В августе 2014 года Google анонсировал, что сайты, использующие протокол HTTPS/SSL, получат бонус в ранжировании, а с течением времени этот сигнал будет становиться все более важным. Запуск нововведения инициировал аналитик и инженер отдела качества поиска Google Гэри Илш (Gary Illyes). «Я тот, кого вы можете ругать за преференции защищенным сайтам», - начал он своё выступление на конференции SMX East 2014 , которая проходила этой осенью в Нью-Йорке.
О безопасности в интернете, особенностях внедрения протоколов шифрования, большей информативности сервиса «Инструменты для веб-мастеров Google» и других вопросах с представителем Google беседует наша редакция в эксклюзивном интервью для Searchengines.ru
SE: В случае миграции на протокол HTTPS, у вебмастера возникает ряд вопросов, когда на одном IP адресе размещено несколько сайтов. Как мы знаем, один сертификат выдается для одного сайта на одном IP адресе. Что можно порекомендовать вебмастеру, желающему перевести на HTTPS протокол все свои сайты, находящиеся на одном IP? Желание сэкономить вполне естественно, нет ли способов помочь вебмастеру в этой ситуации?
Gary Illyes: Это отличный вопрос, и нам его задают очень часто! Это распространенное заблуждение, считать, что для выдачи SSL сертификата необходим выделенный IP адрес: используя Server Name Indication (SNI, http://en.wikipedia.org/wiki/Server_Name_Indication) можно получить столько сертификатов безопасности, сколько нужно вебмастеру для одного shared IP, на котором хостятся его сайты. Именно так работает CloudfFlare, предоставляющий услугу Free SNI SSL всем их клиентам: https://www.cloudflare.com/ssl
Помимо этого, есть возможность (и часто используется на практике) иметь один сертификат безопасности, для большого количества сайтов, поскольку мы с вами можем добавить в список Subject Alternative Names столько имен хостов, сколько нам нужно.
Выбирая между этими двумя возможностями, вебмастер получает значительно больше степеней свободы на своём виртуальном хостинге для обеспечения безопасности сайтов.
SE: Существуют сайты с разными категориями контента: статьи, новости, посты в блоге и т.д. и, например, форум пользователей. Предположим, вебмастер хочет перевести на протокол HTTPS только форум. Что вы думаете об этой стратегии частичного перехода на безопасный протокол, нужно ли непременно переводить сайт на HTTPS полностью? Не будет ли потерь позиций сайта в случае частичного перехода?
Gary Illyes: Мы вообще считаем, что все сайты должны перейти на протокол HTTPS. Стратегия частичного перевода сайта, тем не менее, имеет право на жизнь с нашей точки зрения, однако мы рекомендуем провести полный переход всего сайта на безопасный протокол, тем более, что проще применить HTTPS к целому сайту, чем к его отдельным разделам.
С точки зрения пользователя, я, например, предпочел бы, чтобы мое внимание при просмотре сайта не распылялось на возможные предупреждения браузера о смене протокола при переходе между разделами.
И еще – мы, со стороны Google, работаем с сайтом, принимая во внимание каждый отдельный его URL, так почему не использовать преимущество в ранжировании для каждого URL вашего сайта!
SE: Когда мы вспоминаем HeartBleed Bug, уязвимость openSSL, найденную в апреле 2014, становится понятно, что она стала кошмаром для вебмастеров всего мира. Работаете ли вы над тем, чтобы обнаруживать такие уязвимости как можно раньше?
Gary Illyes: Безопасность для нас является одним из наиболее приоритетных направлений. Сотрудники Google постоянно уделяют внимание исследованиям, как сделать Интернет более безопасным, что и приводит к обнаружению уязвимостей, таких, как Heartbleed или POODLE. Это очень важно для нас – постоянно работать над безопасностью сети Интернет!
SE: Протокол TLS – это расширенная и улучшенная версия того же самого SSL. Рекомендуете ли вы сегодня использовать исключительно TLS для всех типов сайтов? Какие основные преимущества предоставляет данный протокол?
Gary Illyes: Насколько мне известно, впервые SSL 3.0 был определён как протокол безопасности 20 лет назад, другие версии SSL – еще более устаревшие. В эти 2 десятилетия мы пережили настоящий технологический прорыв, предоставляющий нам множество преимуществ. В сочетании с обнаружением отдельных багов во внедрении протокола и развитием криптографии в целом, было решено, что протокол SSL на сегодняшний день не отвечает тем задачам, для которых он был разработан. При разработке TLS ошибки были устранены, и сегодня этот протокол обеспечивает гораздо бóльшую безопасность, чем его предшественник.
SE: Возможно ли декриптить пассивно перехваченный SSL/TLS трафик?
Gary Illyes: Я думаю, правильный ответ будет «зависит от ситуации». Во-первых, для того, чтобы декриптить пассивно выловленный трафик, нужно иметь закрытый ключ шифрования, доступный лишь его владельцу. Получить этот ключ очень непросто. Второе, даже с этим ключом, если хост использует совершенную прямую секретность (Perfect forward secrecy, PFS), то, что мы внедрили на наших сервисах, таких как Gmail, Search and Google+ достаточно давно, расшифровка становится практически невозможной.
SE: Какие ресурсы вы могли бы посоветовать для изучения SSL/TLS, Public Key Infrastructure, и так далее?
Gary Illyes: Хороший вопрос! Я думаю, это зависит от того, насколько глубоко вы хотите изучить эти предметы. Для пошаговых рекомендаций и подробного разбора кейсов внедрения, я настоятельно рекомендую отличную статью по теме от Yoast, а для понимания основ Transport Layer security и получения ценной информации по теме "Что может пойти не так при установке на сервер и как действовать в этом случае", мне очень нравится ресурс OWASP's Transport Layer Protection Cheat Sheet. Заслуживает внимания также и Wikipedia для вопросов архитектуры, для изучения процессов на уровне внедрения вы можете изучить контент группы IETF TLS Working Group, где вы можете найти ответ на любой вопрос, возникающий в процессе работы с протоколом!
SE: Google борется с искусственными ссылками, это понятно, а что происходит в плане борьбы с накрутками факторов поведения пользователей на сайте и SERP?
Gary Illyes: Мы постоянно работаем над качеством поиска, но поскольку мы по большей части используем именно клики для наших экспериментов на больших данных, возможными накрутками кликов мы пренебрегаем, поскольку они статистически малы. В данном случае они не являются проблемой.
SE: Что вы думаете о качестве поиска Google.ru, особенно для геозависимых запросов? Считаете ли вы его удовлетворительным?
Gary Illyes: Мы всегда ищем пути улучшения качества поиска, независимо от локации и языка. Для нас крайне важно, чтобы пользователи получали наиболее релевантные ответы на их запросы, и, в частности, у нас есть команды, работающие над качеством поиска, у которых Россия в приоритете.
SE: Иногда, после того, как вебмастер изменяет файл disavow (в случае, если он предполагает наложение санкций), органический трафик возрастает после загрузки отредактированного файла disavow, хотя в интерфейсе Google Webmaster Tools нет никаких сообщений о санкциях по отношению к сайту, почему это может происходить?
Gary Illyes: Я бы хотел посмотреть на пример такого события, в случае, если оно произойдет: немедленного эффекта на траффик от загрузки измененного файла disavow быть не должно. Файл disavow используется всего в нескольких случаях, например, при обработке запросов на пересмотр ручных санкций ("reconsideration requests"), а также в алгоритме Penguin.
SE: Планируете ли вы улучшать точность и полноту вашего алгоритмического фильтра сайтов-аффилиатов?
Gary Illyes: Мы постоянно работаем над точностью и полнотой наших алгоритмов. Если у вас есть примеры некорректной работы алгоритма поиска сайтов-аффилиатов, вы можете запостить этот пример на нашем Webmaster Forums, в разделе Russian Google Community for Webmasters, или же вы можете присоединиться к Russian Webmaster Hangouts, которые анонсированы на официальной странице Google+ Россия.
SE: Планируете ли вы показывать больше информации в панели вебмастера Google о проблемах сайта? Прежде всего, конечно, сообщество вебмастеров заинтересовано в отражении в панели GWT информации о санкциях, наложенных очередными релизами Panda и/или Penguin, возможно ли это в будущем?
Gary Illyes: Мы и в самом деле думаем, что еще мы можем показать в панели Google Webmaster Tools! Однако, я не думаю, что мы будем показывать что-либо, касающееся Penguin или Panda, поскольку эти алгоритмы были разработаны для улучшения результатов поиска, а не для действенной обратной связи с вебмастерами, но мы всегда открыты для предложений!
SE: Когда вебмастера видят в своей рабочей панели GWT предупреждение об искусственных ссылках, они всегда очень волнуются. Планируете ли вы встроить эту опцию (определение и борьба с искусственными ссылками) в алгоритм Penguin, или она будет развиваться независимо?
Gary Illyes: Предупреждение в панели вебмастера Google об искусственных или неестественных ссылках ("unnatural links") - это про ручные санкции, не про Penguin. Мы всегда принимаем во внимание все возможные сигналы, которые могут помочь улучшить качество поиска, но на данный момент на эту тему воздержусь от комментариев.
SE: Планируете ли вы закрыть Google+, или эта сеть будет продолжать развиваться? Вебмастера также беспокоятся по поводу удаления авторской разметки (Google Authorship Markup) со своих сайтов, не потеряет ли сайт свои позиции и как вообще это может сказаться на ранжировании? Очень хотелось бы услышать ваши комментарии.
Gary Illyes: Мы прекратили обрабатывать данные по авторской разметке примерно в период нашего публичного анонса, так что удаление разметки никак не повлияет ни на что для вашего сайта в поиске Google.
Что касается Google+, я не работаю над этим проектом и не могу комментировать наши планы в его отношении. Я, однако, активный пользователь Google+ и постоянно наблюдаю, как эта сеть растет, что дает мне повод для оптимистичных выводов в отношении будущего развития этого продукта.
SE: Есть ли в планах Google показывать в панели GWT список всех проиндексированных страниц сайта, или может быть, предоставить такой инструмент «проверить определенный URL» с подробной информацией? У Яндекса в панели вебмастера есть такой инструмент, это очень удобно, может, и Google сделает такой?
Gary Illyes: Мы много размышляли на эту тему. Что касается списка всех страниц сайта, для больших сайтов это будет список из миллионов страниц, это не подходит нам с вами.
Что касается проверки в панели вебмастера отдельного определенного URL, мы предлагаем использовать обычный инструмент расширенного поиска Google "info:", соответственно, мы решили не внедрять эту функцию в GWT. Но мы, конечно, всегда открыты для предложений и обсуждений и можем снова вернуться к этому вопросу вместе с нашей командой Google Webmaster Tools Team!
SE: Спасибо большое за интервью!
Беседовала Лада Калашникова
