О HTTPS, преимуществах и недостатках, а также особенностях миграции на него, в последние месяцы было написано много. Просто, вопрос безопасности перестал быть чем-то из разряда дополнительных бонусов, а становится одним из основных вызовов для ключевых игроков онлайн-рынка.

Несмотря на многочисленные преимущества перехода на HTTPS, многие оптимизаторы и владельцы сайтов пока еще этого не сделали, по самым разным причинам. Кто-то опасается просадки трафика и прочих подобных проблем, кому-то не хватает технических навыков, а кто-то просто решил тянуть до последнего, считая, что в этом пока нет необходимости.

Почему стоит переводить сайт с HTTP на HTTPS? Так ли это необходимо всем сайтам? В чем плюсы и минусы такого шага, и можно ли это сделать самостоятельно? В данном посте я дам ответы не только на эти, но и на ряд других важных вопросов.

Кратко о HTTPS, и зачем он нужен

HTTPS (HyperText Transfer Protocol Secure) является модификацией стандартного протокола приема и передачи информации в Интернете — HTTP (Hypertext Transfer Protocol). Основное отличие между ними, кроется в приставке «Secure», что значит «защищенный».

Он был создан специально для передачи личной информации и платежных данных, например, обеспечения безопасности транзакций на ecommerce-сайтах, передачи номеров/кодов доступа банковских карт через платежные шлюзы и т. д.

Данные, передаваемые с помощью HTTPS, шифруются. То есть, в процессе взаимодействия с сайтом, пользователь может быть уверен, что информация о его деятельности и другие конфиденциальные данные, защищены от отслеживания со стороны. Также, обеспечивается их целостность, то есть, их нельзя будет изменить или повредить во время передачи.

Информация, которая передается от сервера и к нему, шифруется перед отправкой, и расшифровывается при получении.

Кому это необходимо в первую очередь?

Google утверждает, что всем. И еще в августе 2014 года в компании заявили, что безопасность пользователей является для них главным приоритетом, а сайты, использующие https-протокол, получат дополнительный бонус при ранжировании.

Однако, совершенно понятно, что многие владельцы сайтов об этом даже не слышали, и вряд ли владелец небольшого уютного бложика, будет особо обеспокоен решением этой задачи.

А вот ресурсам, при взаимодействии с которыми предусматривается передача личных данных, позаботиться о миграции нужно уже сейчас. Это такие типы веб-проектов как:

• банки и платежные системы;
• интернет-магазины;
• различные онлайн-сервисы;
• другие сайты, использующие функционал личного кабинета пользователя.

Блоги, разного вида контент-проекты и другие информационные ресурсы, пока могут подождать с миграцией. Но, стоит отметить, что многие эксперты назвали повсеместный переход сайтов на безопасный протокол, одним из трендов SEO 2017 года.

Немного о сертификатах

Обмен информацией между клиентом и сервером, при использовании HTTPS-соединения, основан на использовании SSL-сертификатов. Это своего рода уникальная цифровая подпись, используемая для проверки соединения.

В зависимости от типа проверки, они бывают нескольких видов:

• с проверкой домена;
• с проверкой организации;
• с расширенной проверкой организации.

Сертификат первого типа самый доступный, он выдается как компаниям, так и физическим лицам, и получить его можно буквально за несколько минут, и даже бесплатно.

Сертификат второго типа доступен только ИП и юридическим лицам, а также, разного вида организациям. А самым дорогим вариантом, предусматривающим расширенную проверку организации, является именно сертификат третьего типа. Пример:

Для информационных сайтов и интернет-магазинов, вполне хватает SSL-сертификата с проверкой домена. Другие могут быть недешевым удовольствием, особенно, если вы ведете блог «для души»:

Кстати, получить его можно и бесплатно, если воспользоваться предложением от Let’s Encrypt — некоммерческой организации, предоставляющей бесплатные криптографические сертификаты в автоматизированном режиме. Учитывая, что спонсорами инициативы являются такие известные компании как Mozilla, Cisco и другие, возможных проблем можно не опасаться.

А вот в ряде случаев, вполне реальны «сюрпризы». Например, в последних числах января появилась новость, что Google Chrome перестал доверять сайтам, которые используют бесплатные сертификаты от WoSign и StartCom. Так что лучше все-таки воспользоваться проверенным вариантом, и не экспериментировать со своим же проектом.

Преимущества перехода на HTTPS

Кроме возможности спать спокойно, не опасаясь, что Google Chrome или другой браузер однажды выдаст посетителям полноэкранное сообщение, что ваш сайт небезопасен, миграция на HTTPS дает ряд других дополнительных преимуществ:

• Бонус при ранжировании. Даже если сейчас он незначительный, никто не даст гарантий, что роль данного фактора не будет увеличиваться в будущем. Так что это будет ставкой на правильную ячейку, с точки зрения долгосрочной стратегии в SEO;
• Безопасность и конфиденциальность. Передача данных шифруется, что минимизирует возможность их перехвата третьими лицами. Да и зеленый замочек в строке возле адреса сайта, приятно видеть как его посетителям, так и самому владельцу;
• Доверие пользователей. Перекликается с предыдущим пунктом, ведь совершенно понятно, что надпись «Надежный» вызывает куда больше доверия, чем значок, который предупреждает, что подключение не защищено. Пока это еще не тренд, но, вполне возможно, что в будущем люди будут более склонны доверять и делать покупки на тех сайтах, которые используют HTTPS.

Сайт без защиты соединения

Сайт, обозначенный как «надежный»

В придачу к возможности идти в ногу со временем, это довольно-таки неплохой список бонусов.

Возможные риски

Если бы все и всегда проходило как по маслу, проблем с распространением HTTPS среди широких слоев населения, не было бы вообще. Однако, миграция несет в себе некоторые риски, что в ряде случаев может привести к негативным последствиям.

Спешу заметить, что возможные проблемы связаны не с самим фактором смены протокола — здесь фактически речь идет о легкой тряске, потом все становится ОК — а с неправильной реализацией процесса перехода со стороны вебмастера.

Основные возможные проблемы следующие:

• появление большого количества битых ссылок, из-за того, что внутренняя перелинковка делалась на http-адреса;
• появление ошибки «mixed content» (смешанное содержимое), в случае, если изображения или ряд других элементов страницы продолжают загружаться по http;
• 301-редирект проставлен не со всех старых страниц на новые, из-за чего теряется «вес», а в выдаче появляются дубли;
• браузер может перестать доверять некоторым бесплатным сертификатам, о чем я уже писал в начале этой статьи. Поэтому, рекомендуется использовать именно проверенных поставщиков.

Если придерживаться рекомендаций, и выполнить необходимые работы на каждом этапе в процессе перехода, всех этих рисков можно избежать, и никаких проблем не будет.

Краткая инструкция по переходу на HTTPS

Можно воспользоваться услугами специалиста, а можно сделать все самому. Вариант выбирайте уже исходя из собственных знаний и навыков. В большинстве случаев все можно сделать самостоятельно, особенно, если сайт работает на какой-нибудь распространенной CMS.

Шаг 1. Первым делом нам нужно получить и установить сам сертификат. Если делать все вручную, это будет долго и муторно, поэтому, рекомендую воспользоваться возможностями хостинга. Большинство провайдеров уже реализовали у себя эту функцию. Например, вот как это выглядит в админке одного из хостеров:

Покажу на примере популярного в Рунете Beget.ru. После авторизации в админпанели, перейдите на вкладку «Домены», и возле адреса нужного сайта, нажмите кнопку «SSL»:

Теперь можно приступить к заказу сертификата. Выбираем, конечно же, любимый нами, и совершенно бесплатный Let’s Encrypt, и жмем на кнопочку «Установить»:

Теперь осталось подождать некоторое время, обычно несколько часов, пока сертификат будет установлен. Когда это случится, вам придет соответствующее уведомление по почте:

Шаг 2. Теперь у вас должны быть доступны два сайта — HTTPS и старый вариант с HTTP. Вносим изменение в файл robots.txt — указываем в директиве Host, что главным зеркалом является версия с https:

Проверяем, указаны ли в качестве канонических адресов в rel=»canonical» версии страниц с https, а также, смотрим на предмет соответствия аналогичному пункту, ссылки в карте сайта sitemap.xml

Шаг 3. Меняем адреса внутренних ссылок. Это нужно чтобы избежать появления битых ссылок и уведомления о смешанном контенте. Сделать это можно путем глобальной замены всех адресов с http на https через базу данных, либо путем изменения абсолютных адресов внутренних ссылок на относительные.

Если ваш сайт работает под управлением WordPress, задача решается за пару минут, путем установки и активации специального плагина «HTTP/HTTPS Remover».

Шаг 4. Теперь нам нужно уведомить поиск о нашем переезде через панели вебмастеров. В случае с Google, просто добавляем наш ресурс как новый сайт, указав при этом протокол https, и подтверждаем права. После того как Google обнаружит, что наш сайт доступен по https, он довольно оперативно отреагирует, и начнет заменять старые адреса страниц в выдаче новыми.

В случае с Яндексом, потребуются дополнительные указания. В панеле вебмастера перейдите в раздел «Индексирование», и выберите пункт «Переезд сайта». Затем, отметьте галочку «Добавить HTTPS» под адресом домена, и нажмите кнопку сохранения:

Появится уведомление о том, что запрос принят, и изменение результатов выдачи, может занять некоторое время. Переклейка, то есть, время, в течение которого страницы с http выпадают из индекса, а вместо них появляются адреса с https, обычно занимает несколько недель.

Шаг 5. Настраиваем редиректы. Удобнее всего делать это при помощи добавления специальных директив в файл .htacess. Находится он в корне сайта, и вам нужно добавить туда всего несколько строчек:

Теперь, при запросе любой страницы или файла по старому адресу, будет открываться URL с https. Убедитесь, что все типы страниц и другие файлы, доступны по https. Кстати, чтобы упростить проверку, для большого сайта можно запустить сканирование через Screaming Frog или другую подобную программу.

Подводя итоги

Google и Co продолжают ползущее наступление на вебмастеров, которые все еще не спешат распрощаться со старым-добрым http. Еще в сентябре 2016 года компания объявила о своих планах показывать предупреждение пользователям Chrome при посещении ими сайтов без SSL-сертификатов.

Вскоре, в Chrome появились соответствующие метки. И если сейчас они не так уж и сильно привлекают внимание, то вскоре, их обещают сделать куда более заметными:

И всё бы ничего, вот только речь идет о самом популярном браузере на рынке. К тому же, об аналогичных планах помечать http-сайты, заявили разработчики Firefox. А значит, будет еще веселее.

Если чуть поднапрячься с апокалиптическими фантазиями, то и вовсе можно смоделировать ситуацию, когда при попытке перейти на сайт, работающий по незащищенному протоколу, будет появляться заглушка с предупреждением об опасности, как это сейчас бывает с зараженными ресурсами.

Но это я уже гиперболизирую, и вряд ли до подобного дойдет. А вот владельцам интернет-магазинов и прочих подобных проектов стоит все же задуматься. Ведь учитывая тот факт, что сертификат можно получить бесплатно, а сам процесс миграции не такой уж и сложен, вполне стоит задуматься над тем, что рано или поздно все равно придется сделать.

Большинство проблем при смене протокола вызваны неправильной реализацией процесса перехода, ошибками или недоработками. И если следовать проверенным инструкциям, никаких проблем быть не должно.

«Повсеместный переход на https неминуем? — спрашивает автор статьи Илья (seoinsoul.ru). — Я бы сказал, что скорее да, чем нет. А вы что думаете по этому поводу?