Поэтапный переход на HTTPS. Оптимизация безопасного протокола
2 июня 2017
Автор: Galina Hablak

Поэтапный переход на HTTPS. Оптимизация безопасного протокола

Придерживаясь правильной по-очередности этапов перехода на протокол HTTPS, вы сможете не только сохранить имеющийся трафик, но и увеличить его в дальнейшем, а также увеличить скорость загрузки сайта и добиться улучшения ранжирования сайта.
Напомним:
  • HTTPS — это расширение HTTP-протокола, который передает данные поверх криптографических протоколов SSL (Secure Sockets Layer) или TLS (Transport Layer Security). То есть по сути шифрует информацию в целях усиления безопасности.
  • Протокол HTTPS шифрует соединение, контент, cookie, передающиеся от пользовательского компьютера к серверу и обратно. Такое соединение защищено от использования в не законных целях данные введенные на сайте.
  • 9 января 2017 года количество страниц, загруженных по протоколу HTTPS превысило 50%.

Схема работы протокола HTTPS


Схема работы протокола

Мифы о HTTPS

  1. Не нужен для сайтов, на которых нет оплаты
  2. Сайт становится не видим для Аналитики
  3. Теряется поисковый трафик
  4. Делает сайт медленнее
  5. Стоит дорого
  6. Устанавливать сложно
  7. Не кешируется
  8. Нужен только на страницах, требующих дополнительной безопасности
  9. Старые ссылки на HTTP версию не учитываются

Плюсы HTTPS

  • Защищает вас от вашего провайдера, хакеров и государства в конце концов
  • Защищает от прослушивания и изменения данных
  • Защищает от несанкционированной рекламы
  • Повышает доверие пользователей
  • Улучшает репутацию сайта
  • Увеличивает точность статистики прямых переходов

Минусы HTTPS

  • Не защищает от хакерских атак — при взломе сервера данный протокол не поможет
  • Не защищает от вирусного заражения
  • Сертификат платный

Для каких сайтов нужно HTTPS в первую очередь:

  • Порталы
  • Платные онлайн курсы
  • Сайты, имеющие формы для введения данных пользователей (с формой заказа)
  • Интернет-магазины
  • Сайты, использующие геолокацию (геолокация на HTML5 не работает без безопасного соединения)
  • Сайты, у которых мобильный трафик преобладает.
История из seo-жизни:
Один из клиентов возмутился — Зачем мне мучиться с https, терять время и деньги, если у меня не интернет-магазин и никаких банковских данных мой сайт не собирает?

Отвечаем: — У вас на сайте есть форма заказа, заполняя которую пользователи обязаны предоставить вам свое имя и фамилию, е-мейл, телефон и адрес, а разве это не персональные данные? И вы в результате, не потеряете ни времени, ни денег, а наоборот, повысите доверие пользователей и поисковых систем, благодаря защищенности соединения с сервером, что приведет в результате к повышению прибыли с сайта.
Клиент выбрал светлую сторону ;)

Как же уберечь сайт от проседания позиций при переходе на https?


Чтобы не потерять трафик и не допустить проседания позиций в выдаче, нужно переводить сайт на HTTPS поэтапно, проверяя каждый сделанный шаг.

ЭТАПЫ ПЕРЕХОДА НА HTTPS

При переходе с обычного протокола http на защищенный – https важно не только выполнить все настройки, учесть все нюансы, но и соблюдать очередность мероприятий.

1. Замена на относительные ссылки всех абсолютных ссылок на сайте
Предпочтительный вариант, заменить ссылки типа www.site.ru/page.html/ на //www.site.ru/page.html/. Использование на сайте // ссылок без протокола – по умолчанию браузер будет пытаться открывать их по текущему протоколу (https).
или другой вариант — site.ru/page.html/ на /page.html/
  • Во внутренних ссылках,
  • В адресах скриптов, в том числе Метрики и Директ, Google AdWords и Analytics,
  • В кодах ремаркетинга,
  • В библиотеках javascript и jQuery,
  • В адресах картинок, фото, видео,
  • В адресах презентациях и доковских файлах.

2. Проверка тегов “rel=canonical” – нужно, чтобы все указывали на страницы с HTTPS. Данный пункт важен для нормальной индексации в Google.

<link rel="canonical" href="https://site.com/page10.html">

3. Подключение SSL сертификата

Чтобы понять какой именно вам нужно SSL-сертификат, вы должны знать, что они есть:
  • SAN — для нескольких доменов,
  • Wildcard — для установки HTTPS на поддоменах,
  • Обычные – для одного домена.

Есть SSL сертификаты

  • корпоративные (Organization Validation) – подтверждающие компанию и домен,
  • с углубленной проверкой (Extended Validation) – подтверждающие юридическую организацию и домен,
  • простые (Domain Validation) – подтверждающие домен и не сохраняющиеся, если домен сайта изменить.

Какой же сертификат SSL для настройки https выбрать?

  • Для больших интернет-магазинов и порталов подойдет сертификат Wildcard и/или Organization Validation (или Extended Validation).
  • Для небольших интернет-магазинов достаточно обычного — Domain Validation и/или Organization Validation
  • Для корпоративных сайтов больше подойдет сертификат Organization Validation или Extended Validation.
  • Для простых однопрофильных сайтов достаточно обычного — Domain Validation.

Влияет ли наличие SSL сертификата на ранжирование?

Наличие SSL сертификата положительно влияет на видимость сайта, если не учитывать период перехода от двух недель до месяца пока поисковые системы переиндексируют ресурс и определят главное зеркало. За это время сайт может просесть, однако по истечению данного времени позиции восстанавливаются и даже растут. Кроме того, отображаемый зеленый сигнал в браузере слева от адресной строки сигнализирует пользователям о безопасности сайта, что значительно увеличивает их доверие.

Можно ли использовать бесплатные SSL сертификаты?

Использовать бесплатные сертификаты можно, но следует помнить о рисках, связанных с ними. По сути SSL сертификат является цифровой подписью домена. И его ценность, и защищенность зависит от того, кто эту подпись поставил – сам владелец домена, не сертифицированный центр или официальный проверенный сертификационный центр.

4. Установка сертификатов SSL промежуточных и корневых.

Заказ SSL сертификата >> Создание CSR запроса >> Прохождение валидации >> Получение сертификата >> Установка
Проверить правильность установки можно с помощью сервиса SSL TEST.

5. Проверка на наличие смешанного контента, то есть нет ли на сайте файлов (смешанных скриптов протоколов https и http), которые загружаются по http-каналу при установленном SSL сертификате. Для проверки не защищенного контента на сайте можно воспользоваться инструментом JITBIT SSL CHECK.

6. Перегенерация sitemap.xml – сделать XML-карту доступной по https, но желательно оставить доступной и по http.

7. Правки в robots.txt – нужно поправить строку хоста и указать в ней https (Host: site.ru) и прописать в файле htacess:

RewriteCond %{REQUEST_FILENAME} robots.txt$ [NC]">

8. Добавление сайта с https в Яндекс и Google Webmaster.

Нужно ли перенастраивать Яндекс и Google Вебмастерc, а также Аналитику статистики после перехода?

Да. Нужно обязательно. В Яндекс Webmaster нужно указать главное зеркало теперь c https, к сожалению склейка происходит на протяжении двух недель.

Яндекс
В Google Webmaster – склейка происходит быстрее. Нужно добавить как новый сайт с протоколом https.
Также рекомендуем обновить файлы sitemap.xml и robots.txt в панелях.
Чтобы Аналитика учитывала рефералов при переходе с защищенного сайта на обычный нужно прописать мета тег "refferer".

<meta name="referrer" content="origin" />

origin — передает протокол и домен. Он нужен, чтобы аналитика статистики видела с какого защищённого сайта был переход. Другими словами, он позволяет контролировать процесс передачи реферальных данных, то есть никогда не передает реферальные данные.

9. Настройка 301-го редиректа с HTTP на HTTPS.

Как правильно настроить редирект с HTTP на HTTPS?

  • Редирект должен быть постоянный 301, а не временный 302
  • Должна быть только прямая переадресация 301-м редиректом без промежуточных звеньев.
  • Каким способом вы настроите 301 редирект – с помощью файла .htaccess или прописав прямо в коде сайта – не важно.
  • 301 редиректы постранично нужно делать только после склейки https-версии с http, тогда в индексе уже будет до 70% https-страниц. А редирект с site.ru/robots.txt делать не нужно.

ОПТИМИЗАЦИЯ сайта на HTTPS

Настроить HSTS

Технология HSTS (подробнее в справке) позволяет браузеру запрашивать HTTPS страницы, даже в том случае если человек введет http в адресной строке. Чтобы ускорить работу сайта на https, можно оптимизировать заголовок HSTS, который помогает избежать перенаправления из входящего http на сайт, оповещая, что на сайт можно зайти только по HTTPS в течение определенного периода времени – и этот период времени вы можете устанавливать самостоятельно с помощью заголовка HSTS.
После подключения https, нужно активировать отправку заголовков HSTS с минимальным значением директивы max-age, потом плавно поднимать значение max-age в заголовках HSTS. Вот пример правильного заголовка HSTS:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Если HSTS не тормозит, то можно включить сайт в список предварительной загрузки HSTS в браузере Google Chrome. Проверить можно тут.

Уменьшить размеры картинок

Хотя SSL сайты и грузятся в теории медленнее только за счет того, что на момент соединения им приходится применить и загрузить ваш сертификат, но это ничтожно маленькие расходы так как картинки и видео съедают в 100-ни раз больше времени на загрузку

Перейти на HTTP/2

Поддерживает сжатие заголовок, множество запросов по одному подключению и другие функции, благодаря которым, HTTPS версия будет работать все также быстро.

В итоге:
Чтобы процесс переезда на https прошел нормально нужно:

  • Планировать переезд на период наименьшей посещаемости сайта для минимальных потерь,
  • Соблюдать очередность мероприятий перехода,
  • Выбрать SSL-сертификат, с учетом специфики вашего сайта и компании,
  • Включить в работу программиста и оптимизатора для выполнения всех вышеперечисленных пунктов переезда,
  • Контролировать работу специалистов, отслеживать трафик сайта в Аналитике и Вебмастерах поисковых систем,
  • Оптимизировать работу сайта на HTTPS для ускорения загрузки сайта.

Обсуждение

7666635
12:49 12 июля 2017
Плюсы HTTPS Защищает вас от хакеров
Минусы HTTPS Не защищает от хакерских атак
Так защищает или не защищает? :)))
Galina Hablak
21:37 13 июля 2017
В том то и дело, что защищает, но не абсолютно.
Зашифрованная передача данных защищает сайт от кражи пользовательской информации (так сказать, от хакерских атак на него), но не может защитить сервер, на котором находится сайт от тех же хакерских атак.
Как-то так :)
Спасибо за комментарий!
Для добавления комментария, пожалуйста, авторизуйтесь