Перехід на https. Як перевести сайт на захищений протокол?

Перехід на https. Як перевести сайт на захищений протокол?

Статистика використання інтернету в світі, за даними Internet World Stats, на 30 червня 2019 року становила 4 536 248 808 користувачів. Все населення планети на той момент не перевищувало 7 716 223 209 осіб.

Те ж дослідження демонструє дані по Україні, датоване тим же числом: з 43 млн населення 41 млн осіб використовують інтернет постійно - це 93% громадян.

Серед такої кількості людей обов'язково знайдуться шахраї. Наскільки користувачі можуть відчувати себе в безпеці в цифровому світі?

Будь-яка дія в глобальній мережі - це обмін даними між десятками проміжних вузлів. Коли підключення відбувається по протоколу HTTP (HyperText Transfer Protocol), зловмисник може заволодіти вашими особистими даними, якщо контролює будь-який з вузлів.

Справа в тому, що дані передаються у відкритому вигляді. Коли ви пишете повідомлення в соціальній мережі або відвідуєте потрібний сайт, комп'ютер підключається до сервера і отримує від нього відгук. За допомогою цього протоколу браузер завантажує дані на ваш пристрій. Грамотний фахівець без особливих зусиль зчитає інформацію з вашого комп'ютера, або завантажить шкідливий файл разом зі скачуваним відеороликом.

Для того, щоб уникнути таких ситуацій, розробили протокол HTTPS, де буква S означає Secure (Захист).

Переваги сайту на https

В чому переваги HTTPS протоколу і навіщо його встановлювати:

  • Дані передаються в зашифрованому вигляді на всіх етапах.
  • Безпечна аутентифікація на сайті гарантується захистом від атак з перехопленням - протокол засвідчує справжність сторін з'єднання, і призведе саме на той сайт, до якого мав намір звернутися користувач.
  • Найменші зміни або спотворення даних в процесі підключення до сервера фіксуються і припиняються, незалежно від того випадково це сталося або навмисно.
  • Сайт, що працює на протоколі HTTPS, підвищує довіру з боку користувачів і є більш релевантним для пошукових систем. Добре розкрученому ресурсу з високою відвідуваністю навіть невелике поліпшення в пошуковій видачі може привести десятки тисяч нових відвідувачів. Про те, що HTTPS прямо впливає на видачу в Google ще в 2014 році говорилося в головному блозі вебмайстрів Google.
  • Електронну платіжну систему можна встановити тільки на сайт із захищеним протоколом.
  • Якщо на сайті є поля введення даних для зворотного зв'язку, а шифрування не підтримується, в браузері він буде позначений як небезпечний.

На 29 січня 2020 року частка відповідей з HTTPS в Топ-100 сайтів, за версією сервісу Піксель Тулс, становить 86%, в Топ-10 - 93,5%. Ця статистика говорить про те, що перевести сайт на https - цілком обгрунтоване рішення.

Як це краще зробити, давайте розбиратися.

Коли краще здійснювати перехід на https

Перехід сайту на https треба провести якомога швидше.

Але будьте готові до того, що позиції в пошуку і відвідуваність можуть тимчасово погіршитися, приблизно на 20%.

Просідання трафіку під час переходу в Google зазвичай займає не більше двох тижнів; в Яндекс може тривати від кількох тижнів до декількох місяців. Це залежить від того, як часто пошукова система оновлює дані сайту, від швидкості перевірки сайту роботом, від типу переходу.

Може знадобиться кілька оновлень пошукової бази перш ніж позиції, відвідуваність і кількість сторінок сайту повернуться до первинних показників.

Тому планувати перехід з http на https краще на час, коли продажі сезонно падають, або буде йти рекламна кампанія, яка зможе підтримати відвідування на звичному рівні.

Підготовка сайту

Щоб обійтися без особливої ​​втрати трафіку, зміна протоколу повинна проходити в кілька етапів.

Перенесення сайту варто почати зі збереження резервної копії бази даних і файлів.

Далі по порядку.

1. Необхідно замінити внутрішні посилання ресурсу з абсолютних на відносні

Приклад:

  • Повне посилання: https://example.ua/archive/
  • Відносне — //example.ua/archive/

Якщо цього не зробити, внутрішні посилання вкажуть на старий домен - просто видаліть назву протоколу. Зовнішні посилання виправляти не треба.

Це можна робити вручну, у SQL, але набагато зручніше використовувати плагіни і замінити їх автоматично. Платформа Wordpress пропонує два варіанта: SSL Mixed Content Fix та Velvet Blues Update URLs.

2. Зверніть увагу на зовнішні скрипти

Якщо скрипт використовує з'єднання HTTP, в ньому теж треба змінити URL на відносний.

Ця рекомендація стосується рідко використовуваних скриптів, так як популярні сервіси працюють із захищеним з'єднанням. Яндекс. Метрика, Яндекс. Директ, Google Analytics і багато інших. Перевірте, які підключені у вас і, при необхідності, скорегуйте.

3. Виправте контент

Ті ж кроки - виправлення посилань кожного відео, зображення і презентації. Всі мультимедійні дані на сайті повинні відкриватися по протоколу HTTPS. Завантажуючи файли зі сторонніх ресурсів, переконайтеся, що вони підтримують захищене з'єднання. Якщо ні, краще відмовтеся від співпраці.

Встановлення SSL-сертифіката

Secure Socket Layer (SSL) необхідний для роботи HTTPS протоколу. Знак закритого замка в адресному рядку браузера підтверджує його наявність. Це означає, що сайт зможе захистити дані користувача.

Безкоштовні сертифікати (self-signed) підійдуть для використання у внутрішній мережі або для службових цілей, але не підійдуть для публічних сайтів та інтернет-магазинів. Браузер, при підключенні до ресурсу з самопідписним сертифікатом, видає попередження про те, що сертифікат безпеки не є довіреним і радить не продовжувати взаємодію з ним. Більшість клієнтів після цього розвертаються і покидають сайт.

Різниця між самопідписним безкоштовним і платним сертифікатом в тому, що в другому варіанті дані перевірені і підтверджені центром сертифікації.

Є кілька категорій сертифікатів, вартість у них теж різна. Кілька порад, які допоможуть вибрати правильний сертифікат безпеки:

  • Сертифікат безпеки з перевіркою доменного імені. Документи для його отримання не потрібні, випуск займає близько 15 хвилин. Найпростіший в оформленні та недорогий сертифікат, підходить і для компаній, і для фізичних осіб. Якщо діяльність ресурсу пов'язана з фінансовими операціями, такий сертифікат не підійде.
  • Перевірка організації. При відвідуванні сайту, захищеного таким SSL, в адресному рядку браузера вказується назва організації. Його вибирають турфірми, корпоративні сайти, соцмережі, онлайн-магазини. Перевірка даних займає кілька днів.
  • Розширена перевірка. Він підійде сайтам, де користувачі вводять або зберігають реквізити платіжних карт, роблять об'ємні угоди, завантажують сканкопії паспорта або будь-яких інших документів. Інформацію перевіряють до двох тижнів.

Найпростіший спосіб замовити сертифікат - звернутися до свого хостинг-провайдеру. Якщо це не варіант, ось найпопулярніші центри сертифікації: Comodo, Symantec, Trustwave, Geotrust, Thawte.

Потім сертифікат треба активувати, заповнивши технічні дані і вказавши контакти. Зробити це можна на сайті компанії, де ви придбали SSL.

При замовленні SSL-сертифіката буде згенеровано CSR, тобто запит на отримання. Завдання його просте - підготувати файл з інформацією про домен і організацію замовника. Разом з цим буде згенеровано закритий ключ шифрування трафіку між сервером і клієнтом.

У відповідь на запит, центр сертифікації відсилає на вказаний email лист, в якому треба підтвердити активацію. У листі буде секретний код, який знадобиться ввести, перейшовши за посиланням з листа. Після перевірки готовий сертифікат буде також відправлений на пошту.

Встановити його можна через панель управління сервером. Якщо хостинг не має графічної панелі управління, можна зробити це вручну, передавши файли сертифіката - всі вони є в електронному листі.

Процес установки SSL залежить від хостингу і CMS (панелі керування вмістом). Хороші рішення для створення сайтів і їх керуванням пропонують платформи:

  • Opencart. Конструктор інтернет-магазину з величезним вибором модулів і тем, простий в управлінні і має все необхідне для функціонування комерційного сайту.
  • Бітрікс. Безкоштовна система для створення сайтів та інтернет-магазинів, в яку входить Bitrix Framework - середовище для розробки веб-додатків. Є готові системи управління вмістом сайту (CMS), які треба тільки встановити на хостинг.
  • Joomla. Гнучка платформа, яка розширює можливості сайтів. Систему управління контентом не раз відзначали нагородами, також є можливість створення сайтів і онлайн-додатків.
  • Modx. Ще одна професійна CMS і фреймворк для веб-додатків. Розповсюджується безкоштовно.

Для користувачів, які знаються на програмуванні, теж є незамінний помічник - файл .htaccess. З його допомогою просто і зручно управляти налаштуваннями веб-сервера Apache і схожих серверів.

Знаходиться він, як правило, в кореневому каталозі сайту, але в деяких CMS може виглядати як htaccess.txt. У такому вигляді він марний, для активації його треба перейменувати в .htaccess.

Перевірити активність файлу просто - напишіть в першому рядку найперше, що прийшло на розум. Наприклад, robot. Збережіть, і замініть їм .htaccess, який зберігається на сервері. Якщо ніяких змін в роботі сайту не сталося - файл неактивний. Інакше сервер видав би помилку, повідомивши, що не зміг зрозуміти команду.

Що конкретно він може:

  • Допомагати налаштувати редирект з http на https.
  • Кешувати файли для прискорення роботи.
  • Створювати зрозумілі користувачеві URL.
  • Описувати помилки.
  • Контролювати доступ з конкретних IP-адрес.
  • Керувати пошуковими ботами.
  • Змінювати вихідний код сторінок.

І багато іншого. За допомогою файлу фахівці seo і програмісти можуть змінювати налаштування сервера без прав адміністратора - всі зміни впливають тільки на сайт, а не на сервер.

Налаштування сайту

В першу чергу переконайтеся, що сайт тепер доступний в двох варіантах: з http і https. Тобто, пишете адресу з протоколом http, але автоматично потрапляєте на https. Це означає, що налаштування виконане правильно.

Залишилося три кроки:

  1. Тепер треба налаштувати 301 редирект. З усіх дзеркал сайту перенаправляємо трафік на головне дзеркало через 301 редирект, тобто в один крок. Можна прописати його у файлі .htaccess, або звернутися в техпідтримку хостера.
  2. Ще раз перевірте коректну роботу сайту - посилання працюють, всі сторінки доступні, а контент на своїх місцях. Є проблема? Усуньте її.
  3. Тільки після цього повідомте пошуковикам про перехід на безпечний протокол HTTPS. Це важливо зробити, щоб уникнути втрати трафіку. Треба вказати нове головне дзеркало сайту в Яндекс та в Гугл.

Але щоб додати сайт для індексації в ці пошукові системи, спочатку треба зареєструватися в них.

Додавання в панель вебмайстрів

Для Яндекса це виглядає наступним чином.

В першу чергу необхідно мати аккаунт в системі. Після реєстрації відвідайте сервіс Яндекс. Вебмастер, додайте свій проект. Тепер треба підтвердити, що ви є його власником.

Для цього скачайте за посиланням файл, згорніть сторінку і розмістіть його на хостингу, в корінь сайту - туди, де знаходиться robots.txt.

Поверніться в сервіс на Яндекс, і натисніть кнопку підтвердження.

У разі успіху, додайте посилання на файли Sitemap для індексації Яндексом сторінок сайту. Це меню знаходиться в панелі вебмастера - переходьте і додавайте Sitemap, приклад додавання файлів знайдете прямо там. На цьому все.

Для Google дії аналогічні, тільки дизайн інший: верифікація сайту за допомогою файлу в кореневому каталозі, додавання Sitemap.

Перехід сайту на цьому можна вважати завершеним: який інструмент і для чого використовувати, як підготувати сайт і як завершити перехід на захищений протокол, щоб максимально знизити ризики втрати трафіку - все це постаралися доступно викласти в даній статті.

Поширити:

Читайте також