Як перевести сайт на HTTPS: посібник користувача
Якщо ви плануєте змінити протокол сайту на HTTPS, але сумніваєтеся – чи потрібно вашому ресурсу це? Саме час розібратися. Зі статті ви дізнаєтесь:
-
у чому переваги сайту на https;
-
коли краще здійснювати переїзд;
-
як зробити зміну протоколу.
З січня 2017 року оновлений Google Chrome 56 позначає сайти з HTTP як небезпечні. При цьому показується це не нейтральною літерою «i», а написом «not secure» - «ненадійний».
У такий спосіб Google допомагає користувачам дізнатися, що залишати особисті дані або здійснювати платіжні операції на сайті небезпечно. Власникам ресурсів Google надсилає наступні повідомлення:
Зміна протоколу впливає довіру користувачів до сайту. До того ж Google включив протокол https до факторів, що впливають на ранжування. Які ще плюси?
У чому переваги сайту на https
Цей протокол забезпечує безпеку транспортування даних, здатний шифрувати повідомлення, що передаються від браузера користувача до сервера.
Переваги захищеного протоколу:
-
конфіденційність;
-
цілісність (хакери не зможуть вкрасти інформацію, використовувати чи видозмінити);
-
захищеність автентифікації користувачів.
Це важливо для:
-
банківських сайтів;
-
інтернет-магазинів;
-
платіжних систем;
-
систем міжнародних грошових переказів;
-
поштових сервісів.
Та інших веб-ресурсів, які використовують приватну інформацію клієнтів (користувачів) для авторизації (входу до особистого кабінету). У цій справі – безпека на першому місці.
Коли краще здійснювати переїзд
Молодий сайт логічніше переводити за принципом: що раніше, то краще. Зробити це набагато простіше на початковому етапі й надалі просувати ресурс, не втрачаючи дорогоцінні позиції та трафік.
«Старому» сайту організовуйте зміну протоколу в період міжсезоння або затишшя продажу (замовлень), тоді ви зазнаєте мінімальних збитків.
«Старим» ресурсам змінити протокол складніше, оскільки:
-
переіндексація всіх сторінок потребує тривалого часу;
-
при зміні протоколу тимчасово обнуляється показник ТІЦ.
Також сайт може втратити позиції у видачі, а трафік «просісти», якщо припуститися помилок при переході на захищений протокол.
Основна проблема при некоректному перенесенні – це зниження позицій ресурсу у результатах пошуку. Відбувається це тому, що зміну протоколів ПС розцінює як зміну головного дзеркала, й при налаштуванні 301 глобального редиректу відбувається повна переіндексація сайту.
Головне завдання при зміні http на https – повідомити про це пошуковики, інакше ПС бачитимуть дублі ресурсу (один й той самий контент буде доступний за двома протоколами).
Як зробити зміну протоколу
Організувати переїзд можна за наступною схемою:
- Наводимо посилання на сайті (включаючи весь текстовий, медійний контент) на вигляд: //site.ru/...../...../, замість http:// site.ru/...../. ....
- Купуємо сертифікат SSL у центрі сертифікації (наприклад, у Comodo, Symantec, Trustwave) або у компаній-реселерів.
Існують наступні типи сертифікатів:
-
безплатні self-signed – встановлювати їх не рекомендують, оскільки браузери будуть видавати повідомлення, що сертифікат не є надійним, це небезпечне рішення;
-
які містять доменне ім'я – Domain Validation – DV. Найпростіші та найпоширеніші сертифікати. Видаються на 1 домен;
-
що підтверджують домен та організацію – Organization Validation – OV. Перед тим, як видати такий сертифікат, можуть перевірити свідоцтво про реєстрацію компанії. Видається саме організації, а не приватній особі;
-
з розширеною перевіркою - Extended Validation-EX. Підтверджує найвищий рівень довіри до сайту. Це показується в рядку адреси: зелена назва організації.
Перед отриманням такого типу сертифіката, компанії проходять ретельну перевірку на наявність свідоцтв державної реєстрації, офіційних документів, що підтверджують діяльність, знаходження організації на заявлену фактичну адресу, права на використання домену.
Вартість сертифікатів (на рік) варіюється від 10 $ до 300 $. Також сертифікати систематизують за функціоналом:
-
Звичайні SSL-сертифікати - на 1 домен;
-
Wildcard – для забезпечення шифрування на піддоменах;
-
SAN – 1 сертифікат захищає декілька доменів.
- Встановлюємо сертифікат, перевіряємо роботу сайту на http та https. Якщо кілька посилань на сайті відкриваються через http://, браузер видає попередження:
Якщо сертифікат встановлено неправильно або використовується тип self-signed, попередження виглядатиме отак:
- Для ресурсу, який просувається в Google, налаштовуємо редирект з http на https, за винятком файлу robots.txt (в ньому вказуємо хост з https). До файлу htaccess додаємо:
RewriteEngine On
RewriteCond % robots.txt$ [NC]
RewriteRule ^([^/]+) $1 [L]
RewriteCond % !=on
RewriteRule ^(.*)$ https://%/$1 [R=301,L]
І у файлі robots.txt має бути рядок Host: https://site.com (де замість site.com домен поточний).
Налаштовуємо посторінковий канонікал з http на https версію сайту
У файлі robots.txt. вказуємо хост
Host:https://site.com (де замість site.com поточний домен)
Після того, як відбудеться з'єднання і головне дзеркало буде обрано на HTTPS (також у видачі не залишаться сторінки з протоколом http), налаштовуємо глобальний редирект 301 з http на https.
- Змінюємо налаштування в Google Вебмайстрі (оновлюємо sitemap та файл robots.txt, вказуємо, що сайт переїхав на надійний протокол).
- Перевіряємо роботу інструментів для аналітики (вказуємо в налаштуваннях новий протокол).
- Генеруємо нові XML-карти сайту.
Ця інструкція, а також докладні рекомендації у довідці Google допоможуть правильно змінити протокол.
Основні проблеми у вигляді просідання трафіку та тимчасової втрати показників ТІЦ можна уникнути, якщо підібрати правильний час для цього та провести зміну протоколу, виходячи з пріоритетності пошуковика. Практика показує, що просідання – незначні та нетривалі. Ось кілька прикладів:
Бути чи не бути
Поступово всі ресурси незалежно від тематики переходять на безпечний протокол HTTPS. Єдиний нюанс – вартість сертифіката та доопрацювання. Проаналізуйте заздалегідь, чи ваш бюджет витримає такі витрати. І останнє, зайдіть на веб-ресурси конкурентів й подивіться, а чи мають вони заповітний зелений замочок?
Ціна перекладу сайту на https
Вартість перекладу сайту на HTTPS протокол може змінюватися залежно від декількох факторів, але в середньому становить 75-150 доларів США. На точну вартість впливають:
-
Сертифікат SSL: вартість сертифіката може змінюватися залежно від типу сертифіката, тривалості дії та постачальника. Вона може становити від кількох доларів до кількох сотень доларів на рік.
-
Роботи зі встановлення SSL-сертифіката: ця робота може виконуватися самостійно або за допомогою підрядників. Самостійна установка буде дешевшою, але вимагатиме певних знань та часу на встановлення.
-
Налаштування переадресації: після встановлення SSL-сертифіката на сайті необхідно налаштувати переадресацію HTTP на HTTPS. Ця робота також може бути виконана самостійно або через підрядників.
-
Інші витрати: може виникнути потреба у додаткових роботах, таких як оновлення посилань на сайті, встановлення контролю версій тощо.