Рубрики
Блог

Инструкция по переходу на HTTPS

Каждый владелец сайта заботиться не только о качественном контенте и визуальной составляющей. Одним из первостепенных вопросов остается безопасность сайта: защита паролей хостинга, предотвращение взлома CMS, шифрование и обеспечение защиты данных пользователей, которое достигается при переходе на защищенный протокол HTTPS. 

Зачем переходить на HTTPS

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или SSL.

HTTPS  защищает связь между вашим браузером и сервером от перехвата и взлома злоумышленниками. Это обеспечивает конфиденциальность, целостность и аутентификацию для подавляющего большинства пользователей.

Потенциальные сетевые атаки могут произойти где угодно с ненадежным маршрутизатором или провайдером. Поэтому любая общедоступная сеть WiFi уязвима для таких атак. К счастью, кажется, что широкая публика узнает об этом факте (увеличение использования VPN).

Тем не менее, бремя обеспечения безопасности для всех пользователей лежит на веб-мастерах.

Вот где принятие HTTPS вступает в игру.

HTTPS шифрует HTTP — запросы и ответы, поэтому, например, перехватывающий злоумышленник будет видеть только случайные символы, а не данные банковской карты.

Аналогия с тем, как работает HTTPS, отправка ценностей в неразрушимую запертую комбинацию. Только отправляющая и получающая стороны знают комбинацию, и если злоумышленники ее схватят, они не попадут внутрь.

Корпорация  Google не зря “подталкивает” вебмастеров к переходу на HTTPS, во многих современных браузерах, в том числе и в Google Chrome, сайты, использующие HTTP вместо HTTPS, отмечены как не безопасные. Яндекс Браузер, созданной компанией Яндекс идет тем же путем.

Яндекс Браузер
Яндекс Браузер, информирует о угрозе безопасности

Пользователи заботятся о безопасности своих личных данных, таких как банковские счета, ФИО, номера телефонов, адреса, пароли и т.д., предупреждения браузера о не безопасном шифровании отталкивает их от посещения не безопасных сайтов и тем более об оплате на них.

Веб-мастера, осуществившие перевод сайта с HTTP на HTTPS, получают специальную отметку в различных браузерах — “Защищено”. Позиции таких сайтов в поисковой выдаче Яндекса и Google повышаются, как и доверие пользователей.

Для получения такой отметки необходимо выбрать и установить SSL-сертификат. Они бывают как платные с расширенным функционалом, так и бесплатные, с меньшим функционалом.

HTTPS улучшает SEO

Практически все преимущества HTTPS связаны с SEO :

  • Легкий ранжирующий сигнал;
  • Лучшая безопасность и конфиденциальность;
  • Сохраняет реферальные данные;
  • Позволяет использовать современные протоколы, которые повышают безопасность и скорость сайта.

Какие бывают SSL-сертификаты

SSL (Secure Sockets Layer) — криптографический протокол, который подразумевает более безопасную связь между пользователем и сервером.

Let’s Encrypt — бесплатный, автоматизированный и открытый Центр Сертификации. Он помогает пользователям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Основная цель Let’s Encrypt сделать интернет безопасным, и уважающим конфиденциальность его пользователей.

Типы SSL-сертификатов:

  • DV (Domain Validation) — самый простой и доступный вид, это своеобразный “паспорт сайта”, подтверждающий достоверность доменного имени, шифрующий и защищающий данные при передаче через протокол HTTPS. Получить его можно достаточно оперативно, как организации, так и физическому лицу; 
  • OV (Organization Validation) — доступен юридическим лицам, его наличие позволяет определить принадлежность домена к конкретной организации. Пользователь может узнать больше об организации и ее владельце, нажав на иконку в виде замка, слева от домена. Выпуск этого вида SSL занимает около 3-х дней; 
  • EV (Extended Validation) — фактически схож с Organization Validation. Отличается более детальной проверкой коммерческой деятельности компании. При нажатии на иконку будет отображаться название компании, а выпуск осуществляется в течение 5 дней.

Как перейти на HTTPS

Данная инструкция подходит для большинства популярных CMS, таких как WordPres, MODX, Joomla, Bitrix, OpenCart, ocStore, DLE, PrestaShop. Различия могут быть только в настройках самих CMS, но их ниже разберем.

До настройки сайта нужно выбрать и установить SSL-сертификат. Все последующие действия будут связаны с настройкой сайта, установкой редиректов, исправлением найденных ошибок и добавлении https-версий сайтов в панели Яндекс.Вебмастер и Google Search Console.

А теперь давайте пройдем по основным настройкам.

Внутренние ссылки сайта

Для правильного перехода необходимо изменить внутренние ссылки сайта, заменить их на относительные, а именно убрать доменное имя, чтобы избежать привязки к протоколу. Речь не идет о внешних ссылках ведущие на другие ресурсы, которые могут не поддерживать HTTPS.

Первый вариант: ссылку http://site.ru/nazvaniye-stranitsy/ заменить на страницах на /nazvaniye-stranitsy/.

Второй вариант: ссылку http://site.ru/nazvaniye-stranitsy/ заменить на страницах на //site.ru/nazvaniye-stranitsy/.

Данная замена поможет избежать привязки к протоколу. Первый вариант, для замены ссылок для страниц, более предпочтительный, используйте его по умолчанию.

Конечно, ссылки можно не изменять, и при использовании 301 редиректа в htaccess мы будем переходить по страницам в не зависимости от протокола на нужные нам ссылки, но зачем плодить лишние редиректы.

Скрипты

Адреса скриптов, библиотек и различных кодов также необходимо заменить, для корректной работы. 

Например, рассмотрим библиотеку jQuery:

С HTTP:

<script src="http://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script> 

Нужно заменить на HTTPS:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js"></script>

Медиа-контент

Весь медиа-контент сайта (презентации, видеоматериалы, картинки и прочее) нужно будет проверить и определить какой протокол используется для их отображения. Материалы со сторонних ресурсов могут передаваться через HTTP протокол, без поддержки HTTPS, смена адреса приведет к ошибкам. Со многими современными сервисами, такими как ВКонтакте, Одноклассники, Instagram, Ютуб проблем не возникнет. Современные все сервисы поддерживают HTTPS.

Файл robots.txt 

Поисковым системам Yandex и Google необходимо сообщить о новом адресе, где расположена карта сайта для поисковиков:

Sitemap: https://mysite.ru/sitemap.xml

Важно учесть, чтоб в самой карте сайта все ссылки генерировались с нужным протоколам!

Яндекс Вебмастер

При первом добавлении сайта в Яндекс Вебмастер можно просто указать сайт.

А если сайт уже добавлен, робот определить новую версию протокола автоматически, с помощью 301 редиректа.

Ускорить этот процесс можно добавив “новый” адрес сайта в панель вебмастера. Потом выбрать старый сайт, в панели вебмастера и перейти на вкладку ИндексированиеПереезд сайта и оформить там заявку, выбрав один из типов переезда с одной версии на другую с HTTP на HTTPS.

Переезд сайта в Яндекс Вебмастер
Переезд сайта в Яндекс Вебмастер

В среднем переезд сайта длится около одного — двух месяцев.

Google Search Console

В Google Search Console  нужно добавить новый адрес сайта, новые страницы будут проиндексированы со временем, примерно от двух недель. Данная процедура не повлияет на рейтинг страниц и на снижение PageRank. Ресурс, использующий одновременно две версии протокола HTTP и HTTPS будет определяться, как два разных сайта.

301-редирект с http на https

Чтобы со всех страниц старого протокола http перенаправляло на новый протокол https, осталось прописать 301 редирект в файле htaccess.

Данный редирект поможет поисковым системам Яндекс и Google правильно определить основное зеркало сайта, что избавит от лишних дублей.

Внимание! Перед изменением файла htaccess, необходимо сохранить бэкап исходного файла, чтобы в случае ошибки можно было все вернуть.

Первый вариант:

RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

Второй вариант:

RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

Данные варианты подойдут для сайтов, которые не имеют WWW в адресе сайта.

Если данные варианты не подошли, или возникли какие либо проблемы, или вы не уверенны в правильности ваших действий, то лучше обратиться к службе поддержки хостинга или сервера. Чтобы технический специалист прописал 301 редирект для вашего сайта.

Настройки CMS

Мы подошли к настройкам самих CMS. Основная суть сводится, чтобы выбрать нужную вервию протокола, в нашем случае HTTPS.

После проделанной работы нужно запастись терпением и ожидать изменения адреса сайта в поисковой выдаче.

WordPress

После настройки сертификата SSL необходимо в администраторской панели WordPress НастройкиОбщие указать протокол HTTPS.

Настройки WordPress HTTPS

MODX Revolution

В администраторской панели MODX Revolution нужно перейти в НастройкиСистема и серверТип сервера. В данной строке указываем HTTPS.

Настройки MODX Revolution HTTPS

MODX Evolution

В администраторской панели MODX Evolution переходим в ИнструментыКонфигурацияТип сервера, и выбираем нужный нам параметр.

Настройки MODX Evolution HTTPS

1С-Битрикс

В администраторской панели 1С-Битрикс переходим НастройкиОблако 1С-БитриксУскорение сайтаДополнительно, и ставим галочку, Сайт работает по https.

Настройки 1С-Битрикс HTTPS

Заключение

Процесс перехода сайта на HTTPS крайне важен не только для коммерческих сайтов. Ежегодные траты на сертификат могут окупиться втройне, повышением доверия пользователей и конверсии. Сам процесс перехода может показаться трудоемким и не простым, но, на самом деле, на практике все достаточно просто.

Автор: Павел Крылов

Остались вопросы?
Задавайте через форму обратной связи.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *