Как перевести сайт на HTTPS протокол без потери трафика и позиций?

Что такое HTTPS

Все сайты по умолчанию начинают свой путь с HTTP-протокола передачи данных в интернете. Он предполагает использование технологии «клиент-сервер», которая работает следующим образом: клиент инициирует соединение и отправляет запрос серверу, который ожидает соединения для получения запроса, выполняет определенные действия и отправляет обратно сообщение с результатом.

Во время передачи данных по HTTP устанавливается незащищенное соединение, из-за чего злоумышленники могут легко перехватить запросы: например, получить пароль пользователя, увидеть данные банковской карты и многое другое.

На смену HTTP пришел HTTPS — особое расширение протокола, которое включает настройки шифрования. Благодаря этому все платежи, покупки, пароли и прочие данные защищаются, и добраться до них злоумышленнику практически невозможно. Также этот интернет-протокол позволяет повысить доверие пользователей, разместить рекламные баннеры в Google AdWords, получить приоритетное ранжирование в поисковых системах и прочее.

HTTPS-протокол

Использование HTTPS сопровождается получением специального SSL-сертификата. Сертификаты разделяются на три вида:

1. Domain Validation — требуется для подтверждения домена. Единственный сертификат, не требующий никаких документов для проверки. Получить его можно примерно через 10 минут после оплаты. Отлично подходит для небольших лендингов и сайтов-визиток.
2. Organization Validation — требует подтверждения домена и организации. Получить подобный сертификат можно лишь после проверки документов компании и телефонного звонка. Является более надежным и значимым: подтверждение организации повышает доверие клиентов. Рекомендуется использовать для сайтов крупных брендов, юридических компаний, интернет-магазинов.
3. Extended Validation — аналогичен предыдущему, но предполагает расширенную проверку. Как правило, используется банками, крупными финансовыми организациями и т.п.

Каждый из вышеупомянутых сертификатов обеспечивает шифрование трафика между сайтом и браузером.

Также для SSL-сертификата во время заказа можно выбрать поддержку Wildcard — это позволит вам защитить не только домен, но и поддомены. Дополнительно с сертификатом можно установить печать доверия SiteSeal, кликнув на которую пользователь сможет посмотреть данные об организации.

Чем HTTPS отличается

Главное отличие заключается в том, что HTTPS перед передачей транспортным протоколом шифрует данные с помощью криптографических протоколов SSL и TLS.

Протокол SSL (Secure Sockets Layer) необходим для защиты данных — он гарантирует безопасное соединение браузера пользователя и сервера. Для него нужна установка SSL-сертификата.

А TLS (Transport Layer Security ‒ безопасность на транспортном уровне) обеспечивает информации три уровня защиты:

1. Шифрование. Данные шифруются, чтобы злоумышленники не смогли узнать, какую именно информацию передают посетители, а также перехватить ее.
2. Сохранность. Все намеренные или ненамеренные изменения данных фиксируются.
3. Аутентификация. Пользователи перейдут именно на тот сайт, который им нужен, и будут защищены от возможной атаки посредника.

Зачем нужен HTTPS-протокол

Переход на HTTPS рекомендуется, поскольку это даст преимущества перед HTTP:

1. Мошенники не смогут получить доступ к данным, которые передаются через сайт.
2. Google Chrome помечает сайты на HTTP как небезопасные, следовательно, их репутация ниже.
3. Пользователи больше доверяют безопасным сайтам.
4. В 2018 HTTPS стал стандартом.
5. В перечне факторов ранжирования есть наличие HTTPS.

Обязательно переходить на HTTPS необходимо в первую очередь сайтам, на которых вводятся личные данные: платежные реквизиты, регистрационные данные и так далее. Это необходимо, чтобы обезопасить данные пользователей от перехвата мошенниками.

HTTPS делает пользование сайтом более безопасным и существенно влияет на ранжирование, к тому же все ресурсы постепенно переходят на этот протокол, а поисковые системы это активно поощряют. Значит, пора переводить и свой сайт, если это еще не сделано.

Недостатки переноса

Как и при любом серьезном изменении, настройка соединения с шифрованием предполагает временные и финансовые затраты на покупку SSL-сертификата. Чтобы не совершать грубых технических ошибок во время настройки, необходимы знания и опыт либо сильное желание разобраться во всех тонкостях.

Непродолжительное проседание позиций в поисковых системах — явление нормальное, как и кратковременная потеря доли трафика. Помимо этого, существует вероятность замедления сайта или даже полное удаление публикуемых в плагинах отзывов. Все это придется исправлять в индивидуальном порядке.

Однако главная сложность для вебмастера — непосредственно снижение посещаемости примерно на 20%. Однако эту проблему можно свести на нет.

Пошаговая инструкция по переезду

Чтобы сайт исправно функционировал, важно провести подготовительную работу, а также внести изменения после перевода на шифрованный протокол. Перед владельцем ресурса стоят две главные задачи:

1. Проверить, чтобы изображения, таблицы стилей и скрипты подгружались по HTTPS (в ином случае браузер не будет выдавать защищенный значок зеленого цвета в адресной строке).
2. Настроить переадресацию, чтобы читатели пользовались только безопасным соединением.

В случае некорректного перехода на HTTPS могут возникнуть битые ссылки, смешанное содержимое mixed content и дубли страниц, если 301 редирект поставлен не везде, где это требуется.

Совет! Перед тем, как устанавливать HTTPS и что-либо менять в проекте, обязательно следует создать резервную копию базы данных и файлов.

Для начала необходимо выбрать время перехода. Переход на новый протокол может обрушить позиции сайта в выдаче на определенное время, поэтому лучше не переводить сайт на HTTPS в период, когда им активнее всего пользуются. Лучше пусть это будет, когда у сайта «не сезон» и он пользуется минимальным для него спросом.

Подготовка

Если сайт заранее не подготовить, вполне вероятно, что возникнут технические проблемы или время всей операции затянется.

Лучше заложить на подготовку срок с запасом, потому что на эти преобразования может уйти немало времени, особенно если у вас большой сайт.

Проверка поддержки SSL хостингом

Многие хостеры дают возможность быстро добавить полученный сертификат с помощью панели управления. Если не получается справиться своими силами, лучше написать в саппорт или нанять на некоторое время хорошего программиста — он все сделает должным образом.

Нынешний провайдер не поддерживает SSL? Тогда, увы, придется искать другой вариант.

Необходимо учесть: смена хостинга и переход сайта на HTTPS предполагают перенаправление старого IP-адреса на новый.

Смена внутренних ссылок

Если на странице, загруженной через соединение с шифрованием, есть ссылки на доступные по HTTP проекты, браузер будет уведомлять юзеров об ухудшении защиты.

Чтобы избежать проблемы разных протоколов, следует прописать полные ссылки вместо относительных.

Линки вне зависимости от доменного имени. Приведем пример:

• https://site.ru/content/ — абсолютная;
• /content/ — относительная.

Виды ссылок вне зависимости от протокола:

• https://site.ru/content/ — полная;
• //site.ru/content/ — относительная.

Владельцу ресурса лучше выбирать последний вариант — тогда название протокола исключается. Конечно, речь идет именно о внутренних линках — внешние исправлять не нужно.

Несмотря на возможность проводить подобные изменения непосредственно в базе данных (SQL), лучше это сделать при помощи плагинов. Для WordPress это Velvet Blues Update URLs, Let Encrypt или HTTP / HTTPS Remover.

Плагин HTTP / HTTPS Remover позволит избежать возникновения ошибок типа “mixed content” в консоли браузера

Исправление медиа-контента

Подготовка к смене протокола предполагает еще и работу с презентациями, видео и картинками — они должны открываться по защищенному соединению. Все адреса также нужно перевести в относительные.

При загрузке файлов с внешних сайтов нужно убедиться, что они поддерживают HTTPS — в ином случае от сотрудничества лучше отказаться. YouTube, виджеты Facebook и VK, а также другие сервисы, которые разрешают использовать свой контент, давно работают на расширенном протоколе. Поэтому с нахождением подходящих изображений и видеофайлов проблем не будет.

Исправление URL во внешних скриптах

Проверьте и в случае необходимости откорректируйте урлы (измените абсолютные на относительные) во внешних скриптах.

Это касается непопулярных сервисов, а востребованные инструменты функционируют по HTTPS. К ним относятся Google Analytics, Яндекс.Директ и Яндекс.Метрика, LiveInternet и разные JavaScript библиотеки.

Важно! Нередко новичкам рекомендуют применять технологию HSTS — тогда браузер станет запрашивать HTTPS-страницы, даже если пользователь введет в строке HTTP. Чтобы воспользоваться такой функцией, нужно найти веб-сервер с ее поддержкой. Однако учтите: включение HSTS будет усложнять процедуру отката.

Активация

Следующий этап переноса сайта на защищенный протокол — активация SSL-сертификата. После покупки сертификат появится в списке услуг в Личном кабинете.

Активация зависит от вида сертификата:

1. Как правило, сертификаты AlphaSSL или DomainSSL активируются автоматически.
2. Если вы приобрели сертификаты OrganizationSSL или ExtendedSSL, придется подождать от 3 до 7 дней. Когда Центр сертификации проверит сведения о вашей организации, сертификат будет активирован. При этом он может дополнительно запросить документы об организации.

Установка

После покупки у вас должен быть файл сертификата, файл ключа, а также два файла цепочки сертификатов. Необходимо:

1. Войти в личный кабинет хостинга вашего сайта.
2. Найти раздел SSL.
3. Загрузить эти файлы в соответствующие поля.

Отметим, что на сайтах, где можно купить файл, в большинстве случаев есть подробная инструкция, как установить SSL-сертификат. Всегда очень важно ее читать.

1. Проверьте, доступен ли сайт по по HTTP-протоколу и по HTTPS. Он должен быть доступен по обоим.
2. Проверьте правильность установки сертификата на сайте: страницы сайта корректно открываются по URL с учётом нового протокола, а конфигурация SSL корректно установлена. Проверить правильность конфигурации SSL-сертификата можно на сервисе PR-CY: вставьте адрес сайта в строку и нажмите проверку. Если установка прошла корректно, появится примерно это:

Результаты проверки SSL

Кроме этого, достаточно качественно можно проверить настройку с помощью Ssllabs. Этот сервис проведет анализ конфигурации SSL. Вводите адрес сайта и запустите проверку. Если все в порядке, появится такой результат:

Проверка с помощью Ssllabs

Вручную делать ничего не придется. Если сервисы покажут некорректную настройку, они укажут, какие существуют проблемы, и дадут рекомендации по их устранению.

Также стоит проверить отображение сайта через разные браузеры, а также на мобильных устройствах на разных операционных системах.

SSL-сертификат установлен, но останавливаться на этом рано – необходимо провести еще некоторые манипуляции в коде сайта и его настройках.

Плагины в WordPress

Внутри сайта может быть много ссылок, которые работают по протоколу HTTP. Если вы используете WordPress, то менять протокол можно с помощью плагина. В WordPress есть несколько плагинов с подобной функцией. Рассмотрим наиболее популярные — Search Regex и Easy HTTPS Redirection.

Easy HTTPS Redirection

1. Установите и активируйте Easy HTTPS Redirection.
2. Перейдите в Настройки — Easy HTTPS Redirection.
3. Отметьте галочку в строке «Enable automatic redirection to the «HTTPS».
4. В графе «Apply HTTPS redirection on» выберите «The whole domain».
5. Поставьте галочку напротив «Force resources to use HTTPS URL».
6. Нажмите «Сохранить изменения».
7. Готово — теперь все файлы вашего сайта будут работать по протоколу HTTPS.

Это бесплатный сервис.

Плагин Easy HTTPS Redirection

Search Regex

1. Установите и активируйте Search Regex.
2. Зайдите в рубрику Инструменты ― Search Regex.
3. В строку Search введите старый URL с http://. В строку Replace введите новый URL с https://. В строке Source выберите те виды файлов, которые следует проверить. Нажмите кнопку Search.
4. Готово — плагин даст полный список файлов, которые необходимо изменить.

Проверка доступности сайта

Когда вы установите цифровой сертификат, стоит удостовериться, что ресурс доступен по адресу с http:// и https://. При выявлении проблемы сразу нужно найти и устранить ее причину.

Если вы увидели в желтом треугольнике надпись с восклицательным знаком, значит, на сайте присутствует смешанный контент, то есть ссылки в тексте и на медиафайлы с HTTP. В таком случае можно попробовать исправить ситуацию самостоятельно (путем изменения ссылок с абсолютных в относительные). Можно обратиться за помощью к провайдеру, который предоставляет SSL-сертификат.

Настройка редиректа

Есть два способа: при изменении адреса можно установить перенаправление с помощью файла дополнительной конфигурации .htaccess, 301 редирект или директивы HOST.

Если вы отдали предпочтение первому варианту, нужно открыть файл дополнительной конфигурации .htaccess любым текстовым редактором и добавить в него код в следующем формате:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

При установке серверного перенаправления важна четкая последовательность действий, кроме этого, следует проверить работоспособность ресурса после настройки. Возьмите на вооружение информацию: переезд происходит не сразу, в некоторых случаях придется ждать несколько недель. Есть вероятность выпадения страниц из индекса и обнуления ТИЦа с дальнейшим восстановлением после склейки зеркал.

Чтобы не терять драгоценное время, стоит использовать директиву HOST в файле robots.txt. Внесите в этот документ из корневой папки следующую строку:

host: https://имя вашего сайта

Не забудьте обозначить основное зеркало с безаварийным протоколом в инструменте вебмастера.

Cайт без HTTPS ранжируется намного хуже в поисковых системах, в отличие от сайтов, которые используют защищенное соединение. Пользователи больше доверяют сайтам с HTTPS, что позволит увеличить посещаемость веб-ресурса.

Оповещение поисковых систем

Если сайт индексируется Google, Яндекс и другими поисковиками, то после перехода на HTTPS следует им об этом сообщить. В частности, нужно:

1. Изменить все теги «rel=canonical» в HTML-коде. Они должны указывать на ссылки с защищенным протоколом.
2. В файлы robots.txt и sitemap .xml нужно добавить страницы с HTTPS.
3. Проверить корректность данных в Яндекс.Метрика и Google Search Console.
4. Проверить отображение и доступность вашего сайта через поисковик.

Обратите внимание, что переезд на HTTPS и смена зеркал сайта может занять 2-4 недели!

Если до установки SSL вы пользовались Яндекс Вебмастером или Google Search Console, то стоит оповестить поисковые системы о переходе на HTTPS по одной из инструкций ниже.

1. Авторизуйтесь в Яндекс.Вебмастере.
2. Добавьте новую версию сайта с HTTPS в Яндекс Вебмастер.

1. Затем выполните переезд сайта на HTTPS. Зайдите в старое зеркало сайта. В разделе «Индексирование» ― «Переезд сайта» поставьте галочку «Добавить HTTPS». Нажмите «Сохранить». Из-за переезда первые несколько недель могут наблюдаться колебания позиций в поисковой выдаче.
2. Как только заявка будет принята, в системе появится уведомление. Если вы подписаны на email-рассылку, Яндекс пришлет уведомление о склейке зеркал. Теперь основным зеркалом станет версия HTTPS.
3. Добавьте новую карту сайта.

Переезд на https в Яндекс.Вебмастер

С Google Analytics все просто:

1. Необходимо изменить протокол в строке URL по умолчанию (Аккаунт / Ресурс / Настройки ресурса).
2. Также нужно изменить протокол в строке URL веб-сайта в настройках представлений.

Сам код Google аналитики и Яндекс.Метрики в таком случае переустанавливать не требуется!

Переезд в Search Console

Проверка rel=«canonical»

Этот тег помогает исключить дубликаты, а еще он отвечает за правильную концентрацию ссылочного веса. Атрибут создается одинаково для каждой CMS: в коде страницы (блок HEAD).

При его использовании проследите за тем, чтобы канонический адрес был с указанием защищенного соединения. Если страницы останутся с HTTP, это способно существенно навредить ресурсу.

Проверка rel=«alternate»

Представленный тег позволяет улучшить ранжирование путем оповещения поисковых систем о мультиязычности сайта. Важная задача — проверить, чтобы ссылки на языковые версии поддерживали HTTPS.

Заключительная проверка

В конце следует тщательно изучить каждую переиндексацию, просканировав сайт спайдером (к примеру, поможет Screaming Frog SEO Spider — об этой программе вы можете прочитать в другой статье). Данный сервис платный, но его цена оправдывает качество и обилие функций. Цена подписки в $ на месяц указана на сайте.

Полезно дополнительно проверить внутренние ссылки, редиректы, канонические и альтернативные линки. Все найденные ошибки должны быть исправлены в кратчайшие сроки.

После переноса сайта на HTTPS стоит проверить, доступен ли сайт по защищённому протоколу SSL. Введите в браузере URL-адрес вашего сайта вида https://example.ru. Если страница загрузится и в адресной строке браузера автоматически появится замочек, значит, сайт стал доступен по HTTPS. Таким образом проверьте и другие страницы сайта.

Проверить правильность установки SSL-сертификата можно с помощью сервиса sslshopper.com после регистрации. Если результат положительный, вы осуществили переезд сайта на HTTPS успешно.

Готово! Вы настроили для сайта переход с HTTP на HTTPS. С помощью этой подробной инструкции можно перевести на HTTPS абсолютно любой сайт — свой или клиента.