click fraud detection
0 800 755 007
(Безкоштовно по Україні)

Безпечний перехід на безпечний протокол

17646
1 коментарів

Як перевести сайт на HTTPS: посібник користувача

Якщо ви плануєте змінити протокол сайту на HTTPS, але сумніваєтеся – чи потрібно вашому ресурсу це? Саме час розібратися. Зі статті ви дізнаєтесь:

  • у чому переваги сайту на https;
  • коли краще здійснювати переїзд;
  • як зробити зміну протоколу.

З січня 2017 року оновлений Google Chrome 56 позначає сайти з HTTP як небезпечні. При цьому показується це не нейтральною літерою «i», а написом «not secure» - «ненадійний».

Приклад not secure від Google

У такий спосіб Google допомагає користувачам дізнатися, що залишати особисті дані або здійснювати платіжні операції на сайті небезпечно. Власникам ресурсів Google надсилає наступні повідомлення:

Лист від Google з рекомендаціями щодо переходу на https

Зміна протоколу впливає довіру користувачів до сайту. До того ж Google включив протокол https до факторів, що впливають на ранжування. Які ще плюси?

У чому переваги сайту на https

Цей протокол забезпечує безпеку транспортування даних, здатний шифрувати повідомлення, що передаються від браузера користувача до сервера.

Переваги захищеного протоколу:

  • конфіденційність;
  • цілісність (хакери не зможуть вкрасти інформацію, використовувати чи видозмінити);
  • захищеність автентифікації користувачів.

Схема роботи http та https

Це важливо для:

  • банківських сайтів;
  • інтернет-магазинів;
  • платіжних систем;
  • систем міжнародних грошових переказів;
  • поштових сервісів.

Та інших веб-ресурсів, які використовують приватну інформацію клієнтів (користувачів) для авторизації (входу до особистого кабінету). У цій справі – безпека на першому місці.

Коли краще здійснювати переїзд

Молодий сайт логічніше переводити за принципом: що раніше, то краще. Зробити це набагато простіше на початковому етапі й надалі просувати ресурс, не втрачаючи дорогоцінні позиції та трафік.

«Старому» сайту організовуйте зміну протоколу в період міжсезоння або затишшя продажу (замовлень), тоді ви зазнаєте мінімальних збитків.

«Старим» ресурсам змінити протокол складніше, оскільки:

  • переіндексація всіх сторінок потребує тривалого часу;
  • при зміні протоколу тимчасово обнуляється показник ТІЦ.

Реальний графік - приклад тимчасового обнулення ТІЦ

Також сайт може втратити позиції у видачі, а трафік «просісти», якщо припуститися помилок при переході на захищений протокол.

Основна проблема при некоректному перенесенні – це зниження позицій ресурсу у результатах пошуку. Відбувається це тому, що зміну протоколів ПС розцінює як зміну головного дзеркала, й при налаштуванні 301 глобального редиректу відбувається повна переіндексація сайту.

Головне завдання при зміні http на https – повідомити про це пошуковики, інакше ПС бачитимуть дублі ресурсу (один й той самий контент буде доступний за двома протоколами).

Як зробити зміну протоколу

Організувати переїзд можна за наступною схемою:

  1. Наводимо посилання на сайті (включаючи весь текстовий, медійний контент) на вигляд: //site.ru/...../...../, замість http:// site.ru/...../. ....
  2. Купуємо сертифікат SSL у центрі сертифікації (наприклад, у Comodo, Symantec, Trustwave) або у компаній-реселерів.

Існують наступні типи сертифікатів:

  • безплатні self-signed – встановлювати їх не рекомендують, оскільки браузери будуть видавати повідомлення, що сертифікат не є надійним, це небезпечне рішення;
  • які містять доменне ім'я – Domain Validation – DV. Найпростіші та найпоширеніші сертифікати. Видаються на 1 домен;
  • що підтверджують домен та організацію – Organization Validation – OV. Перед тим, як видати такий сертифікат, можуть перевірити свідоцтво про реєстрацію компанії. Видається саме організації, а не приватній особі;
  • з розширеною перевіркою - Extended Validation-EX. Підтверджує найвищий рівень довіри до сайту. Це показується в рядку адреси: зелена назва організації.

У різних браузерах загальна позначка захищених протоколів на сайті

Перед отриманням такого типу сертифіката, компанії проходять ретельну перевірку на наявність свідоцтв державної реєстрації, офіційних документів, що підтверджують діяльність, знаходження організації на заявлену фактичну адресу, права на використання домену.

Вартість сертифікатів (на рік) варіюється від 10 $ до 300 $. Також сертифікати систематизують за функціоналом:

  • Звичайні SSL-сертифікати - на 1 домен;
  • Wildcard – для забезпечення шифрування на піддоменах;
  • SAN – 1 сертифікат захищає декілька доменів.
  1. Встановлюємо сертифікат, перевіряємо роботу сайту на http та https. Якщо кілька посилань на сайті відкриваються через http://, браузер видає попередження:

Попередження при відкритті посилань з https на http

Якщо сертифікат встановлено неправильно або використовується тип self-signed, попередження виглядатиме отак:

Попередження при неправильно встановленому сертифекаті

  1. У цьому пункті є відмінності в залежності від пріоритетної пошукової системи:

4.1. Для ресурсу, який просувається в Google, налаштовуємо редирект з http на https, за винятком файлу robots.txt (в ньому вказуємо хост з https). До файлу htaccess додаємо:

RewriteEngine On

RewriteCond %{REQUEST_FILENAME} robots.txt$ [NC]

RewriteRule ^([^/]+) $1 [L]

RewriteCond %{HTTPS} !=on

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

І у файлі robots.txt має бути рядок Host: https://site.ru (де замість site.ru домен поточний).

4.2. Для Яндекса: не використовуємо редирект.

Налаштовуємо посторінковий канонікал з http на https версію сайту

У файлі robots.txt. вказуємо хост

Host:https://site.ru (де замість site.ru поточний домен)

Після того, як відбудеться склеювання й головне дзеркало буде вибрано на HTTPS (також у видачі не залишаться сторінки з протоколом http), налаштовуємо глобальний редирект 301 з http на https.

    1. Змінюємо налаштування в Яндекс Вебмайстрі (оновлюємо sitemap та файл robots.txt, вказуємо, що сайт переїхав на надійний протокол).

Зміна налаштувань у Webmaster – попередження про переїзд сайту на безпечний протокол

      1. Робимо аналогічні зміни у Google Вебмайстрі.
      2. Перевіряємо роботу інструментів для аналітики (вказуємо в налаштуваннях новий протокол).
      3. Генеруємо нові XML-карти сайту.

Ця інструкція, а також докладні рекомендації у довідці Google та Яндекса допоможуть правильно змінити протокол.

Основні проблеми у вигляді просідання трафіку та тимчасової втрати показників ТІЦ можна уникнути, якщо підібрати правильний час для цього та провести зміну протоколу, виходячи з пріоритетності пошуковика. Практика показує, що просідання – незначні та нетривалі. Ось кілька прикладів:

Приклад просідання позицій на нетривалий час

Приклад того, як переїзд не позначився на позиціях

Різниця сприйняття переїзду Гуглом та Яндексом

Ще один приклад переїзду без наслідків для позицій сайту

Бути чи не бути

Поступово всі ресурси незалежно від тематики переходять на безпечний протокол HTTPS. Єдиний нюанс – вартість сертифіката та доопрацювання. Проаналізуйте заздалегідь, чи ваш бюджет витримає такі витрати. І останнє, зайдіть на веб-ресурси конкурентів й подивіться, а чи мають вони заповітний зелений замочок?

У вас залишились запитання?

Залиште контактні дані. Наш менеджер зв'яжеться та проконсультує вас.

3.1667/5
Корисність
Проголосували 6
Як вам стаття?
Давайте обговоримо Ваш проект
Давайте почнемо розмову!
КОМЕНТАРІ0
Можливо
Успішність будь-якого IT-продукту залежить від того, наскільки вдало і грамотно підібрані інструменти для його створення.…
Євген Паталяк
Євген Паталяк
Традиційна форма взаємодії співробітника та компанії – найм у штат. Але утримувати великий штат співробітників…
Євген Паталяк
Євген Паталяк
Якщо ви читаєте наш блог, то знайомі з циклом розробки програмного забезпечення, а також з…
Вікторія Ліпська
Вікторія Ліпська
ПІДПИСУЙТЕСЯ НА РОЗСИЛКУ АЙТІБЛОГ
Бажаєте отримувати 
цікаві статті?