Як перейти на HTTPS за 12 годин та зберегти трафік | Бізнес Майстерня

Як перейти на HTTPS за 12 годин та зберегти трафік

Як перейти на HTTPS за 12 годин та зберегти трафік

безпека

У цьому пості Бізнес Майстерня узагальнює інформацію про те, як перенести сайт з http на https і зберегти трафік, витративши мінімум часу.

Не секрет, що пошукові системи, зокрема Google, будуть ранжувати сайти з https-протоколом краще, ніж сайти на http. У 2014-2015 роках інтернет підірвали статті скривджених вебмайстрів про те, що сайти втрачають левову частку пошукового трафіку після зміни протоколу. При цьому навіть після тривалого часу сайти так і не виходили на той рівень трафіку, що був до переходу. Тож сьогодні багато користувачів з упередженням ставляться до переходу на безпечний протокол. А даремно.

Навіщо переходити на HTTPS?

Взагалі, навіщо цей ризик втратити трафік через зміну протоколу? Головна перевага HTTPS: зашифроване з'єднання не можна прехопити за допомогою стороннього сервісу та використовувати залишені на сайті дані з метою шахрайства. При переході на HTTPS «незахищене з'єднання» заміниться на зелене «безпечне». Це все - складники гігієни від кіберзлочинності.

https

Критично необхідно переходити на новий протокол усім сайтам, де є будь-яка інформація, яку можуть перехопити (платіжні дані, наприклад). Тобто для інтернет-магазинів перехід на https - в списку обов'язкових рекомендацій. Процес переходу складається з чотирьох етапів.

1. Підготовка до переходу на HTTPS

Для того, щоб почати перехід на HTTPS, ще перед зміною протоколу рекомендуємо абсолютні внутрішні посилання на вашому сайті замінити на відносні.

Якщо на сайті є коди ремаркетингу, різні скрипти, потрібно просто замінити їхні адреси на відносні з доменним ім'ям, але без протоколу HTTP. У випадку з медіа-контентом, посилання на картинки і відео також слід замінити на відносні без протоколу.

Час на написання техзавдання: одна година. Робота програміста: 3-4 години (в залежності від сайту).

2. Як вибрати SSL-сертифікат

Не використовуйте безкоштовні SSL-сертифікати - це небезпечно. Браузери можуть видати помилку з попередженням, що сайт не підтверджений.

ssl

За ступенем захисту існує кілька видів SSL-сертифікатів:

  • Domain Validation. Найбільш поширений сертифікат. Видається на один домен, і якщо ви вирішите змінити доменне ім'я, доведеться оплачувати повторно. Середня ціна коливається від $10 до $30 в рік. Для отримання звертайтесь в будь-який центр сертифікації (наприклад, Comodo або Symantec).
  • Organization Validation. Підтверджує домен та організацію. Можуть перевірити інформацію в пресі, наявність компанії в Whois, свідоцтво про державну реєстрацію. Середня ціна коливається від $40 до $200 на рік.
  • Extended Validation. Сертифікат з розширеною перевіркою - для його отримання перевіряється наявність компанії за адресою, свідоцтві про реєстрацію, операційну діяльність, торгову марку. Все для того, щоб отримати зелений рядок в адресному рядку браузера. Вартість в середньому від $120 до $300 в рік.

Існує і класифікація сертифікатів за функціональністю:

  • звичайні SSL-сертифікати;
  • Wildcard сертифікати - використовуйте, якщо хочете встановити HTTPS на піддоменах;
  • SAN сертифікати - використовується для декількох доменів.

Можете обрати звичайний SSL-сертифікат. У вас не повинно виникнути проблем з самим переходом, тому що тут допомогу, переважно, надають хостери.

хостинг
Скріншот адмінки одного з хостерів. У вас напевно інша картина

Втім, під час зміни протоколу, деколи доводиться міняти хостинг. На жаль, не всі хостери підтримують SSL. Будьте уважні: при зміні хостингу і переході на HTTPS, сайт буде доступний за старою IP-адресою та необхідно буде налаштувати редіректи з нього на нову адресу. Рекомендуємо після установки перевірити, чи правильно встановлено ваш SSL-сертифікат. Існує багато онлайн-сервісів, які оцінять налаштування захищеного з'єднання з вашим сервером і навіть дадуть рекомендації у вирішенні проблем. Наприклад, SSL Server Test. Власне, вітаємо! Сайт тепер доступний по HTTPS. Але це ще не фінал.

Час: від 30 хвилин.

3. Як налаштувати сайт та зберегти трафік

Додайте сайт HTTPS в Google Search Console. Тут оновіть XML-мапу сайту, якщо потрібно - виставте регіон. Якщо у вас є відхилені посилання в Disavow Tool, не забудьте заново завантажити файл з ними.

Найголовніше - налаштування 301 редиректів (постійних перенаправлень) зі старої адреси з HTTP на новий з HTTPS. Після налаштування перевірте, щоб зображення були доступні за HTTPS, перевірте всі типи сторінок. Наприклад, сторінки фільтрів, сторінки карток-товарів, прайс-листи, категорії, спеціальні сторінки тощо. Всі вони повинні бути доступні по HTTPS.

При цьому файл robots.txt і XML-мапа сайту повинні бути доступними і за http, і за https. Під час налаштування редиректів в htacess, виняток для файлу Роботс можна налаштувати рядком:

RewriteCond% {REQUEST_FILENAME} robots.txt $ [NC]

Час: 30 хвилин.

4. Правки на сайті

Здається, залишилось просто чекати переіндексації. Але ні. Як би ви не намагалися підготувати сайт до переносу, напевно залишаться посилання на HTTP. У нашому прикладі залишилися посилання в link rel = "canonical", тобто всі до єдиної сторінки на сайті посилалися на 301 редірект. Крім того, абсолютні посилання на сторінках пагінації також вели на 301 редирект. Якщо у вашого сайту існують мовні версії, то необхідно буде замінити адреси посилань з

<link rel="alternate" hreflang="ua" href="http://site.com/" />

на

<link rel="alternate" hreflang="ua" href="https://site.com/" />

Незважаючи на те, що всі ці пункти виконано, в адресному рядку все одно може бути повідомлення про те, що з'єднання не є безпечним. Швидше за все, це пов'язано зі скриптами, які тягнуться зі сторінок. Адреси посилань на них необхідно замінити на відносні без протоколу. Після цього перевірте коди відповідей сервера на сайті, щоб існуючі сторінки повертали код відповіді 200, а неіснуючі - 404/410. Також потрібно провести перевірку сайту на наявність посилань на редіректи, 404 сторінки. Все, тепер дійсно залишилось тільки чекати переіндексації.

Час на пошук помилок і написання ТЗ: 1 година. Робота програміста: 4-5 годин (в залежності від сайту)

Чи потрібно всі сайти переводити на HTTPS?

Так, всім сайтам рекомендовано переходити на безпечне шифрування. Безпека користувачів - найважливіший аргумент на користь переходу на HTTPS.

HTTPS потрібен не тільки для обміну фінансовою інформацією. Будь-який користувач, що прийшов на ваш сайт, ділиться з вами тим фактом, що він до вас прийшов, що він читає вас, що він проводить стільки-то часу, заходить на певні сторінки. Це все між вами і ним. Жоден користувач не погодиться ділитись даною конфіденційною інформацією.

З огляду на те, що пошукові системи постійно рекомендують переходити на HTTPS і створюють в сервісах для вебмайстрів окремі мануали і пункти для переходу, то, найімовірніше, вже в найближчому майбутньому (1-2 роки) фактор HTTPS як мінімум зрівняється за значенням зі швидкістю завантаження сайту.

Фото: flickr.com
Обробка: Vinci
назад
далі