ή Extended Validated πιστοποιητικά.
Αν πάλι, έχεις ενεργοποιήσει ήδη κάποιο πιστοποιητικό αφαλείας, μπορείς να χρησιμοποιήσεις το εργαλείο Qualys Lab για να ελέγξεις πόσα bits είναι το RSA κλειδί του. Στην περίπτωση που είναι μικρότερο από 2048bit, είναι απαραίτητο να το αντικαταστήσεις με νεότερο πιστοποιητικό. - Κάνε εξαγωγή του CSR και προχώρησε σε εγκατάσταση του πιστοποιητικού (CRT) στον webserver στον οποίο φιλοξενείται το site σου. Ο hoster σου μπορεί να σε βοηθήσει με τη συγκεκριμένη διαδικασία.
- Χρησιμοποίησε relative urls σε όλα τα source links, που βρίσκονται κάτω από το domain σου.
Πχ. αντί για:<a href=”http://www.tophost.gr/san-ssl.htm”>SAN SSL</a>χρησιμοποίησε:<a href=”/san-ssl.htm”>SAN SSL</a>Εφάρμοσε τα relative urls σε όλα τα αρχεία του site σου και όχι μόνο για τις εσωτερικές σελίδες (π.χ. scripts, φωτογραφίες, αρχεία css, video κ.λπ.) - Άλλαξε τη διεύθυνση για το site σου με βάση αυτόν τον αναλυτικό οδηγό που έχει συντάξει η Google. Είναι σημαντικό να ακολουθήσεις τα βήματα προσεκτικά, έτσι ώστε να γίνεται indexed στα αποτελέσματα αναζήτησης το νέο url, αλλά και για να διατηρήσει τα rankings που έχεις ήδη επιτύχει.
- Ενημέρωσε το νέο HTTPS url στο Google Analytics ή στο αντίστοιχο tracking εργαλείο που χρησιμοποιείς για τα στατιστικά του site σου.
- Ενημέρωσε το νέο HTTPS url στο Webmaster Tools.
- Τροποποίησε το robots.txt αρχείο, έτσι ώστε εκτός από το HTTP, να επιτρέπει το crawling και για το HTTPS site. Με αυτόν τον τρόπο η Google θα μπορεί να εντοπίσει το redirect και να κάνει index το HTTPS περιεχόμενο.
- Δώσε τη δυνατότητα σε όλες τις σελίδες να γίνονται indexed από τις μηχανές αναζήτησης, αποφεύγοντας να χρησιμοποιήσεις το “noindex” meta tag.
- Χρησιμοποίησε 301 redirects για τον webserver, ώστε το HTTP να ανακατευθύνει σε HTTPS. Αυτό μπορεί να γίνει μέσω του .htaccess αρχείου σε Linux Hosting και μέσω του Web.config στο Windows Hosting.
- Επιβεβαίωσε ότι όλα τα urls με το “canonical” attribute, είναι σε https. Έτσι, εξασφαλίζεις ότι δεν θα χάσεις την εισερχόμενη κίνηση από εξωτερικά links που στέλνουν πίσω στη σελίδα σου.
- Επιβεβαίωσε ότι στο sitemap.xml περιλαμβάνονται μόνο HTTPS urls.
Η παραπάνω διαδικασία απαιτεί αρκετή προσοχή και γι’ αυτό σου προτείνουμε να την πραγματοποιήσεις σταδιακά και με συνεχείς ελέγχους έως την ολοκλήρωσή της.
Τι πρέπει να προσέξεις κατά την HTTPS μετάβαση
Η συγκεκριμένη μετάβαση κρύβει πολλά οφέλη για μία ιστοσελίδα, καθώς αυξάνει το αίσθημα εμπιστοσύνης των online χρηστών για την ασφάλεια των δεδομένων τους, κάτι που μπορεί να οδηγήσει κατ΄ επέκταση σε αυξημένα ποσοστά engagement και conversion rates για το site. Παράλληλα, όμως, εμπεριέχει και κάποια σημεία στα οποία θα πρέπει να δοθεί ιδιαίτερη προσοχή.
- Χρόνος φόρτωσης:
Η εφαρμογή κρυπτογραφημένων συνδέσεων σε κάθε στοιχείο της ιστοσελίδας συνεπάγεται αναπόφευκτα επιπλέον χρόνο για τη φόρτωσή της. Αυτό οφείλεται στο γεγονός ότι για κάθε προσπάθεια σύνδεσης, θα πρέπει να γίνει σύναψη ασφαλούς σύνδεσης, να επιβεβαιωθεί ότι το πιστοποιητικό έχει εκδοθεί από έμπιστη αρχή, να κρυπτογραφηθούν τα δεδομένα και τέλος να αποκρυπογραφηθούν, ώστε να εμφανιστούν στον τελικό χρήστη. Επειδή οι χρόνοι φόρτωσης “παίζουν” σε κλίμακα msec, να αναφέρουμε ότι η διαφορά δεν είναι τέτοια που να γίνεται εύκολα αντιληπτή στον τελικό χρήστη. Σε κάθε περίπτωση όμως, μπορεί ο αυξημένος χρόνος να βελτιωθεί με κάποιες τεχνικές:- Έλεγξε αν ο server στον οποίο φιλοξενείσαι, χρησιμοποιεί κάποια τεχνολογία, που μπορεί να βελτιώσει τον χρόνο φόρτωσης, όπως είναι για παράδειγμα το SSD Caching. Επίσης, η επιλογή των υποδομών φιλοξενίας, προτείνεται να γίνεται με βάση την χώρα του κοινού στο οποίο απευθύνεται η σελίδα. Αν γνωρίζεις ότι οι επισκέπτες σου είναι στην πλειοψηφία τους Έλληνες, η επιλογή Ελληνικού hosting μπορεί να σου παρέχει έως 5 φορές ταχύτερους χρόνους απόκρισης σε σχέση με έναν server του εξωτερικού.
- Χρησιμοποιήστε το πρωτόκολλο HSTS (HTTP Strict Transport Security), το οποίο διασφαλίζει ότι όλα τα μελλοντικά αιτήματα επικοινωνίας των επισκεπτών με τη σελίδα σου, θα γίνονται αποκλειστικά μέσω του SSL certificate. To συγκεκριμένο πρωτόκολλο, εκτός από επιπλέον προστασία, βοηθάει τον browser του χρήστη να θυμάται την HTTPS ρύθμιση, ακόμα και αν έχει επισκεφθεί την HTTP σελίδα. Το αποτέλεσμα: μειώνεται η ανάγκη για εκτέλεση 301 redirects, που απαιτούν πρόσθετο χρόνο εκτέλεσης. Ανάλογα με την εφαρμογές που χρησιμοποιείς στη φιλοξενία σου, μπορείς να αναζητήσεις τον τρόπο ενεργοποίησης του HSTS.
- Aν έχεις Dedicated ή VPS server, μπορείς να τροποποιήσεις το configuration file του nginx και να εφαρμόσεις την τεχνική OSCP stapling. Το Online Certificate Status Protocol (OCSP) αποτελεί πρωτόκολλο, το οποίο ελέγχει την κατάσταση ενός πιστοποιητικού. Κάθε φορά που συνδέεται ένας χρήστης στην HTTPS σελίδα σου, ο browser του στέλνει αίτημα ώστε να επιβεβαιώσει με την αντίστοιχη εκδούσα αρχή (Certificate Authority) κατά πόσο το πιστοποιητικό στον δικό σου server είναι έγκυρο. Η διαδικασία αυτή, αυξάνει τον χρόνο φόρτωσης της σελίδας σου. Με την τεχνική OSCP stapling, τα αιτήματα αυτά αποστέλλονται από σένα προς την εκδούσα αρχή σε τακτά χρονικά διαστήματα, οπότε το status που επιστρέφεται είναι άμεσα διαθέσιμο στον επισκέπτη του site σου κατά την αρχική σύνδεση.
- Μηδενισμός Facebook & G+ likes:
Με τη μετάβαση από HTTP σε HTTPS, ο αριθμός των likes που έχει πάρει μία σελίδα, μηδενίζεται. Μπορεί ο μηδενικός counter να μην είναι ευχάριστος οπτικά, αλλά το όφελος που προκύπτει συνολικά από τη συγκεκριμένη μετάβαση, είναι σαφώς σημαντικότερο! Άλλωστε, τα likes μπορούν να πραγματοποιηθούν σε δεύτερο χρόνο στις HTTPS σελίδες σου και να δεις τον αριθμό να αυξάνεται και πάλι. - Ασυμβατότητα με AdSense & Address Tool:
Παρόλο που τόσο το AdSense, όσο και το Address Tool αποτελούν υπηρεσίες της Google, παρουσιάζουν προς το παρόν προβληματική συμπεριφορά στη μετάβαση σε HTTPS. To Address Tool, το οποίο χρησιμοποιείται όταν ένα url αντικαθίσταται, δεν μπορεί να χρησιμοποιηθεί για μετάβαση του url από HTTP σε HTTPS. Όπως αναφέρει η Google, μέχρι να διορθωθεί αυτό, μπορούν απλά να χρησιμοποιηθούν τα 301 redirects. Τέλος, αρκετοί χρήστες του AdSense παρατήρησαν πτώση στα κέρδη τους, καθώς η Google περιορίζει τις διαφημίσεις σε όσες είναι συμβατές σε HTTPS περιβάλλον και αφαιρεί τις υπόλοιπες.
[optin-monster-shortcode id="eljj2yekrp2roqru"]
Κλείνοντας
Η συγκεκριμένη ανακοίνωση της Google για τη χρήση του HTTPS ως ranking signal, επαναλαμβάνει αντίστοιχες ενέργειες του παρελθόντος. Το 2010 είχε ανακοινώσει ότι η ταχύτητα του site θα συμπεριληφθεί στους παράγοντες κατάταξης και το 2013 ανέφερε ότι θα προσμετρά στα αποτελέσματά της το κατά πόσο μία σελίδα είναι mobile friendly.
Με την ανακοίνωση του “HTTPS everywhere”, παρατηρήθηκε σε πολύ σύντομο χρονικό διάστημα αύξηση στο ποσοστό χρήσης των κρυπτογραφημένων συνδέσεων. Έως τώρα το HTTPS ήταν συνώνυμο των τραπεζικών και των ecommerce websites, καθώς και των μεμονωμένων checkout ή login σελίδων. Η Google ως ένας από τους ισχυρότερους trend setters παγκοσμίως, φαίνεται να αλλάζει τα δεδομένα αυτά και να μετατρέπει το HTTPS απλά σε συνώνυμο της ασφάλειας, ανεξάρτητα από το περιεχόμενο του site, κάνοντας έτσι εμφανή τη σημασία του πόσο προσπαθούν πλέον οι διαχειριστές σελίδων να προστατέψουν τα δεδομένα των online επισκεπτών τους.
Ακόμα και αν δεν διατηρήσει το HTTPS ως ranking signal, το σίγουρο είναι ότι η εξάπλωση του HTTPS οδηγεί το διαδίκτυο σε πιο ασφαλή μονοπάτια και αυτό είναι κάτι που όλοι μας θα θέλαμε να δούμε.
TO SITE MOU APO TIN TOPHOST RAPID SSL INE TO KALITERO IDIKA EGO IME STIN KATIGORIA Always-On SSL (AOSSL)
AUTO EPIXIRITE ME MIA APLI ENTOLI STO ARXIO HTACCESS.