Как перенести сайт на https: Страница не найдена | REG.RU

Перенос сайта на HTTPs без потери позиций и трафика: пошаговая инструкция

Обновлено!

Начиная с июля 2018 года Chrome 68 будет отображать значение «Не защищено» для всех сайтов на HTTP протоколе. Рекомендуем воспользоваться данным гайдом для обновления ваших сайтов.

Хотите защитить поклонников своего сайта от воровства личных данных и выйти в «ТОП»? Обеспечьте неприкосновенность информации при помощи HTTPS, который сейчас установлен на каждом популярном ресурсе.

Hypertext Transport Protocol Secure (HTTPS) — расширение стандартного протокола для обеспечения более высокого уровня конфиденциальности и безопасности при обмене между пользователем и сайтом. При этом используется три основных уровня защиты:

1. Аутентификация гарантирует попадание клиента именно в нужный ему интернет-магазин. Позволяет избежать атак посредника, тем самым увеличивая доверие юзеров.
2. Шифрование для предотвращения перехвата. Благодаря ему интернет-вор не сумеет получить доступ к персональной информации или посмотреть действия пользователей на других страницах.
3. Сохранность данных. Протокол всегда фиксирует намеренные и случайные изменения, а также искажения.

Стоит ли переходить на HTTPS — выбирать вам. На такой вопрос нет однозначного ответа, ведь переезд не является обязательной процедурой. Однако с учетом его возможностей и преимуществ многие вебмастера решаются на этот шаг и переводят свои сайты на соединение с шифрованием. Узнайте далее, почему так важно модернизировать проект, а также как сделать правильно и быстро.

Важно! В первую очередь переносить ресурс надо тем, где пользователи оставляют сверхважные (например, платежные) данные, которые могут перехватить мошенники. Защищенный протокол — это must have для уважающих себя онлайн-сервисов, банков, и является частью плана продвижения интернет-магазинов.

Что дает перенос сайта с HTTP на HTTPS?

Зашифрованный протокол обеспечивает целостность и надежную сохранности данных, он отвечает за информационную безопасность пользователей сайта. Это хорошее решение для специалистов по интернет-рекламе — потенциальные клиенты по умолчанию доверяют улучшенному соединению (тогда как отметка в браузере «небезопасный» отрицательно сказывается на трафике).

Более того, настройка HTTPS дает возможность сохранить и даже повысить позиции в выдаче. Поисковые системы Yandex и Google стремятся сделать все, чтобы пользователи чувствовали себя в Сети защищенными. Поэтому они отдают предпочтение именно безопасным ресурсам. Расширенный протокол является положительным фактором при сортировке сайтов.

В главном блоге для вебмастеров «Официальные новости о сайтах обхода и индексирования Google» говорится о том, что HTTPS — это тоже ранжирующий сигнал. Сейчас он обладает гораздо меньшим весом, чем качественный контент и авторитетные входящие ссылки. Но в ближайшем будущем действие фактора усилится, ведь Гугл решительно настроен изменить ситуацию с безопасностью в лучшую сторону.

К сведению! Согласно результатам исследования компании SearchMetrics была установлена статистическая взаимосвязь между установкой протокола и ТОП-позициями в поисковой выдаче Google. Если два года назад на первой странице находилось лишь 12% сайтов с HTTPS, то сейчас показатель вырос почти в четыре раза. SEO-гуру рекомендуют не оставаться на простом соединении, а срочно переходить на безопасный аналог. По их прогнозам, в скором времени наличие защищенного протокола будет иметь для поисковиков не меньшее значение, чем высокая скорость загрузки.

Что касается Яндекса, он также агитирует оптимизаторов переводить свои проекты на HTTPS, но делает это кнутом, а не пряником. Если Гугл поддерживает курс на новый протокол обещаниями в плане улучшения позиций, то его собрат предостерегает о больших и серьезных проблемах в случае неповиновения. Сервисы Яндекса осуществляют работу только по этому типу протоколу, вскоре доступ по HTTP будет для всех закрыт. Таким образом, переезд сайта на HTTPS превращается в действительно необходимую меру.

Недостатки перехода на безопасный протокол

Как и при любом серьезном изменении, настройка соединения с шифрованием требует временных и финансовых затрат на покупку SSL-сертификата. Чтобы не совершить грубых технических ошибок при настройке, нужны умения и опыт либо сильное желание разобраться во всех тонкостях.

Допускается непродолжительное проседание позиций в поисковых системах, соответственно, потеря доли трафика. Кроме того, существует вероятность замедления сайта и полное удаление публикуемых в плагинах отзывов. Все это придется исправлять в индивидуальном порядке.

В случае некорректного перехода на HTTPS часто возникают битые ссылки, смешанное содержимое mixed content и дубли страниц, если 301 редирект поставлен не везде, где нужно.

Однако главная сложность для вебмастера — именно снижение посещаемости примерно на 20%. Вам, наверное, интересно, как свести эту проблему на нет? Прочтите всю статью, и вы узнаете, как начать перенос сайта на HTTPS без потери позиций!

Пошаговая инструкция по переезду

Чтобы ваш сайт исправно функционировал, нужно провести подготовительную работу, а также внести изменения после перехода на шифрованный протокол. Перед владельцем ресурса стоят две основные задачи:

1. Проверить, чтобы изображения, таблицы стилей и скрипты подгружались по HTTPS (иначе браузер не будет выдавать защищенный значок зеленого цвета).
2. Настроить редирект, чтобы читатели пользовались исключительно безопасным соединением.

Совет! Перед тем как устанавливать HTTPS и что-либо менять в проекте, обязательно создайте резервную копию базы данных и файлов.

Проверка поддержки SSL вашим хостингом

Многие хостеры позволяют быстро добавить полученный сертификат с помощью панели управления. Если не получается справиться своими силами, следует написать в саппорт или нанять на 30–60 минут хорошего программиста — он все сделает должным образом.

Нынешний провайдер не поддерживает SSL? Тогда, к сожалению, придется искать другой вариант.

Учтите: смена хостинга и переход сайта на HTTPS требуют перенаправления старого IP-адреса на новый.

Смена внутренних ссылок с абсолютных на относительные

Если на странице, загруженной через соединение с шифрованием, остались ссылки на доступные по HTTP проекты, браузер уведомляет юзеров об ухудшении защиты.
Чтобы избежать проблемы разных протоколов, необходимо заменить полные ссылки относительными.

Линки вне зависимости от доменного имени:

• https://site.ru/content/ — абсолютная;
• /content/ — относительная.

Виды ссылок вне зависимости от протокола:

• https://site.ru/content/ — полная;
• //site.ru/content/ — относительная.

Владельцу ресурса требуется остановить выбор на последнем варианте — так вы исключите название протокола. Естественно, речь идет именно о внутренних линках, внешние ссылки исправлять не нужно.

Несмотря на возможность проводить такие изменения непосредственно в базе данных (SQL), удобней это сделать при помощи плагинов. Для WordPress это Velvet Blues Update URLs или HTTP / HTTPS Remover.

Исправление вложений медиа-контента

Подготовка к смене протокола подразумевает еще и работу с презентациями, видео и картинками — они должны открываться по защищенному соединению. Все адреса надо тоже перевести в относительные.

При загрузке файлов с внешних сайтов убедитесь, что они поддерживают HTTPS, в противном случае от сотрудничества лучше отказаться. YouTube, виджеты Facebook и VK, а также другие сервисы, разрешающие использовать свой контент, давно работают на расширенном протоколе. Поэтому с нахождением нужных изображений и видеофайлов проблем не будет.

Исправление подключений внешних скриптов

Проверьте и в случае необходимости откорректируйте урлы (измените абсолютные на относительные) во внешних скриптах.

Это касается непопулярных сервисов, в то время как востребованные инструменты функционируют по HTTPS. К ним относятся Google Analytics, Яндекс. Директ и Яндекс. Метрика, LiveInternet и разные JavaScript библиотеки.

Важно! В комментариях многих форумов SEO-специалисты рекомендуют новичкам применять технологию HSTS — тогда браузер станет запрашивать HTTPS-страницы, даже если пользователь введет в строке HTTP. Чтобы воспользоваться функцией, найдите веб-сервер с ее поддержкой. Однако учтите: включение HSTS усложняет процедуру отката.

Приобретение SSL-сертификата

Цифровой сертификат является стандартной технологией защиты в Сети, используемой для безаварийного соединения между ресурсом и браузером. Без него настройка HTTPS невозможна.

Для получения сертификата надо сделать запрос на его выпуск, предоставив ответы на ряд вопросов о компании и домене. После успешного завершения операции ваш сервер создаст публичный и приватный криптографический ключ. В сертификате хранится информация о владельце ресурса и центре сертификации, дате регистрации и сроке действия сертификата.

Как получить сертификат?

Центр сертификации — это организация, которая имеет право выдавать SSL-сертификаты на основе результатов проверки данных в CSR. В простых сертификатах играет роль лишь соответствие домена, в сложных и дорогостоящих осуществляется тщательное исследование самой фирмы.

Вы можете купить сертификат в специальном центре, например, в Comodo, Symantec, Thawte Consulting или Trustwave. Цены, указанные на reg.ru, стартуют от 1860 и заканчиваются 78 120 рублями при заказе на год. В зависимости от сложности SSL-сертификата время обработки заявки может составлять и несколько минут, и десять рабочих дней.

Хотите сэкономить? Тогда воспользуйтесь соответствующей услугой компании, в которой вы регистрировали доменное имя — сертификаты стоят дешевле за счет оптовых закупок с большими скидками. Еще одно преимущество — не придется добавлять несколько профилей и повторять оплату.

За получение цифрового сертификата необязательно платить деньги, можно сгенерировать бесплатный самоподписной аналог в самом веб-сервере. Данная опция установлена по умолчанию во многих панелях управления хостингом. Однако такой вариант хорош лишь для внутреннего пользования, публичным сайтам(особенно предоставляющим услуги) он не подходит. Все браузеры будут предупреждать юзеров о том, что ресурс не проверен.

Виды цифровых сертификатов

• Сертификаты начального уровня предназначены для частных, физических и юридических лиц, которые ищут недорогое и быстрое в оформлении решение. От вебмастера требуется только подтверждение прав на домен без предоставления каких-либо дополнительных документов.
• SSL-сертификаты среднего уровня со сроком выдачи в течение недели могут зарегистрировать исключительно юридические лица. Он будет стоить немного дороже. В данном случае аттестационный центр проверяет документы компании, а после переезда на HTTPS браузер подсвечивает адрес сайта зеленым цветом как надежный.
• Цифровые сертификаты высокого уровня в дополнение к показателям предыдущего варианта позволяют использовать безопасное соединение даже на устаревших браузерах. Они работают как на главном домене, так и на поддоменах.

Выбирайте уровень SSL-сертификата по уровню контроля, исходя из особенностей своего проекта. Страховой фирме и платежной системе стоит отдать предпочтение варианту с расширенной проверкой, а сайт-визитка, развлекательный блог или новостной портал легко обойдется недорогим или вообще бесплатным цифровым сертификатом. Если на ресурсе хранится персональная информация пользователей и осуществляется прием заказов, выбирайте Organization Validated.

Теперь необходимо определиться с типом цифрового сертификата по числу доменов и поддоменов. Стандартный подойдет для защиты одного доменного имени, в случае использования поддоменов стоит приобрести групповой аналог. Нужен вариант сразу для нескольких независимых доменов — выбирайте мультидоменный сертификат.

На заметку! Если вы являетесь хозяином кириллического домена, ищите SSL-сертификат с IDN. Он точно будет работать с именами в зоне. РФ.

Настройка SSL на сервере и хостинге

Как установить HTTPS? Найдите раздел «Настройка SSL». Затем внесите информацию с сертификата из файлаимя сайта.crt в поле «SSL сертификат (.crt)». При наличии цепочки bundle либо ca-bundle, ее тоже надо добавить в упомянутое выше поле. В строке «SSL ключ (private key)» необходимо указать полученный вместе с цифровым сертификатом приватный ключ. Данный алгоритм работает при настройке сертификата, выданного центром сертификации.

Установка самописного или же автоматизированного варианта на многих хостингах проходит еще проще: нужно лишь заполнить форму или подать запрос, после чего нажать «Сохранить» (во втором случае «Установить»).

Как проверить корректность установки SSL?

В анализе корректности работы способен помочь бесплатный сервис SSL Shopper. Перейдите по ссылке на SSL Checker, затем впишите имя домена и нажмите на «Check SSL». После этого онлайн-служба даст оценку настройки безопасного соединения и предоставит рекомендации на основе выявленных проблем.

Если SSL Checker выявил проблемы с установкой корневого и промежуточного сертификата или с конфигурацией сервера, необходимо решить их в срочном порядке.

Если с сайтом все нормально, напротив каждого значения будут стоять зеленые галочки.

Проверка доступности сайта через HTTPS-протокол

Когда установите цифровой сертификат, удостоверьтесь, что ресурс доступен по адресу с http:// и https://. При выявлении проблемы, сразу ищите и устраняйте ее причину.

Увидели в желтом треугольнике надпись с восклицательным знаком? Значит, на сайте присутствует смешанный контент, то есть ссылки в тексте и на медиафайлы с HTTP. В таком случае попробуйте исправить ситуацию самостоятельно (путем изменения ссылок с абсолютных в относительные). Можно обратиться за помощью к провайдеру, предоставляющему вам SSL-сертификат.

Настройка сайта после переезда

Теперь самое время заняться настройкой самого проекта без просадки трафика. Вот ключевые рекомендации оптимизаторов по этому поводу:

• Сделайте перенос сайта с HTTP на HTTPS многоэтапным — сначала модернизируйте часть страниц с редко обновляющимся и не зависящим от разных событий содержимым. Затем проверьте индексирование, изменения в статистике. После чего частями перенесите оставшийся контент.
• При переезде с корректировкой url запустите ресурс в тестовом режиме.
• Запланируйте переход на время, когда мало посетителей. Особенно если посещаемость сайта зависит от поры годы либо дня недели.

Исправление переадресации: HOST и 301 редирект

Существует два способа: при изменении адреса можно установить перенаправление с помощью файла дополнительной конфигурации . (.*)$ https://site.ru/$1 [R=301,L]

При установке серверного перенаправления требуется четкая последовательность действий, кроме того, нужно проверить работоспособность ресурса после настройки. Возьмите на вооружение информацию: переезд происходит не сразу, иногда придется ждать несколько недель. Есть вероятность выпадения страниц из индекса и обнуления ТИЦа с дальнейшим восстановлением после склейки зеркал.

Чтобы не терять драгоценное время, используйте директиву HOST в файле robots.txt. Внесите в этот документ из корневой папки следующую строку:

host: https://имя вашего сайта

Не забудьте обозначить основное зеркало с безаварийным протоколом в инструменте вебмастера — как перенести сайт на HTTPS в Яндекс, вы узнаете чуть позже.

Настройка нового sitemap.xml

Файл robots.txt обязан включать в себя новый путь к карте сайта с безопасным протоколом. Все страницы в sitemap.xml должны быть с HTTPS.

Проверка rel=«canonical»

Данный тег помогает исключить дубликаты, а еще он отвечает за правильную концентрацию ссылочного веса. Атрибут создается одинаково для каждой CMS: в коде страницы (блок HEAD).

В случае его использования проследите за тем, чтобы канонический адрес был с указанием защищенного соединения. Если страницы останутся с HTTP, это может серьезно навредить ресурсу.

Проверка rel=«alternate»

Представленный тег дает возможность улучшить ранжирование путем оповещения поисковых систем о мультиязычности сайта. Ваша задача — проверить, чтобы ссылки на языковые версии поддерживали HTTPS.

Проверка внутренней перелинковки

Все внутренние ссылки обязаны учитывать новый протокол. Если вам принадлежит небольшой статический проект, работы будет немного — придется лишь обновить пару файлов, прописывая HTTPS вручную. Для сайтов на движке надо исправлять формат линков в настройках шаблона и движка, а возможно еще и в базе данных.
Следующий шаг — проверка: все ли шрифты, изображения, ссылки, скрипты и стили CSS грузятся по обновленному адресу.

Обратите внимание! Каждая CMS имеет свои особенности. На Joomla проблемы с переездом случаются крайне редко. Здесь нужно всего лишь включить протокол SSL в. общих настройках, затем сохраниться, очистить кэш сайта и браузера. А вот на WordPress требуется смена внутренних ссылок с абсолютных на относительные.

Проверка работы изображений и скриптов

Картинки и внешние скрипты обязаны исправно работать через безопасный протокол. При обнаружении проблемных участков лучше установить их на сервер — так они 100% будут загружаться по HTTPS.

Действия выполнены, а браузер все равно не спешит называть соединение защищенным? Обычно это связано со скриптами, которые идут от страниц. Замените урлы на относительные без протокола, а затем проверьте коды ответов, редиректы и 404 страницы.

Настройка оповещения поисковых систем

Как перенести сайт на HTTPS в Google без потери трафика? Конечно же, сообщить поисковикам о проделанных вами действиях с помощью панели вебмастеров:

• Добавляем обе версии проекта в Яндекс. Вебмастер, уведомляя в разделе «Переезд сайта» предпочтительный протокол. Ожидаем склейку и уведомление о смене основного зеркала. В конце проверяем корректность отображаемого региона и отключаем поддержку HTTP-ссылок в настройках.

• Заносим сайт с защищенным соединением в Google Search Console с подтверждением прав. При обнаружении Гуглом безопасного протокола робот автоматически заменяет контент с HTTP на HTTPS по мере переиндексации. Непременно проверьте корректировку в геотаргетинге, параметрах url и других разделах.
• С Google Analytics все просто: необходимо изменить протокол в строке URL по умолчанию (Аккаунт / Ресурс / Настройки ресурса).

Также изменить протокол в строке URL веб-сайта в настройках представлений.

Сам код Google аналитики и Яндекс Метрики переустанавливать не нужно!

Проверка корректности перенаправления

В конце необходимо тщательно изучить каждую переиндексацию, просканировав сайт спайдером (к примеру Screaming Frog SEO Spider).

Не будет лишним еще раз проверить внутренние ссылки, редиректы, канонические и альтернативные линки. Все найденные ошибки должны быть исправлены в кратчайшие сроки.

Как узнать, что сайт полностью переехал на HTTPS?

В уведомлениях Яндекс. Вебмастера отобразится сообщение о признании главным зеркалом домена с защищенным протоколом.

В заключение

Не откладывайте переход на безопасный обмен данными до лучших времен, ведь в таком случае они точно не настанут: вы дождетесь лишь проседания позиций и снижения доверия своей ЦА.

Воспользуйтесь нашими рекомендациями — и ваш сайт ждет успех. Желаем удачи в повышении конверсии и безопасности проектов!

У вашего сайта много трафика и вы боитесь его потерять при переезде? Напишите нам и мы поможем провести грамотный переход с минимумом потерь по трафику.

Перенос сайта с HTTP на HTTPS: пошаговая инструкция

В предыдущей статье мы познакомились с понятием HTTPS и сертификатами безопасности, а сейчас, как и было обещано, расскажем о том, как правильно перенести сайт с HTTP на HTTPS. Это важно не только с точки зрения корректного отображения сайта в браузере, но и для правильной склейки сайтов поисковыми системами для сохранения позиций сайта. Итак, разберем пошаговый алгоритм действия для перехода сайта на протокол HTTPS.

1. Покупка SSL-сертификата

Первое, что необходимо сделать, это непосредственно выбрать подходящий вам по параметрам SSL-сертификат и купить его. Все сертификаты делятся на:

 — обычные, которые подходят для физических и юридических лиц и выдаются одному владельцу на один домен. Это самый бюджетный и быстрый вариант.

 — Extended Validation или EV-сертификаты, подходят только для юридических лиц. Здесь помимо проверки принадлежности домена владельцу сертификата проводится валидация других данных о компании: свидетельства о государственной регистрации, названия предприятия в whois данных и пр. Визуально разницу между первым и вторым видом сертификата можно увидеть в адресной строке браузера: если в первом случае это просто замочек перед url-адресом сайта, то  во втором будет появляться зеленая строка с названием компании.

 — Wildcard – это сертификаты с поддержкой поддоменов сайта.

 — сертификаты с поддержкой IDN необходимы для кириллических доменов.

Это основные виды сертификатов, с полным перечнем вы можете познакомиться в официальных источниках.

Купить SSL-сертификат можно у нас. Цены >>

2. Подготовка сайта

Далее требуется на самом сайте произвести подготовительные действия, которые предупредят появление ошибок в его работе на протоколе HTTPS.

А) Замена внутренних ссылок на относительные. Для правильной переиндексации сайта поисковыми системами и корректного перенаправления пользователей все ссылки на сайте необходимо сделать относительными. Это позволит всегда ссылаться на страницы с тем же протоколом. При этом относительные ссылки бывают двух видов:

 /contacts/ — по отношению к домену

//site.by/contacts/ — по отношению к протоколу

В данном случае рекомендуется использовать именно ссылки второго вида.

Б) Замена ссылок в медиафайлах. Изображения, презентации и другой медиа-контент также должны корректно открываться по протоколу HTTPS. Если вы храните их на своем сайте, то для дальнейшей корректной работы медиа-файлов достаточно также сделать ссылки на них относительными.

В) Проверить ссылки во внешних скриптах, так как некоторые функции сайта могут стать не рабочими, если будут загружаться неправильно. Это javascript и jQuery библиотеки, скрипты Яндекс.Метрика, Яндекс и Google карт, LiveInternet, Google Analytics и пр. 

Г) Проверить ссылки в rel=”canonical”, которые также должны быть относительными для корректной индексации сайта поисковыми системами.

3. Подключение SSL-сертификата

При покупке сертификаты вам должны выдать его файлы, которые требуется установить на хостинге. Современные провайдеры в панели управления имеют интерфейс для работы с SSL-сертификатами, который позволяет без специализированных знаний сделать это самостоятельно. В крайнем случае, всегда можно обратиться в поддержку хостинга, где вас проконсультируют.

Далее необходимо проверить корректность установки сертификата на сайте. Для этого:

• Откройте сайт по http и https протоколу и убедитесь, что оба они доступны,
• Проверьте правильность конфигурации SSL-сертификата с помощью специального сервиса, например, ssllabs.com.

Если какой-либо из способов показал ошибку, необходимо детально разбираться в проблеме.

4. Настройка сайта

Следующим шагом необходимо провести техническую настройку сайта, чтобы он корректно работал только по одному протоколу. Для этого требуется:

 — Настроить 301 редирект с HTTP на HTTPS. Для этого необходимо прописать постраничный редирект, аналогично как это осуществляется при переезде сайта на новый домен. Это можно сделать, прописав в файле .htaccess:

RewriteCond %{SERVER_PORT} !^443$ 
RewriteRule ^(. *)$ https://site.by/$1 [R=301,L]

 — Настроить файл robots.txt. Для того, чтобы поисковые системы индексировали сайт только по одному протоколу, необходимо заменить директиву Host в файле robots.txt, добавив перед названием домена https://.

 — Настроить файл sitemap.xml. Если вы использовали данный файл для указания поисковым системам url-адресов, которые стоит индексировать, то его необходимо обновить, заменив в адресах протокол на HTTPS.

— Проверить работу настроек подготовительного этапа: ссылок, медиа-файлов, скриптов и rel=”canonical”.

5. Сообщение поисковым системам о переходе сайта на новый протокол

В панелях вебмастеров Google и Яндекс есть возможности, которые помогают быстрее пережить переход сайта на новый протокол, уменьшив тем самым потери трафика на сайт. Для этого необходимо заново добавить сайт в панель каждого из инструментов для вебмастеров и перенести все настройки (геотаргетинг, sitemap и пр. ). В Яндексе в специальном поле указать в главном зеркале протокол HTTPS.

Не стоит забывать и о других немаловажных настройках, которые следует изменить:

• В Google Analytics и Yandex Metrika необходимо указать сайт с новым протоколом,
• Заменить адрес сайта в социальных сетях,
• По возможности изменить входящие ссылки на сайт.

После всех этих настроек остается только ждать, когда поисковые системы переиндексируют сайт по новому протоколу. Существует вероятность, что сайт потеряет на некоторое время в трафике, в частности, с Яндекс, однако это должно быть ненадолго: если трафик не восстанавливается, скорее всего, где-то возникла ошибка и стоит все перепроверить. Если вы уверены, что все сделали правильно, но трафик спустя месяц не восстановился, то стоит написать в поддержку Яндекс.

Вернуться назад

Преобразование вашего сайта с HTTP на HTTPS

Примечание редактора. Начиная с октября 2018 года посетители веб-сайтов, не поддерживающих HTTPS, будут отмечены красным цветом. Google объявил, что начнет мигать красными ошибками в адресной строке, когда пользователи будут выполнять определенные действия на незащищенных сайтах.

С тех пор, как Elevated впервые опубликовали этот популярный HTTPS-блог в 2014 году, большинство основных браузеров усилили ограничения и публичное порицание незащищенных веб-сайтов. В июле 2018 года Google Chrome подтвердил, что все веб-сайты, не поддерживающие HTTPS, просматриваемые в Chrome, будут помечены как «незащищенные».

Чтобы помочь вам сориентироваться, мы обновили сообщение ниже и добавили удобную загрузку для удобства: контрольный список Elevated Essential HTTPS Conversion

С чего все началось… Морковь
небольшое преимущество в рейтинге перед сайтами с правильно установленными SSL-сертификатами. Сайты, которые были преобразованы в сайты, защищенные SSL, отображались как https:\\elevated. com вместо http:\\elevated.com. Почему это имеет значение? Этот дополнительный уровень безопасности предотвращает нежелательный доступ к данным, собранным на вашем сайте, при их передаче туда и обратно.

Сегодня… The Stick
Google, Safari, Firefox и большинство других популярных браузеров теперь требуют этот протокол для лучшего ранжирования, геолокации, ввода данных кредитной карты и многого другого. Протокол безопасности https также защищает ваш веб-сайт от нежелательных рекламных инъекций, которые поражают ваших посетителей навязчивой, уродливой, нежелательной рекламой, которая может содержать вредоносное ПО.

Вот как будет развиваться остальная часть истории в октябре 2018 года, согласно Google:

• «В конце концов, наша цель — сделать так, чтобы единственные отметки, которые вы видите в Chrome, были, когда сайт небезопасен, и по умолчанию неотмеченное состояние безопасно. Мы будем развертывать это со временем, начиная с удаления формулировки «Безопасно» в сентябре 2018 года. А в октябре 2018 года мы начнем показывать красное предупреждение «небезопасно» , когда пользователи вводят данные на HTTP-страницах».

См. полное уведомление Google здесь.

С точки зрения разработчиков это облегчение. Я рад видеть, что Google продолжает продвигать HTTPS, и доволен тем, что соединения HTTP продолжают исчезать.

Давайте рассмотрим некоторые шаги и рекомендации по переходу на безопасную настройку веб-сайта:

1. Приготовьтесь
2. Приобрести SSL-сертификат
3. Настройка хостинга с сертификатом SSL
4. Изменить все ссылки веб-сайтов на HTTPS
5. Настройка 301 перенаправляет с HTTP на HTTPS или рассмотрите HSTS
6. Заключение

Шаг 1. Подготовьтесь

Прежде чем вкладывать деньги в SSL-сертификат и менять сайт, обдумайте задачу в целом.

• Продажи готовы? Если вы запускаете сезонный сайт, не рекомендуется синхронизировать преобразование HTTPS в часы пик посетителей. Разумно ожидать простоя, таким образом, если это произойдет, вы будете готовы, и это произойдет в нерабочее время дня и цикла продаж.
• Ваш хост готов? Прежде чем тратить деньги или настраивать свой сайт, убедитесь, что хост способен доставлять веб-сайт HTTPS. Для некоторых хостов может потребоваться дополнительная настройка, и они должны помочь вам в этом.
• Ваша команда готова? Не забудьте сообщить всем, кто участвует в переключении, что веб-сайт будет находиться на техническом обслуживании, включая отделы продаж, разработчиков, работающих над сайтом, от которых вам может понадобиться помощь или с которыми вы будете работать, и посетителей. Общение проходит долгий путь.
• Вы готовы? Процесс требует времени и большого объема работы одновременно. Как только вы начнете этот процесс переключения ссылок и настройки перенаправлений, может быть трудно быстро отменить все это, и обычно лучше продвигаться вперед. Итак, будьте готовы следить за сайтом и быть доступным для возникающих проблем. И, может быть, не начинать эту задачу в пятницу в 15:00 — это не та задача.

Шаг 2. Приобретите SSL-сертификат

Из всех шагов этот самый быстрый. Обычно хосты веб-сайтов продают SSL-сертификаты и даже выполняют большую часть настройки за вас — хорошим примером этого является Nexcess. Примерно самый дешевый сертификат можно приобрести за 10 долларов. Вам необходимо знать адрес своего веб-сайта и разницу между www.example.com и example.com — не думайте, что стандартный SSL-сертификат будет охватывать и то, и другое! Более дорогие сертификаты Wild Card охватывают и то, и другое, но могут не потребоваться для вашей установки. Если вы считаете, что вашему веб-сайту может потребоваться специальный тип SSL-сертификата, обратитесь в профессиональную компанию, которой вы доверяете, но это довольно редкое требование. Для получения дополнительной информации о различных типах SSL ознакомьтесь с нашим контрольным списком преобразования HTTPS.

Небольшое примечание о более дорогих SSL-сертификатах, особенно «расширенных» типах: некоторые из них будут отображать зеленый замок в адресной строке, см. ниже: трудно сказать. Увеличение продаж или нет, теперь вы знаете, почему некоторые сайты отображаются зеленым цветом.

Шаг 3. Настройка хостинга с SSL-сертификатом

Если ваш хостинг не настроил для вас SSL-сертификат, нужно сгенерировать ключи у продавца и вставить их в панель управления хостингом сайта. Помните о полях и всегда обращайтесь в службу поддержки, если это необходимо — часть ваших затрат на хостинг оплачивается за их помощь в таких ситуациях.

После правильной настройки вашего веб-сайта вы больше не будете видеть сообщения, предупреждающие о недействительных сертификатах при посещении страниц HTTPS. Вам, вероятно, потребуется полностью очистить кеш (а не просто использовать окно приватного просмотра), чтобы увидеть эти изменения — если вы сомневаетесь, попросите кого-нибудь посетить HTTPS-страницу сайта, который никогда раньше не посещал этот сайт. Также обратите внимание, что если вы не настроили фактический веб-сайт для поддержки HTTPS, вы можете быть перенаправлены обратно на сайт HTTP. Каждый хостинг веб-сайта немного отличается — у некоторых будет совершенно отдельная папка для HTTPS, поэтому будьте непредвзяты при настройке.

Шаг 4. Измените все ссылки на веб-сайты на HTTPS

Вот где все эти годы люди слышали, что «используйте относительные ссылки» и «никогда жестко не кодируйте свои ссылки!» войдет в игру (и теперь вы тоже можете начать говорить это и чувствовать себя хорошо, зная, почему). Кроме того, вот почему использование системы управления контентом (CMS) также сэкономит время. Итак, предположим, что ваш SSL-сертификат настроен…

Начните исправлять все ссылки, не сгенерированные CMS, чтобы они были такими, какими они должны быть:

1. Найти все ссылки на веб-сайте, которые не генерируются CMS. Сюда входят ссылки на CDN, ссылки на страницы, изображения, JavaScript и все, что будет использоваться на вашем веб-сайте.
2. Переход на относительные пути ссылок: если ссылка «http://www.example.com/link», а не «/link» — таким образом, даже если вы не совсем готовы переключиться на HTTPS, эти ссылки по-прежнему будут работать для веб-сайта HTTP. Убедитесь, что ссылки начинаются с первого символа «/», иначе у вас возникнут проблемы. Тупик? Давайте обсудим.
3. Проверьте это: обновите кеш в своем браузере и на веб-сайте, затем перейдите на страницу, на которой находится ссылка, и щелкните по ней. Вы можете протестировать, чтобы убедиться, что это работает на веб-сайте HTTP или HTTPS, в любом случае это будет работать как тест.

Изменить ссылки, созданные CMS: Это зависит от платформы к платформе. Вот как это сделать в Magento и WordPress при обычной установке. Если у вас есть какие-либо плагины или расширения для кэширования, рекомендуется проверить форумы поддержки для получения дополнительных советов. Для других платформ CMS вам может потребоваться обратиться к их документации.

1. Просмотрите страницы вашей CMS, сообщения, статические блоки (для Magento), файлы шаблонов и все остальное на наличие неправильных ссылок, которые необходимо обновить. Некоторые ссылки генерируются вашей CMS, но могут генерировать неправильный URL. Например, если URL-адрес в редакторе Magento CMS — «{{unsecure_base_url}}example.html, то это должна быть относительная ссылка, такая как «/example.html»
.
2. Следующий шаг для пользователей Magento: Войдите в систему и перейдите в Система -> Конфигурация -> Интернет -> Безопасный, чтобы проверить правильность настроек:
   • Базовый URL-адрес (заканчивается косой чертой): ваш URL-адрес HTTPS, например https://example.com/
   .
   • Использовать безопасные URL-адреса во внешнем интерфейсе: Да
   • Использовать безопасные URL-адреса в Admin: Да
3. Для пользователей WordPress: я полагаюсь на инструкции Yoast, которые можно найти здесь. По сути, вам нужно будет изменить URL-адрес веб-сайта, добавить некоторый код для принудительного использования HTTPS в области администрирования и, возможно, установить этот плагин. Поскольку сайты WordPress сильно различаются по своим плагинам кэширования, обратитесь за помощью к документации вашего плагина.

Ищите ошибки: на этом этапе, надеюсь, все ваши ссылки и связанные файлы изменены на HTTPS, но вам повезет получить их все с первой попытки. Итак, чтобы найти их, один из способов — посетить ваш сайт. Зайдите на свой сайт в Chrome/Safari/Firefox, щелкните элемент правой кнопкой мыши и выберите «Проверить элемент». Оттуда посмотрите в консоли на наличие ошибок: если есть неправильные файлы, связанные HTTP, для каждого будет выведена ошибка. Другой способ поиска HTTP-ссылок — открыть исходный код страницы и найти что-нибудь с «HTTP:» в нем… надеюсь, ничего не найдено и ваша работа завершена. Смешанный контент может повредить вашему пользовательскому опыту (надоедливые предупреждения браузера) и повредить вашему SEO-рейтингу.

Шаг 5. Настройте 301 перенаправление с HTTP на HTTPS или рассмотрите вариант HSTS

Для веб-сайтов на основе Apache, чтобы перенаправить весь входящий трафик, например, со старых ссылок Google или устаревших ссылок на других сайтах, настроив перенаправление для всех HTTP запросы на HTTPS могут быть выполнены довольно легко. Вот код, который нужно добавить в начало файла .htaccess в корневой папке:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (. *) https://%{HTTP_HOST}%{REQUEST_URI} [П=301,Л]

После этого тщательно проверьте, работает ли ваш веб-сайт и что любой запрос, сделанный на ваш сайт, перенаправляется на URL-адрес HTTPS.

Если вы из тех, кто хочет быть в авангарде технологических стандартов и не беспокоится о том, что затронет горстку пользователей, HTTP Strict Transport Security (HSTS) для вас. Здесь можно найти руководство с инструкциями по настройке. HSTS — это способ заставить все соединения быть HTTPS — по сути, он действует так же, как упомянутое выше перенаправление, но стандартизированным образом. К сожалению, Internet Explorer еще не реализовал решение, но большинство других браузеров уже работают на полную мощность. В будущем HSTS, вероятно, станет стандартом для авторитетных веб-сайтов.

Шаг 6. Заключение

Перевод вашего сайта на HTTPS — непростая задача, но, к счастью, существует множество ресурсов, которые могут вам помочь. Google даже составил руководство по рекомендуемому процессу. Со всей онлайн-помощью действительно нет хорошего оправдания отсутствию HTTPS. Потратив немного времени и 10 долларов в год, любой сайт можно преобразовать.

Здесь, в Elevated, мы работаем с клиентами, чтобы преобразовать их веб-сайты, как старые, так и новые, в версии HTTPS. Это процесс, который нам нравится, потому что он придает непреходящую ценность онлайн-присутствию любой компании. Вот некоторые из наших недавних счастливых новообращенных:

• Day Motor Sports — магазин автозапчастей с более чем 16 000 товаров
• BioCom — группа защиты интересов наук о жизни с надежным сайтом для участников
• Earthlite Massage Tables — компания по производству массажных продуктов, которая продолжает добиваться успеха, перейдя в этом году на полный протокол HTTPS (они работают на Magento).

Для быстрого ознакомления с этими шагами и получения дополнительной информации о том, какой SSL может вам подойти, загрузите наш контрольный список Essential HTTPS Conversion. Дайте нам знать, если вы попали в затруднительное положение. Удачной конвертации!

Переход с HTTP на HTTPS: пошаговое руководство Firefox, который реализовал это в начале 2017 года.

Теперь это означает, что 71% веб-пользователей, использующих любой из браузеров, будут получать предупреждающее сообщение при попытке доступа к веб-сайтам HTTP.

Безопасность всегда была главным приоритетом для Google. Еще в 2014 году они официально объявили, что HTTPS является фактором ранжирования. Это было важно, поскольку Google обычно никогда прямо не говорит нам, что является фактором ранжирования, а что нет, из опасения, что люди попытаются обмануть систему.

По правде говоря, каждый веб-сайт, на котором хранятся пользовательские данные, не должен нуждаться в дополнительном стимуле для приоритета безопасности над удобством. В предыдущей статье для Search Engine Watch Джесси Мур рассмотрела преимущества и недостатки перехода вашего веб-сайта на HTTPS и определила, что в сети стоит сделать этот шаг.

Однако, если вам еще предстоит перейти на HTTPS, а почти 50 % веб-сайтов этого еще не сделали, мы составили это руководство, чтобы помочь вам перейти на HTTPS.

1. Получить сертификат безопасности и установить его на сервер

Я не буду вдаваться в подробности, так как это зависит от вашего хостинга и настроек сервера, но это будет задокументировано вашим поставщиком услуг. Let’s Encrypt — отличный бесплатный открытый центр сертификации SSL, если вы хотите пойти по этому пути.

2. Обновите все ссылки, чтобы предотвратить проблемы со смешанным содержимым

Смешанное содержимое — это когда начальная страница загружается через защищенное соединение HTTPS, а другие ресурсы, такие как изображения или сценарии, загружаются через небезопасное соединение HTTP.

Если оставить проблему нерешенной, это станет серьезной проблемой, поскольку ресурсы HTTP ослабляют безопасность всей страницы, делая ее уязвимой для взлома.

Обновление внутренних ресурсов до HTTPS должно быть простым. Обычно это можно легко сделать с помощью запроса к базе данных с поиском и заменой или, альтернативно, с помощью директивы CSP upgrade-insecure-requests, которая заставляет браузер запрашивать HTTPS-версию любого ресурса, вызываемого на странице.

Внешние ресурсы, плагины и CDN необходимо будет настроить и протестировать вручную, чтобы убедиться, что они работают правильно.

В случае возникновения проблем со ссылками, контролируемыми извне, у вас есть только три варианта: включить ресурс с другого хоста (если он доступен), разместить контент напрямую на своем сайте (если вам разрешено это делать) или полностью исключить ресурс .

Ресурсы

3. Обновите перенаправления на внешние ссылки

Любой достойный SEO-специалист будет иметь это в верхней части списка, но все равно невероятно, как часто это упускают. Если не обновить перенаправления на внешние ссылки, каждая ссылка, полученная доменом, будет объединена в цепочку, где перенаправление переходит со старой структуры на новую, прежде чем переходить с HTTP на HTTPS со вторым перенаправлением.

Каждый лишний шаг в последовательности перенаправлений повышает вероятность того, что робот Googlebot не сможет передать все сигналы ранжирования с одного URL на другой.

Мы своими глазами видели, как некоторые из крупнейших доменов в мире столкнулись с проблемами с цепочками переадресации и потеряли значительную часть видимости.

Если вы еще не проверили свои обратные ссылки, чтобы убедиться, что все они ведут на активную страницу в рамках одного шага перенаправления, вы можете получить большие выгоды только от этого действия.

Во-первых, убедитесь, что у вас есть все данные обратных ссылок. Не полагайтесь на какой-то один инструмент; мы склонны использовать минимум данных Majestic, Ahrefs и Google Search Console.

Затем запустите все упомянутые страницы через Screaming Frog, чтобы убедиться, что страница все еще загружается, и выполните следующие действия в зависимости от ситуации:

• Любые страницы, которые возвращают 4XX, должны быть сопоставлены с защищенной версией наиболее релевантной страницы. активен на сайте.
• Для всех, которые проходят несколько шагов, прежде чем перейти на страницу, потребуется обновить перенаправление, чтобы оно указывало только на безопасную версию целевой страницы.

Наконец, все работающие файлы будут обработаны глобальным перенаправлением с HTTP на HTTPS, поэтому дополнительных действий не требуется.

4. Принудительно использовать HTTPS с переадресацией

Опять же, это будет сильно различаться в зависимости от вашей настройки. CMS, такие как WordPress и Magento, сделают это за вас автоматически в панели администратора. В противном случае вам может потребоваться обновить файлы .htaccess или webconfig с помощью правила перенаправления, но это будет хорошо задокументировано.

Одна из распространенных проблем, с которой мы сталкиваемся при перенаправлении правил, — это отдельные правила для форсирования HTTPS и для форсирования www. Это приведет к тому, что цепочки, где сначала www. добавляется к URL , затем HTTPS принудительно на втором этапе.

Убедитесь, что вы обновили все перенаправления правил, чтобы они указывали на HTTPS в качестве места назначения, чтобы предотвратить эту проблему.

5. Включите HSTS

Использование только перенаправления для принудительного использования HTTPS может сделать систему уязвимой для атак с понижением версии , когда хакеры заставляют сайт загружать небезопасную версию. HTTP Strict Transport Security (HSTS) — это директива веб-сервера, которая заставляет все запросы на ресурсы загружаться через HTTPS.

Вам потребуется действующий сертификат SSL, который должен быть действителен для всех поддоменов. Если вы это сделаете, вам нужно будет добавить строку кода в ваш файл .htaccess или webconfig.

6. Включить OCSP

Протокол статуса онлайн-сертификата улучшает список отзыва сертификатов (CRL). С CRL браузеры должны были проверять CRL на наличие проблем с SSL-сертификатом сервера, но это означало загрузку всего списка и сравнение, что неэффективно как с точки зрения пропускной способности, так и с точки зрения точности.

OCSP преодолевает эту неэффективность, запрашивая только соответствующий сертификат, а также предоставляя льготный период, если срок действия сертификата истек.

Протокол передачи гипертекста — это набор правил, используемых в Интернете, которые определяют, как сообщения форматируются и передаются между серверами и браузерами. HTTP/2 позволяет значительно повысить производительность, отчасти благодаря возможности одновременной обработки нескольких запросов.

Например, можно отправлять ресурсы, которые клиент еще не запросил, сохраняя их в кэше, что предотвращает обмен данными по сети и снижает задержку. Подсчитано, что время загрузки сайтов HTTP/2 на 50–70 % меньше, чем у HTTP/1.1.

8. Обновите карты сайта XML, канонические теги, HREF LANG, ссылки на карту сайта в robots.txt

Вышеизложенное должно быть достаточно пояснительным, и, вероятно, все было бы рассмотрено во втором пункте. Однако, поскольку это блог о SEO, я остановлюсь на этом.

Очень важно убедиться, что XML-карты сайта, канонические теги, HREF LANG и ссылки на карту сайта в файле robots. txt обновлены, чтобы указывать на HTTPS.

Если этого не сделать, робот Googlebot удвоит количество запросов к вашему веб-сайту, тратя краулинговый бюджет на недоступные страницы и отвлекая внимание от областей вашего сайта, которые должен видеть робот Googlebot.

9. Добавьте версии HTTPS в Google Search Console и обновите файл отклонения и любые настройки параметров URL.

Это еще одна распространенная ошибка, с которой мы сталкиваемся. Google Search Console (GSC) — отличный бесплатный инструмент, который должен использовать каждый веб-мастер, но, что важно, он работает только на уровне поддоменов.

Это означает, что если вы перейдете на HTTPS и не настроите новую учетную запись, чтобы отразить это, информация в вашей учетной записи GSC не будет отражать ваш действующий сайт.

Это может значительно усугубиться, если у вас ранее был токсичный профиль обратных ссылок, для которого требовался файл отклонения. Угадай, что? Если вы не настроите профиль HTTPS GSC и не загрузите в него свой файл отклонения, новый субдомен будет уязвим.

Аналогичным образом, если на вашем сайте есть значительное количество параметров, которые робот Googlebot пытается сканировать, если вы не настроите параметры параметров в своей новой учетной записи GSC, этот сайт будет подвержен неэффективному сканированию и раздуванию индексации.

Убедитесь, что вы настроили свою учетную запись GSC и соответствующим образом обновили всю информацию.

10. Изменить URL-адрес по умолчанию в GA и обновить учетные записи социальных сетей, платных СМИ, электронную почту и т. д. пользователи не перенаправляются без необходимости.

Само собой разумеется, что любая миграция должна сначала выполняться в тестовой среде, что позволит устранять любые потенциальные ошибки в среде, не связанной с пользователем.

В Zazzle Media мы обнаружили, что веб-сайты с наибольшим успехом в переходе на HTTPS — это те, которые следуют методологическому подходу, чтобы убедиться, что все риски были протестированы и устранены до полного внедрения изменений.