Переход на https. Как перевести сайт на защищенный протокол?

Статистика использования интернета в мире, по данным Internet World Stats, на 30 июня 2019 года составляла 4 536 248 808 пользователей. Все население планеты на тот момент не превышало 7 716 223 209 человек.

То же исследование приводит данные по Украине, датированное тем же числом: из 43 млн населения 41 млн человек используют интернет постоянно — это 93% граждан.

Среди такого количества людей обязательно найдутся мошенники. Насколько пользователи могут чувствовать себя в безопасности в цифровом мире?

Любое действие в глобальной сети — это обмен данными между десятками промежуточных узлов. Когда подключение происходит по протоколу HTTP (HyperText Transfer Protocol), злоумышленник может завладеть вашими личными данными, если контролирует любой из узлов.

Дело в том, что данные передаются в открытом виде. Когда вы пишете сообщение в социальной сети или заходите на нужный сайт, компьютер подключается к серверу и получает от него ответ. С помощью этого протокола браузер загружает данные на ваше устройство. Грамотный специалист без особого труда считает информацию с вашего компьютера, или загрузит вредоносный файл вместе со скачивающимся видеороликом.

Для того, чтобы избежать таких ситуаций, разработали протокол HTTPS, где буква S означает Secure (Защита).

Преимущества сайта на https

Чем хорош HTTPS протокол и зачем его устанавливать:

  • Данные передаются в зашифрованном виде на всех этапах.
  • Безопасная аутентификация на сайте гарантируется защитой от атак с перехватом — протокол удостоверяет подлинность сторон соединения, и приведет именно на тот сайт, к которому был намерен обратиться пользователь.
  • Малейшие изменения или искажения данных в процессе подключения к серверу фиксируются и пресекаются, независимо от того случайно это произошло или преднамеренно.
  • Сайт, работающий на протоколе HTTPS, повышает доверие со стороны пользователей и более релевантен для поисковых систем. Хорошо раскрученному ресурсу с высокой посещаемостью, даже небольшое улучшение в поисковой выдаче может привести десятки тысяч новых посетителей. О том, что HTTPS прямо влияет на выдачу в Google еще в 2014 году говорилось в главном блоге вебмастеров Google.
  • Электронную платежную систему можно установить только на сайт с защищенным протоколом.
  • Если на сайте есть поля ввода данных для обратной связи, а шифрование не поддерживается, в браузере он будет помечен как небезопасный.

На 29 января 2020 года доля ответов с HTTPS в Топ-100 сайтов, по версии сервиса Пиксель Тулс, составляет 86%, в Топ-10 — 93,5%. Эта статистика говорит о том, что перевести сайт на https — вполне обоснованное решение.

Как это лучше сделать, давайте разбираться.

Когда лучше осуществлять переезд на https

Перевод сайта на https надо провести как можно быстрее.

Но будьте готовы к тому, что позиции в поиске и посещаемость могут временно ухудшиться, примерно на 20%.

Проседание трафика во время переезда, в Google обычно занимает не больше двух недель; в Яндекс может длиться от нескольких недель до месяцев. Это зависит от того, как часто поисковик обновляет данные о зеркалах сайта, скорости обхода сайта роботом, от типа переезда.

Может понадобится несколько обновлений поисковой базы, прежде чем позиции, посещаемость и количество страниц сайта вернутся к первоначальным показателям.

Поэтому планировать переход с http на https лучше на время, когда продажи сезонно падают, или будет идти рекламная кампания, которая сможет поддержать посещения на уровне.

Подготовка сайта

Чтобы обойтись без особой потери трафика, смена протокола должна проходить в несколько этапов.

Перенос сайта стоит начать с сохранения резервной копии базы данных и файлов.

Далее по порядку.

1. Необходимо заменить внутренние ссылки ресурса с абсолютных на относительные

Пример:

  • Полная ссылка: https://example.ua/archive/
  • Относительная — //example.ua/archive/

Если этого не сделать, внутренние ссылки будут указывать на старый домен — просто удалите название протокола. Внешние ссылки исправлять не надо.

Это можно делать вручную, в SQL, но намного удобнее использовать плагины и заменить их автоматически. Платформа Wordpress предлагает два варианта: SSL Mixed Content Fix и Velvet Blues Update URLs.

2. Обратите внимание на внешние скрипты

Если скрипт использует соединение HTTP, в нем тоже надо изменить URL на относительный.

Эта рекомендация относится к редко используемым скриптам, так как популярные сервисы работают с защищенным соединением. Яндекс. Метрика, Яндекс. Директ, Google Analytics и многие другие. Проверьте, какие подключены у вас и, при необходимости, скорректируйте.

3. Исправьте контент

Те же шаги — исправление ссылок каждого видео, изображения и презентации. Все медиафайлы на сайте должны открываться по протоколу HTTPS. Загружая файлы со сторонних ресурсов, убедитесь, что они поддерживают защищенное соединение. Если нет, лучше откажитесь от сотрудничества.

Установка SSL-сертификата

Secure Socket Layer (SSL) необходим для работы HTTPS протокола. Значок закрытого замка в адресной строке браузера подтверждает его наличие. Это значит, что сайт сумеет защитить данные пользователя.

Бесплатные сертификаты (self-signed) подойдут для использования во внутренней сети или для служебных целей, но не годятся для публичных сайтов и интернет-магазинов. Браузер, при подключении к ресурсу с самоподписным сертификатом, выдает предупреждение о том, что сертификат безопасности не является доверенным и советует не продолжать. Большинство заказчиков после этого разворачиваются и уходят.

Разница между самоподписным бесплатным и платным сертификатом в том, что во втором варианте данные проверены и подтверждены центром сертификации.

Есть несколько категорий сертификатов, стоимость у них тоже разная. Несколько советов, которые помогут выбрать правильный сертификат безопасности:

  • Сертификат безопасности с проверкой доменного имени. Документы для его получения не требуются, выпуск занимает около 15 минут. Самый простой в оформлении и недорогой сертификат, подходит и для организаций, и для физического лица. Если деятельность ресурса связана с финансовыми операциями, такой сертификат не подойдет.
  • Проверка организации. При посещении сайта, защищенного таким SSL, в адресной строке браузера указывается название организации. Его выбирают турфирмы, корпоративные сайты, соцсети, онлайн-магазины. Проверка данных занимает несколько дней.
  • Расширенная проверка. Он нужен сайтам, где пользователи вводят или хранят реквизиты платежных карт, совершают объемные сделки, загружают сканкопии паспорта или любых других документов. Информацию проверяют до двух недель.

Самый простой способ заказать сертификат — обратиться к своему хостинг-провайдеру. Если это не вариант, вот самые популярные центры сертификации: Comodo, Symantec, Trustwave, Geotrust, Thawte.

Затем сертификат надо активировать, заполнив технические данные и указав контакты. Сделать это можно на сайте компании, где вы приобрели SSL.

При заказе SSL-сертификата будет сгенерирован CSR, то есть запрос на получение. Задача его проста — подготовить файл с информацией о домене и организации заказчика. Вместе с этим будет сгенерирован закрытый ключ шифрования трафика между сервером и клиентом.

В ответ на запрос, центр сертификации отсылает на указанный email письмо, в котором надо подтвердить активацию. В письме будет секретный код, который понадобится ввести, перейдя по ссылке из письма. После проверки, готовый сертификат будет также отправлен на почту.

Установить его можно через панель управления сервером. Если хостинг не имеет графической панели управления, можно сделать это вручную, скопировав файлы сертификата — все они есть в электронном письме.

Процесс установки SSL зависит от хостинга и CMS (панели управления содержимым). Хорошие решения для создания сайтов и управления содержимым предлагают платформы:

  • Opencart. Конструктор интернет-магазина с огромным выбором модулей и тем, прост в управлении и обладает всем необходимым для функционирования коммерческого сайта.
  • Битрикс. Бесплатная система для создания сайтов и интернет-магазинов, в которую входит Bitrix Framework — среда для разработки веб-приложений. Есть готовые системы управления содержимым сайта (CMS), которые надо только установить на хостинг.
  • Joomla. Гибкая платформа, которая расширяет возможности сайтов. Систему управления контентом не раз отмечали наградами, также есть возможность создания сайтов и онлайн-приложений.
  • Modx. Еще одна профессиональная CMS и фреймворк для веб-приложений. Распространяется бесплатно.

Для пользователей, разбирающихся в программировании, тоже есть незаменимый помощник — файл .htaccess. С его помощью просто и удобно управлять настройками веб-сервера Apache и похожих серверов.

Находится он, как правило, в корневом каталоге сайта, но в некоторых CMS может выглядеть как htaccess.txt. В таком виде он бесполезен, для активации его надо переименовать в .htaccess.

Проверить активность файла просто — напишите в первой строчке первое, пришедшее на ум слово. Например, robot. Сохраните, и замените им .htaccess, который хранится на сервере. Если никаких изменений в работе сайта не произошло — файл неактивен. Иначе сервер выдал бы ошибку, сообщив, что не смог понять команду.

Что конкретно он делает:

  • Поможет настроить редирект с http на https.
  • Кэшировать файлы для ускорения работы.
  • Создавать понятные пользователю URL.
  • Описывать ошибки.
  • Контролировать доступ с конкретных IP-адресов.
  • Управлять поисковыми ботами.
  • Изменять исходный код страниц.

И многое другое. С помощью файла специалисты seo и программисты могут менять настройки сервера без прав администратора — все изменения влияют только на сайт, а не на сервер.

Настройка сайта

В первую очередь удостоверьтесь, что сайт теперь доступен в двух вариантах: с http и https. То есть, пишете адрес с протоколом http, но автоматически попадаете на https. Значит настройка выполнена правильно.

Осталось три шага:

  1. Теперь надо настроить 301 редирект. Со всех зеркал сайта перенаправляем трафик на главное зеркало через 301 редирект, то есть в один шаг. Можно прописать его в файле .htaccess, либо обратиться в техподдержку хостера.
  2. Еще раз проверьте корректную работу сайта — ссылки работают, все страницы доступны, а контент на своих местах. Есть проблема? Устраните ее.
  3. Только после этого сообщите поисковикам о переходе на безопасный протокол HTTPS. Это важно сделать, чтобы избежать потери трафика. Надо указать новое главное зеркало сайта в Яндексе и в Гугл.

Но чтобы добавить сайт для индексации в эти поисковые системы, сначала надо зарегистрироваться в них.

Добавление в панель вебмастеров

Для Яндекса это выглядит так.

В первую очередь необходим аккаунт в системе. После регистрации заходите в сервис Яндекс. Вебмастер, добавляете свой проект. Теперь надо подтвердить, что вы являетесь его владельцем.

Для этого скачайте по ссылке файл, сверните страницу и разместите его на хостинге, в корень сайта — туда, где находится robots.txt.

Вернитесь в сервис на Яндекс, и нажмите кнопку подтверждения.

В случае успеха, добавьте ссылку на файлы Sitemap для индексации Яндексом страниц сайта. Это меню находится в панели вебмастера — заходите и добавляйте Sitemap, пример добавления файлов найдете прямо там. Все.

Для Google действия аналогичны, только дизайн другой: верификация сайта с помощью файла в корневом каталоге, добавление Sitemap.

Переезд сайта на этом можно считать завершенным: какой инструмент и для чего использовать, как подготовить сайт и как завершить переход на защищенный протокол, чтобы максимально снизить риски потери трафика — все это постарались доступно изложить в данной статье.

Поделиться: