В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.
Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:
В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные:
По статистике Google Transparency Report, пользователи загружают больше половины сайтов через HTTPS протокол. Доля растёт особенно быстрыми темпами в России.
Если вы ещё не установили на свой сайт SSL-сертификат — самое время это сделать. До выхода Chrome 56 осталось меньше месяца.
Скидки на любые сертификаты до конца декабря 2016, спешите (вам также помогут: выбрать, купить и установить сертификат на ваш хостинг).
Выбрать и купить SSL-сертификат можно здесь.
Единственный минус покупного сертификата — это требование наличия выделенного IP-адреса для сайта (доменного имени) на которого он выпускается. У Let’s Encrypt такого требования нет. Но как правило покупные SSL-сертификаты выпускаются на срок не менее 1 года. Это большой плюс, т.к. не придётся часто его перевыпускать и соответственно обновлять сертификат на хостинге.
Если у вас есть возможность самостоятельно устанавливать сертификаты на свой хостинг, но нет желанию платить деньги за выпуск SSL-сертификата, вы можете воспользоваться свободной автоматизированной системой центра сертификации — Let’s Encrypt. Чтобы получить больше информации по внедрению Let’s Encrypt, воспользуйтесь этой ссылкой. Но надо понимать, что сертификаты Let’s Encrypt выпускаются на 4 месяца, после этого их надо перевыпускать и обновлять сертификат на хостинге. Для реализации этой задачи, необходимо писать скрипты (Python, Bash, и пр.) автоматизирующие этот рутинный процесс. Не каждый хостинг позволяет производить данные манипуляции. Как правило для этого нужен VPS/VDS хостинг. А это как правило значительно дороже, нежели простой виртуальный хостинг. Если вы хотите использовать Let’s Encrypt на виртуальном хостинге без выделенного IP-адреса, то в этом вам поможет хостинг от Timeweb, проверенный временем. При покупке хостинга в Timeweb, у вас появляется возможность подключить к вашему сайту бесплатный SSL-сертификат от Let’s Encrypt. Всё интуитивно понятно, делается в несколько кликов из админ-панели управления хостингом. SSL-сертификаты в этом случае перевыпускаются и устанавливаются автоматически, не требуя реакции с вашей стороны. Поверьте, это очень удобно, так что советую воспользоваться.
We’re at a turning point: 2017 is going to be the year that we’re going to see features in WordPress which require hosts to have HTTPS available. Just as JavaScript is a near necessity for smoother user experiences and more modern PHP versions are critical for performance, SSL just makes sense as the next hurdle our users are going to face.
SSL basically means the link between your browser and the server is encrypted. SSL used to be difficult to implement, and often expensive or slow. Modern browsers, and the incredible success of projects like Let’s Encrypt have made getting a certificate to secure your site fast, free, and something we think every host should support by default, especially in a post-Snowden era. Google also weighs SSL as a search engine ranking factor and will begin flagging unencrypted sites in Chrome.
First, early in 2017, we will only promote hosting partners that provide a SSL certificate by default in their accounts. Later we will begin to assess which features, such as API authentication, would benefit the most from SSL and make them only enabled when SSL is there.
Separately, I also think the performance improvements in PHP7 are particularly impressive, and major kudos to everyone who worked on that. We will consider whether hosts use PHP7 by default for new accounts next year as well.