SEO Sprendimai | Kas yra HTTPS ir SSL sertifikatas? Kodėl be jo jūsų svetainė praranda klientus
Įsivaizduokite: potencialus klientas atidaro jūsų svetainę, nori užpildyti užsakymo formą – ir staiga mato Chrome naršyklės įspėjimą „Nesaugu”. Jis uždaro skirtuką. Jūs niekada nesužinosite, kad jis buvo. Būtent todėl SSL sertifikatas nėra techninė smulkmena – tai jūsų verslo durų spyna skaitmeniniame pasaulyje.
Po šio straipsnio žinosite, kas iš tikrųjų yra HTTPS ir svetainės saugumo sertifikatas, kodėl Google jį vertina kaip reitingavimo signalą, ir – svarbiausia – ką konkrečiai daryti, jei jūsų svetainė dar veikia be jo.
2018 m. liepą Google išleido Chrome 68 naršyklės versiją. Nuo tos dienos kiekviena svetainė, veikianti HTTP protokolu, gavo raudoną žymą „Not Secure” adreso juostoje. Ne geltona. Ne pilka. Raudona.
Rezultatas buvo akivaizdus greičiau nei per ketvirtį. Svetainės be HTTPS sertifikato ėmė fiksuoti aukštesnį bounce rate – lankytojai išeidavo prieš perskaitydami net pirmą sakinį. „Baymard Institute” tyrimai rodo, kad iki 18 % pirkėjų tiesiogiai nurodo saugumo susirūpinimą kaip priežastį, kodėl nebaigė pirkimo.
Tai nėra abstrakti statistika. Tai konkreti suma, kurią jūsų parduotuvė nepajunta kiekvieną dieną.
Trumpas techninis paaiškinimas:
Kai lankytojas įveda jūsų svetainės adresą, naršyklė ir serveris per akimirką atlieka tai, ką specialistai vadina SSL handshake. Tai derybos: kurie cipher suite algoritmai bus naudojami, kuris raktas šifruos duomenis, ar sertifikatas tikrai galioja. Viskas užtrunka milisekundes.
Po to kiekvienas duomenų paketas – slaptažodis, kreditinės kortelės numeris, kontaktinė forma – keliauja užšifruotas SHA-256 arba stipresniu algoritmu. Net jei kas nors perimtų duomenų srautą (tai vadiname man-in-the-middle ataka), jis gautų beprasmę simbolių masę, ne jūsų kliento vardą ir banko duomenis.
Be SSL – viskas keliauja atviru tekstu. Tiesiogine šio žodžio prasme.
Google oficialiai patvirtino HTTPS kaip reitingavimo signalą dar 2014 metais. Tai nereiškia, kad sertifikatas automatiškai pakelia jus į pirmą poziciją – bet jo nebuvimas traukia žemyn.
Štai kas svarbu praktiškai: Google Search Console fiksuoja HTTPS klaidas kaip indeksavimo problemas. Mixed content situacija – kai jūsų HTTPS puslapyje yra nuorodų į HTTP išteklius (paveiksliukai, šriftai, scenarijai) – pažeidžia certificate chain ir naršyklė gali rodyti įspėjimą net ir turėdama sertifikatą. Tai dažniausia klaida, kurią matome perkeliant senesnes svetaines.
Core Web Vitals vertinimo kontekste HTTPS taip pat svarbus: kai kurie naršyklės optimizavimo mechanizmai, įskaitant HTTP/2 protokolą, veikia tik su aktyviu skaitmeniniu sertifikatu.
Ne visi sertifikatai vienodi. Čia daugelis gidų sustoja – o jūs turėtumėte skaityti toliau.
Jei turite kelis subdomenus (pvz., shop.jusudomenas.lt, blog.jusudomenas.lt), ieškokite wildcard cert sprendimo – jis apima visą *.jusudomenas.lt žvaigždutę vienu sertifikatu.
Dažnai girdime: „Mano svetainė neparduoda nieko, tad man SSL nereikia.” Ši logika turi spragą.
Kontaktinės formos perduoda vardus, el. pašto adresus, telefono numerius. Tai asmens duomenys pagal BDAR (GDPR). Juos perduodant neužšifruotu HTTP kanalu, kyla teisinė atsakomybė – ne tik techninė rizika. Valstybinė duomenų apsaugos inspekcija Lietuvoje turi įgaliojimus pradėti tyrimą dėl netinkamo duomenų perdavimo saugos.
Tai nereiškia, kad kiekviena svetainė sulauks baudos. Bet tai reiškia, kad „man tai nereikia” yra argumentas, kuris laikosi tol, kol neatsiranda problema.
Čia reikia būti tiesiam: SSL sertifikatas neapsaugo jūsų svetainės nuo įsilaužimų, SQL injekcijų ar pasenusių CMS papildinių pažeidžiamumų. Spynelė adreso juostoje reiškia tik tai, kad duomenų perdavimo kanalas yra užšifruotas – ne tai, kad pati svetainė yra saugi.
Phishing svetainės taip pat gali turėti galiojantį sertifikatą. Let’s Encrypt jį išduos automatiškai bet kuriam domenui, kurio savininkas tik patvirtina valdymą. Tad spynelė nėra patikimumo garantija – ji yra minimalus higienos standartas.
Šis niuansas svarbus, nes žmonės kartais per daug pasitiki vien spynele. Techninė apsauga ir verslo patikimumas – tai skirtingi sluoksniai.
Atidarykite Google Search Console. Skiltyje „Saugumas ir rankinis veiksmas” pamatysite, ar fiksuojamos HTTPS problemos. Tada – adreso juostoje pažiūrėkite: ar matote spynelę, ar įspėjimą?
Jei svetainė veikia su HTTP, jūsų prieglobos (hostingo) valdymo panelėje dažniausiai yra galimybė aktyvuoti Let’s Encrypt sertifikatą vienu mygtuko paspaudimu. Po to būtina sukonfigūruoti 301 redirect iš visų HTTP URL į HTTPS – be to žingsnio naršyklės ir Google matys dvi skirtingas svetainės versijas.
Jei turite senesnę svetainę ir bijate mixed content klaidų – PageSpeed Insights ataskaita jas aiškiai išvardija.
Du keliai. Pirmas: patikrinkite savo svetainę šiandien (ne savaitę, ne mėnesį) – Chrome adreso juosta, Search Console, PageSpeed. Jei viskas tvarkoje, puiku. Jei ne – hostingo valdymo panelė arba žmogus, prižiūrintis jūsų svetainę, turi tai ištaisyti per dieną, ne per savaitę.
Antras: jei ketinate kurti naują svetainę, reikalaujate HTTPS kaip sąlygos nuo pirmosios dienos – ne kaip papildomo darbo paskutinę savaitę prieš paleidimą.
Per artimiausius 30 dienų pasitikrinkite sertifikato galiojimo datą – ypač jei naudojate automatinį Let’s Encrypt atnaujinimą, nes kartais automatika stringa ir sertifikatas nuskęsta tyliai, be jokio įspėjimo jums.