Новости

Начиная с 2017 года, браузер Google Chrome стал помечать сайты без SSL-сертификатов как небезопасные. На данный момент под это нововведение попадают страницы, где требуется ввод пароля или данных банковской карты, но со временем все сайты, использующие протокол http, будут помечаться как небезопасные.

В связи с этим, мы настоятельно рекомендуем немедленно заняться переносом своего сайта на безопасный протокол.

Для наилучшего понимания сути нововведений, мы подготовили подробный материал на эту тему, в котором бы простым языком объяснялось, для чего вообще нужны эти сертификаты, где их брать и как устанавливать на свой сайт.

Определение

HTTPS (от англ. HyperText Transfer Protocol Secure) – расширение http-протокола, поддерживающее шифрование данных и обеспечивающий их защиту от прослушивания и изменений.

Зачем он нужен:

• для защиты от хакерских атак, основанных на прослушивании сетевого соединения;

• для увеличения уровня доверия пользователей;

• потенциальное положительное влияние на ранжирование страниц сайта в поисковых системах за счет учета наличия защищенного соединения как фактора ранжирования, а также положительного влияния на поведенческие факторы ранжирования.

Уже сейчас вы можете протестировать свой сайт, установив версию Google Chrome для разработчиков, ту самую 56 версию. Скачать ее можно здесь: https://www.google.ru/chrome/browser/canary.html.

После этого откройте в этом браузере свой сайт, нажмите F12, чтобы открыть инструменты разработчика, после чего перейдите на вкладку Console. Там вы увидите, будет ли для вашего сайта выводиться предупреждение в браузере.

Что касается поисковой системы Яндекс, здесь пока нет особой важности – поисковая система лучших позиций не обещает, однако компания показывает на собственном примере надежность своих сервисов, переводя их на https-протокол.

Однако, мы считаем, что появление такого фактора ранжирования в Яндекс – лишь вопрос времени

Для кого важен переход на HTTPS?

В первую очередь важно переходить на новый протокол тем сайтам, где есть какая-либо информация, которую могут перехватить (платежные данные, данные доступа к личному аккаунту). К ним относятся банки, интернет-магазины, сайты по продаже билетов и онлайн-сервисы – для них переход в списке обязательных рекомендаций. Однако и обычные сайты должны двигаться в сторону безопасного шифрования, поэтому мы подготовили подробную инструкцию о том, как правильно перевести сайт на https.

Инструкция по переводу сайта на https

Перевод сайта на защищенный протокол в перспективе придется осуществить всем сайтам. К этому будут подталкивать как поисковые системы, так и браузеры. Поэтому, пока вы разбираетесь в теме и выбираете SSL-сертификат, пора подготовить сайт к переходу.

Виды SSL-сертификатов

Тип сертификата зависит от типа проверки.

С проверкой домена (DV или Domain Validated).

Доступен физическим лицам и компаниям. Защищает информацию, но не дает гарантии, что владельцу сайта можно доверять. Требуется подтверждение по электронной почте, находящейся на домене либо на которую зарегистрирован домен. Стоит дешево (либо может выдаваться бесплатно), выдается за несколько минут. Подойдет: сайту-визитке, лендингу, личному блогу.

С проверкой организации (Organization Validated или OV).

Такой сертификат доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям. Проводится проверка документов и существования ИП или юридического лица, а также принадлежность домена. Стоит дороже, выдача занимает 1-3 дня. Подойдет: интернет-магазинам, корпоративным сайтам, порталам.

С расширенной проверкой организации (Extended Validation SSL (EV SSL)).

Этот сертификат визуально отличается наличием зеленой строки с названием организации. Таким сайтам можно доверять больше, так как компания точно существует (проводится тщательная проверка) и домен точно принадлежит ей. Проверка занимает 3-9 дней (если нет заминок с документами). Сертификат самый дорогой. Кто использует: банки, платежные системы, крупные сервисы.

Дополнительные особенности сертификатов

Обычный сертификат (на один поддомен). Подойдет для большинства сайтов, стандартный вариант.

Wildcard (для нескольких субдоменов одного домена). Необходим, если у вашего сайта есть субдомены. Например, site.ru, m.site.ru (если у вас мобильная версия на субдомене), en.site.ru и пр. Может быть как с проверкой домена, так и проверкой организации. Стоит дороже, чем обычный.

С поддержкой IDN (для кириллических доменов). Для доменов на кириллице (cайт.рф, сайт.бел и пр.)

Мультидоменный сертификат. Необходим в том случае, если у вашей организации несколько разных доменов (site.ru, site2.ru, moisait.ru и пр.).

Основные поставщики сертификатов

Как правило, купить сертификат можно сроком 1-3 года. Проще всего будет обратиться за сертификатом к хостеру (либо в центр сертификации). Каждый хостер, идущий в ногу со временем, продает сертификаты и может помочь с процессом их установки.

Также в процессе установки сертификата вам потребуется помощь таких специалистов и организаций как:

• Хостер/центр сертификации для покупки сертификата и помощи в его выборе.

• Технический специалист/программист для установки (и в том числе покупки) сертификата, доработок сайта под протокол https.

• SEO-специалист/интернет-маркетолог для контроля выполнения рекомендаций, необходимых для минимизации риска потери трафика и позиций в поисковой выдаче.

Важно! Обязательно следите за сроками окончания сертификата. Его необходимо будет продлевать, как домен и хостинг.

Как подготовить сайт к переходу на https

Следующая информация понадобится техническому специалисту или программисту, который будет осуществлять переход на безопасный протокол. Пока вы решаете вопросы с сертификатом, сайт уже можно начинать готовить к переходу на https. Даже если это будет через полгода-год. Дело в том, что нужно убедиться, что на сайте все ссылки ведут на страницы, доступные по защищенному протоколу либо имеют относительный протокол.

Все ссылки на вашем сайте должны иметь следующий вид:

Внутренние ссылки – относительные.

Например, для перехода на страницу на вашем же сайте site.ru, использовать a href="/katalog/" предпочтительнее, чем a href="https:// site .ru/katalog". Если вы уже переходите на https, можно делать ссылки доступными по протоколу https.

Внешние ссылки – доступны по https либо используется относительный протокол.

Например, не a href="http:// www.youtube. com/", а a href=""https:// www.youtube. com/" – защищенный протокол или "//www.youtube. com/" – относительный протокол. Относительный протокол очень удобно использовать, если вы не знаете, доступен ли сайт по защищенному протоколу. В таком случае браузер сам выберет с каким протоколом открыть этот сайт.

Пример ссылки с относительным протоколом:

Важно! Необходимо исправить все ссылки, в том числе на изображения, файлы, видео, внешние скрипты (виджеты, консультанты и прочие внешние сервисы). Чтобы не делать это вручную на многих страницах, можно попросить программиста исправить протокол http:// на относительный в базе данных сразу для всех ссылок.

После того, как вы приобрели сертификат вам необходимо выполнить следующую последовательность действий для корректного перехода сайта на защищенный протокол https.

Алгоритм перехода на https:

1. Убедитесь, что SSL-сертификат настроен корректно. Сделать подробный анализ конфигурации SSL можно с помощью этого сервиса. Вот так будет выглядеть результат, если все хорошо:

и так, если есть проблема:

В данном случае есть проблемы с настройкой сертификата, и сайт не открывается в браузере Firefox. Обязательно протестируйте настройку SSL и проверьте как отображается сайт в разных браузерах, в том числе на мобильных устройствах: отдельно проверьте сайт с iPhone и Android.

Если есть критичные проблемы, обратитесь к техническим специалистам, которые настраивали вам сертификат.

2. Создаем версию сайта с https – она должна быть доступна и работать без ошибок. При этом версия с http также должна быть доступна. Файл robots.txt должен быть одинаков для обеих версий. Составить файл может SEO-специалист.

В robots должна содержаться строчка:

Host: https:// site .ru/

Эта строчка означает, что главным зеркалом является https-версия сайта.

Пример robots.txt (обратите внимание (!), что содержимое файла у вас будет свое, это пример для иллюстрации принципа переклейки):

User-agent: *
Disallow: /*?
# Тут ваши текущие директивы
Host: https:// site .ru/
Sitemap: https:// site .ru/sitemap.xml

3. Также обязательно проверяем для https-версии:

Протокол в rel=”canonical” (используется для указания на каноническую версию страницы)
Протокол в rel=”alternate” (используется для указания на страницы других языковых версий либо на мобильную версию сайта)
Протокол ссылок в sitemap.xml

Для https-версии ссылки в них должны быть доступны по https, а не http.

4. Добавляем сайт в Вебмастер Яндекса обе версии сайта: http и https. Указываем в Вебмастере Яндекса в разделе «Настройка индексирования – Переезд сайта» предпочтительный протокол.

Переезд сайта в Яндекс.Вебмастер.

Если домен https был признан зеркалом до переклейки.

Если домены http и https были признаны зеркалами ранее, (а именно https-версия была признана неглавным зеркалом – такое бывает, но редко), то на данном этапе необходимо сначала расклеить зеркала. Обычно, если https-версия была ранее поклеена на http-версию, это выглядит вот так в Вебмастере Яндекса:

Расклеиваем зеркала, а после расклейки указываем главным зеркалом https-версию. Для этого в Вебмастере заходим в раздел «Переезд сайта» для https-версии и под предложением отклеить сайт нажимаем «Применить».

После этого увидите следующее сообщение:

https://yandex.ru/support/webmaster-troubleshooting/mirrors/change-protocol.xml

Стрелкой указана ссылка на этой странице, по которой можно написать в техподдержку Яндекс при наличии проблем. Яндекс подтверждает, что в случае, когда https-версия является неглавным зеркалом, это верный порядок действий.

5. Добавляем сайт в Google Search Console с протоколом https и подтверждаем права. Google понимает, что http и https являются разными протоколами одного и того же сайта. Если Google обнаружит работающий протокол https, то он по мере переиндексации контента будет заменять http на https даже без перенаправления и добавления https-версии в Google Search Console.

https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html

6. При переходе на https-версию в Google обязательно добавляем файл Disavow для канонической версии сайта, если он был составлен ранее.

7. Ждем склейки в Яндексе. Это произойдет, когда версии страниц сайта с https зайдут в индекс, а версии страниц сайта с http выпадут из индекса. Переклейка начинается примерно через 2-3 недели. Повлиять на скорость переклейки мы, к сожалению, никак не можем, это автоматический процесс. После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»:

А также увидите, что https-версия стала отбражаться в Яндекс.Вебмастере как основная:

Неглавное зеркало начнет выпадать из индекса Яндекса.

А главное зеркало начнет попадать в индекс Яндекса:

Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего настроить 301 редирект.

Важно! При переклейке сайта на другое зеркало обнуляется ТИЦ. Он вернется после следующего обновления ТИЦ, которое происходит примерно раз в месяц. Не стоит волноваться: никаких последствий для сайта это не имеет, ТИЦ не учитывается при ранжировании сайта в поиске Яндекса.

Цитата справки Яндекса: «тИЦ как средство определения авторитетности ресурсов призван обеспечить релевантность расположения ресурсов в рубриках каталога Яндекса.»

8. После того как сайты склеились, настраиваем постраничный 301 редирект со страниц сайта с http на страницы с https (кроме файла robots.txt). Делать это до того, как сайты будут признаны зеркалами, нежелательно, поскольку в этом случае страницы с редиректами будут исключаться из поиска согласно правилам Яндекса по обработке перенаправлений. На время склейки зеркал необходимо оставить сайт доступным для робота по обоим адресам.

Для перенаправления c http на https в .htaccess добавляем следующий код(может работать не во всех случаях, тогда обращаемся к хостеру или программисту):

RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https:// site .ru/$1 [R=301,L]

Альтернативный вариант:

RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) https:// %{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

9. После переклейки необходимо убедиться, что в Яндекс присвоен корректный регион. Дело в том, что на текущий момент сайту может быть присвоено несколько регионов через Яндекс.Справочник, но в Справочнике пока еще нельзя указать ссылку на сайт с протоколом https. Соответственно, могут быть проблемы с присвоением регионов, если это сделано через Яндекс.Справочник. В таком случае нужно обязательно писать в техподдержку Яндекса. Вот подтверждение от службы поддержки Яндекса. Надеемся, скоро это действие перестанет быть необходимым.

Счетчики шеров и лайков

Еще один важный момент для сайтов, на которых используются счетчики «лайков» - эти данные, к сожалению, будут потеряны. Если до перехода у вас были такие цифры по шерам вашей статьи:

то после перехода счетчики будут выглядеть вот так:

Такая проблема возникает из-за того, что подобные счетчики лайков отображают статистику для конкретного адреса. Так как у страницы меняется протокол, адрес страницы меняется и у новой страницы нет подобной статистики. Facebook уже решил эту проблему, будем надеяться, что остальные соцсети также подтянутся.

Описанный алгоритм перехода на https позволит минимизировать потери трафика. Вместе с тем служба поддержки Яндекса отвечает, что гарантировать сохранение позиций сайта при склейке его зеркал они не могут.

На время переклейки сайта, как правило, временные просадки позиций неизбежны и в Яндекс, и в Гугл. Алгоритм действий, указанный выше, подтвержден Яндексом.

Проблема с реферальным трафиком

Важно! Если пользователь осуществляет переход с сайта на HTTPS на сайт без HTTPS (например, с вашего сайта, на сайт компании, купившей на вашем сайте баннер), то по умолчанию HTTP заголовок referer не передается, если не указано иное правило. Поведение логичное, ведь вы покидаете защищенную зону и отправляетесь в зону риска. Это означает, что ваш сайт как источник трафика Google Analytics или Яндекс.Метрика определить не сможет и отнесет весь этот трафик к прямому. Поэтому, если вы продаете на сайте баннеры или размещаете информацию о компаниях и их сайтах и вашим клиентам важно отслеживать трафик с вашего сайта, чтобы с этим не было проблем, на HTTPS-сайте необходимо добавить на страницах до закрывающего тега </head> мета-тег:

<meta name="referrer" content="[директива]">,

где [директива] — одна из тактик поведения из следующего списка:
none — не передавать;
origin — передавать протокол и домен;
none-when-downgrade — не передавать при переходе с HTTPS-сайта на HTTP-сайт;
unsafe-url — всегда передавать;

Оптимальным вариантом будет следующий:

<meta name="referrer" content="origin">

Проверка смешанного содержимого

После перехода на https, тем не менее, в браузере может не появиться значок защищенного соединения, а отображаться один из следующих значков в Google Chrome:

А в сведениях о подключении может быть одно из следующих изображений:

Это значит, что на странице загружается смешанный контент и небезопасное содержимое. Например, какой-то скрипт или изображение все еще загружаются по незащищенному протоколу http. Необходимо, чтобы все внутренние и внешние ссылки имели протокол https:// либо относительный //. Это же касается и внешних ссылок. Чтобы найти смешанный контент, воспользуйтесь инструментами разработчика, которые вызываются в Google Chrome (Ctrl+Shift+I). Воспользуйтесь вкладкой Security, где будут ссылки на просмотр загрузки незащищенного контента в консоли. Для просмотра полной информации в консоли потребуется перезагрузка страницы.

На примере мы видим, что на странице загружается изображение с другого сайта по незащищенному протоколу http. Такую проверку необходимо провести для всех страниц. Это можно сделать SEO-специалист, например, с помощью программы ScreamingFrog SEO Spider. Либо вы можете самостоятельно походить по страницам сайта и посмотреть, везде ли отображается значок защищенного соединения. Примеры страниц, где соединение не защищено, нужно отправить техническому специалисту, который переводит сайт на защищенный протокол.

Анализ ссылочной массы после переклейки

Обратите внимание, что при анализе ссылочной массы вам будет необходимо выгружать ссылки из Вебмастера Яндекса для каждого зеркала, так как в Вебмастере выгружаются ссылки только для того зеркала, для которого вы их выгружаете. Например, для данного сайта нужно будет выгрузить ссылки для трех зеркал, чтобы увидеть всю ссылочную массу сайта:

Источники:

Ниже приведены источники информации касательно защищенного протокола от поисковых систем и полезные сервисы – настоятельно рекомендуется к ознакомлению:

• Защитите свой сайт с помощью HTTPS (Справка - Вебмастер Google) - https://support.google.com/webmasters/answer/6073543?hl=ru

• Google опубликовал FAQ по переходу на https для новостных сайтов - https://www.searchengines.ru/google-opublikoval-faq.html

• Переезд сайта на новый домен (Справка Яндекс.Вебмастер) - https://help.yandex.ru/webmaster/yandex-indexing/moving-site.xml

• Индексирование картинок (Советы веб-мастеру от Яндекс) - http://help.yandex.ru/images/indexing.xml

• Деликатный переезд (или рекомендации Яндекса по переезду на HTTPS) - https://yandex.ru/blog/platon/2778

• Сделать подробный анализ конфигурации SSL можно с помощью этого сервиса - https://www.ssllabs.com/ssltest/analyze.html

• Бесплатные SSL-сертификаты - https://letsencrypt.org/

Статья подготовлена на основе источника: https://seo.artox-media.ru/wiki/pereezd-na-https.html

Успешного вам переезда!