переход с http на https без потерь
Привет, друзья. Я вам обещал как-то рассказать про переезд на https для сайта на WordPress, да и вы меня просили в комментах описать данный процесс.
Знаю, что таких мануалов в сети достаточно, я сам их гуглил, но алгоритмы везде довольно разные. Скорее всего, и особенности у каждого сайта тоже будут свои. Каждый описывает личный опыт, проблемы и ошибки.
Почему бы и мне не описать свой опыт переезда с http на https для моего блога на WordPress – alaev.info. Вот прямо сейчас возьму и начну этим заниматься и описывать процесс в реальном времени.
За основу буду брать свою же инструкцию: как правильно перевести сайт с HTTP на HTTPS без потерь и накладывать на нее особенности WordPress. Общую теорию, выбор сертификата и прочее вы можете прочитать в инструкции по ссылке выше, я же перейду сразу к делу. Я выбрал для себя бесплатный сертификат Let’s Encrypt, который мы ставим всем нашим клиентам, кроме того он бесплатный, и ISP панель управления на моем сервере позволяет его установить в 1 клик с последующим бесшовным обновлением сертификата каждые 3 месяца.
Итак, план следующий:
- Установить SSL-сертификат,
- Проверить корректность установки SSL-сертификата,
- Изменить в админке WordPress адрес сайта на https,
- Изменить адреса всех скриптов и стилей, используемых на сайте,
- Сделать бекап БД,
- Изменить в БД все внутренние ссылки и изображения на https,
- Проверить xml-карту сайта,
- Просканировать весь сайт краулером и убедиться, что нет ошибок,
- Добавить https версию сайта в Яндекс.Вебмастер,
- Добавить https версию сайта в Google Search Console,
- Сделать 301-редирект,
- В Яндекс Вебмастере сделать переезд сайта на HTTPS.
А теперь пора приступать к выполнению намеченного плана. Надеюсь, что все пройдет без проблем!
Устанавливаем SSL-сертификат
Я уже говорил, что у меня на сервере установлена система управления ISP Manager. Потому покажу процедуру именно в этой панели. Так что авторизовываемся, переходим в раздел «Домены» — «WWW-домены» и выбираем наш сайт, то есть alaev. info:
Открываем двойным щелчком настройки и отмечаем пункт «Защищенное соединение (SSL)». Появятся несколько новых полей, в одном из них «SSL-сертификат» выбираем «Новый Let’s Encrypt сертификат»:
Пункт «Перенаправлять HTTP-запросы в HTTPS» пока не отмечаем, сделаем это в самом конце, если понадобится.
После того, как мы нажмем ОК, нас перебросит на страницу настройки сертификата:
Можно ничего не менять и нажать ОК, если вы не собираетесь связываться с поддоменами. Но у меня есть несколько поддоменов: trust.alaev.info, parser.alaev.info, store.alaev.info и talk.alaev.info. Я собираюсь их тоже перенести на https в будущем, поэтому выбираю «Wildcard сертификат». Это меняет только способ проверки, и в моем случае «Проверка владения будет проведена через DNS».
Чтобы убедиться в том, что процесс генерации сертификата начат, переходим в «Настройки web-сервера» — «SSL-сертификаты» и видим там наш новый серт:
Процесс будет логироваться, для проверки нажимаем «Let’s Encrypt Журнал»:
В моем случае появилось сообщение «Токен для проверки создан» — в разделе уведомлений (иконка с восклицательным знаком рядом со стройкой глобального поиска в самом верху) появилось сообщение:
Для продолжения процедуры получения сертификата Let’s Encypt alaev. info_le1 добавьте TXT-записи: ‘_acme-challenge.alaev.info. TXT WKsjU1eqMXPECCpJX3Kx9N0Vvwqf3lZKqi_hRxv5Ghc, _acme-challenge.alaev.info. TXT _yWlkP6P-_8sbLWwhNL2lcC3OFJtPjm8xJLoBF4Bhx9’ на серверах имен ‘dns4.fastdns24.link., dns.fastdns24.com., dns2.fastdns24.org., dns3.fastdns24.eu.’. Получение будет возобновлено после 2019-04-11 16:36:02
Я создал две соответствующие TXT записи в настройках DNS домена. Вам надо будет сделать тоже самое, если будете выбирать подтверждение через DNS. А если нет – то нет 🙂
Спустя 30 минут прилетело уведомление: «Let’s Encrypt сертификат alaev.info_le1 получен успешно», а в журнале это выглядит так:
Проверяем, работает ли сертификат
Сайт открывается по https без предупреждения об исключениях безопасности – все правильно.
Пока шла процедура выдачи Let’s Encrypt SSL-сертификата, сайту был подключен самоподписанный сертификат, и при попытке перехода на сайт по https появлялось такое сообщение:
Разумеется, так быть в итоге не должно, иначе никто не попадет на наш сайт, не подтвердив исключение, а делать это умеют не только лишь все. ..
После успешной установки и проверки сертификата Let’s Encrypt, сайт стал открываться без предупреждения:
Я не готов пока сказать, что все так как надо, потому что надо вот так:
Но не переживайте, с этим мы разберемся чуть позже. А сейчас главное, чтобы сертификат работал корректно.
Проверяем корректность установки SSL-сертификата
Воспользуемся сервисом https://www.ssllabs.com/ssltest/analyze.html (проверка занимает несколько минут):
И для верности еще https://www.sslshopper.com/ssl-checker.html (проверка почти моментальная):
Как видите, у меня все прекрасно! Уверен, что у вас тоже, если следуете моей инструкции!
Меняем адрес блога на https в админке WordPress
Идем в админку своего сайта на WordPress в «Настройки» — «Общие» и меняем два поля «Адрес WordPress (URL)» и «Адрес сайта (URL)». Было http://alaev.info – стало https://alaev.info:
И сохраняем это дело.
Исправляем адреса файлов скриптов и стилей на https
Теперь давайте сделаем так, чтобы наш сайт выглядел снова красиво. Дело в том, что у нас подключаются стили и скрипты по http протоколу, а браузеры по умолчанию блокируют незащищенное содержимое для сайтов на защищенном https-протоколе.
Достаточно открыть исходный код главной страницы, чтобы увидеть это:
То, что я напишу ниже, скорее всего, будет отличаться от вашей ситуации, потому что темы у всех разные, они работают по разному. Моя тема так вообще самопальная, не имеющая никаких визуальных настроек или чего-то подобного, она настраивается через код и с помощью всяких функций через functions.php, так что…
В общем, выбираем в админке «Внешний вид» — «Редактор тем». А внутри темы смотрим файл functions.php. Так как я добавлял скрипты и стили в тему не просто добавляя их в шаблон header.php, а иначе, мне надо было поменять http на https тут:
Поменял. Сохранил.
Заодно заглянул в style.css и поменял там на https пути для изображений.
А еще прошел по всем файлам, из которых состоит тема и поискал там http ссылки, чтобы заменить на https.
Теперь все скрипты и стили у меня подключаются по https, но браузер все равно не доволен до конца, потому что изображения на сайте по прежнему содержат http.
Обязательная магическая процедура – сделать бекап!
Лично я для этого использую плагин WP-DB-Backup. Я использую его с тех самых пор, как появился на свет мой блог, а это уже почти 10 лет.
Кроме того, чтобы сделать бекап здесь и сейчас, этот плагин может отправлять бекапы на вашу почту, я делаю это по расписанию раз в день, у меня заведен специальный ящик, куда эти бекапы валятся. Ну так, на всякий случай, хотя за 10 лет это ни разу не пригодилось, но лучше подстраховаться.
Так что ставим плагин, либо же используем свой любимый другой плагин, либо вообще делаем бекап через phpMyAdmin… Да можете вообще бекап не делать, мне все равно!
Меняем все ссылки внутри сайта на https
Мы уже знаем, что у нас куча внутренних ссылок с протоколом http, и это дело надо исправить, но так как сделать это вручную не представляется возможным, я решил воспользоваться плагином Better Search Replace. Он позволит нам внести необходимые изменения прямо в БД, в таблицу с записями и комментариями (да и в другие таблицы, если это необходимо). Так что ставим его.
Переходим непосредственно к плагину. Я вам рекомендую сперва выполнить холостой прогон изменений. Для этого заполняем поля «Искать» и «Заменить на», соответственно на http://alaev.info/ и https://alaev.info/, выбираем все таблицы в БД и ставим галку «Холостой запуск? (без замены)»:
После запуска вверху вы увидите что-нибудь в духе: «ХОЛОСТОЙ ЗАПУСК: 28 таблиц было просмотрено, 3243 ячеек для обновления найдено, и 0 изменений сделано.»
Если так, значит все должно пройти успешно и при боевом запуске. Значит пора запускать боевой! Не перезагружая страницу, убираем галку напротив холостого запуска и жмем помолясь «Запустить Поиск/Замену».
Должны получить сообщение: «При поиске/замене, 28 таблиц было просмотрено, с 3243 ячейками для изменений, 3100 обновлений.»
Проверяем, что нет никакого смешанного содержимого
Теперь надо убедиться, что браузер теперь нами доволен и показывает заветный замочек. Вот так.
В Chrome:
В FireFox:
В случае если у вас показывается треугольник с восклицательным знаком, вам надо понять, что не так, и где остались еще ссылки на http.
Чтобы это понять, например, в Хроме нажимаем F12, откроется консоль, в ней выбираем вкладку Console:
Вот тут будут отображаться все ошибки, точнее уведомления, где, в каком месте стоит http:// ссылка. Фиксим все!
Проверяем xml-карту сайта
На всякий случай не забываем проверить xml-карту сайта https://alaev.info/sitemap.xml — надо убедиться, что там везде https. В проверке может помочь ComparseR:
И, конечно, в файле robots.txt меняем:Sitemap: http://alaev.info/sitemap.xml
на:Sitemap: https://alaev.info/sitemap.xml
А заодно можете из robots.txt строчку с директивой Host: удалить, т. к. она больше не учитывается Яндексом.
Прогоняем сайт краулером
Теперь сканируем весь сайт каким-нибудь краулером, я буду использовать свой любимый CompraseR. Нам надо убедиться, что не осталось никаких http ссылок и картинок, все страницы открываются, существуют, нигде никакие каноникалы не забыты, и все соответствует новому https протоколу. Для сканирования выбираем вот такие настройки:
И в идеале надо получить что-то вот в этом духе:
Чтобы не было внутренних редиректов и несовпадений url и canonical.
У меня все ок по результатам проверки!
Добавляем https версию сайта в Яндекс.Вебмастер
Добавляем сайт, как отдельный, не смотря на предупреждение Яндекса:
Жмем «Всё равно добавить https://alaev.info». И подтверждаем сайт удобным для нас образом.
Получится так:
Добавляем https версию сайта в Google Search Console
Можно выбрать новую функцию Гугла «Доменный ресурс» (в консоли под голотипом видим выпадающий список сайтов, а в самом низу есть кнопка «Добавить ресурс»):
Для этого способа подойдет только подтверждение права собственности через DNS запись домена. (.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Результат можно и нужно проверить, например, этими сервисами:
https://bertal.ru/
https://www.askapache.com/online-tools/http-headers-tool/
В течение нескольких дней после того, как вы настроите редирект, рекомендую заходить в Метрику: Отчеты — Стандартные отчеты — Содержание Страницы входа. После момента установки 301-редиректа у вас не должно быть посещений страниц в http адресом, только https. Примерно вот так это должно выглядеть:
Переезд сайта в Яндекс Вебмастере
А теперь, когда у нас работает 301-редирект, можно смело оформлять переезд сайта на https в панели вебмастера Яндекса. Выбираем «Индексирование» — «Переезд сайта», отмечаем «Добавить HTTPS» и сохраняем:
После этого можно и ссылку на xml-карту сайта указать новую в разделе «Индексирование» — «Файлы Sitemap».
Ну, вот, собственно, и все, дорогие друзья! Больше мне добавить нечего. Переезд на https осуществлен успешно. Чего желаю и вам!
Если будут какие-то вопросы, задавайте в комментариях.
А я пойду переносить свои поддомены на https.
До связи.
Переезд сайта на https — переходим на https без потери позиций
HTTPS (HyperText Transfer Protocol Secure) — это расширение протокола HTTP для поддержки шифрования. Основная цель такого расширения — повышение безопасности в процессе передачи данных.
Является ли HTTPS фактором ранжирования? Скорее да, чем нет, но очень слабым. По крайней мере, эта мысль прослеживается в высказываниях представителей как «Яндекса», так и Google.
Так, в панели «Яндекс.Вебмастера», в разделе «Качество сайта», при наличии HTTPS и достаточного количества переходов на защищенные страницы сайта, можно получить соответствующий знак:
Но на прямой вопрос о влиянии HTTPS на ранжирование представители Яндекса уклончиво отвечают, что выбор владельца сайта в пользу защищенного протокола может быть учтен.
Проще говоря, факт заботы о пользователях может быть как учтен, так и не учтен)
Google в этом вопросе более прямолинеен и без увиливаний говорит: да, это фактор ранжирования. И все же не стоит ожидать, что сразу после перехода на защищенный протокол ваш сайт поднимется в органической выдаче.
На сегодняшний день HTTPS-протокол — маст хэв для любых сайтов, особенно для тех, что предусматривают онлайн-оплату и работу с платежной информацией. Благодаря защищенному протоколу, данные от пользователя до сервера передаются в зашифрованном виде и не могут быть перехвачены.
Помимо защиты данных, для ответа на вопрос «зачем переходить на https», стоит выделить еще два нюанса:
- иконка замочка в адресной строке браузера;
- повышение доверия со стороны пользователей.
С учетом вышеперечисленного, переехать на HTTPS все же стоит.
Многие владельцы сайтов ошибочно полагают, что переезд на https обязательно сопровождается падением позиций сайта в поиске, потерей трафика и массой других проблем. Однако если сделать все правильно и быстро, ничего из этого не произойдет.
Описывая пошаговые действия по переходу на https, мы не будем останавливаться на технических нюансах для конкретных CMS (wordpress, opencart, modx, joomla и т.д.). Поэтому, если у вас не хватает технических знаний или Вы не уверены в своих силах – лучше привлечь для этих целей специалиста, иначе можно попросту навредить сайту. И да, перед началом работ всё-таки лучше сделать бекап (резервную копию).
4 шага для перехода на HTTPS
- Покупка и установка SSL-сертификата.
- Замена ссылок.
- Настройка редиректов.
- Уведомление ПС о переезде.
Переезжайте на HTTPS именно в таком порядке. Рекомендуем ни в коем случае не действовать наоборот, то есть сначала вносить изменения на сайте, а затем начинать приобретение сертификата.
Покупка и установка SSL-сертификата
Secure Sockets Layer (SSL) — криптографический протокол для безопасной связи. Для работы этого протокола необходим SSL-сертификат.
Для начала рассмотрим, какие бывают сертификаты по уровню подтверждения:
- DV — подтверждает только домен;
- OV — подтверждает принадлежность домена конкретной организации;
- EV — подтверждает информацию о юридическом лице (требует расширенной проверки).
Также тип сертификата зависит от количества сайтов, на которых его необходимо установить:
- один и несколько доменов — сертификат любого типа;
- поддомен — DV.
И, конечно же, сертификаты бывают платными и бесплатными. Самый популярный среди имеющихся в свободном доступе — Let’s Encrypt. Такой бесплатный вариант удобен и выполняет все те же функции, что и платный. Используйте его, если отсутствуют иные требования к SSL, рассмотренные выше.
Существует множество хостинг-провайдеров, позволяющих установить сертификат Let’s Encrypt в один клик, среди них: Timeweb, beget и др.
Приобрести SSL можно на любом хостинге, а также на специализированных сайтах. Процесс покупки, как правило, состоит из следующих этапов:
- Заказ сертификата, заполнение информации о сайте и администраторе.
- Получение на доменную почту файлов сертификата: приватного ключа, сертификата, цепочки подтверждения.
- Введение полученных данных.
- Активация сертификата для домена в панели управления хостинга.
Вне зависимости от типа сертификата, а также его стоимости, в результате ваш сайт должен открываться по двум адресам: с HTTP и HTTPS. Во втором случае сайт должен открываться, однако вы можете увидеть в адресной строке следующее:
Тогда переходим к следующему шагу.
Замена ссылок
Вторым шагом будет замена внутренних ссылок на сайте с HTTP на HTTPS.
Обратите внимание — заменить необходимо только ссылки, перенаправляющие на файлы и страницы вашего сайта, а именно:
- файлы скриптов и стилей;
- изображения;
- ссылки на другие страницы сайта.
Как только все ссылки будут заменены на HTTPS, в адресной строке появится иконка замка.
Важно: проверьте все типы страниц сайта на предмет оставшихся ссылок с HTTP.
Не забудьте про файлы robots.txt (если у вас осталась директива Host, замените адрес в ней, а также замените ссылку на XML-карту сайта) и sitemap.xml (все ссылки в карте сайта должны быть с HTTPS).
Настройка редиректов
Как только все ссылки будут заменены, в адресной строке у обоих вариантов вы увидите замок:
После этого необходимо настроить 301-й редирект со всех страниц сайта с HTTP на их версии с HTTPS.
Строки, отвечающие за редирект, добавляются в файл .
Этот код осуществляет 301-й редирект с http://site.ru
на https://site.ru
, с http://www.site.ru
на https://site.ru
для всех страниц сайта.
Важно: делайте бекап файла .htaccess перед внесением изменений!
Обязательно проверьте корректность настроенных редиректов. Используйте специальные сервисы, например Bertal или MainSpy.
При проверке страницы http://site.ru/stranica/
вы должны увидеть следующее:
Уведомление ПС о переезде на https
После всех совершенных манипуляций необходимо уведомить ПС о переезде сайта на защищенный протокол.
Уведомляем ПС «Яндекс»: переходим в раздел «Индексирование» à «Переезд сайта».
Затем добавьте сайт с HTTPS в панель Яндекс.Веб-мастер (про панель Google Search Console также не забывайте).
После того как сайт переедет на защищенный протокол, в списке проектов основной станет версия с HTTPS, а версия с HTTP будет расположена ниже.
В завершение можно удалить HTTP-версию, однако рекомендуем отслеживать изменения: количество страниц с HTTPS должно постепенно увеличиваться, а с HTTP — уменьшаться, пока не достигнет нуля.
На этом переезд на HTTPS можно считать завершенным.
рекомендации Google и Яндекс для сайта
Все больше и больше растет ажиотаж вокруг темы переезда сайта на https. Чем же это обусловлено?
В июле 2018 года абсолютно все http страницы будут отмечены как «не защищенные». Но уже сегодня можно посмотреть, как будет выглядеть http сайт для посетителей, просто откройте его в режиме инкогнито (Ctrl+Shift+N).
HTTPS (от англ. HyperText Transfer Protocol Secure) — расширение http-протокола, поддерживающее шифрование данных и обеспечивающий их защиту от прослушивания и изменений.
Зачем он нужен:
- обеспечение безопасности при обмене информацией между сайтом и устройством пользователя;
- повышение доверия к сайту и поддержания репутации;
- число http-сайтов сокращается;
- HTTPS будет включен в список ранжирующих факторов.
В декабре 2015 года Google объявляет, что с этого момента по умолчанию будет индексироваться HTTPS-версия страницы, если сайт доступен для индексации по обоим протоколам: http и https.
В январе 2016 года Google сообщает, что дает преимущество в ранжировании даже тем HTTPS-сайтам, которые неверно реализовали переход на безопасный протокол.
И, самая свежая на данный момент публикация от 8.09.2016 на официальном блоге Google о том, что с января 2017 года браузер Chrome 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные (небезопасные). Пока что под это нововведение попадают страницы, где требуется ввод пароля или данных банковской карты, но со временем все сайты, использующие протокол http, будут помечаться как небезопасные.
27 декабря 2016 Google на своей странице в Google+ еще раз напомнил, что с конца января 2017 года с версии Chrome 56, браузер Chrome начнет помечать HTTP-сайты, где требуется ввод пароля или данных кредитной карты, как небезопасные.В это же время Google начал рассылать в Google Search Console предупреждения для сайтов, на которых есть поля ввода для данных банковских карт и паролей на незащищенных страницах. Примеры таких страниц также прилагаются. Для русскоязычных сайтов уведомления приходят тоже на английском языке.
Уже сейчас вы можете протестировать свой сайт, установив версию Google Chrome для разработчиков, ту самую 56 версию. Скачать ее можно здесь: https://www.google.ru/chrome/browser/canary.html.После этого откройте в этом браузере свой сайт, нажмите F12, чтобы открыть инструменты разработчика, после чего перейдите на вкладку Console. Там вы увидите, будет ли для вашего сайта выводиться предупреждение в браузере с конца января.
Что касается поисковой системы Яндекс, здесь пока нет особой шумихи — поисковая система лучших позиций не обещает, однако компания показывает на собственном примере надежность своих сервисов, переводя их на https-протокол. Однако, мы считаем, что появление такого фактора ранжирования в Яндекс – лишь вопрос времени.Что делать сейчас?
Так кому же стоит уже перевести сайт на https, волноваться и думать о риске потери трафика и позиций по запросам?
Критически важно переходить на новый протокол тем сайтам, где есть какая-либо информация, которую могут перехватить (платежные данные, данные доступа к личному аккаунту. В первую очередь, это банки, интернет-магазины, тикет-офисы и онлайн-сервисы – для них переход в списке обязательных рекомендаций.
Однако и обычные сайты должны двигаться в сторону безопасного шифрования, поэтому мы подготовили подробную инструкцию о том, как правильно перевести сайт на https.
Инструкция по переводу сайта на https
Перевод сайта на защищенный протокол в перспективе придется осуществить всем сайтам. К этому будут подталкивать как поисковые системы, так и браузеры. Поэтому, пока вы разбираетесь в теме и выбираете SSL-сертификат, пора подготовить сайт к переходу. Ниже вы найдете несколько полезных блоков информации:
Виды SSL-сертификатов
Кратко рассмотрим основные виды сертификатов, не вдаваясь в технические подробности. Тип сертификата зависит от типа проверки.
Кратко рассмотрим основные виды сертификатов, не вдаваясь в технические подробности. Тип сертификата зависит от типа проверки.
С проверкой домена (DV или Domain Validated).
Доступен физическим лицам и компаниям. Защищает информацию, но не дает гарантии, что владельцу сайта можно доверять. Требуется подтверждение по электронной почте, находящейся на домене либо на которую зарегистрирован домен. Стоит дешево (либо может выдаваться бесплатно), выдается за несколько минут.Кому подойдет: сайту-визитке, личному блогу.
С проверкой организации (Organization Validated или OV).
Такой сертификат доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям. Проводится проверка документов и существования ИП или юридического лица, а также принадлежность домена. Стоит дороже, выдача занимает 1-3 дня.Такой сертификат подойдет интернет-магазинам, сайтам услуг, порталам.
С расширенной проверкой организации (Extended Validation SSL или EV SSL).
Дает заметную зеленую строку с названием организации. Таким сайтам можно доверять больше, так как компания точно существует (проводится тщательная проверка) и домен точно принадлежит ей. Проверка занимает 3-9 дней (если нет заминок с документами). Сертификат самый дорогой.Кто использует: банки, платежные системы, крупные сервисы.
Дополнительные особенности сертификатов, о которых стоит знать:
- Обычный сертификат (на один поддомен). Подойдет для большинства сайтов, стандартный вариант.
- Wildcard (для нескольких субдоменов одного домена). Необходим, если у вашего сайта есть субдомены. Например, site.ru, spb.site.ru, auto.site.ru, m.site.ru (если у вас мобильная версия на субдомене) и пр. Может быть как с проверкой домена, так и проверкой организации. Стоит дороже, чем обычный.
- С поддержкой IDN (для кириллических доменов). Для доменов на кириллице (cайт.рф, сайт.бел и пр.)
- Мультидоменный сертификат. Необходим в том случае, если у вашей организации несколько разных доменов (site. ru, site2.ru, moisait.ru и пр.).
Вот основные поставщики сертификатов:
Как правило, купить сертификат можно сроком 1-3 года. Проще всего будет обратиться за сертификатом к хостеру (либо в центр сертификации). Каждый хостер, идущий в ногу со временем, продает сертификаты и может помочь с процессом их установки.
Решить вопросы с переходом на https на разных этапах могут следующие люди и организации:
Какой сертификат выбрать?
Хостер/центр сертификации, технический специалист/программист
Покупка сертификата
Хостер (если он продает сертификаты), центр сертификации
Установка сертификата
Хостер, технический специалист/программист
Доработка сайта
Программист
Контроль выполнения рекомендация, необходимых для минимизации риска потери трафика
SEO-специалист, интернет-маркетолог
Важно! Обязательно следите за сроками окончания сертификата. Его необходимо будет продлевать, как домен и хостинг.Как подготовить сайт к переходу на https
Описание алгоритма перехода на защищенный протокол содержит достаточно много технических моментов и специальных терминов. Если вы владелец сайта, то передайте ссылку на эту инструкцию своему техническому специалисту или программисту.Пока вы решаете вопросы с сертификатом, сайт уже можно начинать готовить к переходу на https. Даже если это будет через полгода-год. Дело в том, что нужно убедиться, что на сайте все ссылки ведут на страницы, доступные по защищенному протоколу либо имеют относительный протокол.
Все ссылки на вашем сайте должны иметь следующий вид:
- Внутренние ссылки — относительные. Например, для перехода на страницу на вашем же сайте site.ru, использовать предпочтительнее, чем . Если вы уже переходите на https, можно делать ссылки доступными по протоколу https.
- Внешние ссылки – доступны по https либо используется относительный протокол. Например, не httр://www.уoutubе.cоm/, а httрs://www.уoutubе.cоm/ — защищенный протокол или //www.уоutubе.cоm/ — относительный протокол. Относительный протокол очень удобно использовать, если вы не знаете, доступен ли сайт по защищенному протоколу. В таком случае браузер сам выберет с каким протоколом открыть этот сайт.
Пример ссылки с относительным протоколом:
Важно! Необходимо исправить все ссылки, в том числе на изображения, файлы, видео, внешние скрипты (виджеты, консультанты и прочие внешние сервисы). Чтобы не делать это вручную на многих страницах, можно попросить программиста исправить протокол http:// на относительный в базе данных сразу для всех ссылок.
Далее мы подразумеваем, что вы уже приобрели сертификат и описываем последовательность действий, необходимую для корректного перехода сайта.Алгоритм перехода на https
1. Убедитесь, что SSL-сертификат настроен корректно. Сделать подробный анализ конфигурации SSL можно с помощью этого сервиса:Вот так будет выглядеть результат, если все хорошо:
и так, если есть проблема:
В данном случае есть проблемы с настройкой сертификата и сайт не открывается в браузере Firefox.
Обязательно протестируйте настройку SSL и проверьте как отображается сайт в разных браузерах, в том числе на мобильных устройствах: отдельно проверьте сайт с iPhone и Android.
Если есть критичные проблемы, обратитесь к техническим специалистам, которые настраивали вам сертификат.
2. Создаем версию сайта с https – она должна быть доступна и работать без ошибок. При этом версия с http также должна быть доступна. Файл robots.txt должен быть одинаков для обеих версий. Составить файл может SEO-специалист.
Важно! Ранее в инструкции предполагалось использование двух robots.txt и временное закрытие https-версии от Google на время переклейки в Яндекс. Сейчас это не требуется, мы протестировали вариант без закрытия от Google и обновили инструкцию. Google при доступности обеих версий по умолчанию начинает показывать https-версию в выдаче, в Яндекс – после переклейки.
В robots должна содержаться строчка:
Эта строчка означает, что главным зеркалом является https-версия сайта.
Пример robots.txt (обратите внимание (!), что содержимое файла у вас будет свое, это пример для иллюстрации принципа переклейки):
User-agent: *
Disallow: /*?
# Тут ваши текущие директивы
Host: httрs://site. ru/
Sitemap: httрs://site.ru/sitemap.xml
3. Также обязательно проверяем для https-версии:
- Протокол в rel=”canonical” (используется для указания на каноническую версию страницы).
- Протокол в rel=”alternate” (используется для указания на страницы других языковых версий либо на мобильную версию сайта).
- Протокол ссылок в sitemap.xml.
Для https-версии ссылки в них должны быть доступны по https, а не http.
4. Добавляем сайт в Вебмастер Яндекса обе версии сайта: http и https. Указываем в Вебмастере Яндекса в разделе «Настройка индексирования – Переезд сайта» предпочтительный протокол.
Если домены http и https были признаны зеркалами ранее (а именно https-версия была признана неглавным зеркалом – такое бывает, но редко), то на данном этапе необходимо сначала расклеить зеркала. Обычно, если https-версия была ранее поклеена на http-версию, это выглядит вот так в Вебмастере Яндекса:Расклеиваем зеркала, а после расклейки указываем главным зеркалом https-версию. Для этого в Вебмастере заходим в раздел «Переезд сайта» для https-версии и под предложением отклеить сайт нажимаем «Применить».
После этого увидите следующее сообщение:
https://yandex.ru/support/webmaster-troubleshooting/mirrors/change-protocol.xmlСтрелкой указана ссылка на этой странице, по которой можно написать в техподдержку Яндекс при наличии проблем.
Яндекс подтверждает, что в случае, когда https-версия является неглавным зеркалом, это верный порядок действий.
5. Добавляем сайт в Google Search Console с протоколом https и подтверждаем права. Google понимает, что http и https это разные протоколы одного и того же сайта. Если Google обнаружит работающий протокол https, то он по мере переиндексации контента будет заменять http на https даже без перенаправления и добавления https-версии в Google Search Console.
https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html6. При переходе на https-версию в Google обязательно добавляем файл Disavow для канонической версии сайта (источник), если он был составлен ранее.7. Ждем склейки в Яндексе. Это произойдет, когда версии страниц сайта с https зайдут в индекс, а версии страниц сайта с http выпадут из индекса. Переклейка начинается примерно через 2-3 недели. Повлиять на скорость переклейки мы, к сожалению, никак не можем, это — автоматический процесс.
После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»:
А также увидите, что https-версия стала отбражаться в Яндекс.Вебмастере как основная:
Неглавное зеркало начнет выпадать из индекса Яндекса:
А главное зеркало начнет попадать в индекс Яндекса:
Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего настроить 301 редирект.
Важно! При переклейке сайта на другое зеркало обнуляется ТИЦ. Он вернется после следующего обновления ТИЦ, которое происходит примерно раз в месяц. (Источник). Не стоит волноваться: никаких последствий для сайта это не имеет, ТИЦ не учитывается при ранжировании сайта в поиске Яндекса. (.*)$ httрs://site.ru/$1 [R=301,L]
Альтернативный вариант:
RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) httрs://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]
9. После переклейки необходимо убедиться, что в Яндекс присвоен корректный регион. Дело в том, что на текущий момент сайту может быть присвоено несколько регионов через Яндекс.Справочник, но в Справочнике пока еще нельзя указать ссылку на сайт с протоколом https. Соответственно, могут быть проблемы с присвоением регионов, если это сделано через Яндекс.Справочник. В таком случае нужно обязательно писать в техподдержку Яндекса.
Вот подтверждение от службы поддержки Яндекса. Надеемся, скоро это действие перестанет быть необходимым.
Счетчики шеров и лайков
Еще один важный момент для сайтов, на которых используются счетчики «лайков» — эти данные, к сожалению, будут потеряны. Если до перехода у вас были такие цифры по шерам вашей статьи:
то после перехода счетчики будут выглядеть вот так:
Такая проблема возникает из-за того, что подобные счетчики лайков отображают статистику для конкретного адреса. Так как у страницы меняется протокол, адрес страницы меняется и у новой страницы нет подобной статистики.
Facebook уже решил эту проблему, будем надеяться, что остальные соцсети также подтянутся.
Описанный алгоритм перехода на https позволит минимизировать потери трафика. Вместе с тем служба поддержки Яндекса отвечает, что гарантировать сохранение позиций сайта при склейке его зеркал они не могут.
Проблема с реферальным трафиком
Важно! Если пользователь осуществляет переход с сайта на HTTPS на сайт без HTTPS (например, с вашего сайта, на сайт компании, купившей на вашем сайте баннер), то по умолчанию HTTP заголовок referer не передается, если не указано иное правило. Поведение логичное, ведь вы покидаете защищенную зону и отправляетесь в зону риска.
Это означает, что ваш сайт как источник трафика Google Analytics или Яндекс.Метрика определить не сможет и отнесет весь этот трафик к прямому. Поэтому, если вы продаете на сайте баннеры или размещаете информацию о компаниях и их сайтах и вашим клиентам важно отслеживать трафик с вашего сайта.
Чтобы с этим не было проблем, на HTTPS-сайте необходимо добавить на страницах до закрывающего тега </head> мета-тег:
<meta name=»referrer» content=»[директива]»>,
где [директива] — одна из тактик поведения из следующего списка:
none — не передавать;
origin — передавать протокол и домен;
none-when-downgrade — не передавать при переходе с HTTPS-сайта на HTTP-сайт;
unsafe-url — всегда передавать;
Оптимальным вариантом будет следующий:
<meta name=»referrer» content=»origin»>
Проверка смешанного содержимого
После перехода на https, тем не менее, в браузере может не появиться значок защищенного соединения, а отображаться один из следующих значков в Google Chrome:
А в сведениях о подключении может быть одно из следующих изображений:
Подробнее о статусах в справке Google.Это значит, что на странице загружается смешанный контент и небезопасное содержимое. Например, какой-то скрипт или изображение все еще загружаются по незащищенному протоколу http. Необходимо, чтобы все внутренние и внешние ссылки имели протокол https:// либо относительный //. Это же касается и внешних ссылок.
Справка Google для технических специалистов.Чтобы найти смешанный контент, воспользуйтесь инструментами разработчика, которые вызываются в Google Chrome (Ctrl+Shift+I). Воспользуйтесь вкладкой Security, где будут ссылки на просмотр загрузки незащищенного контента в консоли. Для просмотра полной информации в консоли потребуется перезагрузка страницы.
На примере мы видим, что на странице загружается изображение с другого сайта по незащищенному протоколу http. Такую проверку необходимо провести для всех страниц. Это можно сделать SEO-специалист, например, с помощью программы ScreamingFrog SEO Spider. Либо вы можете самостоятельно походить по страницам сайта и посмотреть, везде ли отображается значок защищенного соединения. Примеры страниц, где соединение не защищено, нужно отправить техническому специалисту, который переводит сайт на защищенный протокол.
Анализ ссылочной массы после переклейки
Обратите внимание, что при анализе ссылочной массы вам будет необходимо выгружать ссылки из Вебмастера Яндекса для каждого зеркала, так как в Вебмастере выгружаются ссылки только для того зеркала, для которого вы их выгружаете. Например, для данного сайта нужно будет выгрузить ссылки для трех зеркал, чтобы увидеть всю ссылочную массу сайта:
Ниже приведены источники информации касательно защищенного протокола от поисковых систем и полезные сервисы – настоятельно рекомендуется к ознакомлению:
Защитите свой сайт с помощью HTTPS (Справка — Вебмастер Google) —https://support.google.com/webmasters/answer/6073543?hl=ru
Google опубликовал FAQ по переходу на https для новостных сайтов —
https://www.searchengines.ru/google-opublikoval-faq.htmlПереезд сайта на новый домен (Справка Яндекс.Вебмастер) —
https://help.yandex.ru/webmaster/yandex-indexing/moving-site.xml
Индексирование картинок (Советы веб-мастеру от Яндекс) —
http://help. yandex.ru/images/indexing.xml
Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS) —
https://yandex.ru/blog/platon/2778Сделать подробный анализ конфигурации SSL можно с помощью этого сервиса:
https://www.ssllabs.com/ssltest/analyze.htmlБесплатные SSL-сертификаты — https://letsencrypt.org/
Успешного вам переезда!
плюсы и минусы, инструкция по переезду в Яндекс и Google
О HTTPS, преимуществах и недостатках, а также особенностях миграции на него, в последние месяцы было написано много. Просто, вопрос безопасности перестал быть чем-то из разряда дополнительных бонусов, а становится одним из основных вызовов для ключевых игроков онлайн-рынка.
Несмотря на многочисленные преимущества перехода на HTTPS, многие оптимизаторы и владельцы сайтов пока еще этого не сделали, по самым разным причинам. Кто-то опасается просадки трафика и прочих подобных проблем, кому-то не хватает технических навыков, а кто-то просто решил тянуть до последнего, считая, что в этом пока нет необходимости.
Почему стоит переводить сайт с HTTP на HTTPS? Так ли это необходимо всем сайтам? В чем плюсы и минусы такого шага, и можно ли это сделать самостоятельно? В данном посте я дам ответы не только на эти, но и на ряд других важных вопросов.
Кратко о HTTPS, и зачем он нужен
HTTPS (HyperText Transfer Protocol Secure) является модификацией стандартного протокола приема и передачи информации в Интернете — HTTP (Hypertext Transfer Protocol). Основное отличие между ними, кроется в приставке «Secure», что значит «защищенный».
Он был создан специально для передачи личной информации и платежных данных, например, обеспечения безопасности транзакций на ecommerce-сайтах, передачи номеров/кодов доступа банковских карт через платежные шлюзы и т. д.
Данные, передаваемые с помощью HTTPS, шифруются. То есть, в процессе взаимодействия с сайтом, пользователь может быть уверен, что информация о его деятельности и другие конфиденциальные данные, защищены от отслеживания со стороны. Также, обеспечивается их целостность, то есть, их нельзя будет изменить или повредить во время передачи.
Информация, которая передается от сервера и к нему, шифруется перед отправкой, и расшифровывается при получении.
Кому это необходимо в первую очередь?
Google утверждает, что всем. И еще в августе 2014 года в компании заявили, что безопасность пользователей является для них главным приоритетом, а сайты, использующие https-протокол, получат дополнительный бонус при ранжировании.
В октябре 2016 года представители Google в одном из интервью сообщили, что все HTTPS-страницы получают небольшой импульс в ранжировании, даже при наличии ошибок протокола.
Уже в феврале 2018 года доля сайтов с HTTPS в результатах выдачи Google превысила более 70%, а начиная с июля этого же года браузер Google Chrome стал помечать все HTTP-сайты, как ненадежные.
С начала 2019 года Яндекс.Вебмастер стал оповещать вебмастеров и показывать в разделе “Диагностика сайта”, что главное зеркало сайта не использует HTTPS-протокол. Это также является одним из знаков к установке защищенного соединения, так как возможно в скором времени в выдаче Яндекса, отсутствие безопасного протокола будет влиять на ранжирование. Но пока эта информация носит лишь рекомендательный характер.
А вот ресурсам, при взаимодействии с которыми предусматривается передача личных данных, позаботиться о миграции нужно уже сейчас. Это такие типы веб-проектов как:
- банки и платежные системы;
- интернет-магазины;
- различные онлайн-сервисы;
- другие сайты, использующие функционал личного кабинета пользователя.
Немного о сертификатах
Обмен информацией между клиентом и сервером, при использовании HTTPS-соединения, основан на использовании SSL-сертификатов. Это своего рода уникальная цифровая подпись, используемая для проверки соединения.
В зависимости от типа проверки, они бывают нескольких видов:
- с проверкой домена;
- с проверкой организации;
- с расширенной проверкой организации.
Сертификат первого типа самый доступный, он выдается как компаниям, так и физическим лицам, и получить его можно буквально за несколько минут, и даже бесплатно.
Сертификат второго типа доступен только ИП и юридическим лицам, а также, разного вида организациям. А самым дорогим вариантом, предусматривающим ра
Пошаговая инструкция о переезде из HTTP на HTTPS без потери трафика
Переезд, чего бы он ни касался — дело напряжённое и ответственное. Поначалу вас ломает — вы скатываетесь в отрицание потребности в переезде. Привычные стены, парковка у дома, странный сосед, взгляд которого предполагает наличие заточки за спиной. А всё-таки нужно. Смена обстановки должна нести в себе потенциал, улучшение текущего быта. Ведь странно переезжать из центра на окраину, по пути растеряв всю домашнюю утварь.
То же самое относится и к переходу на защищённый протокол (HTTPS).
1. Зачем переносить сайт на защищенный HTTPS-протокол
Отправная точка — принятие: зачем вообще переезжать на защищённый протокол? Иногда, после многочисленных итераций объяснений причин переезда, так хочется просто сказать — потому что, делайте! Но давайте представим себя студентом, которому очень хочется выслужиться перед комиссией (в нашем случае — собрать трафик), что бы мы тогда сказали?
- Наличие защищённого шифрования предотвращает возможность перехвата конфиденциальной информации, оставленной на сайте, для последующего использования мошенниками. А даже если не мошенниками, зачем кому-либо копаться в чужом белье? Поэтому наличие защищённого соединения так критически важно для сайтов, обрабатывающих пользовательскую информацию — почты, номера телефонов, банковские карты etc. Сайт с настроенным HTTPS — это классический частный дом в тихом районе Токио, окна которого не пропускают дневной свет и любознательные носы.
- Google любит HTTPS. Для него защищённое шифрование — дочь маминой подруги, которой он с большей вероятностью предложит билеты в VIP-ложу поисковой выдачи.
- Яндекс выделяет сайты с защищённым протоколом симпатичным замочком. Как известно: для увеличения CTR все средства хороши.
- В браузерной строке, напротив адреса домена, ещё один замочек вещает пользователям о безопасности передачи данных. Это весомый плюс — человеку нравится знать, что конфиденциальная информация не попадёт в третьи руки.
2. Инструкция по переезду на защищённый HTTPS-протокол
2.1. Выбор SSL-сертификата
Пожалуй, единственный этап, в ходе которого не возникает головняк. В вашем распоряжении SSL-сертификаты с любыми нотками послевкусия.
Давайте же их рассмотрим:
- Самописный сертификат — генерируется вами самостоятельно при помощи отдельных утилит.
Плюсы: экономим деньги и время (пропадает необходимость обращаться к поставщикам услуг по оформлению SSL)
Минусы: самоподписанный SSL-сертификат не нравится браузерам, о чём они известят красным светом на проход в Ла-Манш.
Выглядит это так: - Domain Validation — подтверждение, соответственно, проходит на уровне доменного имени.
Плюсы: подтверждение не занимает много времени, не требует документов в отличие от кассирши универсамчика за углом. Цена в год — от $15 до $30.
Минусы:- облом для владельцев кириллических доменов — не сработает;
- подтверждение приходит на почту, привязанную к домену, и только на определенные адреса: [email protected], [email protected] etc.
- Organization Validation — подтверждение по домену и организации. То есть у вас попросят, например, свидетельство о государственной регистрации. В общем, доказать, что вы являетесь юр.лицом. Отличительная особенность от Domain Validation — в сертификате содержится информация о компании — владельце доменного имени. Цена в год — от $60 до $700.
Плюсы: сертификат содержит информацию не только о домене, но и владельце доменного имени, что является весомым аргументом для доверия в глазах пользователя.
Минусы: нужно заморочиться и предоставить информацию, подтверждающую ваше юр.лицо. - Extended Validation — отображается зелёной строкой с полным именем организации, его получившей. В общем, дорого-бохато мира SSL-сертификатов. Цена в год — от $150 до $1200.
Но для его получения придётся совсем-совсем запотеть — помимо доменной проверки, в ход пойдут свидетельство о государственной регистрации, наличие в whois, звонки с проверками (дышать и молчать в трубку никто не будет, но лишний напряг).
Плюсы: зелёная строка свидетельствует о серьёзных намерениях;
Минусы: в сравнении с предыдущими сертификатами игра становится дороже и труднее (прохождение многочисленных этапов верификации). - Wildcard — SSL-сертификат выдаётся на все поддомены определённого домена (актуально для компаний, имеющих представительства в регионах).
- С поддержкой IDN — как мы писали выше, не все сертификаты поддерживают кириллические домены. Поэтому, если у вас именно такой, нужно искать с поддержкой IDN.
2.2. Lets Encrypt — пару слов о нём.
Lets Encrypt — это бесплатный автоматизированный центр сертификации. Lets Encrypt — валиден (подписан действительным root), а значит в глазах поисковика с ним всё в порядке. Более того, сам Google рекомендует его.
Пользуйтесь смело и без сожалений.
3. Подготовка сайта к переезду (настройка HTTPS-протокола)
Итак, решение о переходе с http на https приняли, даже подсмотрели себе SSL-сертификат. Значит самое время браться за реализацию перехода.
Что нужно для успешной настройки HTTPS:
- Изменить абсолютные внутренние ссылки на относительные(либо на https). Обратите внимание, что ссылки в атрибутах canonical и hreflang всегда должны быть абсолютными. Если этого не сделать, вам сайт будет пестрить внутренними ссылками с 301 кодом ответа, а это нехорошо.
- Установить SSL-сертификат — почти все хостинги позволяют установить SSL-сертификат через панель управления.
Выглядит настройка HTTPS вот так:
Если возникнут проблемы с переходом с http на https, напишите в тех. поддержку хостинга и вам подскажут. Либо обратитесь к тому самому приятелю, который, вроде как, программист — он тоже знает, что к чему.
Важно: Если ваш хостинг не предусматривает установку SSL, то его придётся сменить. Жизнь жестока.
Обязательно, во время настройки https, нужно проверить работоспособность сайта на протоколе https как на настольных пк, так и на мобильных устройствах.(.*)$ https://site.ua/$1 [R=301,L]
4. Действия после переезда на HTTPS (проверка корректности переноса сайта на защищённый протокол)
Вот выверенный, точно китайская церемониальная чаша для испития чая, чек-лист действий после переезда с http на https:
- Ещё раз проверяем корректность настройки SSL сертификата, используя сервис. На всякий случай.
- Указываем в Яндекс вебмастере о переезде с HTTP на HTTPS.
- Добавляем сайт с https протоколом в Search Console.
- Добавляем сайт с https протоколом в Яндекс Вебмастер.
- Выполняем проверку работоспособности сайта на всех типах устройств.
- Выполняем проверку функционала сайта после перехода на HTTPS.
- Проверяем отсутствие внутренних ссылок на незащищенные документы.
- Проверяем наличие 301 редиректа со всех страниц сайта на аналогичные страницы с https.
- Обновляем .xml карту сайта, чтобы она содержала только страницы с https.
- Изменяем ссылку на карту сайта (она ведь тоже была с http-протоколом) в файле Robots.txt.
5. Пример перехода c HTTP на HTTPS без потери трафика
Мы в Inweb повторяем правила переезда, составляющие предмет текущей статьи, с самой колыбели. И это даёт свои плоды — так выглядит динамика трафика сайта, с кошерно выполненным переездом на защищённый протокол.
6. Напоследок о переезде с http на https
Переход с HTTP на HTTPSS — это как сдача сессии: не хочется, напрягает, но всё равно нужно и важно сдать с первого раза без косяков (чтобы не слететь со стипендии). Прежде чем настраивать SSL-сертификат, убедитесь, что выполнены все требования, описанные в статье, а после переезда воспользуйтесь чек-листом и перепроверьте ещё раз.
Главное помнить: перенос сайта с HTTP на HTTPS — это очень стильно и модно, почти как подкаты джинсов и A$AP ROCKY на репите. Надеемся, что наша скромная статья поможет вам в осуществлении поставленной цели. Удачи и относительных ссылок вашему сайту!
Кейс: как перевести сайт на HTTPS и не потерять трафик
Расскажем, как проходил перевод сайта galaxystore.ru на защищенный протокол, и какие результаты он дал.Коротко о клиенте:
Сеть фирменных магазинов Samsung входит в группу компаний Inventive Retail Group, представляющей монобрендовые магазины по всей России. Официальный сайт: galaxystore.ru
Предпосылки для перевода сайта на https
HTTPS (HyperTextTransferProtocolSecure) – расширение протокола HTTP, поддерживающее шифрование при помощи протоколов SSL или TLS и обеспечивающее безопасную передачу данных.
Использование HTTPS позволяет предотвратить прослушивание трафика и увеличить доверие поисковых систем и пользователей. Кроме того, наличие защищенного протокола является одним из факторов ранжирования в Google, что во многом способствует популяризации переезда сайтов.
История использования безопасного протокола
Большое количество серьезных ресурсов осуществило переход на HTTPS еще в 2000х. Пик пришелся на 2010-2011 годы, когда были обнаружены утилиты иранского хакера Марлинспайка SSL Strip и Firesheep, которые позволяли злоумышленникам воровать персональные данные с незащищенных сайтов.
Недавно американское правительство обязало все федеральные сайты перейти на HTTPS в срочном порядке до конца 2016 года.
Рано или поздно с необходимостью перехода на безопасный протокол придется столкнуться всем, самое время сделать это сейчас, тем более, что Google пообещал приоритет безопасным сайтам.
Кому следует использовать HTTPS в первую очередь
Прежде всего необходимо наладить безопасную передачу данных сайтам, где предусмотрена передача личных данных:
- системы электронных платежей
- государственные ресурсы
- интернет-магазины
Ожидания и опасения
Специалисты Google неоднократно заявляли, что компания стремится к повышению общей безопасности передачи данных в Сети. Отмечалось, что перевод сайта с HTTP на более защищенный HTTPS приведет к росту видимости в поисковике.Это в свою очередь должно повлечь за собой рост трафика.
Но процесс реализации имеет множество нюансов, и некоторые ошибки могут привести к просадке позиций в выдаче и потере трафика. Кроме того, остаются сомнения в эффективности процедуры.Поэтому так важен грамотный взвешенный подход.
Стоит принимать во внимание, что в виду различий в работе поисковых систем, рекомендации по переезду будут у Яндекс и у Google будут отличаться, так, например, Яндекс рекомендует настраивать 301 редирект только после того, как зеркало http полностью склеится с https. Google же, поскольку понятие «зеркало» ему чуждо, рекомендует настраивать редирект сразу же.
Кейс
Что было сделано:
Отметим, что защищенное соединение уже использовалось на сайте в «Корзине», так как именно там осуществляется передача персональных данных клиентов.
Естественно, мы хотели, чтобы переезд прошел с минимальными потерями в обеих поисковых системах, поэтому в качестве основной инструкции приняли рекомендации Яндекса. Ведь, настроив редирект сразу же, мы бы оказались в ситуации, когда зеркало с https еще не проиндексировалось, а http – уже начал бы выпадать из индекса, что привело бы к неминуемой потере позиций и трафика. Поэтому мы решили сначала дождаться полной склейки, и только потом настроить перенаправление.
После установки клиентом сертификата на сервере мы предприняли следующие действия, направленные на смену зеркала в поисковой системе Яндекс:
- на зеркале с http заменили sitemap на карту зеркала https
- прописали host https на зеркале http, указали карту сайта зеркала с https
- в разделе «Переезд сайта» Панели вебмастера Яндекс указали основное зеркало https://galaxystore.ru;
- чуть меньше, чем за три недели произошла склейка
Что планируется в дальнейшем:
- осуществить перевод медиа-контента в относительные адреса;
- настроить редирект с http-версии на https.
Начало индексации https://galaxystore.ru в обеих поисковых системах — в первой половине июля 2016.
Максимальное количество проиндексированных страниц достигнуто 18.09.2016. Но уже до 18.09.2016 наблюдался рост позиций в поисковой системе Google. Можно сделать вывод, что рост продолжится и в дальнейшем.
Необходимо отметить, что через неделю после подачи заявки на переезд сайта, у сайта был обнулен тИЦ. По нашему обращению Платон нам сообщил, что это нормальное явление в процессе склейки зеркал. Мы набрались терпения и подождали два месяца:
Результаты перевода galaxystore.ru на на https
Позиции
Динамика в ТОП10, ТОП5, ТОП3 (период с мая 2016 по сентябрь 2016):
- ТОП10 с 13% до 24%
- ТОП5 с 6% до 13%
- ТОП3 с 3% до 8%
Трафик
По поисковым системам:
Комментарий клиента
Вишневская Мария, Руководитель отдела онлайн-маркетинга:
«На протокол https мы перешли довольно давно, правда работал он только в «Корзине». Воспользовавшись низким сезоном, мы решили осуществить переезд всех страниц сайта с http на https. Надеялись на лучшее, но были готовы к некоторой просадке позиций и трафика. Благодаря усилиям коллег из Риалвеб, нам удалось не только сохранить, но и увеличить SEO-трафик в короткие сроки. Несмотря на то, что работы по задаче еще в полном разгаре, мы рады первым позитивным результатам и надеемся, что тренд роста сохранится.»
Итого
Перевод сайта на защищенный протокол https пока не оказал влияния на позиции в Яндекс, но привел к значительному росту трафика в Google. Еще не оконченные работы увеличили рост посещений в два раза.
Можно справедливо сделать вывод, что при относительно невысоких затратах переезд сайта за короткое время дает ощутимый результат.
Как перейти с HTTP на HTTPS — Полное руководство
Автор: Брайан Джексон
Опубликовано 23 октября 2015 г.
Благодаря преимуществам в производительности, которые вы получаете от HTTP / 2, сейчас самое время подумать о переносе сайт на HTTPS; не говоря уже о дополнительных преимуществах безопасности и SEO. Следуйте приведенному ниже руководству о том, как перевести свой сайт с HTTP на HTTPS.
Почему нужно перенаправлять HTTP на HTTPS?
Как вы знаете, Google настойчиво продвигает HTTPS повсюду, чтобы Интернет стал более безопасным местом.Хотя безопасность всегда важна, есть несколько дополнительных причин, по которым вы можете подумать о переходе на HTTPS.
1. Производительность и HTTP / 2
Сети доставки контента и провайдеры веб-хостинга начинают развертывать HTTP / 2. В ходе сеанса на Velocity представители Load Impact и Mozilla сообщили, что пользователи Интернета могут ожидать, что веб-сайты, оптимизированные для протокола HTTP / 2 и поддерживающие его протокол , будут работать на 50–70 процентов лучше, чем сайты, использующие протокол HTTP / 1.1 . Чтобы воспользоваться преимуществами производительности HTTP / 2, вам необходимо использовать HTTPS из-за поддержки браузера.
Источник: HTTP / 1.1 по сравнению с HTTP / 2: анализ производительности2. SEO и рейтинги
Еще в 2014 году Мэтт Каттс объявил, что HTTPS теперь является легким сигналом ранжирования и что со временем Google может усилить этот сигнал. Итак, , использующий HTTPS, может помочь улучшить ваш SEO-рейтинг .
Чтение «HTTPS как ранжирующего сигнала»: http://t.co/nEjcGhm8bJ
— Мэтт Каттс (@mattcutts) 7 августа 2014 г.
По последним данным BuiltWith, около 6.3% из 100 000 лучших веб-сайтов используют SSL по умолчанию, по сравнению с 4,3% в ноябре 2014 года.
SSL по умолчанию3. Лучшие реферальные данные
Третья причина, по которой целесообразно мигрировать, — это реферальные данные HTTPS на HTTP заблокирован в Google Analytics . Так, например, допустим, ваш веб-сайт все еще работает по протоколу HTTP, а вы стали вирусными на Reddit и YCombinator. Оба этих сайта работают по HTTPS. Данные реферера полностью теряются, и трафик с обоих этих сайтов может попасть под прямой трафик, что не очень полезно.Если кто-то переходит с HTTPS на HTTPS, реферер все равно передается.
4. Более безопасный
Четвертая причина, почему важно работать через HTTPS, — это, конечно, безопасность! Для сайтов электронной коммерции вам нужен сертификат SSL, потому что они обрабатывают конфиденциальные данные кредитной карты. Для других сайтов основной причиной этого является ваша страница входа в WordPress. Если вы не используете соединение HTTPS, ваше имя пользователя и пароль отправляются в виде открытого текста через Интернет .В этой статье вы можете увидеть пример того, как на самом деле прослушивать и записывать логины WordPress через незащищенные соединения с помощью этих бесплатных инструментов. Многие люди будут утверждать, что блоги и информационные сайты не обязательно должны работать на HTTPS, но насколько важны ваши учетные данные для входа?
5. SSL создает доверие и доверие
Пятая причина важности SSL связана с созданием доверия и авторитета среди посетителей. Согласно европейскому опросу GlobalSign, 77% посетителей веб-сайтов обеспокоены тем, что их данные могут быть перехвачены или неправильно использованы в Интернете.
28,9% ищут зеленую адресную строку.
— GlobalSign
Добавляя сертификат SSL и показывая зеленый замок, это мгновенно повышает доверие и то, что мы любим называть «доверием SSL». Важно, чтобы ваши посетители знали, что вы в безопасности и что их информация будет защищена.
Следуйте приведенным ниже инструкциям по перенаправлению HTTP на HTTPS для вашего сайта. В некоторых шагах в качестве примеров используются WordPress и KeyCDN.
1. Покупка SSL-сертификата или использование Let’s Encrypt
Для начала вам понадобится SSL-сертификат.Сертификаты SSL — это небольшие файлы данных, которые связывают ключ с данными конкретной организации. При установке он активирует протокол HTTPS, обеспечивая безопасные соединения между веб-браузером и сервером. Вы можете выбрать из нескольких поставщиков сертификатов SSL. Мы рекомендуем таких поставщиков, как:
Вы можете легко приобрести сертификат Comodo Positive SSL менее чем за 9 долларов в год.
Типы сертификатов
Существует три основных типа сертификатов:
- Проверка домена: Один домен или субдомен, без документов (только проверка электронной почты), дешевый, выдается в течение нескольких минут.
- Проверка бизнеса / организации: Одиночный домен или субдомен, требуется проверка бизнеса, обеспечивающая более высокий уровень безопасности / доверия, выдается в течение 1-3 дней.
- Расширенная проверка: Одиночный домен или субдомен, требует бизнес-верификации, которая обеспечивает более высокий уровень безопасности / доверия, выдается в течение 2-7 дней. Зеленая адресная строка.
Индикаторы доверия
Есть два типа видимых индикаторов доверия, которые вы можете выбрать с помощью сертификата SSL.Первый — это расширенная проверка / проверка организации, при которой в адресной строке отображается название вашей компании. Эти сертификаты дороже. Второй и наиболее распространенный — это стандартная проверка домена, при которой в адресной строке просто отображается зеленый замок.
См. Наше руководство о том, как заказать сертификат SSL с помощью GoGetSSL.
Вы также можете использовать Let’s Encrypt для получения бесплатного сертификата SSL. Один из простых способов сделать это — использовать Certbot. Certbot — это простой в использовании автоматический клиент, который извлекает и развертывает сертификаты SSL / TLS для вашего веб-сервера.Certbot был разработан EFF и другими в качестве клиента для Let’s Encrypt и ранее был известен как «официальный клиент Let’s Encrypt».
2. Установка сертификата SSL
Вот несколько простых руководств по установке сертификата SSL на веб-сервер. В зависимости от того, какое программное обеспечение вы используете, шаги могут отличаться. (это пример установки сертификата Comodo Postive SSL)
Если вы развертываете Let’s Encrypt с Certbot, вы можете выбрать, какой тип веб-сервера вы используете на их веб-сайте и какую операционную систему вы используете.У них есть обширная документация. Затем вы можете выбрать «продвинутый», если хотите меньше автоматизации и больше контроля. Вот лишь пара быстрых ссылок на некоторые популярные настройки.
Проверка сертификата
После того, как вы установили сертификат, вы захотите проверить, нет ли с ним проблем. Следующие инструменты могут быть очень полезны.
3. Обновите все жестко закодированные ссылки на HTTPS
Всегда лучше использовать относительные URL-адреса, но всегда будут случаи, когда кто-то жестко закодировал URL-адрес, и поэтому вы захотите провести полную очистку своего сайта и база данных во время миграции HTTP на HTTPS.
Следующее будет отличаться от платформы к платформе. В этом примере мы покажем вам, как обновить ссылку в WordPress. Мы рекомендуем использовать бесплатный инструмент от Interconnect IT под названием Database Search and Replace Script на PHP. Вы можете запускать запросы на обновление самостоятельно, но вы, вероятно, пропустите множество таблиц и полей метаданных, если у вас нет точного списка.
Мы рекомендуем сделать это на сервере разработки и переместить его обратно, или , по крайней мере, сначала создайте резервную копию вашей базы данных, чтобы быть в безопасности. , поскольку этот сценарий действительно захватывает ваши учетные данные локальной базы данных.Просто загрузите их программу в корень вашего сайта через FTP.
Затем перейдите к нему в своем браузере (мы назвали нашу папку «search-replace-db»).
Затем вы можете вставить то, что хотите заменить. Убедитесь, что вы ввели все форматы, которые вы смешивали и сопоставляли на протяжении многих лет, например:
-
http://mydomain.com
–https://mydomain.com
-
http: // www. mydomain.com
–https://www.mydomain.com
Затем мы рекомендуем сначала запустить пробный запуск, чтобы увидеть, что он будет обновлять / заменять.Затем, когда вы будете готовы, запустите живую пробежку. Это обновит все ваши записи в вашей базе данных, включая URL-адрес вашего сайта WordPress, жестко закодированные ссылки на страницах и сообщениях, канонические теги и т. Д.
Если вам неудобно вносить изменения в базу данных, вы также можете попробовать бесплатную Really Simple Плагин SSL. У него более 20 000 установок с рейтингом 4,8.
- Плагин решает большинство проблем, которые возникают в WordPress с SSL, например, часто обсуждаемую проблему с балансировщиком нагрузки или когда серверные переменные не заданы вообще.
- Все входящие запросы перенаправляются на HTTPS. Если возможно, используйте
.htaccess
или JavaScript. - URL-адрес сайта и домашний URL-адрес изменены на https.
- Ваш небезопасный контент устранен путем замены всех URL-адресов
http: //
на независимые от протокола//
. Динамически, поэтому никаких изменений в базе данных не производится (за исключениемsiteurl
иhomeurl
).
4. Обновите пользовательские библиотеки JS, AJAX до HTTPS
Вы захотите обновить любые пользовательские скрипты, которые вы могли включить, чтобы они указывали на версии HTTPS.Это также включает сторонние сценарии, в противном случае вы получите ужасное предупреждение о смешанном содержании, как показано ниже.
Источник: Cascading Media Например, если вы используете библиотеку jQuery, размещенную в Google, вам необходимо обновить ее до их HTTPS CDN ( https://ajax.googleapis.com/ajax/libs/jquery/2.1. 3 / jquery.min.js
).
Сканировать ваш веб-сайт на наличие незащищенного содержимого
Разработчики JitBit создали отличный небольшой инструмент проверки SSL, который просканирует ваш веб-сайт и найдет любой незащищенный контент.
5. Добавление перенаправления 301
к новым URL-адресам HTTPS
Добавление перенаправления 301
, вероятно, является одним из наиболее важных шагов при переходе с HTTP на HTTPS. 301
редирект — это постоянное перенаправление, которое передает 90-99% ссылочного веса (ранжирования) на перенаправленную страницу. Если вы не реализуете переадресацию 301
, вы можете серьезно повредить свой SEO-рейтинг, и ваш сайт может полностью выпасть из результатов поиска в одночасье.
Неважно, какую платформу использует ваш сайт, мы не рекомендуем использовать плагин для такой массовой миграции.Намного проще реализовать 301 редирект на уровне сервера, особенно если вы имеете дело с сотнями URL-адресов.
Nginx
Добавьте в файл конфигурации Nginx следующее:
server {
слушать 80;
имя_сервера domain.com www.domain.com;
возврат 301 https: //domain.com$request_uri;
}
Apache
Добавьте в файл .htaccess
следующее:
RewriteEngine On
Скидка RewriteCond% {HTTPS}
RewriteRule (.*) https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
6. Обновите файл robots.txt
Обновите все жестко закодированные ссылки или правила блокировки, которые могут быть в вашем файле robots.txt
, которые могут указывать на каталоги или файлы HTTP.
7. Установите сертификат SSL на CDN
У вас есть три варианта, когда дело касается вашей CDN. У большинства провайдеров есть опция общего SSL, а также индивидуальный SSL. KeyCDN также имеет интеграцию с Let’s Encrypt. Если вы не знакомы с Custom SSL (и отличиями от Shared SSL), ознакомьтесь с этим руководством.В следующих примерах мы используем KeyCDN.
Включить общий SSL
KeyCDN предлагает своим клиентам полностью бесплатный общий SSL. Это позволяет доставлять контент по HTTPS с использованием URL-адреса вашей зоны. Следуйте нашему руководству по настройке общего SSL.
Включение бесплатного настраиваемого SSL с помощью Let’s Encrypt
KeyCDN теперь имеет интеграцию с Let’s Encrypt, которая позволяет вам бесплатно включить SSL для настраиваемого псевдонима зоны. Следуйте нашему руководству о том, как использовать Let’s Encrypt с KeyCDN.
Let’s Encrypt поддерживает только сертификаты проверки домена , что означает, что в адресной строке вы увидите зеленый замок.
В настоящий момент у них нет планов предлагать сертификаты проверки организации или расширенные сертификаты проверки, потому что для этого требуется вмешательство человека и некоторая форма оплаты.
Включить настраиваемый SSL — установить сертификат
Если вы включаете настраиваемый SSL, вам понадобится собственный сертификат, отдельный от того, который вы купили для своего основного домена.Вы можете легко приобрести еще один сертификат Comodo Positive SSL менее чем за 9 долларов в год. См. Шаг 1 для получения дополнительной информации о покупке сертификата SSL.
Затем следуйте нашему полному руководству по настройке пользовательского SSL на KeyCDN.
8. Обновите URL-адрес Origin на CDN
Нам также необходимо обновить ваш URL-адрес Origin. На панели управления KeyCDN перейдите к настройкам зоны и обновите значение Origin URL с http: //
на https: //
.
10.Обновите все жестко заданные ссылки CDN на HTTPS
. Теперь, как и в случае со ссылками на ваш домен, нам также необходимо обновить все жестко заданные ссылки CDN, которые могут быть у вас. В этом примере мы снова используем инструмент из шага 3 в WordPress.
Убедитесь, что после завершения поиска и замены скрипт удалил его! Вы можете сделать это, нажав кнопку «Удалить меня» или удалить его вручную через FTP со своего сервера.
11. SEO: Google Search Console, карты сайта, выборка
Теперь, когда ваш сайт работает по протоколу HTTPS, вам нужно создать новый профиль Google Search Console.Просто нажмите «Добавить недвижимость» и продолжайте процесс подачи заявки.
Карты сайта
Карты сайта не требуются Google для сканирования вашего сайта, но они могут быть полезны, если вы пытаетесь отладить проблемы с индексированием или проверить, индексируются ли ваши изображения. Если вы их используете, вам нужно будет повторно отправить версию HTTPS в вашем новом профиле Google Search Console.
Для Yandex Webmaster Tools вам нужно будет скопировать те же шаги, что и мы для Google. Для Bing Webmaster Tools вам не нужно создавать новый профиль, просто повторно отправьте свои карты сайта HTTPS.
Fetch
Затем мы рекомендуем выполнить выборку и сканирование на вашем новом HTTPS-сайте, чтобы все работало немного быстрее. При некоторых переходах на HTTPS для правильного повторного сканирования Google требуется несколько недель.
- Отправьте свою домашнюю страницу, нажав «Получить», а затем «Отправить в индекс».
- Затем выберите «Сканировать этот URL и его прямые ссылки». Если у вас есть очень важные страницы, которые могут не быть связаны с вашей домашней страницей, вы также можете отправить их по отдельности для повторного сканирования.
12. SEO: повторно отправьте файл отклонения
Это шаг, о котором многие люди забывают. Если вы когда-либо страдали от негативного SEO или вам нужно было удалить обратную ссылку, вы, вероятно, создали и отправили файл отклонения. Поскольку на шаге 11 вы создали новый профиль консоли поиска Google, для этого требуется, чтобы вы повторно отправили файл отклонения под новым профилем. Если вы этого не сделаете, при следующем обновлении алгоритма вы можете столкнуться с серьезными проблемами, поскольку Google не увидит ваш файл отклонения.
Итак, перейдите к инструменту Google Disavow в своем исходном профиле Google Search Console (HTTP) и загрузите файл disavow.
Затем снова запустите инструмент отклонения на новом сайте HTTPS и повторно отправьте файл.
Убедитесь, что вы видите подтверждающее сообщение.
13. Обновите URL своего профиля Google Analytics
Затем вам нужно обновить URL своего веб-сайта Google Analytics. Итак, под своей учетной записью нажмите Admin, а затем настройки просмотра. Затем переверните URL-адрес на версию HTTPS.Сделайте то же самое для своих настроек ресурса. Таким образом, вы не потеряете историю и сможете продолжить с того места, где остановились.
14. Разные обновления
Вот еще несколько дополнительных обновлений, которые вы также захотите сделать после перехода с HTTP на HTTPS.
- Обновите канонические теги, чтобы они указывали на версию HTTPS. Если бы вы использовали инструмент для WordPress, как в нашем примере на шаге 3, канонические теги были бы обновлены. Если вы используете другую платформу, убедитесь, что они обновлены.
- Обновите URL-адреса сторонних PPC (например, AdWords, Bing Ads и Facebook Ads)
- Обновите URL-адреса программного обеспечения электронного маркетинга (например, MailChimp, Aweber и GetResponse)
- Обновите ссылки социальных сетей на ваш сайт (например, Facebook, Twitter и LinkedIn)
- Обновите все внешние ссылки и обратные ссылки, насколько это возможно.
- Перенести счетчики социальных сетей
Команда поиска Google также недавно опубликовала ответы на 13 часто задаваемых вопросов, касающихся миграции HTTPS.
Сводка
Как видите, при переходе с HTTP на HTTPS многое нужно, но если вы следовали нашему руководству, приведенному выше, вы должны быть в хорошем положении в будущем и теперь можете извлечь выгоду из повышения производительности HTTP / 2 и воспользоваться дополнительным фактором ранжирования SEO. Не говоря уже о том, что ваш сайт теперь намного безопаснее, и вход в систему больше не будет передаваться в виде обычного текста.
Есть ли у вас другие советы по переходу с HTTP на HTTPS? Если да, мы хотели бы услышать о них ниже.
Как реализовать HTTP в WordPress
HTTPS для вашего сайта WordPress
Переключение вашего сайта на HTTPS важно во многих отношениях. Это не только улучшит рейтинг вашей поисковой системы, но и зашифрует любые данные, передаваемые из браузера вашего пользователя на ваш сервер.
В целом, вы улучшите безопасность и надежность своего сайта, а также сделаете его привлекательным в глазах Google.
Ниже мы рассмотрим, почему вы хотите добавить сертификат SSL на свой сайт WordPress, и предложим ряд шагов, которые помогут упростить этот процесс.
Что такое HTTPS?
Вы, наверное, слышали о HTTPS, но до сих пор не совсем понимаете, что это такое. Во-первых, его легко увидеть на большинстве крупных веб-сайтов. Вы увидите, что их URL-адреса в адресной строке начинаются с «https: //» вместо стандартного «http: //». Он также включает небольшой зеленый значок замка рядом с URL-адресом, что означает, что сайт безопасен.
HTTPS расшифровывается как Hypertext Transport Protocol Secure и использует сертификат SSL для установки безопасного соединения между веб-браузером пользователя и вашим сервером.Любые данные, которыми обмениваются через это соединение, зашифрованы.
Это шифрование данных значительно затрудняет чтение или перевод любой информации, которая может быть перехвачена через соединение с веб-браузером.
Как HTTPS может принести пользу вашему сайту WordPress
Вам не обязательно переводить свой сайт на HTTPS, но это дает некоторые преимущества, которые могут сделать переход на него хорошей идеей.
- Защищает конфиденциальную информацию. Если ваш сайт обрабатывает информацию о кредитных картах или другие потенциально компрометирующие данные, то перевод вашего сайта на HTTPS является необходимостью.
- Делает ваш сайт заслуживающим доверия. Переход на HTTPS не только обезопасит передачу информации, но и поможет пользователям почувствовать себя в безопасности и поверить в то, что ваш веб-сайт подлинный и что вы действительно являетесь тем, кем себя называете.
- Улучшает ваше SEO. Наличие сертификата SSL — это фактор ранжирования Google. В июле 2018 года
Преобразование вашего сайта с HTTP на HTTPS
Примечание редактора: с октября 2018 года посетители сайтов, не использующих HTTPS, будут видеть красный цвет.Google объявил, что они начнут мигать красными сообщениями об ошибках в адресной строке, когда пользователи совершат определенные действия на незащищенных сайтах.
С тех пор, как Elevated впервые опубликовала этот популярный HTTPS-блог в 2014 году, большинство основных браузеров усилили ограничения и публично осуждают незащищенные веб-сайты. В июле 2018 года Google Chrome подтвердил, что все веб-сайты без HTTPS, просматриваемые в Chrome, будут помечены как «Небезопасные».
Чтобы помочь вам сориентироваться в этом, мы обновили пост ниже и добавили удобный загружаемый для удобства справочник: Контрольный список Elevated Essential HTTPS Conversion
Где все началось… The Carrot
В июле 2014 года Google объявил небольшое преимущество в рейтинге сайтов с правильно установленными сертификатами SSL.Сайты, преобразованные в защищенные SSL, выглядели как https: \\ elevated.com против http: \\ elevated.com. Почему это имеет значение? Мы добавим этот дополнительный уровень безопасности, чтобы предотвратить нежелательный доступ к данным, собранным на вашем сайте, при их передаче туда и обратно.
Сегодня… Stick
Google, Safari, Firefox и большинство других популярных браузеров теперь требуют этот протокол для лучшего ранжирования, геолокации, ввода данных кредитной карты и многого другого. Протокол безопасности https также защищает ваш сайт от нежелательных рекламных инъекций, которые заставляют ваших посетителей показывать навязчивую, уродливую, непрошеную рекламу, которая может содержать вредоносное ПО.
Вот как будет разворачиваться остальная часть истории в октябре 2018 года, согласно Google:
- «В конце концов, наша цель — сделать так, чтобы единственные отметки, которые вы видели в Chrome, — это когда сайт небезопасен и непомеченное состояние по умолчанию является безопасным. Мы будем внедрять это со временем, начиная с удаления словосочетания «Безопасный» в сентябре 2018 г. А в октябре 2018 г. мы начнем показывать красное предупреждение «небезопасно», когда пользователи вводят данные на страницах HTTP ».
См. Полное уведомление Google здесь.
С точки зрения разработчиков, это облегчение. Я рад видеть, что Google продолжает продвигать HTTPS, и рад видеть, что HTTP-соединения продолжают исчезать.
Давайте рассмотрим некоторые шаги и рекомендации по переключению на безопасный веб-сайт. HTTP на HTTPS или рассмотрите HSTS
Шаг 1.Будьте готовы
Прежде чем вкладывать деньги в SSL-сертификат и менять свой сайт, рассмотрите задачу в целом.
- Готовы ли продажи? Если у вас сезонный сайт, не рекомендуется рассчитывать HTTPS-конверсию в часы пиковой посещаемости. Разумно ожидать простоя, таким образом, если это произойдет, вы будете готовы, и это произойдет в нерабочее время рабочего дня и цикла продаж.
- Ваш хост готов? Прежде чем тратить деньги или настраивать свой сайт, убедитесь, что хост может предоставлять веб-сайт HTTPS.Для некоторых хостов может потребоваться дополнительная настройка, и они должны вам в этом помочь.
- Ваша команда готова? Обязательно проинформируйте всех, кто участвует в переходе, о том, что веб-сайт будет находиться на техническом обслуживании, включая группы продаж, разработчиков, работающих над сайтом, с которыми вам может потребоваться помощь или с которыми вы будете работать, и посетителей. Общение имеет большое значение.
- Готовы? Этот процесс требует времени и одновременно много работы. Как только вы начнете процесс переключения ссылок и настройки перенаправления, может быть трудно быстро все это изменить, и обычно лучше продвигаться вперед.Итак, будьте готовы следить за сайтом и быть доступными для возникающих проблем. И, может быть, не начинайте это задание в пятницу в 15:00 — это не такая задача.
Шаг 2. Приобретите сертификат SSL
Из всех шагов это самый быстрый. Обычно хосты веб-сайтов продают сертификаты SSL и даже сделают большую часть настройки за вас — Nexcess — хороший тому пример. Примерно самый дешевый сертификат можно получить за 10 долларов. Вам необходимо знать адрес своих веб-сайтов и разницу между www.example.com и example.com — не думайте, что стандартный сертификат SSL покрывает оба! Более дорогие сертификаты Wild Card покрывают оба, но могут не понадобиться для вашей настройки. Если вы считаете, что вашему веб-сайту может потребоваться специальный тип SSL-сертификата, проконсультируйтесь с профессиональной компанией, которой вы доверяете, но это довольно редкое требование. Для получения дополнительной информации о различных типах SSL ознакомьтесь с нашим контрольным списком преобразования HTTPS.
Краткое примечание о более дорогих сертификатах SSL, особенно о «расширенных» типах: некоторые из них будут отображать зеленый замок в адресной строке, см. Ниже:
Наличие этого зеленого замка может некоторым образом повысить продажи, но сложно сказать.Увеличились продажи или нет, теперь вы знаете, почему некоторые сайты имеют такой зеленый цвет.
Шаг 3. Настройка хостинга с SSL-сертификатом
Если хост вашего веб-сайта не настроил для вас SSL-сертификат, вам нужно будет сгенерировать ключи от продавца и вставить их в панель управления хоста веб-сайта. Помните о полях и всегда обращайтесь в службу поддержки, если это необходимо — часть ваших затрат на хостинг покрывает их помощь в таких ситуациях.
После того, как ваш веб-сайт будет правильно настроен, вы больше не будете видеть сообщения, предупреждающие о недействительных сертификатах, при посещении страниц HTTPS.Вам, вероятно, потребуется полностью очистить кеш (а не просто использовать окно приватного просмотра), чтобы увидеть эти изменения — в случае сомнений попросите кого-нибудь посетить HTTPS-страницу сайта, который никогда раньше не посещал этот сайт. Также следует отметить, что если вы не настроили фактический веб-сайт для поддержки HTTPS, вы можете быть перенаправлены обратно на сайт HTTP. Каждый хост веб-сайта немного отличается — у некоторых будет отдельная папка для HTTPS, поэтому будьте непредвзяты при настройке.
Шаг 4.Измените все ссылки веб-сайтов на HTTPS
Вот где все эти годы слышали, как люди говорят «используйте относительные ссылки» и «никогда не кодируйте свои ссылки жестко!» вступит в игру (и теперь вы тоже можете начать говорить это и чувствовать себя хорошо, зная почему). Кроме того, вот почему использование системы управления контентом (CMS) также сэкономит время. Итак, предполагая, что ваш SSL-сертификат настроен …
Начните исправлять любые ссылки, созданные не в CMS, как они должны быть:
- Найдите все ссылки на веб-сайте, которые не созданы CMS.Сюда входят ссылки на CDN, ссылки на страницы, изображения, JavaScript и все, что будет использовать ваш веб-сайт.
- Изменение относительных путей ссылок: если ссылка «http://www.example.com/link», то она должна быть «/ link» — таким образом, даже если вы не совсем готовы переключить все на HTTPS, эти ссылки по-прежнему будут работать для веб-сайта HTTP. Убедитесь, что ссылки начинаются с этого первого «/», иначе вы столкнетесь с проблемами. В тупике? Давайте обсудим.
- Проверьте это: обновите кеш в браузере и на веб-сайте, затем перейдите на страницу, на которой находится ссылка, и нажмите на нее.Вы можете протестировать, чтобы убедиться, что это работает на веб-сайте HTTP или HTTPS, в любом случае будет работать как тест.
Изменить ссылки, созданные CMS: Это зависит от платформы к платформе. Вот как это сделать в Magento и WordPress при обычных установках. Если у вас есть плагины или расширения для кеширования, рекомендуется проверить форумы поддержки для получения дополнительных советов. Для других платформ CMS вам может потребоваться обратиться к их документации.
- Просмотрите свои страницы CMS, сообщения, статические блоки (для Magento), файлы шаблонов и все остальное на предмет неправильных ссылок, которые необходимо обновить.Некоторые ссылки генерируются вашей CMS, но могут генерировать неправильный URL. Например, если URL-адрес в редакторе Magento CMS — «{{unsecure_base_url}} example.html, то это должна быть относительная ссылка, например,« /example.html »
- Следующий шаг для пользователей Magento: войдите в backend и перейдите в System -> Configuration -> Web -> Secure, чтобы проверить правильность настроек:
- Base URL (заканчивается косой чертой): ваш URL HTTPS, например https://example.com/
- Use Secure URL-адреса в Frontend: Да
- Использовать защищенные URL-адреса в Admin: Да
- Для пользователей WordPress: я воспользуюсь инструкциями Yoast по этому поводу, которые можно найти здесь.По сути, вам нужно будет изменить URL-адрес веб-сайта, добавить код для принудительного использования HTTPS в области администратора и, возможно, установить этот плагин. Поскольку на сайтах WordPress очень много разных плагинов кеширования, обратитесь за помощью к документации по вашему плагину.
Ищите ошибки: Надеюсь, на этом этапе все ваши ссылки и связанные файлы изменены на HTTPS, но удачно получить их все с первой попытки. Итак, чтобы найти их, один из способов — посетить ваш сайт. Посетите свой сайт в Chrome / Safari / Firefox, щелкните элемент правой кнопкой мыши и выберите «Проверить элемент».Оттуда поищите ошибки в консоли: если есть неправильные HTTP-связанные файлы, ошибка будет выводиться для каждого из них. Другой способ поиска HTTP-ссылок — это открыть исходный код страницы и найти что-либо, содержащее «HTTP:»… надеюсь, ничего не найдено, и ваша работа завершена. Смешанный контент может навредить вашему пользовательскому опыту (надоедливые предупреждения браузера) и повредить вашему SEO-рейтингу.
Шаг 5. Настройте 301 редирект с HTTP на HTTPS или рассмотрите HSTS
Для веб-сайтов на базе Apache, чтобы перенаправить весь входящий трафик, скажем, со старых ссылок Google или устаревших ссылок на других сайтах, настройка перенаправления для всего HTTP запросы на HTTPS могут быть выполнены довольно легко.Вот код для добавления в начало файла .htaccess в корневой папке:
RewriteEngine On
RewriteCond% {HTTPS} off
RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
Как только он появится, тщательно проверьте, что ваш веб-сайт по-прежнему работает и любой запрос, сделанный на ваш сайт, перенаправляется на URL-адрес HTTPS.
Если вы из тех, кто хочет быть в авангарде технологических стандартов и не беспокоится о влиянии на горстку пользователей, HTTP Strict Transport Security (HSTS) для вас.Здесь можно найти руководство с инструкциями по настройке. HSTS — это способ заставить все соединения быть HTTPS — он, по сути, действует так же, как упомянутое выше перенаправление, но стандартизированным способом. К сожалению, Internet Explorer еще не реализовал решение, но большинство других браузеров уже работают. В будущем HSTS, вероятно, станет стандартом для авторитетных веб-сайтов.
Шаг 6. Заключение
Миграция вашего сайта на HTTPS — непростая задача, но, к счастью, есть много ресурсов, которые могут помочь.Google даже составил руководство по рекомендованному ими процессу. Со всей онлайн-справкой действительно нет оправдания отсутствию HTTPS. Потратив немного времени и 10 долларов в год, любой сайт можно преобразовать.
Здесь, в Elevated, мы работаем с клиентами над преобразованием их веб-сайтов, как старых, так и новых, в версии HTTPS. Это процесс, который нам нравится, потому что он придает постоянную ценность присутствию любой компании в Интернете. Некоторые из наших недавних счастливых новообращенных включают:
- Day Motor Sports — магазин автозапчастей с более чем 16 000+ продуктов
- BioCom — группа по защите интересов наук о жизни с надежным сайтом членства
- Earthlite Massage Tables — компания по производству массажных товаров которые продолжали добиваться успеха с их переходом в этом году на полный HTTPS (они используют Magento).
Чтобы получить простой справочник по этим шагам и дополнительную информацию о том, какой SSL может вам подойти, загрузите наш Контрольный список для обязательного преобразования HTTPS.