Protokół HTTPS – czy warto wprowadzać go tylko dla Google?
Protokoły HTTP (na którym opiera się w większości internet) i HTTPS służą do przesyłania danych, dokumentów i ogólnej komunikacji klient-serwer, czyli między osobą korzystającą z przeglądarki a serwerem. Można w dużym skrócie powiedzieć, że dzięki tym protokołom przeglądamy strony WWW, klikamy w odnośniki i przeglądamy kolejne. Główną różnicą pomiędzy obiema wersjami protokołu jest to, że w przypadku HTTPS, pakiety danych są szyfrowane…i tyle.
W sierpniu na oficjalnym blogu Google pojawił się wpis, że w algorytmie oceny stron uwzględniona została wersja protokołu, z jakiej korzysta strona. Protokół stał się oficjalnie czynnikiem rankingowym i wpłynął na niecały 1% wyników wyszukiwania na całym świecie. I tu Google jak zwykle nie podaje szczegółów, jakie to są wyniki i czego dokładnie dotyczą a jedynym wytłumaczeniem ze strony korporacji jest troska o bezpieczeństwo danych użytkowników.
Po ogłoszeniu tego komunikatu, wiele stron internetowych zaczęło przechodzić z jednej wersji protokołu na drugą a na forach i blogach licznie pojawiły się wpisy, dotyczące konieczności wprowadzenia zabezpieczonej wersji protokołu (HTTPS). Pytanie tylko: jaki jest sens zrobienia tego?
(nie)Bezpieczna strona internetowa
Bardzo często w uzasadnieniu przeczytać można, że strona będzie bezpieczna przed włamaniami – bzdura. Jeżeli ktoś chce włamać się na stronę, włamuje się bezpośrednio na serwer, a nie przez formularz kontaktu czy komentarzy. Natomiast, jeżeli ktoś stara się zgadnąć login i hasło do konta administratora strony lub innego użytkownika, to nie ma dla niego różnicy, z jakiego protokołu korzysta strona.
Protokół HTTPS szyfruje tylko dane wymieniane pomiędzy użytkownikiem a serwerem, co uniemożliwia (teoretycznie) przeglądanie danych przez osoby niepożądane a nie ich przechwytywanie. Ponadto, musimy zdać sobie sprawę, że ich przechwytywanie i analizowanie jest od dekad prowadzone w dużej skali przez różne agencje, głównie rządowe, które i tak będą robić to dalej.
Ponadto żaden „włamywacz” nie będzie prowadził nasłuchu na Twojej stronie w oczekiwaniu na te dane, jeżeli o wiele łatwiej, szybciej i w większej ilości może je zdobyć włamując się na serwer – bezpośrednio pobrać je z bazy danych lub zainstalować oprogramowanie, które samo będzie je wysyłać.
Kiedy wprowadzić protokół HTTPS?
Wprowadzenie na stronie protokołu HTTPS jest uzasadnione jedynie w przypadku, gdy chcemy chronić dane swoich użytkowników. Pamiętajmy, że najwartościowsze dane są te, na których można zarobić, czyli dane osobowe, loginy i hasła, numery kont, prywatne wiadomości. Dlatego protokół stosowany jest na stronach które przesyłają wiele, prywatnych danych – banki, sklepy internetowe (zwłaszcza z możliwością płacenia kartą kredytową), popularne portale społecznościowe (np. Facebook, Twitter), Google 😉
Dlatego nie ma sensu wprowadzać go na stronach, gdzie jedyną możliwością osoby odwiedzającej jest przeglądanie ich zawartości. W wielu przypadkach, korzystniej jest zainwestować pieniądze na lepiej zabezpieczony serwer niż na uzyskanie i utrzymanie certyfikatu.
Wpływ HTTPS na ranking
6 sierpnia br. Google ogłosiło wprowadzenie protokołu HTTPS do puli czynników wpływających na ranking strony w wyszukiwarce. Searchmetrics (z którego danych korzysta samo Google), na dzień 29 sierpnia br., nie zanotowało wpływu miedzy pozycją stron korzystających z HTTP a HTTPS. Wniosek z tego, że czynnik ten nie został wprowadzony do algorytmu lub jego wpływ na pozycję stron jest tak mały, że mieści się w granicach błędu statystycznego. Google zapowiada, że z czasem, znaczenie tego czynnika wzrośnie. Warto się zastanowić, jak bardzo?
Osoby zajmujące się optymalizacją stron powinny brać pod uwagę realne znaczenie tego czynnika w ich kampaniach SEM i zadać sobie kilka pytań – czy protokół HTTPS na stronie będzie ważniejszym czynnikiem np. od:
- szybkości ładowania się strony,
- liczby polubień na Facebooku,
- optymalizacji kodu strony,
- nowym linkom do strony,
- zainwestowaniu w ciekawy artykuł na stronę…
…jeżeli nie, to nie warto marnować czasu jego wprowadzanie (oczywiście jeżeli nie ma podstaw prawnych).
UWAGA: Jeżeli zdecydujesz się na wprowadzenie szyfrowania połączenia z Twoją stroną internetową sprawdź, czy zachowa ona dalej pełną funkcjonalność. Niektóre strony posiadają rozwiązania, które nie współpracują z protokołem HTTPS. Ponadto, przy zmianie protokołów mogą wystąpić komplikacje i spadek skuteczności dotychczasowych działań promocyjnych.
Jest jeszcze jeden problem, https to osobny adres, który Google rozumie jako „nową domenę” ze wszystkimi tego konsekwencjami.
De facto przekierowując nagle http na https można stracić pozycje 🙂
To prawda, m.in. o to chodziło mi pisząc „spadek skuteczności działań promocyjnych”. Trudno powiedzieć, jak duże nastąpią zawirowania pozycji po zmianie nie tyle domeny co protokołu i de facto adresu strony.
Bardzo ciekawy artykuł! Bardzo dobrze, że HTTPS nie wpływa na ranking (pozycje stron w wyszukiwarce). Ludzie poświęcają bardzo dużo środków i czasu aby ich strony były na wysokich pozycjach więc gdyby HTTPS wpływał negatywnie na pozycję danej strony, użytkownicy byliby bardzo niezadowoleni w takiej sytuacji. Jeszcze raz dzięki za artykuł. Byle takich więcej 🙂
Certyfikat SSL można kupić już za parę dolarów więc myślę że warto w takie coś zainwestować.
Jeśli chodzi o Google to nie zauważyłem jakichś specjalnych różnic między http a https. Mało tego strony oparte na https są dłużej indeksowane niż te na standardowym protokole. Co do pozycji strony bazowej to się nie zgodzę: Można zrobić automatyczne przekierowanie na startym Dzięki czemu zyskamy dwa adresy kierujące do tej samej strony. Co do bezpieczeństwa to jest to bardzo ważny element zabezpieczenia danych (jak każdy inny). Jego użycie PODNOSI bezpieczeństwo tak jak każdy inny element zabezpieczeń. Sam w sobie nie zapewnia wysokiego poziomu bezpieczeństwa lecz jest ważnym elementem podczas planowania budowy bezpiecznego serwera. Ponadto jest to także działanie psychologiczne: Większość domorosłych hakerów od razu da sobie spokój z włamem na taką stronę widząc https.
Uważam, że HTTPS ma wpływ na pozycję o ile konkurencja nie jest zbyt silna. Wszystko zależne od poziomu konkurencji.
Coś się może zmieniło w temacie? SSL ma większą moc czy nadal jest to czynnik marginalny?