SSL — как правильно перейти на HTTPS — инструкция

SSL - как правильно перейти на HTTPS - инструкция

Для повышения общей интернет-безопасности и защиты информации, Гугл и Яндекс планомерно ухудшают условия ранжирования сайтов на http, пытаясь свести их количество к минимуму.

В скором времени всем сайтам с полем для ввода пользовательских данных придется перейти на безопасный https протокол, если, конечно, они не хотят потерять свои позиции в выдаче Google. Сейчас http сайты с полем ввода помечаются Гуглом как ненадежные, а в ближайшем будущем их отметят как небезопасные.

гугл

Посетители таких сайтов увидят красный треугольник и предупреждающую надпись в адресной строке. Мало кому захочется вводить личные данные и платежную информацию на сайте с такими отметками, поэтому у доменов без https протокола неизбежно уменьшится трафик и популярность, а, следовательно, количество транзакций и прибыль.

По всей видимости, нас ждет массовый переход на безопасный протокол всех онлайн магазинов, банков, форумов, почтовых серверов и медучреждений. Чтобы все прошло плавно и незаметно для посетителей ресурса, лучше всего переносить сайт в несезонное для данного вида деятельности время. Оно может отличаться – например, для интернет-магазина горнолыжного оборудования это будут летние каникулы, а для продавца экипировки для водных видов спорта – зима. Если особой сезонности в работе сайта нет, переносить его проще летом, когда многие уходят в отпуск и посещаемость снижается.

Перенос на HTTPS проходит в три этапа – подготовка сайта, работа с техническими параметрами SSL сертификата и работа с техническими параметрами сайта.

Что нужно сделать, чтобы перевести сайт на https

Еще до начала перевода домена на SSL стоит проверить его код и исправить все внутренние ссылки на относительные. Это позволит избежать возможных технических неполадок в процессе перехода и жалоб пользователей на нерабочие внутренние ссылки в новой версии сайта. Абсолютная ссылка содержит полный адрес страницы, например «https://www.ipipe.ru/info/ssl-https», а относительная – только адрес страницы относительно корневой папки сайта, например «//info/ssl-https»

В относительной ссылке нет названия протокола, поэтому она будет работать и с SSL защитой, и без. Внешние ссылки оставьте без изменений, т.к. не все внешние ресурсы работают по https протоколу.

Проверка медиа-файлов сайта

Теперь нужно проверить все графические, аудио- и видеофайлы и презентации. Те, что хранятся на сервере вашего ресурса, должны иметь относительные ссылки. Внешние медиафайлы необходимо загрузить на надежные https-хранилища с хорошей репутацией – YouTube, Facebook, Slideshare и др..

Не стоит пользоваться незащищенными видеохостингами, иначе нет смысла переносить сайт на https. При загрузке медиа-контента с http серверов страница сайта будет отмечена, как содержащая небезопасный контент. Вряд ли посетители сайта обладают достаточными навыками и желанием разбираться, что это происходит из-за видео, вставленного со стороннего http сайта.

Проверяем правильное подключение внешних скриптов

Чтобы прописать шрифты или прикрутить к сайту функцию онлайн-консультанта или обратного звонка, используют внешние скрипты. Прежде чем переводить домен на https, убедитесь, что они содержат только относительные ссылки, без указания протокола. Это касается любых внешних скриптов – библиотек jQuery и JavaScript, Ajax, Google Analytics, LiveInternet. Крупные и широко используемые библиотеки и сервисы работают через https, поэтому подключение к ним проходит по безопасному соединению. Пользоваться малоизвестными или непопулярными сервисами небезопасно, т.к. они, как правило, работают по http протоколу.

Выбираем SSL сертификат для перехода на https

Любой SSL сертификат выполняет свою основную функцию – защищает сайт и передаваемую информацию от доступа посторонних лиц. Различают несколько типов сертификатов:

  • Обычный SSL сертификат устанавливается на один домен, принадлежащий частному или юридическому лицу. Такой сертификат можно получить за несколько минут после простой проверки собственника домена.
  • Сертификаты с расширенной проверкой (Extended validation) могут купить только компании при предъявлении регистрационных документов. Обязательное условие – название фирмы должно фигурировать в whois домена. У сайта, защищенного таким сертификатом, будет зеленая адресная строка.
  • Wildcard SSL сертификат приобретают компании, имеющие несколько поддоменов в одном домене.
  • IDN сертификаты поддерживают национальные шрифты и пригодятся владельцам кириллических доменов.

Устанавливаем сертификат

При покупке SSL сертификата у хостинг-провайдера тот сам устанавливает его либо обеспечивает быструю установку через панель управления. Процесс установки занимает от нескольких минут до 1-2 дней, но есть обязательное условие — сервер хостера должен поддерживать SSL-протокол. По этой причине лучше выбирать популярный хостинг с высоким уровнем защиты данных.
SSL сертификат не привязан к определенному IP-адресу или хостингу, поэтому можно выбрать любого надежного хостера.

Проверяем правильность установки SSL

Теперь нужно проверить корректность установки SSL сертификата. Сделать это можно через любой из бесплатных онлайн сервисов, например, SSL Shopper, Symantec SSL Toolbox, GlobalSign SSL Check или Qualys SSL Labs.

Проверка происходит мгновенно, достаточно ввести адрес сайта в указанном формате и нажать ввод. Большинство сервисов по итогам проверки выставляет оценку уровня защищенности домена и указывает все уязвимые участки. Пример результатов проверки:

проверка ssl

Допустимая оценка – от А и выше. Если сервис нашел ошибки в настройках сервера либо сертификата, исправьте их и запустите повторную проверку, до тех пор, пока не получите высокий уровень защиты.

Указываем https-версии в файле robots.txt

Следующий этап — настройка технических параметров сайта. Для поисковиков один и тот же сайт на http и https – это абсолютно разные ресурсы. Ваша задача – сделать так, чтобы в выдачу попадала только новая версия сайта, иначе вы рискуете лишиться значительной доли трафика.

При настройке в Яндексе пропишите директиву Host в файле robots.txt и явно укажите https-протокол. Тем самым вы сообщаете поисковику, что https-зеркало сайта является основным.

host ssl

Переадресация с http на https — нужно настроить редирект

По мнению поисковиков, http и https версии сайта (так же как и сайт с приставкой www и без нее) – это разные сайты, поэтому после установки сертификата придется настраивать переадресацию всех http страниц на соответствующие страницы https. Требуются те же действия, что при переводе сайта на новый домен. Если Ваш проект еще использует анахронизм в виде приставки www – можно вместе с переездом на https протокол также указать основную версию сайта без www – например, https://demo-domen.ru .

Делайте прямую переадресацию без промежуточных документов, т.е. со старой версии сайта сразу на новую. Для переадресации достаточно настроить 301 для сайта, в зависимости от используемой CMS.

Проверяем на «битые» ссылки и доступ в разных браузерах

Теперь нужно проверить корректность работы сайта в целом — ссылки, доступ из разных браузеров, правильность редиректов. Исправьте «битые» ссылки и проверьте, что в адресной строке виден замок и надпись «Надежный» (и зеленая подсветка, если ваш SSL сертификат ее поддерживает).

Если что-то не работает, не отображается или отображается неверно, исправляйте сразу, не дожидаясь замечаний посетителей. От того, насколько хорошо вы отладите https версию, зависит трафик ближайших месяцев.

Добавляем https версии в инструменте вебмастера Яндекс и Гугл

Чтобы сообщить поисковикам о появлении https версии ресурса, добавьте в панели вебмастера https-версию сайта. Теперь в списке видны обе версии – http и защищенная https. Гуглу этого достаточно, а в Яндексе придется еще указать, что https-версия — главное зеркало http-сайта. Дополнительные настройки старой версии (файлы sitemap.xml, список ссылок для Гугла и др.) перенесите в новую с помощью панели вебмастера.

Теперь остается только подождать 1-3 недели, пока поисковые роботы Гугла и Яндекса проиндексируют новую https версию. В первые недели трафик может упасть, пока ресурс не вернет утраченные позиции в выдаче. Потом он вернется на прежний уровень, зато позиция сайта в выдаче Гугла вырастет благодаря новым правилам ранжирования.

iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.

Мы предлагаем: