Несколько недель назад, 6 ноября 2020 стало известно что SSL-сертификаты, выданные Let's Encrypt перестанут работать для пользователей Android 7.1 (Nougat) и более ранних версий (Marshmallow, Lollipop, KitKat, JellyBean и IceCream Sandwich). Это значит что часть аудитории сайта будут видеть такое окно при входе:
К слову, сайтов в зоне .RU с таким сертификатом около 70%. А пользователей с такими версиями Android в Google Play около 33,8%.
Давайте разберемся как оценить масштаб проблемы для своего сайта и какие пути её решения есть.
В чем суть проблемы
При создании центра сертификации Let’s Encrypt было принято решение запросить у другого центра сертификации (IdenTrust) перекрестную подпись. Это было нужно чтобы сертификаты сразу начинали пользоваться доверием со стороны большинства операционных систем и браузеров, иначе получение доверия с их стороны заняло бы годы.
Благодаря использованию корневого сертификата «DST Root X3» от IdenTrust сертификаты компании сразу получили поддержку у Windows, Firefox, macOS, Android, iOS и множества дистрибутивов Linux. Параллельно с этим Let’s Encrypt решили зарегистрировать свой сертификат «ISRG Root X1» чтобы основные платформы начали ему доверять.
Срок действия сертификата «DST Root X3» истекает 1 сентября 2021 года, но Let’s Encrypt решили отказаться от дальнейшего использования перекрестной подписи в пользу своего корневого сертификата.
У нового корневого сертификата есть проблемы совместимости. Программное обеспечение, которое не обновлялось с 2016 года (когда новый сертификат получил широкую поддержку) по-прежнему не доверяет «ISRG Root X1». Например, сюда входят устройства на базе Android до 7.1.1.
Как проверить сертификат
Проверить сертификат можно с помощью онлайн-сервиса https://www.sslshopper.com/ssl-checker.html. Для этого указываем в поле ввода на странице адрес вашего сайта:
Если в результате у одной из зеленых галочек видим строку «The certificate was issued by Let's Encrypt.», то вам не повезло. Ваш сайт использует сертификат Let's Encrypt.
Также можно проверить вручную, через тот же Google Chrome. Для этого перейдя на проверяемый сайт нажмите на иконку замочка слева от адреса сайта в адресной строке браузера. В появившемся списке выберите сертификат.
Если в открывшемся окне в поле «Кем выдан» указано «Let's Encrypt Authority X3», то проблема коснется и вашего сайта.
Оценка масштаба проблемы
Проблемы в большей степени возникнут с пользователями которые будут переходить по небрендовым поисковым запросам (и контекстной рекламе). То есть с той аудиторией, которая не искала именно ваш сайт.
Не стоит ориентироваться на какие-то общие показатели доли устройств Android 7.1 (и более ранних версий), гораздо правильнее вычислить эту долю для текущей аудитории вашего сайта.
Оценка в Яндекс.Метрике
Для расчёта через Метрику заходим в её отчёт «Источники, сводка» (1), выбираем период в несколько месяцев (2) и добавляем фильтрацию по визиту (3). В фильтрации переход в раздел «Технологии» (4), а затем в подраздел «Операционные системы» (5). Раскрываем список версий операционной системы Google Android (6), выбираем все те что вышли ранее 7.1 (включительно), нажимаем применить (7).
Теперь нажимаем «Сравнить сегменты» и выбираем пункт «С сегментом, заданным вручную». Смотрим какие данные получились у источника «Переходы из поисковых систем». В моём примере вышло 2 218 и 19 554.
Делим первое на второе и получаем 11,34%. Примерно столько процентов аудитории сайта можно потерять, если продолжить использовать сертификат Let's Encrypt.
Оценка в Google Analytics
При расчете через Google Analytics (если вы не обновили его до 4 версии) нам нужно зайти в «Источники трафика» (1) - «Весь трафик» (2) - «Источник/канал» (3). Далее - в верхнем правом углу выбираем нужные даты (например, несколько последних месяцев).
Создаем сегмент (4), в источниках трафика (5) выбираем фильтрацию по сеансам (6) и для вводим «organic» в поле «Канал» (7), при типе соответствия «содержит».
Называем сегмент "Поисковый трафик". Теперь нам нужно создать сегмент поискового трафика пользователей старых версий Android, для этого создаем второй сегмент повторяя все предыдущие шаги, назовем второй сегмент "Поисковый трафик не доверяющий Let’s Encrypt".
Следующим этапом переходим в настройки сегмента «Условия» (1) и добавляем два фильтра по сеансам:
- «Операционная система» содержит «Android» (2);
- «Версия операционной системы» не соответствует регулярному выражению «$8|$9|$10|$11|$12» (3).
Сохраняем сегмент. Применяем для представления сегмент с поисковым трафиком (1) и сегмент с поисковым трафиком не доверяющим Let’s Encrypt (2). В таблице с данными берем общее количество сеансов для каждого сегмента (3) и делим меньшее число на большее. В моём случае получилось 47,75%.
Что мы получили
Теперь мы поняли какая доля устройств может получить предупреждение при входе на сайт. Если ваш трафик в основном брендовый, то вряд ли что-то сильно изменится. Но, если вы занимаетесь SEO и значимая часть трафика идёт по небрендовым запросам, задумайтесь готовы ли вы потерять этих пользователей или нужно решать проблему.
Как решить проблему
Итак, вы решили что не готовы терять эту часть пользователей и портить свои результаты в SEO. Теперь вам нужно сменить свой SSL-сертификат на новый. Можно попробовать поискать бесплатные SSL-сертификаты (обращайте внимание на срок действия сертификата и количество его бесплатных продлений), либо взять платный (но без лишнего геморроя). Популярные центры сертификации с платными SSL-сертификатами: Comodo, Thawte и RapidSSL. Не забывайте что сертификаты чаще всего даются на год, а значит слишком рано покупать их невыгодно (но стоит поставить себе до сентября 2021 событие в календаре, увидев которое вы смените свой сертификат).
Кстати, у меня все свои сайты работают на Let's Encrypt. И менять я сертификаты не собираюсь. Дело в том, что по отдельности каждый сайт не приносит большого дохода, а значит покупка для каждого из них своего SSL сделает их менее прибыльными.
А вы используете Let’s Encrypt? Если да, то планируете менять сертификат?
