Безопасный переход на безопасный протокол

Как перевести сайт на HTTPS: руководство к действию

Если вы планируете сменить протокол сайта на HTTPS, но сомневаетесь – нужно ли вашему ресурсу это? Самое время разобраться. Из статьи вы узнаете:

• в чем преимущества сайта на https;
• когда лучше осуществлять переезд;
• как произвести смену протокола.

С января 2017 года обновленный Google Chrome 56 помечает сайты с HTTP, как небезопасные. При том, отображается это не нейтральной буквой «i», а надписью «not secure» - «ненадежный».

Так Гугл помогает пользователям узнать, что оставлять личные данные или совершать платежные операции на сайте опасно. Владельцам ресурсов Google рассылает подобные уведомления:

Смена протокола влияет на доверие пользователей к сайту. К тому же, Google включил протокол https в факторы, влияющие на ранжирование. Какие ещё плюсы?

В чем преимущества сайта на https

Этот протокол обеспечивает безопасность транспортировки данных, способен шифровать передаваемые сообщения от браузера пользователя к серверу.

Преимущества защищенного протокола:

• конфиденциальность;
• целостность (хакеры не смогут украсть информацию, использовать или видоизменить);
• защищенность аутентификации пользователей.

Это важно для:

• банковских сайтов;
• интернет-магазинов;
• платежных систем;
• систем международных денежных переводов;
• почтовых сервисов.

И других веб-ресурсов, которые используют приватную информацию клиентов (пользователей) для авторизации (входа в личный кабинет). В этом деле – безопасность на первом месте.

Когда лучше осуществлять переезд

Молодой сайт логичнее переводить по принципу: чем раньше, тем лучше. Сделать это гораздо проще на начальном этапе и в дальнейшем продвигать ресурс, не теряя драгоценные позиции и трафик.

«Старому» сайту организовывайте смену протокола в период межсезонья или затишья продаж (заказов), тогда вы понесете минимальные убытки.

«Старым» ресурсам сменить протокол сложнее, потому что:

• переиндексация всех страниц занимает длительное время;
• при смене протокола временно обнуляется показатель ТИЦ.

Также сайт может потерять позиции в выдаче, а трафик «просесть», если допустить ошибки при переходе на защищенный протокол.

Основная проблема при некорректном переносе – это понижение позиций ресурса в результатах поиска. Происходит это из-за того, что смену протоколов ПС расценивает как изменение главного зеркала, и при настройке 301 глобального редиректа происходит полная переиндексация сайта.

Главная задача при смене http на https – сообщить поисковикам об этих действиях, иначе ПС будут видеть дубли ресурса (один и тот же контент будет доступен по двум протоколам).

Как произвести смену протокола

Организовать переезд можно по такой схеме:

1. Приводим ссылки на сайте (включая весь контент текстовый, медийный) к виду: //site.ru/...../...../, вместо http:// site.ru/...../.....
2. Покупаем сертификат SSL в центре сертификации (например, в  Comodo, Symantec, Trustwave) или у компаний-реселлеров.

Существуют такие типы сертификатов:

• бесплатные self-signed – устанавливать их не рекомендуют, так как браузеры будут выдавать уведомление, что «сертификат не является доверенным», это небезопасное решение;
• которые содержат доменное имя – Domain Validation – DV. Самые простые и распространенные сертификаты. Выдаются на 1 домен;
• подтверждающие домен и организацию – Organization Validation – OV. Перед тем, как  выдать такой сертификат, могут проверить свидетельство о государственной регистрации компании. Выдаётся именно организации, а не частному лицу;
• с расширенной проверкой – Extended Validation- EX. Подтверждает самый высокий уровень доверия к сайту. Это отображается в адресной строке: указывается зеленым название организации.

Перед получением данного типа сертификата, компании проходят тщательную проверку на наличие свидетельств государственной регистрации, официальных документов, подтверждающих деятельность, нахождение организации по заявленному фактическому адресу, права на использование домена.

Стоимость сертификатов (на год) варьируется от 10$ до 300$. Также сертификаты систематизируют по функционалу:

• обычные SSL-сертификаты – на 1 домен;
• Wildcard – для обеспечения шифрования на поддоменах;
• SAN – 1 сертификат защищает несколько доменов.

3. Устанавливаем сертификат, проверяем работу сайта на http и https. Если несколько ссылок на сайте открываются через  http://, браузер выдаёт предупреждение:

Если сертификат установлен неправильно или используется тип self-signed, то предупреждение будет выглядеть так:

4. В этом пункте есть отличия в зависимости от приоритетной поисковой системы:

4.1. Для ресурса, который продвигается в Google настраиваем редирект с http на https, за исключением файла robots.txt (в нем указываем хост с «https»). В файл htaccess добавляем:

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} robots.txt$ [NC]

RewriteRule ^([^/]+) $1 [L]

RewriteCond %{HTTPS} !=on

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

И в файле robots.txt должна быть строчка Host: https://site.ru (где вместо site.ru домен текущий).

4.2. Для Яндекса: не используем редирект.

Настраиваем постраничный каноникал с http на https версию сайта

В файле robots.txt. указываем хост

Host:https://site.ru (где вместо site.ru домен текущий)

После того, как произойдет склейка и главное зеркало будет выбрано на HTTPS (также в выдаче не останутся страницы с протоколом http), настраиваем постраничный глобальный редирект 301 с http на https.

5. Меняем настройки в Яндекс Вебмастере (обновляем sitemap и файл robots.txt,  указываем, что сайт переехал на надежный протокол).

6. Делаем аналогичные изменения в Google Вебмастере.
7. Проверяем работу инструментов для аналитики (указываем в настройках новый протокол).
8. Генерируем новые xml-карты сайта.

Эта инструкция, а также подробные рекомендации в справке Google и Яндекса помогут правильно сменить протокол.

Основные проблемы в виде проседания трафика и временной потери показателей ТИЦ можно избежать, если подобрать правильно время для этого и провести смену протокола, исходя из приоритетности поисковика. Практика показывает, что проседания – незначительны и непродолжительны. Вот несколько примеров:

Быть или не быть

Постепенно все ресурсы, независимо от тематики, переходят на безопасный протокол HTTPS. Единственный нюанс – стоимость сертификата и доработки. Проанализируйте заранее, выдержит ли ваш бюджет такие траты. И последнее, зайдите на веб-ресурсы конкурентов и посмотрите, а есть ли у них заветный зеленый замочек?