Jak pokazują statystyki już 46% stron internetowych w branży finansowej oraz 36% stron w sektorze e-commerce, które pojawiają się w top 10 wyników Google w USA, korzysta z bezpiecznego połączenia HTTPS z użyciem certyfikatu SSL / TLS[1].
W protokole HTTPS dane przesyłane podczas komunikacji użytkownika (komputera) ze stroną internetową (serwerem) są szyfrowane. Dotychczas szyfrowanie odbywało się za pomocą protokołu SSL (Secure Sockets Layer), a obecnie powszechnie stosowany jest TLS (Transport Layer Security). Z technicznego punktu widzenia pojęcia HTTPS i SSL/TLS stanowią więc osobne zagadnienia, jednak często spotyka się używanie ich zamiennie. Najistotniejszym jest fakt, że dzięki szyfrowaniu informacje są trudniejsze do przechwycenia i zmiany przez niepowołane osoby niż w przypadku tradycyjnego połączenia HTTP bez certyfikatu SSL / TLS.
Wg badania Moz.com[2] przeprowadzonego dla ponad 10 tys. monitorowanych fraz kluczowych, w kwietniu 2017 roku już połowę rezultatów wyszukiwania Google na pierwszej stronie stanowiły adresy HTTPS. Dla porównania w czerwcu 2016 r. było to tylko 30% i jeśli dotychczasowy trend się utrzyma, do końca 2017 r. aż 65% czołowej dziesiątki wyników Google będą stanowiły witryny stosujące protokół szyfrowany:
Do rosnącej popularności bezpiecznego połączenia w witrynach internetowych z pewnością przyczynił się Google. Już pewien czas temu zaczął on promować hasło „HTTPS Everywhere”, a sierpniu 2014 r. oficjalnie poinformował, że wykorzystywanie szyfrowanego protokołu stało się czynnikiem rankingowym. Jak zaznaczono w komunikacie, wpływ połączenia HTTPS na pozycje stron w wynikach Google miał być jednak niewielki. Potwierdził to później jeden z pracowników Google wyjaśniając, iż nie należy się spodziewać np. awansu strony o 2 miejsca dzięki zastosowaniu certyfikatu SSL / TLS.
Choć niedawno inny przedstawiciel koncernu przekazał informację, iż pomysł wzmocnienia rangi protokołu HTTPS w algorytmie Google został odrzucony, to wydaje się, że należy podejść do tej wypowiedzi z dystansem. Na fakt, że znaczenie bezpiecznego połączenia będzie dla Google wzrastało (lub nawet już wzrosło) wskazuje bowiem niedawne wprowadzenie w przeglądarce Chrome ostrzeżeń dla stron niestosujących HTTPS.
Jak wspominaliśmy na naszym blogu, przeglądarka Chrome od chwili wprowadzenia wersji 56 w styczniu tego roku, wyświetla komunikat „Niezabezpieczona” na stronach gdzie zbierane są hasła czy dane kart kredytowych, a stosowane połączenie nie jest szyfrowane:
Ostrzeżenie „Niezabezpieczona” w pasku przeglądarki Google Chrome 58, źródło: opracowanie własne
Przykład oznaczenia strony z certyfikatem SSL / TLS w pasku przeglądarki Google Chrome 58, źródło: opracowanie własne
Podobne rozwiązanie wprowadzone zostało mniej więcej tym samym czasie w innej popularnej przeglądarce – Firefox. Oprócz ostrzegawczej ikonki w pasku adresu strony, przestrzega ona także przed możliwością przechwycenia danych w polach logowania na stronach:
Co istotne Google planuje docelowo, aby ostrzeżenia w Chrome wyświetlane były dla wszystkich niezabezpieczonych stron, także tych niezbierających informacji od użytkowników. Ponadto komunikat z przestrogą dla nieszyfrowanych stron wyświetlany ma być na czerwono z dodatkową ostrzegawczą ikonką:
Jak widzimy wdrożenie w witrynie bezpiecznego połącznia HTTPS może już w niedługim czasie okazać się wręcz niezbędnym standardem. Użytkownicy zwracają bowiem coraz większą uwagę na bezpieczeństwo w internecie i są świadomi licznych zagrożeń. Obecne oraz planowane ostrzeżenia przed nieszyfrowanymi stronami będą powodować nieufność użytkowników do witryny, a tym samym większy współczynnik odrzuceń i niższą konwersję.
Zapewnienie wiarygodności witrynie staje się więc jedną z największych korzyści zastosowania protokołu HTTPS, oprócz faktycznego zwiększenia bezpieczeństwa użytkowników. Większe zaufanie oznacza wyższe prawdopodobieństwo dokonania konwersji przez osoby odwiedzające stronę. Wiarygodność będzie stawać się coraz istotniejsza zwłaszcza w przypadku witryn, w których użytkownicy zakładają konta, podają dane kart płatniczych czy wypełniają formularze, a więc głównie w sklepach internetowych, forach, serwisach społecznościowych i stronach banków.
Kolejną zaletą HTTPS, jak wspomnieliśmy wcześniej, jest pozytywny wpływ na ocenę strony przez algorytm Google. Choć oficjalnie znaczenie tego sygnału rankingowego jest nieduże, należy mocno liczyć się z możliwością jego zwiększenia w niedalekiej przyszłości. Wdrożenie HTTPS może okazać się pod tym kątem szczególnie przydatne w przypadku stron „walczących” dla często wyszukiwanych fraz kluczowych i/lub mających bardzo silną konkurencję. W takiej sytuacji możliwe jest, że zastosowanie bezpiecznego połączenia stanie się czynnikiem, który da witrynie minimalnie lepszą ocenę algorytmu od konkurencyjnej i pozwoli „przeskoczyć” ją na liście rezultatów wyszukiwania Google.
Pozyskanie większego ruchu organicznego z Google dzięki HTTPS potencjalnie możliwe jest także bez poprawy pozycji witryny, a w efekcie wyższego współczynnika klikalności (CTR). Gdy znaczną cześć strony z wynikami wyszukiwania stanowić będą bowiem serwisy z HTTPS, pozostałe witryny jako mniej wiarygodne mogą być mniej chętnie klikane przez użytkowników.
Dużym plusem certyfikatów SSL / TLS jest ich pełna niezawodność. Zaszyfrowanie przesyłanych danych specjalnym algorytmem daje gwarancję, że nawet w przypadku przechwycenia ruchu na stronie żadne informacje nie zostaną odczytane. Protokół SSL / TLS na stronie to światowy standard bezpieczeństwa oznaczający, że dane są całkowicie zaszyfrowane i nikt nie jest w stanie złamać zabezpieczeń.
Protokół HTTPS posiada również dość dużo wad. Dla właścicieli stron jedną z nich stanowią dodatkowe koszty. Przede wszystkim konieczne jest wykupienie certyfikatu SSL/TLS. Choć obecnie dostępne są już wersje darmowe, to w przypadku niektórych witryn mogą one posiadać niewystarczające parametry/możliwości. Ponadto należy liczyć się z kosztami instalacji protokołu na stronie oraz ewentualnie modernizacji czy zakupu niezbędnego nowego sprzętu.
Inną wadą, którą warto mieć na uwadze jest możliwość pogorszenia przez połączenie HTTPS czasu ładowania strony. Ponadto szyfrowanie przesyłanych danych powoduje zmniejszenie przepustowości łącza, co ma duże znaczenie w przypadku wielkich witryn posiadających bardzo duży ruch.
Pamiętać należy także, iż protokół szyfrowany na stronie chroni ją tylko przed niewielką grupą zagrożeń dotyczących głównie szpiegowania i nie należy go traktować jako rozwiązania wszystkich problemów bezpieczeństwa. Połączenie HTTPS nie daje automatycznej ochrony przed atakami hakerskimi i wykorzystywaniem luk w zabezpieczeniach baz danych, skryptów czy serwerów.
Nieumiejętne przeniesienie serwisu z adresów HTTP na HTTPS może mieć niestety również negatywny wpływ na pozycje w Google. Tymczasem jak pokazuje analiza ahrefs.com[3] tylko 1 na 10 witryn spośród przebadanych 10 000 może pochwalić się całkowicie poprawną implementacją szyfrowanego protokołu:
W przypadku błędów w procesie migracji witryny na połączenie HTTPS pojawić mogą się problemy z przeindeksowaniem adresów przez mechanizmy Google oraz z pojawieniem się kopii treści (tzw. duplicate content). To z kolei spowodować może długotrwałe obniżenie widoczności serwisu internetowego w wynikach wyszukiwania Google.
Aby uniknąć komplikacji i obniżenia pozycji witryny w Google bardzo zalecane jest wcześniejsze zapoznanie się ze wskazówkami wyszukiwarki na temat procesu wdrażania HTTPS. Dostępne są one pod adresem: https://web.dev/articles/enable-https?hl=pl&visit_id=638388356584201235-3617570299&rd=1
Oprócz szczegółowych wytycznych dotyczących implementacji bezpiecznego połączenia Google przedstawił także kilka podstawowych zaleceń, które mówią:
Ponadto przygotowany został zestaw odpowiedzi na najczęściej zadawane pytania związane z przenoszeniem stron na adresy HTTPS: https://developers.google.com/search/docs/crawling-indexing/site-move-with-url-changes?visit_id=638388357007055049-3409531524&rd=1&hl=pl#https-faqs
Chociaż szyfrowane połączenie HTTPS ma pewne wady i bywa kłopotliwe przy wdrażaniu, nie można zapominać o jego korzyściach. Pozwala zabezpieczyć wrażliwe dane przesyłane przez użytkowników witryny i poprawia jej wiarygodność. Dzięki temu jest ona także lepiej oceniana przez algorytm wyszukiwania Google. Z pewnością warto więc poważnie zastanowić się nad zastosowaniem certyfikatu SSL / TLS na stronie. Wobec wyświetlanych już teraz przez przeglądarki ostrzeżeń w szczególności dotyczy to serwisów zbierających informacje od użytkowników.
Źródła:
[1] https://blog.searchmetrics.com/us/2017/04/19/an-analysis-of-https-security/
[2] https://moz.com/blog/half-page-one-google-results-https
[3] https://ahrefs.com/blog/ssl/