Переход сайта на https или зачем нужны ssl сертификаты?

20 Февраля 2018

СОДЕРЖАНИЕ

Чуточку истории

Для чего используется https?

Кому нужно переходить на https?

Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?

Теперь о том, как обстоят дела с Яндексом

Теперь коротко про виды SSL-сертификатов

Особенности SSL-сертификатов

Почему не стоит использовать бесплатные сертификаты

Подготовка к переходу на https

Уведомляем поисковые системы Яндекс и Google о переезде

Финальная шлифовка

Что будет, если не переходить на https, а остаться на http?

Все больше «скандалов, интриг и расследований» крутится вокруг темы перехода сайтов с http на https. Мы решили дать подробную информацию о том, что это такое, кому стоит делать переход сайта с http на https в экстренном порядке, кому в мегаэкстренном, а кому это надо было сделать «еще вчера».

переход сайта с http на https

Чуточку истории

Тема про переход сайтов с HTTP на HTTPS затрагивалась Google’ом еще в 2014 году. Тогда они сказали, что «все-таки безопасность передачи данных должна быть приоритетной». Тогда же пообещали повысить ранжирование за использование HTTPS-протоколов. В 2015 году Google объявил, что если сайт доступен и в http и в https версиях, то индексироваться будет последняя. Далее, в 2016 году этим же Google’ом было объявлено, что наличие в адресе https:// вместо http:// уже достаточно для того, чтоб повысить ранжирование сайта, даже если протокол «прикручен» криво и работает с ошибками, т. е. тупо «есть – и ладно». А вот с января 2017 года великое русское «есть – и ладно» уже не работает, но об этом чуть позже.

Для чего используется https?

Https используется для того, чтобы никто не мог «перехватить» передаваемые данные и использовать их в своих злых целях. К таким данным относится абсолютно все, что пользователь вводит на сайте – Ф.И.О., адрес электронной почты, физический адрес для доставки, номер телефона, данные своей банковской карты при оплате заказа (наиболее вкусная информация для мошенников) и т. д. С помощью https-протоколов данные становятся зашифрованы, а потому защищены от перехвата. Как следствие – более высокий уровень доверия к сайту и со стороны поисковых систем, и со стороны пользователей. Если Вы хотели узнать как улучшить поведенческие факторы, тогда это один из способов.

Кому нужно переходить с http на https?

Ответ прост – всем. Всем без исключения. Если сайт является интернет-магазином, где сотни людей ежедневно оплачивают свои покупки с помощью WebMoney, Яндекс.Денег, QIWI, банковской картой и другими способами – то HTTPS у Вас должен быть реализован «еще вчера». Если у Вас просто новостной блог, где народ оставляет комментарии к статьям – переезд на https защитит логины-пароли Ваших читателей от «угона», а также защитит сайт от навешивания всякой ненужной рекламы «на лету» (таким навязыванием рекламы страдает, например, Московский Метрополитен).

Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?

Для начала рассмотрим ситуацию с http-сайтами.

В январе 2017 года Google Chrome (а это, если кто не в курсе, один из самых популярных в России браузеров) изменился (речь о 56 версии), начав помечать красным фоном и словом «ненадежный» http-сайты, где требуется ввод логина-пароля либо каких-то других данных (адрес, платежные реквизиты, и т. д.). Выглядело это - вот так:

И вот тут уже идет психология. Пользователь заходит на сайт, видит «ненадежный», по незнанию ситуации пугается и уходит, принимая сайт за мошеннический! Позже такая пометка немного видоизменилась:

Но факт остается фактом – такие сайты по-прежнему помечаются. И будут помечаться дальше.

Теперь рассмотрим ситуацию с https-сайтами, где протокол реализован не так, как нужно, т. е. работает с ошибками. Если в случае с http-сайтами содержимое сайта хотя бы загружалось, то с криво реализованным https все еще хуже:

Увидев красный замок с крестом, пользователь даже не утруждает себя чтением текста, а просто уходит с сайта, по привычке думая, что сайт просто «отвалился». Разумеется, в следующих версиях браузера данное уведомление тоже видоизменили.

И третий вариант – когда https «прикручен» корректно. В этом случае Хром просто помечает сайт, как «надежный».

И это самое слово «надежный» отображается в адресной строке и в более поздних версиях браузера Google Chrome.

Т. е. Google нам, таким образом, отчетливо дал понять, что http-сайты будут просто задавлены.

Вот Вам и ответ на вопрос «С каких это пор переход на HTTPS стал обязательным?». Правильно – с января 2017 года.

Это коротко о том, как дела обстоят с Google.

Теперь о том, как обстоят дела с Яндексом

Если коротко – Яндекс тоже рекомендует сделать переход сайта на https. Но никаких привилегий за это пока не обещает. Тем не менее Яндекс многие свои сервисы перевел на https, дабы показать их надежность и защищенность SSL сертификатов.

Что касается привилегий – это, скорее всего, временно. Наиболее вероятно, что Яндекс тоже будет поощрять переход с http на https..

Т. е. переезд на https нужен всем: и Вам (чтобы не потерять позиции и защитить данные от перехвата) и пользователям (для которых, собственно, данные и защищаются), правда, они еще не в курсе. Также, некоторые владельцы сайтов бояться переносить свой сайт, так как где-то на форумах читали, что у кого-то после перехода на https упали позиции.

Теперь коротко про виды SSL-сертификатов

Сертификат DV (Domain Validated). Выдается либо бесплатно (опасно), либо приобретается за небольшую сумму. Защищает данные, но не гарантирует, что владельцу сайта можно доверять. Такой сертификат наиболее подойдет сайтам-одностраничникам, блогам, форумам, сайтам-визиткам и т. п. Т. е. оптимальный вариант для сайтов, где требуется ввод, разве что, логина-пароля почты.

Сертификат OV (Organization Validated). Этот сертификат могут получить только юридические лица и индивидуальные предприниматели. При этом неважно коммерческие или нет. Выдается только после соответствующих проверок. Наиболее оптимален для интернет-магазинов и сервисов предоставления услуг.

EV (Extendex Validated). Это самый, можно сказать, элитный (но и самый дорогой) сертификат. В адресной строке будет указано на зеленом фоне наименование организации:

Для получения данного сертификата требуется гораздо более тщательная проверка. Т. е. само наличие данного сертификата дает 100% гарантию того, что сайт действительно принадлежит именно этой организации, и что такая организация действительно существует. Оптимальный вариант для банков, платежных систем, а также для крупных порталов.

Особенности SSL-сертификатов

SSL-сертификаты можно условно разделить на 4 группы:

  • обычные - 1 сертификат = 1 домен
  • WildCard - 1 сертификат = 1 сайт, включая несколько имеющихся поддоменов. Например, есть основной сайт, а у него есть еще мобильная версия на поддомене.
  • с поддержкой IDN – специально для доменов, название которых пишется русскими буквами.
  • мультидоменные – т. е. на несколько сайтов, принадлежащих одной и той же организации.

Ну а технические аспекты (подготовка сайта, сам процесс перехода на https, и т. д.) – это уже совершенно другая история.

Почему не стоит использовать бесплатные сертификаты

Ответ на этот вопрос элементарен: где бывает бесплатный сыр? Правильно – в мышеловке. Во-первых, использование такого сертификата ставит под сомнение защиту передачи данных. Во-вторых, сайт запросто может выдать уведомление:

Что сделает посетитель, увидев такое уведомление? Правильно – уйдет с сайта.

Правильный переход на https без потери позиций

Самое первое, что нужно сделать – это сделать полный бэкап сайта. Если это и не поможет, то как минимум не повредит.

Затем, нужно переделать ВСЕ внутренние ссылки с абсолютных на относительные. Для тех, кто не в курсе:

Абсолютные ссылки:

http://hogwards.academy/absolut-link/

https://hogwards.academy/absolut-link/

Т. е. [протокол]://[домен]/[адрес_документа]/

Относительные же могут содержать либо /[адрес документа]/, либо //[домен]/[адрес_докумета]/:

/absolut-link/

//hogwards.academy/absolut-link/ (для перехода на https это самый предпочтительный вариант).

Объем работ в этом случае напрямую зависит от количества страниц на сайте.

Далее. Пока программист занимается заменой ссылок, необходимо выяснить поддерживает ли Ваш хостер SSL. Если нет – придется менять хостера.

После этого идем в админку хостинг-провайдера и ищем, где располагается кнопка «сделай мне хорошо». Она может называться «Настройки SSL», «Настройки HTTPS», «Перевести сайт на HTTPS», «Установить SSL-сертификат» ну или как-то так. Все что осталось – выбрать нужный SSL-сертификат, нажать «Готово», теперь дело за хостинг-провайдером – он должен выпустить и установить SSL-сертификат. После этого сайт будет переведен на https.Также нужно проверить работоспособность как основных страниц, так и всех форм и кнопок, ведь иногда бывает такое, что сайт после перехода на https не работает.

Итак, сайт теперь у нас доступен в версиях http и https. Но http-версия нам больше не нужна, ее надо убрать. Для этого необходимо настроить редирект с http на https-страницы. Каким образом это делается – напрямую зависит от самого сайта, поэтому тут нельзя дать универсальных рекомендаций.

После настройки редиректа необходимо «погулять» по сайту и протестировать различные страницы как в http, так и в https вариантах. Должен происходить автоматический редирект на https-страницу даже в том случае, если в адресной строке мы пишем http.

Исключение – файлы sitemap.xml и robots.txt – они должны быть доступны по обоим протоколам.

Нелишним будет еще и проверить сайт на сервисе https://www.ssllabs.com/ssltest/.

Все, сайт теперь у нас работает по защищенному https-протоколу. Но и этого мало.

Уведомляем поисковые системы Яндекс и Google о переезде

Идем в Яндекс.Вебмастер выбираем там Ваш сайт, в левой колонке «Настройки индексирования» – «Переезд сайта» – устанавливаем галочку «Добавить HTTPS», «Сохранить». Все – мы уведомили Яндекс о том, что сайт переехал на https. ВАЖНО!!! Переклейка главного адреса может занимать несколько недель!!! Ускорить эту процедуру, к сожалению, невозможно. В течение этого времени сайт в выдаче может адски колбасить. Чтобы минимизировать потери настоятельно рекомендуем сначала провести переезд в панели вебмастера Яндекс, а затем уже ставить редиректы!! Это позволит на 100% сделать перенос сайта на https без потери позиций в Яндекс и Google.

Также специально для Яндекса необходимо исправить файл robots.txt – в строке host добавить https://

Было: Host: hogwards.academy

Стало: Host: https://hogwards.academy

Аналогичную операцию проводим в строке, где указан адрес карты сайта.

И вот теперь с Яндексом всё.

Теперь идем в Google Search Console, где вносим соответствующие изменения в адрес Вашего сайта (т. е. меняем http на https). Но чтобы изменения вступили в силу, нужно повторно подтвердить права на сайт. Останавливаться на этом не будем, т. к. Вы это, скорее всего, ранее уже делали.

Следует также отметить тот факт, что переход на https в WordPress, Joomla, Bitrix (Битрикс), ModX или любой другой CMS делается по такому же принципу. То есть основная работа по настройке SSL сертификатов проводится на хостинге и в сервисах Яндекс Вебмастер, Google Search Console, а движок сайта или Интернет-магазина особой роли не играет. Просто при переходе с http на https в Joomla, WordPress и т.д. необходимо будет в коде движка изменить все ссылки с абсолютных на относительные.

Вот, собственно, и все – переезд сайта на https закончен.

Финальная шлифовка

Все что осталось – найти оставшиеся http-ссылки и заменить их на относительные, а также подправить скрипты, «тянущиеся» с других страниц. Это две основные причины, по которым после перехода на https может выдаваться уведомление «соединение не защищено».То же самое необходимо сделать с «языковыми» ссылками (если сайт мультиязычный).

Вот теперь действительно все. Ждем переиндексации.

Что будет, если не переходить на https, а остаться на http?

Отчасти, мы на этот вопрос уже ответили – потеря позиций, понижение доверия со стороны поисковиков, поведенческие факторы. Но может быть и хуже.

Представьте себе такую ситуацию – человек заходит в кафе, где есть Wi-Fi, открывает ноутбук, заходит на Ваш интернет-магазин (который по каким-то причинам все еще на http), логинится через номер телефона и пароль, добавляет в избранное пару товаров, допивает кофе, закрывает ноутбук, собирается и уходит. Все это время Wi-Fi- траффик сканируется другим человеком за соседним столиком – он из отсканированного трафика выдергивает номер телефона и пароль, за счет чего получает доступ, например, к кошелькам жертвы в платежных системах Qiwi, Rapida и др. Что подумает жертва? Правильно – он решит, что это Вы обеспечили слив его персональных данных, расскажет об этом везде, где можно, а в качестве бонуса еще и заявление в правоохранительные органы напишет. Итог – подрыв репутации (в лучшем случае) Вашего магазина. Именно Вашего магазина, а не кафе, где все и произошло. А теперь представьте, что будет, если жертва еще и оплатит заказ, засветив данные своей банковской карты, а злоумышленник потом эту же карту «обчистит». Переход на https полностью исключает такие ситуации.

Немногие знают, но данные, передаваемые по http, можно не только перехватить, но еще и отредактировать. Поэтому рассмотрим другую ситуацию.

То же самое кафе. Человек смотрит товары в Вашем интернет-магазине, но кто-то перехватил трафик. Перехватчик «на лету» меняет код одного из баннеров Вашего магазина, жертва жмет на этот баннер, переходит на сайт злоумышленника (который является визуальным клоном Вашего сайта) и ловит вирус, который вымогает деньги. Кто будет виноват в глазах жертвы? Правильно, Вы. Итог – снова подрыв репутации. Думаете такого не бывает? Примерно таким способом ранее упоминавшийся Московский Метрополитен и навешивает свои рекламные баннеры на http-сайты. Т. е. Вы заходите в интернет-магазин автозапчастей, а тут опаньки – реклама женских прокладок.

Ну и третий «бонус». Разработчики браузера Mozilla FireFox заявили, что через пару лет вообще уберут поддержку http. Т.е. http-сайты в браузере FireFox просто перестанут работать. Тревожный звоночек, правда? Вот и не тяните с переходом.

Подпишитесь на обновления
Лучшей оценкой нашего труда является ваша подписка на новые публикации. Мы очень постараемся быть интересными и обещаем не спамить.
 

Комментарии к статье
Злорадствующий Диванный Комментатор 21.02.2018
То чувство, когда прочитал рекомендацию об обязательном переходе на https, на сайте, где отсутствует этот самый протокол. Шкала гениальности показывает: 10/10 Хорошая статья. Спасибо!
Удивленная админка 27.02.2018
Троллинг засчитан, спасибо :)
seoonly.ru 21.02.2018
без перехода на относительные никак?
Удивленная админка 27.02.2018
Вам, как профи, конечно можно без перехода. Но начинающим все же лучше переезжать на относительных :)

(0)
РАССЫЛКА

Популярные статьи
Мы в соц сетях
Читайте также