Каждый владелец сайта заботиться не только о качественном контенте и визуальной составляющей. Одним из первостепенных вопросов остается безопасность сайта: защита паролей хостинга, предотвращение взлома CMS, шифрование и обеспечение защиты данных пользователей, которое достигается при переходе на защищенный протокол HTTPS.
Зачем переходить на HTTPS
HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или SSL.
HTTPS защищает связь между вашим браузером и сервером от перехвата и взлома злоумышленниками. Это обеспечивает конфиденциальность, целостность и аутентификацию для подавляющего большинства пользователей.
Потенциальные сетевые атаки могут произойти где угодно с ненадежным маршрутизатором или провайдером. Поэтому любая общедоступная сеть WiFi уязвима для таких атак. К счастью, кажется, что широкая публика узнает об этом факте (увеличение использования VPN).
Тем не менее, бремя обеспечения безопасности для всех пользователей лежит на веб-мастерах.
Вот где принятие HTTPS вступает в игру.
HTTPS шифрует HTTP — запросы и ответы, поэтому, например, перехватывающий злоумышленник будет видеть только случайные символы, а не данные банковской карты.
Аналогия с тем, как работает HTTPS, отправка ценностей в неразрушимую запертую комбинацию. Только отправляющая и получающая стороны знают комбинацию, и если злоумышленники ее схватят, они не попадут внутрь.
Корпорация Google не зря “подталкивает” вебмастеров к переходу на HTTPS, во многих современных браузерах, в том числе и в Google Chrome, сайты, использующие HTTP вместо HTTPS, отмечены как не безопасные. Яндекс Браузер, созданной компанией Яндекс идет тем же путем.
Пользователи заботятся о безопасности своих личных данных, таких как банковские счета, ФИО, номера телефонов, адреса, пароли и т.д., предупреждения браузера о не безопасном шифровании отталкивает их от посещения не безопасных сайтов и тем более об оплате на них.
Веб-мастера, осуществившие перевод сайта с HTTP на HTTPS, получают специальную отметку в различных браузерах — “Защищено”. Позиции таких сайтов в поисковой выдаче Яндекса и Google повышаются, как и доверие пользователей.
Для получения такой отметки необходимо выбрать и установить SSL-сертификат. Они бывают как платные с расширенным функционалом, так и бесплатные, с меньшим функционалом.
HTTPS улучшает SEO
Практически все преимущества HTTPS связаны с SEO :
- Легкий ранжирующий сигнал;
- Лучшая безопасность и конфиденциальность;
- Сохраняет реферальные данные;
- Позволяет использовать современные протоколы, которые повышают безопасность и скорость сайта.
Какие бывают SSL-сертификаты
SSL (Secure Sockets Layer) — криптографический протокол, который подразумевает более безопасную связь между пользователем и сервером.
Let’s Encrypt — бесплатный, автоматизированный и открытый Центр Сертификации. Он помогает пользователям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Основная цель Let’s Encrypt сделать интернет безопасным, и уважающим конфиденциальность его пользователей.
Типы SSL-сертификатов:
- DV (Domain Validation) — самый простой и доступный вид, это своеобразный “паспорт сайта”, подтверждающий достоверность доменного имени, шифрующий и защищающий данные при передаче через протокол HTTPS. Получить его можно достаточно оперативно, как организации, так и физическому лицу;
- OV (Organization Validation) — доступен юридическим лицам, его наличие позволяет определить принадлежность домена к конкретной организации. Пользователь может узнать больше об организации и ее владельце, нажав на иконку в виде замка, слева от домена. Выпуск этого вида SSL занимает около 3-х дней;
- EV (Extended Validation) — фактически схож с Organization Validation. Отличается более детальной проверкой коммерческой деятельности компании. При нажатии на иконку будет отображаться название компании, а выпуск осуществляется в течение 5 дней.
Как перейти на HTTPS
Данная инструкция подходит для большинства популярных CMS, таких как WordPres, MODX, Joomla, Bitrix, OpenCart, ocStore, DLE, PrestaShop. Различия могут быть только в настройках самих CMS, но их ниже разберем.
До настройки сайта нужно выбрать и установить SSL-сертификат. Все последующие действия будут связаны с настройкой сайта, установкой редиректов, исправлением найденных ошибок и добавлении https-версий сайтов в панели Яндекс.Вебмастер и Google Search Console.
А теперь давайте пройдем по основным настройкам.
Внутренние ссылки сайта
Для правильного перехода необходимо изменить внутренние ссылки сайта, заменить их на относительные, а именно убрать доменное имя, чтобы избежать привязки к протоколу. Речь не идет о внешних ссылках ведущие на другие ресурсы, которые могут не поддерживать HTTPS.
Первый вариант: ссылку http://site.ru/nazvaniye-stranitsy/ заменить на страницах на /nazvaniye-stranitsy/.
Второй вариант: ссылку http://site.ru/nazvaniye-stranitsy/ заменить на страницах на //site.ru/nazvaniye-stranitsy/.
Данная замена поможет избежать привязки к протоколу. Первый вариант, для замены ссылок для страниц, более предпочтительный, используйте его по умолчанию.
Конечно, ссылки можно не изменять, и при использовании 301 редиректа в htaccess мы будем переходить по страницам в не зависимости от протокола на нужные нам ссылки, но зачем плодить лишние редиректы.
Скрипты
Адреса скриптов, библиотек и различных кодов также необходимо заменить, для корректной работы.
Например, рассмотрим библиотеку jQuery:
С HTTP:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
Нужно заменить на HTTPS:
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script>
Медиа-контент
Весь медиа-контент сайта (презентации, видеоматериалы, картинки и прочее) нужно будет проверить и определить какой протокол используется для их отображения. Материалы со сторонних ресурсов могут передаваться через HTTP протокол, без поддержки HTTPS, смена адреса приведет к ошибкам. Со многими современными сервисами, такими как ВКонтакте, Одноклассники, Instagram, Ютуб проблем не возникнет. Современные все сервисы поддерживают HTTPS.
Файл robots.txt
Поисковым системам Yandex и Google необходимо сообщить о новом адресе, где расположена карта сайта для поисковиков:
Sitemap: https://mysite.ru/sitemap.xml
Важно учесть, чтоб в самой карте сайта все ссылки генерировались с нужным протоколам!
Яндекс Вебмастер
При первом добавлении сайта в Яндекс Вебмастер можно просто указать сайт.
А если сайт уже добавлен, робот определить новую версию протокола автоматически, с помощью 301 редиректа.
Ускорить этот процесс можно добавив “новый” адрес сайта в панель вебмастера. Потом выбрать старый сайт, в панели вебмастера и перейти на вкладку Индексирование — Переезд сайта и оформить там заявку, выбрав один из типов переезда с одной версии на другую с HTTP на HTTPS.
В среднем переезд сайта длится около одного — двух месяцев.
Google Search Console
В Google Search Console нужно добавить новый адрес сайта, новые страницы будут проиндексированы со временем, примерно от двух недель. Данная процедура не повлияет на рейтинг страниц и на снижение PageRank. Ресурс, использующий одновременно две версии протокола HTTP и HTTPS будет определяться, как два разных сайта.
301-редирект с http на https
Чтобы со всех страниц старого протокола http перенаправляло на новый протокол https, осталось прописать 301 редирект в файле htaccess.
Данный редирект поможет поисковым системам Яндекс и Google правильно определить основное зеркало сайта, что избавит от лишних дублей.
Внимание! Перед изменением файла htaccess, необходимо сохранить бэкап исходного файла, чтобы в случае ошибки можно было все вернуть.
Первый вариант:
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]Второй вариант:
RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]Данные варианты подойдут для сайтов, которые не имеют WWW в адресе сайта.
Если данные варианты не подошли, или возникли какие либо проблемы, или вы не уверенны в правильности ваших действий, то лучше обратиться к службе поддержки хостинга или сервера. Чтобы технический специалист прописал 301 редирект для вашего сайта.
Настройки CMS
Мы подошли к настройкам самих CMS. Основная суть сводится, чтобы выбрать нужную вервию протокола, в нашем случае HTTPS.
После проделанной работы нужно запастись терпением и ожидать изменения адреса сайта в поисковой выдаче.
WordPress
После настройки сертификата SSL необходимо в администраторской панели WordPress Настройки — Общие указать протокол HTTPS.
MODX Revolution
В администраторской панели MODX Revolution нужно перейти в Настройки — Система и сервер — Тип сервера. В данной строке указываем HTTPS.
MODX Evolution
В администраторской панели MODX Evolution переходим в Инструменты — Конфигурация — Тип сервера, и выбираем нужный нам параметр.
1С-Битрикс
В администраторской панели 1С-Битрикс переходим Настройки — Облако 1С-Битрикс — Ускорение сайта — Дополнительно, и ставим галочку, Сайт работает по https.
Заключение
Процесс перехода сайта на HTTPS крайне важен не только для коммерческих сайтов. Ежегодные траты на сертификат могут окупиться втройне, повышением доверия пользователей и конверсии. Сам процесс перехода может показаться трудоемким и не простым, но, на самом деле, на практике все достаточно просто.
