HSTS: а стоит ли внедрять?

[shurc1]

Доброй поры суток.

Запускаем новый сайт. Решил проверить на всякий пожарный в Serpstat на ошибки, а вдруг, что критичное есть...

Помимо прочего, обратил внимание и на то, что отсутствие на сайте протокола HSTS, по мнению серпстата, - это "ошибка", которая имеет высокий приоритет... Вот я и задумался: это только в Serpstat эта "ошибка" имеет высокий приоритет или и в поисковых системах тоже? Т.е. стоит ли ее внедрять на сайте или нет?

https://prnt.sc/-NQYE7eESWtK

 

Кто-нибудь из специалистов может подсказать, насколько на самом деле важен для SEO продвижения (в частости в Google) вопрос об использовании протокола HSTS на сайтах?

Желательно из собственного практического опыта.

Т.е. если перефразировать вопрос более просто, то могу спросить так: насколько меньше Гугл будет "любить" сайт и насколько менее эффективно он (сайт) будет продвигаться в поисковой системе (при прочих равных условиях), если на сайте не будет использоваться технология HSTS?

 

Многие сайты используют эту технология, но многие и не используют. Чисто ради интереса проверил на вскидку некоторые популярные интернет-магазиы и маркетплейсы... и как видно, используют HSTS далеко не все...

motoblok.biz - не использует
allo.ua - не использует
f.ua - не использует
ua.all.biz - не использует

[SergeTkach]

Доброго ранку!

Так це ж мова про SSL (HTTPS) - і на всіх перелічених сайтах він є.

[NotSlow]

В чем суть вопроса? Вам что жалко включить?

Единственная причина не включать (ну за исключением некомпетентности, когда просто не умеют) - это когда у домена есть и http и https версии сайта параллельно.

HSTS ничего особо не делает, а лишь информирует браузеры постителей, что мол сюда заходить лучше сразу по https. Браузер это запоминает и дальше при последующих повторных попытках открыть http://site.com он вместо http сразу подставляет https://site.com и даже не пытается зайти на http://

 

Проверьте еще сайт свой тут:

https://www.ssllabs.com/ssltest/analyze.html?d=notslow.ua

Возможно кроме HSTS есть еще какие-то SSL моменты, которые стоит поправить.

Змінено 29 лютого користувачем NotSlow

[SergeTkach]

Он як!)

[shurc1]

29.02.2024 в 08:44, NotSlow сказал:

В чем суть вопроса? Вам что жалко включить?

более подробно я уж не знаю, как и излагать, даже выделил жирным: насколько на самом деле важен для SEO продвижения (в частости в Google) вопрос об использовании протокола HSTS?

Именно в этом и есть суть вопроса.

 

Я его подключать не хочу. Причина проста - дополнительные риски потери трафика при глюках на хостинге.

Мы пользуемся обычным R3 Let's Encrypt сертификатом. Выдаются такие сертификаты на 3 месяца. Новые сертификаты по окончании действия старого автоматом генерируются в админке хостинга (и прописываются для домена тоже автоматом). Вдруг что-то не так пойдет с этим процессом (не вовремя сгенерируется новый сертификат, например), то сайт для посетителей просто станет недоступным, т.к. их браузеры будут принудительно перенаправлены на HTTPS (которого в тот момент просто может не быть на сайте из-за банальных глюков на хостинге).

 

Но если HTST реально важен для Гугла и за его (HSTS) использование на своем сайте я получу дополнительные "баллы" (которые существенно поднимут "впечатление гугла" о моем сайте) при ранжировании в поисковой выдаче, тогда уж буду его включать на сайте и внимательно следить за тем, чтобы все работало исправно. 

[Flint2000]

В 29.02.2024 в 20:56, shurc1 сказав:

дополнительные риски потери трафика при глюках на хостинге.

Такого не повинно бути, якщо є - потрібно змінювати хостинг. Я використовую HSTS через cloudflare, жодних плюсів чи мінусів не помітив. Аое це рекомендують, то чому б ні

[NotSlow]

29.02.2024 в 21:56, shurc1 сказал:

подключать не хочу

Ну не подключайте... и предположим сертификат истек, что произойдет?

У вас разве нет сейчас редиректа с http на https?

Без HSTS пользователи будут заходить по http, их будет редиректить на неработающий https и что поменяется?

И даже более... некоторые браузеры сейчас при попытке открыть site.com первым делом пытаются открыть https://site.com, а не http://site.com как обычно было ранее.

Т.е. HSTS что есть что нету с вашей стороны, со стороны посетителей все равно они с большой вероятностью будут идти сразу на https.

 

А именно для SEO почти уверен что без разницы.

Но я в гугле не работаю и мое мнение (как и всех тут на форуме) никак не отражает как оно есть на самом деле

Лишь обращаю внимание, что в случае если кто-то/что-то профукает ваш сертификат, то наличие или отсутствие HSTS ничем не поможет в этой ситуации.

 

Как к примеру сделано у меня.

Скрипт продления всех сертификатов запускается ежедневно. Если у каких подходит срок, те пытаются продляться, остальные не пытаются.

Если что-то в этом процессе идет не так (например домен не работает, с dns что-то или что угодно еще), то появляется ошибка и эта ошибка приходит мне на почту. Т.е. я сразу узнаю что такой-то сертификат не продлился и разбираюсь с вопросом. Сайт конечно же в это время продолжает работать со старым (еще не просроченным) сертификатом.

И да, HSTS везде включены.

Змінено 1 березня користувачем NotSlow