Содержание
- Что нужно знать о SSL-сертификатах
- Как подготовить сайт к переходу
- Переход на новый протокол без сильной потери трафика
Количество сайтов с поддержкой HTTPS неуклонно растет. И это не случайно, ведь есть минимум три причины последовать за этим трендом.
- Первая причина для отказа от HTTP: защищенный протокол делает работу с сайтом безопаснее. Использование SSL гарантирует, что посетитель отправляет данные и получает ответ от указанного в адресной строке сайта. Поскольку связь ведется в шифрованном виде, то незаметная модификация или утечка на промежуточных этапах исключается. Для чувствительных данных, таких как сведения о здоровье или платежные реквизиты, это крайне важно.
- Вторая причина: поддержка поисковиками и приоритет в ранжировании.
Например, Google оценивает сайты без HTTPS как менее безопасные, вплоть до перекрытия контента в браузере Chrome экраном «Здесь небезопасно!». Ресурсы с защищенным подключением поднимаются в поисковой выдаче, контент https-версий быстрее индексируется, так что на SEO это оказывает самое положительное влияние. - Но не замедлит ли шифрование работу с сайтом? Наоборот, ускорит, и это третья причина, имя которой – HTTP/2, более совершенный и быстрый протокол. Формально он допускает работу без шифрования. Фактически же все крупные игроки на рынке браузеров (Chrome, Firefox, Opera, Safari и даже IE/Edge) реализовали его только в режиме HTTPS. Но нужно учесть определенные моменты, а еще лучше идти по пошаговой инструкции, чтобы при переходе не лишиться поискового трафика.
Что нужно знать о SSL-сертификатах
Защита соединений базируется на сертификатах, которые подтверждают: да, это действительно тот сайт, который указан в адресной строке. Их выдают доверенные центры, которые осуществляют предварительные проверки. В зависимости от уровня тщательности этих проверок сертификаты делят на три типа:
- DV или подтверждение домена (domain validation) – простой и доступный, как следствие и самый распространенный. Гарантирует минимально приемлемый уровень безопасности;
- OV или подтверждение организации (organization validation) – отвечает за подлинность сведений о компании, владеющей адресом. Его получить сложнее, поскольку выдача сопровождается сверкой информации о государственной регистрации и записей whois. Соответственно, OV дороже;
- EV или расширенное подтверждение (extended validation) – наиболее дорогой сертификат. Помимо условий предыдущего уровня включает контроль торговой марки, адреса компании-заявителя и т.д.
Еще одна классификация опирается на функции:
- SSL-сертификат с поддержкой единственного домена;
- используемый для домена и поддоменов wildcard-сертификат;
- способный защищать несколько ресурсов SAN-сертификат.
Как подготовить сайт к переходу
До того как перейти на HTTPS, нужно подготовить сайт к переезду на новый протокол. Прежде всего, убедиться, что есть полноценный доступ к хостингу, поскольку потребуется вносить изменения в содержимое страниц или переписывать файлы. Кроме того, нужно будет выполнить ряд операций через Google Search Console и в интерфейсе Яндекс Вебмастера для исходного http ресурса. Если все эти условия выполнены, можно устанавливать сертификат и выполнять переезд на защищенный протокол.
Переход на новый протокол без сильной потери трафика
Первая рекомендация касается изменения формата внутренних ссылок. Если они указаны в абсолютном виде, с доменом и протоколом, то следует поменять их на записи в относительном формате. Почти все ресурсы можно встроить в виде «/pictures/main.png» или «//somedomain.com/somelink.html», от видеовставок и картинок до счетчиков и так далее.
Если все же необходимо в явном виде прописать протокол, нужно выбирать https, так как в противном случае страница будет рассматриваться как смешанный контент, и за счет этого будет считаться менее безопасной. Например, для rel=”alternate”/”canonical”, указывающего на вторичную или основную версию страницы, требуется полный путь. При размещении рекламы на ресурсе также рекомендуется указать content=»origin» в referer’е.
Следующий этап очень важен: нужно через инструменты вебмастера проинформировать поисковики о появлении HTTPS версии сайта и настроить соответствующие 301 редиректы. В Вебмастере Яндекса для этого надо добавить новый адрес (формата https://…) и подтвердить права на него, добавить sitemap. При смене домена нужно также проверить нежелательные склейки с другими зеркалами в настройках индексирования, и если есть – «расклеить» их. Потребуется некоторое время, чтобы Яндекс корректно соединил обе версии. На этот период можно сохранять доступность по http.
Что касается вопроса, переводить ли на HTTPS и одновременно на новый адрес или последовательно, мнения расходятся, так как оба варианта имеют плюсы и минусы. При раздельном выполнении можно быстрее исправить ошибки каждого этапа, если они будут, при одновременном переходе может сократиться время, необходимое поисковикам на обработку изменений.
Дальше нужно наладить и в дальнейшем сохранять 301 редирект, чтобы все старые страницы переводили посетителей (и ботов поисковиков) на новые страницы, а неосновные зеркала вели на главное по https. Структуру сайта лучше сохранить, а если не получается – установить перенаправления в пределах домена. Если создается новый robots.txt, то нужно прописать одинаковые правила для доступа к страницам. От использования строки host поисковик отказался, ее вносить не надо.
Отладку нельзя завершать без проверки корректности показа сайта: все картинки, рекламные вставки, видео, прайсы, формы обратной связи, кнопки подачи заявок и другие элементы должны быть на своих местах.
В норме по большинству страниц должен отдаваться 200-й или 301-й код («все ок» и «переехала в другое место и не вернется» соответственно). От 404-х сообщений о не найденной, но существующей странице необходимо избавиться, иначе переезд затянется, а трафик заметно упадет.
Финальный аккорд – запросить переезд сайта в настройках индексирования Яндекса, установив галочку для добавления HTTPS, указать регион (если не установился автоматически) и в Справочнике поправить адрес на https.
Для Google также потребуется произвести добавление https сайта. Помимо этого нужно скормить сервису новую карту сайта и регион, а при помощи Disavow Tool заново загрузить отклоненные ссылки. Перевод по редиректам на https в Гугл рекомендуется выполнять сразу.
Напоследок стоит выполнить контрольную проверку сторонним сервисом, например на https://www.ssllabs.com/ssltest/. Чем ближе результат к «A», тем лучше, плюсы у оценки также идут в зачет. После этого в течение нескольких недель трафик вернется примерно к тому же уровню, а иногда и вырастает.