Переход сайта на https
Автор Алексей | HiTex.BY, Последнее изменение: Алексей | HiTex.BY на 13 марта 2018 11:27
|
|||||||||
Все больше и больше растет ажиотаж вокруг темы переезда сайта на https. Чем же это обусловлено? В июле 2018 года абсолютно все http страницы будут отмечены как «не защищенные». Но уже сегодня можно посмотреть, как будет выглядеть http сайт для посетителей, просто откройте его в режиме инкогнито (Ctrl+Shift+N). HTTPS (от англ. HyperText Transfer Protocol Secure) - расширение http-протокола, поддерживающее шифрование данных и обеспечивающий их защиту от прослушивания и изменений. Зачем он нужен:
В августе 2014 Google заявляет о том, безопасность пользователей является главным приоритетом для компании, и поэтому все сайты, обеспечивающие надежную передачу данных (другими словами, использующие протокол https), могут рассчитывать на дополнительный бонус при ранжировании. В заявлении было сказано, что тестовое нововведение затронет порядка 1% поисковых запросов и в будущем планируется увеличение этого процента. Основная цель – дать время вебмастерам и простимулировать их к переходу на безопасный протокол. Стоит заметить, что пока заметного преимущества при ранжировании наличие защищенного протокола не дает. Однако, Google использует более 200 факторов ранжирования и мы точно знаем, что наличие защищенного протокола – один из них. В декабре 2015 года Google объявляет, что с этого момента по умолчанию будет индексироваться HTTPS-версия страницы, если сайт доступен для индексации по обоим протоколам: http и https. В январе 2016 года Google сообщает, что дает преимущество в ранжировании даже тем HTTPS-сайтам, которые неверно реализовали переход на безопасный протокол. И, самая свежая на данный момент публикация от 8.09.2016 на официальном блоге Google о том, что с января 2017 года браузер Chrome 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные (небезопасные). Пока что под это нововведение попадают страницы, где требуется ввод пароля или данных банковской карты, но со временем все сайты, использующие протокол http, будут помечаться как небезопасные. 27 декабря 2016 Google на своей странице в Google+ еще раз напомнил, что с конца января 2017 года с версии Chrome 56, браузер Chrome начнет помечать HTTP-сайты, где требуется ввод пароля или данных кредитной карты, как небезопасные.
В это же время Google начал рассылать в Google Search Console предупреждения для сайтов, на которых есть поля ввода для данных банковских карт и паролей на незащищенных страницах. Примеры таких страниц также прилагаются. Для русскоязычных сайтов уведомления приходят тоже на английском языке. Уже сейчас вы можете протестировать свой сайт, установив версию Google Chrome для разработчиков, ту самую 56 версию. Скачать ее можно здесь: https://www.google.ru/chrome/browser/canary.html. После этого откройте в этом браузере свой сайт, нажмите F12, чтобы открыть инструменты разработчика, после чего перейдите на вкладку Console. Там вы увидите, будет ли для вашего сайта выводиться предупреждение в браузере с конца января. Что касается поисковой системы Яндекс, здесь пока нет особой шумихи - поисковая система лучших позиций не обещает, однако компания показывает на собственном примере надежность своих сервисов, переводя их на https-протокол. Однако, мы считаем, что появление такого фактора ранжирования в Яндекс – лишь вопрос времени. Что делать сейчас?Так кому же стоит уже перевести сайт на https, волноваться и думать о риске потери трафика и позиций по запросам? Критически важно переходить на новый протокол тем сайтам, где есть какая-либо информация, которую могут перехватить (платежные данные, данные доступа к личному аккаунту. В первую очередь, это банки, интернет-магазины, тикет-офисы и онлайн-сервисы – для них переход в списке обязательных рекомендаций. Однако и обычные сайты должны двигаться в сторону безопасного шифрования, поэтому мы подготовили подробную инструкцию о том, как правильно перевести сайт на https. Инструкция по переводу сайта на httpsПеревод сайта на защищенный протокол в перспективе придется осуществить всем сайтам. К этому будут подталкивать как поисковые системы, так и браузеры. Поэтому, пока вы разбираетесь в теме и выбираете SSL-сертификат, пора подготовить сайт к переходу. Ниже вы найдете несколько полезных блоков информации: Виды SSL-сертификатовКратко рассмотрим основные виды сертификатов, не вдаваясь в технические подробности. Тип сертификата зависит от типа проверки.
С проверкой домена (DV или Domain Validated).
С проверкой организации (Organization Validated или OV).
С расширенной проверкой организации (Extended Validation SSL (EV SSL)). Дополнительные особенности сертификатов, о которых стоит знать:
Вот основные поставщики сертификатов: Как правило, купить сертификат можно сроком 1-3 года. Проще всего будет обратиться за сертификатом к хостеру (либо в центр сертификации). Каждый хостер, идущий в ногу со временем, продает сертификаты и может помочь с процессом их установки. Решить вопросы с переходом на https на разных этапах могут следующие люди и организации:
Важно! Обязательно следите за сроками окончания сертификата. Его необходимо будет продлевать, как домен и хостинг. Как подготовить сайт к переходу на httpsОписание алгоритма перехода на защищенный протокол содержит достаточно много технических моментов и специальных терминов. Если вы владелец сайта, то передайте ссылку на эту инструкцию своему техническому специалисту или программисту.
Пока вы решаете вопросы с сертификатом, сайт уже можно начинать
готовить к переходу на https. Даже если это будет через полгода-год.
Дело в том, что нужно убедиться, что на сайте все ссылки ведут на
страницы, доступные по защищенному протоколу либо имеют относительный
протокол.
Пример ссылки с относительным протоколом: Важно! Необходимо исправить все ссылки, в том числе на изображения, файлы, видео, внешние скрипты (виджеты, консультанты и прочие внешние сервисы). Чтобы не делать это вручную на многих страницах, можно попросить программиста исправить протокол http:// на относительный в базе данных сразу для всех ссылок. Далее мы подразумеваем, что вы уже приобрели сертификат и описываем последовательность действий, необходимую для корректного перехода сайта. Алгоритм перехода на https:
Вот так будет выглядеть результат, если все хорошо: и так, если есть проблема: В данном случае есть проблемы с настройкой сертификата и сайт не открывается в браузере Firefox. Обязательно протестируйте настройку SSL и проверьте как отображается сайт в разных браузерах, в том числе на мобильных устройствах: отдельно проверьте сайт с iPhone и Android. Если есть критичные проблемы, обратитесь к техническим специалистам, которые настраивали вам сертификат. Важно! Ранее в инструкции предполагалось использование двух robots.txt и временное закрытие https-версии от Google на время переклейки в Яндекс. Сейчас это не требуется, мы протестировали вариант без закрытия от Google и обновили инструкцию. Google при доступности обеих версий по умолчанию начинает показывать https-версию в выдаче, в Яндекс – после переклейки.
В robots должна содержаться строчка: Пример robots.txt (обратите внимание (!), что содержимое файла у вас будет свое, это пример для иллюстрации принципа переклейки):
User-agent: * Для https-версии ссылки в них должны быть доступны по https, а не http. Если домен https был признан зеркалом до переклейки Если домены http и https были признаны зеркалами ранее (а именно https-версия была признана неглавным зеркалом – такое бывает, но редко), то на данном этапе необходимо сначала расклеить зеркала. Обычно, если https-версия была ранее поклеена на http-версию, это выглядит вот так в Вебмастере Яндекса: Расклеиваем зеркала, а после расклейки указываем главным зеркалом https-версию. Для этого в Вебмастере заходим в раздел «Переезд сайта» для https-версии и под предложением отклеить сайт нажимаем «Применить». После этого увидите следующее сообщение: https://yandex.ru/support/webmaster-troubleshooting/mirrors/change-protocol.xml Стрелкой указана ссылка на этой странице, по которой можно написать в техподдержку Яндекс при наличии проблем. Яндекс подтверждает, что в случае, когда https-версия является неглавным зеркалом, это верный порядок действий. После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»: А также увидите, что https-версия стала отбражаться в Яндекс.Вебмастере как основная: Неглавное зеркало начнет выпадать из индекса Яндекса А главное зеркало начнет попадать в индекс Яндекса: Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего настроить 301 редирект. Важно! При переклейке сайта на другое зеркало обнуляется ТИЦ. Он вернется после следующего обновления ТИЦ, которое происходит примерно раз в месяц. (Источник). Не стоит волноваться: никаких последствий для сайта это не имеет, ТИЦ не учитывается при ранжировании сайта в поиске Яндекса.
Цитата справки Яндекса: «тИЦ как средство определения авторитетности
ресурсов призван обеспечить релевантность расположения ресурсов в
рубриках каталога Яндекса.» (Источник) Для перенаправления c http:// на https:// в .htaccess добавляем (может работать не во всех случаях, тогда обращаемся к хостеру или программисту):
RewriteCond %{SERVER_PORT} !^443$ Альтернативный вариант:
RewriteEngine on Вот подтверждение от службы поддержки Яндекса. Надеемся, скоро это действие перестанет быть необходимым. Счетчики шеров и лайковЕще один важный момент для сайтов, на которых используются счетчики «лайков» - эти данные, к сожалению, будут потеряны. Если до перехода у вас были такие цифры по шерам вашей статьи: то после перехода счетчики будут выглядеть вот так: Такая проблема возникает из-за того, что подобные счетчики лайков отображают статистику для конкретного адреса. Так как у страницы меняется протокол, адрес страницы меняется и у новой страницы нет подобной статистики. Facebook уже решил эту проблему, будем надеяться, что остальные соцсети также подтянутся.
Резюме На время переклейки сайта, как правило, временные просадки позиций неизбежны и в Яндекс, и в Гугл. Алгоритм действий, указанный выше, подтвержден Яндексом. Проблема с реферальным трафикомВажно! Если пользователь осуществляет переход с сайта на HTTPS на сайт без HTTPS (например, с вашего сайта, на сайт компании, купившей на вашем сайте баннер), то по умолчанию HTTP заголовок referer не передается, если не указано иное правило. Поведение логичное, ведь вы покидаете защищенную зону и отправляетесь в зону риска. Это означает, что ваш сайт как источник трафика Google Analytics или Яндекс.Метрика определить не сможет и отнесет весь этот трафик к прямому. Поэтому, если вы продаете на сайте баннеры или размещаете информацию о компаниях и их сайтах и вашим клиентам важно отслеживать трафик с вашего сайта.
Чтобы с этим не было проблем, на HTTPS-сайте необходимо добавить на страницах до закрывающего тега </head> мета-тег:
Оптимальным вариантом будет следующий: Проверка смешанного содержимого
После перехода на https, тем не менее, в браузере может не появиться
значок защищенного соединения, а отображаться один из следующих значков в
Google Chrome Подробнее о статусах в справке Google. Это значит, что на странице загружается смешанный контент и небезопасное содержимое. Например, какой-то скрипт или изображение все еще загружаются по незащищенному протоколу http. Необходимо, чтобы все внутренние и внешние ссылки имели протокол https:// либо относительный //. Это же касается и внешних ссылок. Справка Google для технических специалистов. Чтобы найти смешанный контент, воспользуйтесь инструментами разработчика, которые вызываются в Google Chrome (Ctrl+Shift+I). Воспользуйтесь вкладкой Security, где будут ссылки на просмотр загрузки незащищенного контента в консоли. Для просмотра полной информации в консоли потребуется перезагрузка страницы. На примере мы видим, что на странице загружается изображение с другого сайта по незащищенному протоколу http. Такую проверку необходимо провести для всех страниц. Это можно сделать SEO-специалист, например, с помощью программы ScreamingFrog SEO Spider. Либо вы можете самостоятельно походить по страницам сайта и посмотреть, везде ли отображается значок защищенного соединения. Примеры страниц, где соединение не защищено, нужно отправить техническому специалисту, который переводит сайт на защищенный протокол. Анализ ссылочной массы после переклейкиОбратите внимание, что при анализе ссылочной массы вам будет необходимо выгружать ссылки из Вебмастера Яндекса для каждого зеркала, так как в Вебмастере выгружаются ссылки только для того зеркала, для которого вы их выгружаете. Например, для данного сайта нужно будет выгрузить ссылки для трех зеркал, чтобы увидеть всю ссылочную массу сайта: | |||||||||
|