Хочешь в ТОП? Хватит хотеть, пора действовать!

Начать продвижение
Rookee / Блог / Переезд сайта на HTTPS
Москва г. Москва, ул. Нобеля 7, п. 56 +7 (800) 700-59-30

Переезд сайта на HTTPS

Переезд сайта на HTTPS-протокол

Расшифровка понятий

HTTP (Hypertext Transfer Protocol) — главный протокол, обеспечивающий связь между сервером и клиентским устройством. Использует порт 80.

HTTP/2 — более производительная и защищенная версия HTTP.

HTTPS — модификация HTTP с надстройкой шифрования. Порт 443.

SSL (Secure Sockets Layer) — криптографический протокол, обеспечивающий зашифрованное соединение между пользовательской средой и сайтом. Препятствует перехвату пакетов данных (или их применению, если перехват всё-таки удался).

Обоснование переноса

Безопасность

Уже достаточная причина поменять протокол, особенно если ресурс имеет в функционале онлайн-кассу либо другие средства работы с финансами. Согласно политике Google, шифрование данных необходимо всем ресурсам, оперирующим персональными данными пользователей (пароли, личная информация, формы заказа, комментарии, всевозможные формы ввода данных).

Требование поисковых систем

Если хотите, чтобы сайт хорошо ранжировался, вам так или иначе придется перейти на HTTPS. Во всяком случае, так аргументируют это требование сами поисковики.

Фактор доверия посетителей

Если сертификат безопасности присутствует (и тем более если посетитель умеет определять его тип (пункт № 2)), он спокойно доверит ресурсу свои данные.

Сайт с незащищенным сетевым соединением

Несведущего пользователя такая метка, скорее всего, напугает или как минимум вызовет подозрения. Итог: много отказов = плохая статистика посещений = снижение релевантности (рейтинга сайта в поисковой системе).

Push-уведомления

Такой метод оповещения доступен только сайтам, работающим по протоколу HTTPS.

Оптимизация скорости

Согласно статистике, переход да HTTPS разгоняет сайт на 20–30 %.

Риски при некорректной смене протокола

  • В случае появления ошибок SSL сайт и его контент будут недоступны многим пользователям из-за его потенциальной небезопасности. Они элементарно будут бояться туда заходить, увидев предупреждение об отсутствии сертификата безопасности или другой родственной ошибке.

  • Могут просесть позиции в поиске и посещаемость сайта.

  • Нарушение настроек индексирования в поисковой системе.

Процесс переноса

Чтобы обеспечить корректный переезд сайта и минимизировать потери, потребуется система зеркал. Суть такова, что один и тот же сайт располагается по двум адресам: http://example.ru и https://example.ru. Сайт можно перевезти только полностью. Невозможно поменять протокол только у разделов, для которых принципиальна защита соединения.

Этап 1. Подготовительные процедуры

Резервное копирование

Логическое начало каждой серьёзной манипуляции с сайтом.

Работа с содержимым, обновление ссылок.

Если ссылки имеют абсолютный вид (http://example.ru/page/), есть смысл сделать их относительными (/page/) либо повсеместно заменить HTTP на HTTPS. Ещё один вариант решения: проставить везде абсолютные ссылки, но без указания протокола (example.ru/page/). Чтобы быстро отредактировать ссылки, нужно выполнить экспорт базы данных из PhpMyAdmin и скорректировать методом «найти и заменить» в текстовом редакторе. Если используете типовую СMS, то почти для каждой можно подобрать соответствующий плагин. Например, для WordPress это Search Regex. Если вы по невнимательности оставили часть ссылок в формате HTTP, пользователь, заходя на сайт, увидит оповещение: «Соединение с сайтом защищено, но некоторые данные переданы небезопасным способом» или более радикальное: «Незащищённое соединение! Части этой страницы не защищены».

  • Files. Требование относится в том числе к подключаемым файлам и библиотекам (CSS, JS и др.), партнерскому контенту (вложения, медиафайлы и др.).

  • Canonical. Если используете атрибут rel=”canonical”*, убедитесь, что эти ссылки прописаны в формате HTTPS. *rel=”canonical” — свойство ссылки, применяется для обозначения канонических страниц, то есть тех, которые являются приоритетными в группе идентичных. Помогает избежать дублирования страниц.

  • Scripts. Усиленное внимание стоит уделить страницам и скриптам, отвечающим за функциональные блоки сайта. В первую очередь это системы авторизации и оплаты (ради которых изначально и планировался перенос), иначе пользователь при попытке совершить эти действия столкнётся с оповещением безопасности.

Актуализация адреса сайта

В CMS легко заменить его в настройках.

Подключение внешних скриптов

Используйте относительные URL при интеграции библиотек, метрик и др.

Корректировка Robots.txt и Sitemap.xml

В Robots.txt нужно:

  • указать новую ссылку к карте сайта, файлу Sitemap.xml;

  • отредактировать директиву Host, чтобы указать роботу адрес главного зеркала сайта (mysite.ru -> https://mysite.ru).

Sitemap.xml стоит продублировать, сформировав отдельную версию для защищённого протокола, где все ссылки начинаются с «https://…». Если карта генерируется автоматически, то, скорее всего, дополнительных манипуляций не потребуется.

Этап 2. Приобретение и установка сертификата SSL

SSL-сертификат

Исходя из параметров и назначения сайта, нужно определить необходимый тип сертификата. Период действия сертификатов SSL может составлять от 3 месяцев до 3 лет.

Типы сертификатов по качеству защиты:

  • DV (Domain Validation, валидация домена). Сертификат начального уровня. Самый распространённый и подойдёт для ресурсов, которым принципиален сам факт наличия сертификата и не принципиален вопрос безопасности. Наиболее дешёвый из всех официальных сертификатов. Типы ресурсов: сайты-визитки, блоги, информационные и образовательные порталы. Средняя стоимость — от 800 до 3000 руб./год. Срок подтверждения — 1 день;

  • OV (Organization Validation, валидация организации). Предназначен сугубо для юридических лиц и содержит название организации. Инициируя выдачу, вы подтверждаете право на владение доменом и существование юрлица. Типы ресурсов: интернет-магазины и прочие сервисы, где происходит оборот финансов. Средняя стоимост — 2000–35000 руб./год. Срок подтверждения — 3–10 дней;

  • EV (Extended Validation, с расширенной проверкой). Самый высокий уровень аутентификации. Только для юридических лиц: коммерческих, некоммерческих и государственных организаций. Типы ресурсов: крупные финансовые структуры, банки (активная циркуляция денежных средств и персональных данных). Средняя стоимость — 12 000–150 000 руб./год. Срок подтверждения — 7–10 дней;

  • самоподписанный/бесплатный сертификат. Подписывается тем же лицом, которое запрашивает идентификацию. Хорош тем, что за него не надо платить, но пригоден только в случаях, если все пользователи сайта осведомлены о его спецификации, так как при запуске сайта всплывет предупреждение: «Сертификат не является доверенным». Использование бесплатного сертификата опасно ещё и тем, что он в любой момент может перестать поддерживаться браузером и спровоцировать «Ошибку защищенного соединения».

Типы сертификатов по количеству доменов:

  • для 1 домена;

  • для субдоменов (Wildcard). При покупке такого сертификата вы автоматически защищаете основной домен и поддомены до 3-го уровня включительно. В некоторых случаях потребуется статический IP. Средняя стоимость — от 1500 до 35 000 руб./год (бесплатными не бывают);

  • мультидоменный (Multi-Domain) сертификат типа SAN (Subject Alternative Names) подойдёт, если у компании несколько сайтов (на разных языках или для разных направлений). У сертификатов существует специальный параметр IDN (International Domain Names) для доменов, имеющих кириллический алиас.

Где купить SSL-сертификат

Чтобы получить сертификат, направьте формализованный запрос в одну из следующих инстанций:

  • ваш хостинг-провайдер;

  • центр сертификации (comodo.com, letsencrypt.org, startcomca.com, woisgn.com).

При покупке сохраните все ключи.

Установка и проверка сертификата

Установка

После успешной валидации пора установить сертификат SSL на сайт. Возможно 2 основных типа сред, при которых алгоритм активации будет различаться:

  • web-хостинг. Порядок установки будет зависеть от провайдера, и от него же можно получить инструкции по активации либо прочитать в разделе wiki. Чаще всего активация совершается за пару простых действий в административной панели. Иногда достаточно отправить инженеру техподдержки файл сертификата, и он сам проведёт установку. Если вы арендуете хостинг у регистратора доменов и заводите новый домен, чаще всего вам будет предложено получить SSL с льготным периодом;

  • собственный сервер или выделенный (VPS/VDS). Установку нужно производить вручную.

 

Проверка

  • Доступность сайта. Убедитесь, что ресурс остался доступен роботам и посетителям по старому адресу (многие хостеры автоматически включают переадресацию). Проверку можно произвести с помощью инструмента «Проверка ответа сервера» в Яндекс.Вебмастере. Если скрипт возвращает ответ 200, значит, сайт доступен.

  • Корректность SSL. Откройте сайт по новому адресу на всех подручных устройствах и во всех браузерах, чтобы удостовериться в отсутствии предупреждений системы безопасности о незащищенном соединении либо других ошибок. Есть специальный сервис для тестирования сертификатов: ssllabs.com, где наглядно отображается текущий статус SSL, рейтинг сайта и рекомендации, которые помогут правильно откорректировать настройки или улучшить качество соединения.

Сервис ssllabs.com

Этап 3. Оповещение поисковых систем

Старое зеркало можно удалить из консолей после успешной переиндексации, если вам не нужна его статистика и добавленные ранее оригинальные тексты или вы можете настроить переадресацию на HTTPS (HTTP 301/302). После активации и установки SSL на сайт необходимо обновить информацию о протоколе связи в Google и Яндекс.

Яндекс.Вебмастер

  1. Включить зеркало с защищённым протоколом, подтвердить права.

  2. В опциях старой версии перейти на вкладку «Переезд сайта» и активировать чекбокс «Добавить HTTPS».

  3. Загрузка актуальной версии sitemap.xml.

  4. Актуализация данных о территориальной принадлежности.

  5. Обновление UML в «Товарах и ценах», если у вас интернет-магазин.

  6. Подписка на системные оповещения, чтобы не пропустить новость о смене главного зеркала на HTTPS.

Время обновления данных — около 2 недель.

Google Search Console

  1. Добавить новую версию с HTTPS.

  2. Обновить файл Disallow.

  3. Актуализировать карту сайта.

Ожидание обновления данных — около 2 месяцев.

Этап 4. Настройка 301 редиректа

301 редирект (Permanent Redirect) — правило автоматической переадресации пользователя на другой адрес ресурса. С помощью 301-го редиректа можно также склеить старые и новые страницы, избавиться от дублирующих страниц, поменять домен и пр. Редирект производить только после окончания переезда по директиве Host и переиндексации, иначе HTTPS перестанет быть доступной для робота индексации.

Переезд сайта с HTTP на HTTPS

Чтобы склеить HTTP и HTTPS, выполните следующие действия:

  • обязательно сделайте бэкап самого файла или сайта полностью;

  • обратитесь к файлу .htaccess в главной директории сайта;

  • откройте в текстовом редакторе (PSpad или notepad++);

  • добавьте строчки:

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

Если не сработает, попробуйте этот вариант:

RewriteEngine on

RewriteCond %{ENV:HTTPS} !on

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

  • здесь же необходимо внести запись:

<“FilesMatch “robots.txt$”>

RewriteEngine off

<FilesMatch>

Это требуется, чтобы исключить из переадресации в 301-м редиректе файл robots.txt и позволить роботам поисковой системы получить к нему доступ.

Этап 5. Ожидание переиндексации и тестирование

При соблюдении всех правил перенос осуществится в течение 1–2 недель в Google и 2–4 — в Яндекс.

Чек-лист:

  • если на площадке реализована функция Share, счётчик репостов будет равен 0, так как технически это разные версии сайта;

  • просадка трафика по сравнению со статистикой до склейки. После переиндексации позиции будут восстановлены;

  • трансформация ссылок происходит в среднем в течение 1–2 месяцев.

Рекомендуем убирать префикс WWW. при переходе на новый протокол. Если перестал работать интегрированный 1С, скорее всего, вы не обновили какие-то данные при переносе.

Частые ошибки при смене протокола связи:

  • вместо 301-го редиректа использовать 302-й;

  • настроить редирект всех страниц на главную;

  • допустить зацикленность редиректов;

  • склеить сайт без префикса WWW с вхождением https://www.example.ru;

  • не прописать актуальный путь для карты сайта в Robot.xml и не поменять в ней формат ссылок;

  • не поменять формат абсолютных ссылок и URL, ведущих к медиавключениям и сторонним скриптам;

  • при покупке сертификатов допустить ошибку в написании домена;

  • не поменять ссылки в интегрированных API;

  • некорректно указаны или пропущены rel=”canonical”*;

  • не сбросить кеш.

rookee, 26 Октября 2015
9323
(Голосов: 7, Рейтинг: 5)
Вам подойдут следующие услуги
Видео по теме
Комментарии
Сортировать до дате    
А
Алекс
25 Апреля 2017 11:48:10
25 Апреля 2017 11:48:10
Собрал для Вас все мануалы http://1rub.ru/266-2/
Собрал для Вас все мануалы http://1rub.ru/266-2/
L
Lestat_riw@mail.ru
10 Ноября 2015 13:36:19
10 Ноября 2015 13:36:19
Я не говорю что не нужно переходить на защищенный протокол, я говорю- не сейчас.

Когда придумают безболезненный метод для сайта в выдаче, тогда и переходить.
Я не говорю что не нужно переходить на защищенный протокол, я говорю- не сейчас. Когда придумают безболезненный метод для сайта в выдаче, тогда и переходить.
L
Lestat_riw@mail.ru
10 Ноября 2015 13:34:55
10 Ноября 2015 13:34:55
Отличный совет, потеряйте прибыль на 2-3 месяца + неопределенное время погрешности.. месяцев с 6-10 для восстановления прежнего уровня..

Помогите конкурентам заработать, подвиньтесь))
Отличный совет, потеряйте прибыль на 2-3 месяца + неопределенное время погрешности.. месяцев с 6-10 для восстановления прежнего уровня.. Помогите конкурентам заработать, подвиньтесь))
К
Команда Rookee
28 Октября 2015 16:44:50
28 Октября 2015 16:44:50
nickicool, что вы имеете в виду под "не принимают домены с протоколом https!"? Сайты на https так же продвигаются в сервисе Rookee, как и сайты на протоколе http.

Если у вас возникли проблемы с добавлением сайта, пришлите нам его адрес - мы проанализируем ситуацию.
[b]nickicool[/b], что вы имеете в виду под "не принимают домены с протоколом https!"? Сайты на https так же продвигаются в сервисе Rookee, как и сайты на протоколе http. Если у вас возникли проблемы с добавлением сайта, пришлите нам его адрес - мы проанализируем ситуацию.
n
nickicool
28 Октября 2015 12:57:43
28 Октября 2015 12:57:43
Угу, а рукки до сих пор не принимают домены с протоколом https!)) ахренеть... Причем и тех.поддержка ничего не делает с этим. Для них работа ссылок через директ аналогична прямой...
Угу, а рукки до сих пор не принимают домены с протоколом https!)) ахренеть... Причем и тех.поддержка ничего не делает с этим. Для них работа ссылок через директ аналогична прямой...
Добавить комментарий
Нажимая кнопку, вы подтверждаете свое согласие на обработку персональных данных.