Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

HSTS: а стоит ли внедрять?


Recommended Posts

Доброй поры суток.

Запускаем новый сайт. Решил проверить на всякий пожарный в Serpstat на ошибки, а вдруг, что критичное есть...

Помимо прочего, обратил внимание и на то, что отсутствие на сайте протокола HSTS, по мнению серпстата, - это "ошибка", которая имеет высокий приоритет... Вот я и задумался: это только в Serpstat эта "ошибка" имеет высокий приоритет или и в поисковых системах тоже? Т.е. стоит ли ее внедрять на сайте или нет?

https://prnt.sc/-NQYE7eESWtK

 

Кто-нибудь из специалистов может подсказать, насколько на самом деле важен для SEO продвижения (в частости в Google) вопрос об использовании протокола HSTS на сайтах?

Желательно из собственного практического опыта.

Т.е. если перефразировать вопрос более просто, то могу спросить так: насколько меньше Гугл будет "любить" сайт и насколько менее эффективно он (сайт) будет продвигаться в поисковой системе (при прочих равных условиях), если на сайте не будет использоваться технология HSTS?

 

Многие сайты используют эту технология, но многие и не используют. Чисто ради интереса проверил на вскидку некоторые популярные интернет-магазиы и маркетплейсы... и как видно, используют HSTS далеко не все...

motoblok.biz - не использует
allo.ua - не использует
f.ua - не использует
ua.all.biz - не использует

Надіслати
Поділитися на інших сайтах


В чем суть вопроса? Вам что жалко включить? :)

Единственная причина не включать (ну за исключением некомпетентности, когда просто не умеют) - это когда у домена есть и http и https версии сайта параллельно.

HSTS ничего особо не делает, а лишь информирует браузеры постителей, что мол сюда заходить лучше сразу по https. Браузер это запоминает и дальше при последующих повторных попытках открыть http://site.com он вместо http сразу подставляет https://site.com и даже не пытается зайти на http://

 

Проверьте еще сайт свой тут:

https://www.ssllabs.com/ssltest/analyze.html?d=notslow.ua

Возможно кроме HSTS есть еще какие-то SSL моменты, которые стоит поправить.

Змінено користувачем NotSlow
Надіслати
Поділитися на інших сайтах


29.02.2024 в 08:44, NotSlow сказал:

В чем суть вопроса? Вам что жалко включить?

более подробно я уж не знаю, как и излагать, даже выделил жирным: насколько на самом деле важен для SEO продвижения (в частости в Google) вопрос об использовании протокола HSTS?

Именно в этом и есть суть вопроса.

 

Я его подключать не хочу. Причина проста - дополнительные риски потери трафика при глюках на хостинге.

Мы пользуемся обычным R3 Let's Encrypt сертификатом. Выдаются такие сертификаты на 3 месяца. Новые сертификаты по окончании действия старого автоматом генерируются в админке хостинга (и прописываются для домена тоже автоматом). Вдруг что-то не так пойдет с этим процессом (не вовремя сгенерируется новый сертификат, например), то сайт для посетителей просто станет недоступным, т.к. их браузеры будут принудительно перенаправлены на HTTPS (которого в тот момент просто может не быть на сайте из-за банальных глюков на хостинге).

 

Но если HTST реально важен для Гугла и за его (HSTS) использование на своем сайте я получу дополнительные "баллы" (которые существенно поднимут "впечатление гугла" о моем сайте) при ранжировании в поисковой выдаче, тогда уж буду его включать на сайте и внимательно следить за тем, чтобы все работало исправно. 

Надіслати
Поділитися на інших сайтах


В 29.02.2024 в 20:56, shurc1 сказав:

дополнительные риски потери трафика при глюках на хостинге.

Такого не повинно бути, якщо є - потрібно змінювати хостинг. Я використовую HSTS через cloudflare, жодних плюсів чи мінусів не помітив. Аое це рекомендують, то чому б ні

Надіслати
Поділитися на інших сайтах

29.02.2024 в 21:56, shurc1 сказал:

подключать не хочу

Ну не подключайте... и предположим сертификат истек, что произойдет?

У вас разве нет сейчас редиректа с http на https?

Без HSTS пользователи будут заходить по http, их будет редиректить на неработающий https и что поменяется?

И даже более... некоторые браузеры сейчас при попытке открыть site.com первым делом пытаются открыть https://site.com, а не http://site.com как обычно было ранее.

Т.е. HSTS что есть что нету с вашей стороны, со стороны посетителей все равно они с большой вероятностью будут идти сразу на https.

 

А именно для SEO почти уверен что без разницы.

Но я в гугле не работаю и мое мнение (как и всех тут на форуме) никак не отражает как оно есть на самом деле :)

Лишь обращаю внимание, что в случае если кто-то/что-то профукает ваш сертификат, то наличие или отсутствие HSTS ничем не поможет в этой ситуации.

 

Как к примеру сделано у меня.

Скрипт продления всех сертификатов запускается ежедневно. Если у каких подходит срок, те пытаются продляться, остальные не пытаются.

Если что-то в этом процессе идет не так (например домен не работает, с dns что-то или что угодно еще), то появляется ошибка и эта ошибка приходит мне на почту. Т.е. я сразу узнаю что такой-то сертификат не продлился и разбираюсь с вопросом. Сайт конечно же в это время продолжает работать со старым (еще не просроченным) сертификатом.

И да, HSTS везде включены.

Змінено користувачем NotSlow
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.