Все больше и больше растет ажиотаж вокруг темы переезда сайта на https. Чем же это обусловлено?
В июле 2018 года абсолютно все http страницы будут отмечены как «не защищенные». Но уже сегодня можно посмотреть, как будет выглядеть http сайт для посетителей, просто откройте его в режиме инкогнито (Ctrl+Shift+N).
HTTPS (от англ. HyperText Transfer Protocol Secure) — расширение http-протокола, поддерживающее шифрование данных и обеспечивающий их защиту от прослушивания и изменений.
Зачем он нужен:
- обеспечение безопасности при обмене информацией между сайтом и устройством пользователя;
- повышение доверия к сайту и поддержания репутации;
- число http-сайтов сокращается;
- HTTPS будет включен в список ранжирующих факторов.
Стоит заметить, что пока заметного преимущества при ранжировании наличие защищенного протокола не дает. Однако, Google использует более 200 факторов ранжирования и мы точно знаем, что наличие защищенного протокола – один из них.
И, самая свежая на данный момент публикация от 8.09.2016 на официальном блоге Google о том, что с января 2017 года браузер Chrome 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные (небезопасные). Пока что под это нововведение попадают страницы, где требуется ввод пароля или данных банковской карты, но со временем все сайты, использующие протокол http, будут помечаться как небезопасные.
В это же время Google начал рассылать в Google Search Console предупреждения для сайтов, на которых есть поля ввода для данных банковских карт и паролей на незащищенных страницах. Примеры таких страниц также прилагаются. Для русскоязычных сайтов уведомления приходят тоже на английском языке.
После этого откройте в этом браузере свой сайт, нажмите F12, чтобы открыть инструменты разработчика, после чего перейдите на вкладку Console. Там вы увидите, будет ли для вашего сайта выводиться предупреждение в браузере с конца января.
Что делать сейчас?
Так кому же стоит уже перевести сайт на https, волноваться и думать о риске потери трафика и позиций по запросам?
Критически важно переходить на новый протокол тем сайтам, где есть какая-либо информация, которую могут перехватить (платежные данные, данные доступа к личному аккаунту. В первую очередь, это банки, интернет-магазины, тикет-офисы и онлайн-сервисы – для них переход в списке обязательных рекомендаций.
Однако и обычные сайты должны двигаться в сторону безопасного шифрования, поэтому мы подготовили подробную инструкцию о том, как правильно перевести сайт на https.
Инструкция по переводу сайта на https
Перевод сайта на защищенный протокол в перспективе придется осуществить всем сайтам. К этому будут подталкивать как поисковые системы, так и браузеры. Поэтому, пока вы разбираетесь в теме и выбираете SSL-сертификат, пора подготовить сайт к переходу. Ниже вы найдете несколько полезных блоков информации:
- Виды сертификатов (краткая информация)
- Как подготовить сайт к переходу
- Алгоритм перехода на https , который позволит минимизировать потери поискового трафика и избежать ряда «подводных камней»
Виды SSL-сертификатов
Кратко рассмотрим основные виды сертификатов, не вдаваясь в технические подробности. Тип сертификата зависит от типа проверки.
Кому подойдет: сайту-визитке, личному блогу.
Такой сертификат подойдет интернет-магазинам, сайтам услуг, порталам.
Кто использует: банки, платежные системы, крупные сервисы.
Дополнительные особенности сертификатов, о которых стоит знать:
- Обычный сертификат (на один поддомен). Подойдет для большинства сайтов, стандартный вариант.
- Wildcard (для нескольких субдоменов одного домена). Необходим, если у вашего сайта есть субдомены. Например, site.ru, spb.site.ru, auto.site.ru, m.site.ru (если у вас мобильная версия на субдомене) и пр. Может быть как с проверкой домена, так и проверкой организации. Стоит дороже, чем обычный.
- С поддержкой IDN (для кириллических доменов). Для доменов на кириллице (cайт.рф, сайт.бел и пр.)
- Мультидоменный сертификат. Необходим в том случае, если у вашей организации несколько разных доменов (site.ru, site2.ru, moisait.ru и пр.).
Вот основные поставщики сертификатов:
Как правило, купить сертификат можно сроком 1-3 года. Проще всего будет обратиться за сертификатом к хостеру (либо в центр сертификации). Каждый хостер, идущий в ногу со временем, продает сертификаты и может помочь с процессом их установки.
Решить вопросы с переходом на https на разных этапах могут следующие люди и организации:
- Выбор сертификатаПоможет хостер или центр сертификации, технический специалист или программист.
- Покупка сертификатаПоможет хостер, если он продает сертификаты, центр сертификации.
- Установка сертификатаПоможет хостер, технический специалист или программист.
- Доработка сайтаПоможет программист.
- Контроль выполнения рекомендация, необходимых для минимизации риска потери трафикаПоможет SEO-специалист, интернет-маркетолог.
Как подготовить сайт к переходу на https
Пока вы решаете вопросы с сертификатом, сайт уже можно начинать готовить к переходу на https. Даже если это будет через полгода-год. Дело в том, что нужно убедиться, что на сайте все ссылки ведут на страницы, доступные по защищенному протоколу либо имеют относительный протокол.
Все ссылки на вашем сайте должны иметь следующий вид:
- Внутренние ссылки — относительные. Например, для перехода на страницу на вашем же сайте site.ru, использовать предпочтительнее, чем . Если вы уже переходите на https, можно делать ссылки доступными по протоколу https.
- Внешние ссылки – доступны по https либо используется относительный протокол. Например, не httр://www.уoutubе.cоm/, а httрs://www.уoutubе.cоm/ — защищенный протокол или //www.уоutubе.cоm/ — относительный протокол. Относительный протокол очень удобно использовать, если вы не знаете, доступен ли сайт по защищенному протоколу. В таком случае браузер сам выберет с каким протоколом открыть этот сайт.
Пример ссылки с относительным протоколом:
Важно! Необходимо исправить все ссылки, в том числе на изображения, файлы, видео, внешние скрипты (виджеты, консультанты и прочие внешние сервисы). Чтобы не делать это вручную на многих страницах, можно попросить программиста исправить протокол http:// на относительный в базе данных сразу для всех ссылок.
Алгоритм перехода на https
Вот так будет выглядеть результат, если все хорошо:
и так, если есть проблема:
В данном случае есть проблемы с настройкой сертификата и сайт не открывается в браузере Firefox.
Обязательно протестируйте настройку SSL и проверьте как отображается сайт в разных браузерах, в том числе на мобильных устройствах: отдельно проверьте сайт с iPhone и Android.
Если есть критичные проблемы, обратитесь к техническим специалистам, которые настраивали вам сертификат.
Важно! Ранее в инструкции предполагалось использование двух robots.txt и временное закрытие https-версии от Google на время переклейки в Яндекс. Сейчас это не требуется, мы протестировали вариант без закрытия от Google и обновили инструкцию. Google при доступности обеих версий по умолчанию начинает показывать https-версию в выдаче, в Яндекс – после переклейки.
В robots должна содержаться строчка:
Пример robots.txt (обратите внимание (!), что содержимое файла у вас будет свое, это пример для иллюстрации принципа переклейки):
Disallow: /*?
# Тут ваши текущие директивы
Host: httрs://site.ru/
Sitemap: httрs://site.ru/sitemap.xml
- Протокол в rel=”canonical” (используется для указания на каноническую версию страницы).
- Протокол в rel=”alternate” (используется для указания на страницы других языковых версий либо на мобильную версию сайта).
- Протокол ссылок в sitemap.xml.
Для https-версии ссылки в них должны быть доступны по https, а не http.
Расклеиваем зеркала, а после расклейки указываем главным зеркалом https-версию. Для этого в Вебмастере заходим в раздел «Переезд сайта» для https-версии и под предложением отклеить сайт нажимаем «Применить».
После этого увидите следующее сообщение:
Стрелкой указана ссылка на этой странице, по которой можно написать в техподдержку Яндекс при наличии проблем.
Яндекс подтверждает, что в случае, когда https-версия является неглавным зеркалом, это верный порядок действий.
После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»:
А также увидите, что https-версия стала отбражаться в Яндекс.Вебмастере как основная:
Неглавное зеркало начнет выпадать из индекса Яндекса:
А главное зеркало начнет попадать в индекс Яндекса:
Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего настроить 301 редирект.
Важно! При переклейке сайта на другое зеркало обнуляется ТИЦ. Он вернется после следующего обновления ТИЦ, которое происходит примерно раз в месяц. (Источник). Не стоит волноваться: никаких последствий для сайта это не имеет, ТИЦ не учитывается при ранжировании сайта в поиске Яндекса.
Для перенаправления c http:// на https:// в .htaccess добавляем (может работать не во всех случаях, тогда обращаемся к хостеру или программисту):
RewriteRule ^(.*)$ httрs://site.ru/$1 [R=301,L]
Альтернативный вариант:
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) httрs://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]
Вот подтверждение от службы поддержки Яндекса. Надеемся, скоро это действие перестанет быть необходимым.
Особенности настройки на разных хостингах
К сожалению, но общей установки сертификата на любой хостинг не существует. Однако настройка работает примерно по одному принципу. Поэтому рассмотрим несколько популярных сервисов размещения.
В панели управления сервиса sweb.ru есть раздел SLL. Кликнув по ней, переходим в соответствующей раздел и нажимаем кнопку «Установить». На открывшейся странице необходимо выбрать один из способов добавления сертификату к домену:
1. Свой сертификат
Пользователь загружает готовый файл и в формах на странице указывает следующие данные:
- Сертификат для домена (.crt)
- Приватный ключ (.key)
- Промежуточный сертификат (.ca-bundle)
После можно нажать на «Установить». Сайт будет поставлен на https в течении 24 часов после установки.
2. Let’s Encrypt
Второй вариант переезда сайта на https без дополнительных манипуляций. Пользователю в разделе SSL необходимо просто нажать на кнопку «Установить» и выбрать нужный домен.
Для переезда на https с помощью Timeweb, в панели управления сервиса необходимо зайти в раздел SSL-сертификаты. На открывшейся странице нужно кликнуть на кнопку «Установить» и ввести данные для техподдержки:
- Доменное имя
- Файлы из архива
- Просьба об установке SSL-сертификата
После обращения специалисты Timeweb установят https. Средняя время установки составляет примерно 1-2 часа.
Чтобы поставить сертификат необходимо перейти в раздел «Сайты» и у необходимого сайта нажать кнопку «http», далее – кликнуть «Установить SSL сертификат» в открывшемся окне.
В течении суток шифрованный протокол будет установлен.
Особенности перехода в разных CMS
Рассмотрим несколько особенностей переезда на https в разных CMS.
- BitrixДля настройки защищенного протокола в Bitrix необходимо в настройках sitemap.xml адрес карты сайта сменить на https.
- WordPressВ общих настройках в форме «Адрес WordPress (URL)» пользователь должен указать новое главное зеркало сайта.
- OpenCartПри переходе на https необходимо изменить настройки. На FTP найти два файла config.php с одинаковым названием, но разным расположением (один – в корне сайта, а второй – в папке /admin/). В двух файлах необходимо найти следующие строчки: define('HTTP_SERVER', 'http://адрес_сайта/'); define('HTTP_SERVER', 'http://адрес_сайта/admin/'). И заменить на следующие: define('HTTPS_SERVER', 'https://адрес_сайта/'); define('HTTPS_SERVER', 'https://адрес_сайта/admin/'). Далее – перейти в панель администрирования сайта, где в настройках во вкладке «Ссервер» необходимо разрешить использование SSL в пункте «Защита».
- ModXНеобходимо зайти в «Системные настройки», перейти в раздел «Система и сервер» и в поле «тип сервера» изменить протокол на https.
- JoomlaВ настройках сервера необходимо указать безопасный протокол для сайта. Сделать это можно следующим образом: зайти в раздел «Система», далее – «Общие настройки» и перейти во вкладку «Сервер», где в поле «Включить SSL» выбрать пункт «Весь сайт».
Счетчики шеров и лайков
Еще один важный момент для сайтов, на которых используются счетчики «лайков» — эти данные, к сожалению, будут потеряны. Если до перехода у вас были такие цифры по шерам вашей статьи:
то после перехода счетчики будут выглядеть вот так:
Такая проблема возникает из-за того, что подобные счетчики лайков отображают статистику для конкретного адреса. Так как у страницы меняется протокол, адрес страницы меняется и у новой страницы нет подобной статистики.
Facebook уже решил эту проблему, будем надеяться, что остальные соцсети также подтянутся.
Популярные ошибки при переходе сайта на https
К сожалению, но при переезде страницы могут возникнуть вопросы и неполадки. Мы рассмотрим самые популярные ошибки, решение и знание которых поможет правильно перевести сайт на https без дополнительных усилий. Типичные ошибки:
- цикличные редиректы;
- пропуск этапа с заменой абсолютных ссылок;
- URL в скриптах и медиа-контенте не изменен;
- 302 редирект вместо 301 для склейки http с https;
- редирект всех страниц на главную;
- не прописан новый путь для карты сайта;
- отсутствует склейка сайта без www с https://www.site.ru
- в карте сайта указан URL на версию с http;
- ошибка при наборе домена при получении сертификата;
- забыть изменить адреса, если сайт интегрирован с API;
- ошибки с rel=”canonical” на старые страницы;
- не очищен кэш.
Избегание вышеперечисленных ошибок поможет вам грамотно перевести сайт на https без лишних затрат и неполадок.
Резюме
Проблема с реферальным трафиком
Важно! Если пользователь осуществляет переход с сайта на HTTPS на сайт без HTTPS (например, с вашего сайта, на сайт компании, купившей на вашем сайте баннер), то по умолчанию HTTP заголовок referer не передается, если не указано иное правило. Поведение логичное, ведь вы покидаете защищенную зону и отправляетесь в зону риска.
Это означает, что ваш сайт как источник трафика Google Analytics или Яндекс.Метрика определить не сможет и отнесет весь этот трафик к прямому. Поэтому, если вы продаете на сайте баннеры или размещаете информацию о компаниях и их сайтах и вашим клиентам важно отслеживать трафик с вашего сайта.
Чтобы с этим не было проблем, на HTTPS-сайте необходимо добавить на страницах до закрывающего тега </head> мета-тег:
none — не передавать;
origin — передавать протокол и домен;
none-when-downgrade — не передавать при переходе с HTTPS-сайта на HTTP-сайт;
unsafe-url — всегда передавать;
<meta name="referrer" content="origin">
Проверка смешанного содержимого
После перехода на https, тем не менее, в браузере может не появиться значок защищенного соединения, а отображаться один из следующих значков в Google Chrome:
А в сведениях о подключении может быть одно из следующих изображений:
Это значит, что на странице загружается смешанный контент и небезопасное содержимое. Например, какой-то скрипт или изображение все еще загружаются по незащищенному протоколу http. Необходимо, чтобы все внутренние и внешние ссылки имели протокол https:// либо относительный //. Это же касается и внешних ссылок.
Чтобы найти смешанный контент, воспользуйтесь инструментами разработчика, которые вызываются в Google Chrome (Ctrl+Shift+I). Воспользуйтесь вкладкой Security, где будут ссылки на просмотр загрузки незащищенного контента в консоли. Для просмотра полной информации в консоли потребуется перезагрузка страницы.
На примере мы видим, что на странице загружается изображение с другого сайта по незащищенному протоколу http. Такую проверку необходимо провести для всех страниц. Это можно сделать SEO-специалист, например, с помощью программы ScreamingFrog SEO Spider. Либо вы можете самостоятельно походить по страницам сайта и посмотреть, везде ли отображается значок защищенного соединения. Примеры страниц, где соединение не защищено, нужно отправить техническому специалисту, который переводит сайт на защищенный протокол.
Анализ ссылочной массы после переклейки
Обратите внимание, что при анализе ссылочной массы вам будет необходимо выгружать ссылки из Вебмастера Яндекса для каждого зеркала, так как в Вебмастере выгружаются ссылки только для того зеркала, для которого вы их выгружаете. Например, для данного сайта нужно будет выгрузить ссылки для трех зеркал, чтобы увидеть всю ссылочную массу сайта:
Источники
Ниже приведены источники информации касательно защищенного протокола от поисковых систем и полезные сервисы – настоятельно рекомендуется к ознакомлению:
https://support.google.com/webmasters/answer/6073543?hl=ru
Google опубликовал FAQ по переходу на https для новостных сайтов —
https://www.searchengines.ru/google-opublikoval-faq.html
https://help.yandex.ru/webmaster/yandex-indexing/moving-site.xml
Индексирование картинок (Советы веб-мастеру от Яндекс) -
http://help.yandex.ru/images/indexing.xml
Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS) -
https://yandex.ru/blog/platon/2778
https://www.ssllabs.com/ssltest/analyze.html