Toderelt.ru

ПК Журнал ТодерельТ
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как перевести сайт на HTTPS

Как перевести сайт на HTTPS

Перевод сайтов на HTTPS, наверное, сегодня самая актуальная тема для многих владельцев сайтов, веб-студий и агентств интернет-маркетинга.

HTTPS – это безопасный расширенный протокол HTTP с ключом шифрования для передачи данных или гипертекста (веб-страницы – документы HTML). То есть HTTPS это не отдельный протокол. Это всем нам уже привычный http, просто работает он через шифрованные механизмы SSL и TLS.

Первые предпосылки того, что переход на HTTPS скоро станет обязательным, появились еще в 2014 году, когда Google сообщил о том, что приоритетной задачей для компании является безопасность личных данных пользователей. Тогда, согласно заявлению, сайтам, обеспечивающим защиту передачи конфиденциальных данных своих пользователей (а именно, работа через протокол https), Google обещал ряд преимуществ при ранжировании.

Сегодня же, в начале 2017 года, владельцы веб-ресурсов начали получать от поисковой системы Google официальные предупреждения о необходимости перевода всех сайтов, которые собирают персональные данные посетителей (пароли, номера карт, телефонов, адреса почт), на HTTPS.

Сайты, незащищенные протоколом HTTPS, с января 2017 года будут помечаться в браузере Chrome 56 как ненадежные и небезопасные для пользователей.

Они будут выглядеть вот так.

Перевод WordPress-сайта с HTTP на HTTPS

Чтобы перевести ресурса на HTTPS, сначала получите SSL-сертификат для домена, установите его на сервере и измените ссылки сайта с http на https.

Чтобы следовать этому руководству, убедитесь, что на вашем виртуальном хостинге активированы SSL / TLS. Для этого войдите в cPanel, и найдите пункт «Менеджер SSL/TLS» в разделе «Безопасность».

Получение SSL- сертификата

Существуют различные виды SSL-сертификатов. По степени надежности их делят на три основных группы:

  • Проверка на уровне домена является наиболее простым типом SSL и самым дешевым. Эти сертификаты обеспечивают базовое шифрование, выдаются быстро и используют простую проверку для подтверждения владения доменом.
  • SSL- сертификаты для организации включают в себя проверку подлинности компании или организации на основе домена. Это обеспечивает более высокий уровень безопасности.
  • Расширенная проверка является наиболее сложным типом SSL- сертификатов. Регистратор проводит углубленную проверку вашего бизнеса перед выдачей сертификата. Этот тип SSL обеспечивает максимальную степень безопасности и доверия пользователей.

Есть много компаний, продающих SSL-сертификаты онлайн: SSLs.com , Media Temple , GoDaddy , Comodo и Namecheap .

Как активировать SSL-сертификат

Первым шагом в процессе активации SSL-сертификата должно стать получение CSR-кода от хостера. Для этого:

    Войдите в аккаунт cPanel и перейдите к «Менеджеру SSL / TLS».

  1. Заполните форму для домена, для которого нужно создать SSL, и нажмите кнопку «Сгенерировать».

  1. После этого должен быть сгенерирован Encoded CSR для вашего домена.

  1. Перейдите на сайт поставщика SSL-сертификата, чтобы начать его активацию. Введите код CSR в соответствующем поле, выберите веб-сервер, на котором работает ваш хостинг, и нажмите кнопку «Далее».

  1. Вам будет предложено ввести информацию о своем CSR-коде, а также адрес электронной почты для подтверждения.

7. Укажите личные контактные данные. Вам будет отправлено электронное письмо с подтверждением. Следуйте инструкциям для подтверждения владения доменом.

После завершения проверки SSL-сертификат будет выпущен и отправлен на вашу электронную почту.

Выданный SSL-сертификат установите на сервере. Вашей учетной записи cPanel должен быть назначен выделенный IP-адрес.

Большинство хостингов, использующих cPanel поддерживают индикацию имени сервера (SNI) — расширение протокола TLS, которое позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и порте. То есть, использовать соединение на основе HTTPS для нескольких сайтов.

Поскольку хостинг, который я использую для моего блога на WordPress, поддерживает SNI, я решил выбрать его вместо покупки выделенного IP-адреса.

Чтобы установить SSL-сертификат, следуйте приведенным ниже инструкциям:

  1. В «Менеджере SSL/TLS» cPanel перейдите по ссылке в разделе « Сертификаты (CRT) «.

  1. Загрузите файл сертификата (с расширением .crt).

  1. Активируйте SSL-сертификат для своего сайта. Нажмите на ссылку в разделе « Установка и управление SSL для вашего сайта (HTTPS) « .

  1. Выберите домен из выпадающего списка, нажмите «Автозаполнение для домена», а затем кнопку «Установить сертификат».

Как получить сертификата SSL

Сначала нужно проверить, есть ли необходимость в действиях. Многие веб-мастера не знают, что их веб-сайт уже использует HTTPS. Это довольно просто проверить: просто введите полный адрес сайта в адресной строке браузера, «https: //» перед доменом. Если страница появляется, то все в порядке. Если нет, браузер отобразит предупреждающее сообщение.

SSL-сертификаты уже включены в качестве дополнительных услуг в предложениях многочисленных хостинг-провайдеров. Бесплатные сертификаты также можно получить через провайдеров, включая Let’s Encrypt . После настройки сертификата на сервере нужно только настроить последующие передачи. Это гарантирует, что пользователь автоматически получит доступ к версии HTTPS при вызове версии HTTP. В последующем тестовом прогоне эти формы и загружаемые файлы еще раз проверяются на функциональность. Если все идет по плану, веб-сайт отображается в браузере как безопасный.

Подготовка сайта

Чтобы обойтись без особой потери трафика, смена протокола должна проходить в несколько этапов.

Перенос сайта стоит начать с сохранения резервной копии базы данных и файлов.

Далее по порядку.

1. Необходимо заменить внутренние ссылки ресурса с абсолютных на относительные

  • Полная ссылка: https://example.ua/archive/
  • Относительная — //example.ua/archive/
Читать еще:  Как скачать музыку с сайта на компьютер

Если этого не сделать, внутренние ссылки будут указывать на старый домен — просто удалите название протокола. Внешние ссылки исправлять не надо.

Это можно делать вручную, в SQL, но намного удобнее использовать плагины и заменить их автоматически. Платформа WordPress предлагает два варианта: SSL Mixed Content Fix и Velvet Blues Update URLs.

2. Обратите внимание на внешние скрипты

Если скрипт использует соединение HTTP, в нем тоже надо изменить URL на относительный.

Эта рекомендация относится к редко используемым скриптам, так как популярные сервисы работают с защищенным соединением. Яндекс. Метрика, Яндекс. Директ, Google Analytics и многие другие. Проверьте, какие подключены у вас и, при необходимости, скорректируйте.

3. Исправьте контент

Те же шаги — исправление ссылок каждого видео, изображения и презентации. Все медиафайлы на сайте должны открываться по протоколу HTTPS. Загружая файлы со сторонних ресурсов, убедитесь, что они поддерживают защищенное соединение. Если нет, лучше откажитесь от сотрудничества.

В чем разница между SSL сертификатами?

Сертификаты разделяются по двум характеристикам: количество доменов и тип проверки владельца.

В отношении количества доменов, сертификат может выдаваться на один домен, на домен и его субдомены и на несколько доменов.

По способу проверки владельца, сертификаты бывают следующие:

SSL с проверкой домена. В этом случае, при регистрации домена от Вас потребуется подтвердить только права на домен.

SSL с проверкой компании. В этом случае, при регистрации потребуется подтверждение принадлежности сайта регистрирующей компании, а также информация о компании.

SSL с расширенной проверкой. В этом случае, при регистрации Вас возможно заставят пожалеть о том, что Вы решили пойти сложным путем))) Зато после мучений с подтверждениями, при открытии вашего сайта адресная строка браузера будет выделена зеленым цветом и в ней будет указано название Вашей компании.

Бесплатные SSL сертификаты. Выдаются в рамках проведения кампании популяризации SSL центром сертификации Let’s Encrypt. Каждый может выписать его себе самостоятельно без специальных технических навыков, на сайте SSL For Free. Особенность: эти сертификаты выдаются только на 90 дней и их нужно продлевать вручную после завершения. Бесплатные сертификаты от Let’s Encrypt являются сертификатами типа «с проверкой домена», но от платного они отличаются полным отсутствием информации о регистрируемом сайте.

Самоподписной SSL сертификат (бесплатный). Технически такой сертификат ничем не отличается от сертификата, выданного доверенным центром сертификации (ЦС). Только в этом случае, создатель сертификата сам играет роль ЦС. Это приводит к тому, что сертификат невозможно отозвать. Это создает уязвимость. Злоумышленник может перехватить сертификат при передаче и заменить его своим поддельным, с помощью которого данные можно будет расшифровать. В результате, скомпрометированный таким образом сертификат невозможно исправить.

Зайти на сайт с самоподписным сертификатом может быть проблематично. Фаерволы, антивирусы и браузеры будут дружно отговаривать Вас, мотивируя это тем, что сайт использует ненадежное шифрование. К тому же, в адресной строке сайта с таким сертификатом вы увидите перечеркнутый https.

Подводя итоги. скажу, что способ шифрования данных не отличается во всех типах сертификата, а все разновидности существуют для того, чтобы дать возможность сайту убедить пользователя в надежности компании и в том, что она позаботится о сохранности Ваших личных данных.

В чем преимущества сайта на https

Этот протокол обеспечивает безопасность транспортировки данных, способен шифровать передаваемые сообщения от браузера пользователя к серверу.

Преимущества защищенного протокола:

  • конфиденциальность;
  • целостность (хакеры не смогут украсть информацию, использовать или видоизменить);
  • защищенность аутентификации пользователей.

Схема работы http и https

  • банковских сайтов;
  • интернет-магазинов;
  • платежных систем;
  • систем международных денежных переводов;
  • почтовых сервисов.

И других веб-ресурсов, которые используют приватную информацию клиентов (пользователей) для авторизации (входа в личный кабинет). В этом деле – безопасность на первом месте.

Когда лучше осуществлять переезд

Молодой сайт логичнее переводить по принципу: чем раньше, тем лучше. Сделать это гораздо проще на начальном этапе и в дальнейшем продвигать ресурс, не теряя драгоценные позиции и трафик.

«Старому» сайту организовывайте смену протокола в период межсезонья или затишья продаж (заказов), тогда вы понесете минимальные убытки.

«Старым» ресурсам сменить протокол сложнее, потому что:

  • переиндексация всех страниц занимает длительное время;
  • при смене протокола временно обнуляется показатель ТИЦ.

Реальный график - пример временного обнуления тИЦ

Также сайт может потерять позиции в выдаче, а трафик «просесть», если допустить ошибки при переходе на защищенный протокол.

Основная проблема при некорректном переносе – это понижение позиций ресурса в результатах поиска. Происходит это из-за того, что смену протоколов ПС расценивает как изменение главного зеркала, и при настройке 301 глобального редиректа происходит полная переиндексация сайта.

Главная задача при смене http на https – сообщить поисковикам об этих действиях, иначе ПС будут видеть дубли ресурса (один и тот же контент будет доступен по двум протоколам).

Как произвести смену протокола

Организовать переезд можно по такой схеме:

  1. Приводим ссылки на сайте (включая весь контент текстовый, медийный) к виду: //site.ru/. /. /, вместо http:// site.ru/. /.
  2. Покупаем сертификат SSL в центре сертификации (например, в Comodo, Symantec, Trustwave) или у компаний-реселлеров.
Читать еще:  Как исправить ошибку установки Discord

Существуют такие типы сертификатов:

  • бесплатные self-signed – устанавливать их не рекомендуют, так как браузеры будут выдавать уведомление, что «сертификат не является доверенным», это небезопасное решение;
  • которые содержат доменное имя – Domain Validation – DV. Самые простые и распространенные сертификаты. Выдаются на 1 домен;
  • подтверждающие домен и организацию – Organization Validation – OV. Перед тем, как выдать такой сертификат, могут проверить свидетельство о государственной регистрации компании. Выдаётся именно организации, а не частному лицу;
  • с расширенной проверкой – Extended Validation- EX. Подтверждает самый высокий уровень доверия к сайту. Это отображается в адресной строке: указывается зеленым название организации.

В разных браузерах общая пометка защищенных протоколов на сайте

Перед получением данного типа сертификата, компании проходят тщательную проверку на наличие свидетельств государственной регистрации, официальных документов, подтверждающих деятельность, нахождение организации по заявленному фактическому адресу, права на использование домена.

Стоимость сертификатов (на год) варьируется от 10$ до 300$. Также сертификаты систематизируют по функционалу:

  • обычные SSL-сертификаты – на 1 домен;
  • Wildcard – для обеспечения шифрования на поддоменах;
  • SAN – 1 сертификат защищает несколько доменов.
  1. Устанавливаем сертификат, проверяем работу сайта на http и https. Если несколько ссылок на сайте открываются через http://, браузер выдаёт предупреждение:

Предупреждение при открытии ссылок с https на http

Если сертификат установлен неправильно или используется тип self-signed, то предупреждение будет выглядеть так:

Предупреждение при неверно установленном сертифекате

  1. В этом пункте есть отличия в зависимости от приоритетной поисковой системы:

4.1. Для ресурса, который продвигается в Google настраиваем редирект с http на https, за исключением файла robots.txt (в нем указываем хост с «https»). В файл htaccess добавляем:

RewriteRule ^([^/]+) $1 [L]

И в файле robots.txt должна быть строчка Host: https://site.ru (где вместо site.ru домен текущий).

4.2. Для Яндекса: не используем редирект.

Настраиваем постраничный каноникал с http на https версию сайта

В файле robots.txt. указываем хост

Host:https://site.ru (где вместо site.ru домен текущий)

После того, как произойдет склейка и главное зеркало будет выбрано на HTTPS (также в выдаче не останутся страницы с протоколом http), настраиваем постраничный глобальный редирект 301 с http на https.

    1. Меняем настройки в Яндекс Вебмастере (обновляем sitemap и файл robots.txt, указываем, что сайт переехал на надежный протокол).

    Изменение настроек в Webmaster - предупреждение о переезде сайта на безопасный протокол

        1. Делаем аналогичные изменения в Google Вебмастере.
        2. Проверяем работу инструментов для аналитики (указываем в настройках новый протокол).
        3. Генерируем новые xml-карты сайта.

        Эта инструкция, а также подробные рекомендации в справке Google и Яндекса помогут правильно сменить протокол.

        Основные проблемы в виде проседания трафика и временной потери показателей ТИЦ можно избежать, если подобрать правильно время для этого и провести смену протокола, исходя из приоритетности поисковика. Практика показывает, что проседания – незначительны и непродолжительны. Вот несколько примеров:

        Пример проседания позиций на непродолжительное время

        Пример того, как переезд не отразился на позициях

        Разница восприятия переезда Гуглом и Яндексом

        Ещё один пример переезда без последствий для позиций сайта

        Алгоритм самостоятельного перехода на протокол HTTPS

        Если сейчас покупка SSL-сертификата обязательна, в первую очередь, для ресурсов, которые хранят пользовательские данные, (если, конечно, они не хотят потерять клиентов), то в перспективе перейти на безопасное шифрование придется всем сайтам. Перенести сайт с http на https можно самостоятельно. Главное, учесть нюансы и делать все последовательно.

        Важно понимать, что процедура переноса зависит от архитектуры/CMS, поэтому этот процесс может отличаться в каждом конкретном случае. Мы постарались написать для вас наиболее типовой универсальный алгоритм. Но не забывайте учитывать особенности реализации именно вашего сайта. Так, например, в ряде систем есть расширения/функции, которые значительно упрощают переход на защищенное соединение. Дальше представляем наш алгоритм. Удачи!

        1. Выбор и приобретение SSL-сертификата

        Чтобы сэкономить время на ожидании сертификата, рекомендуем выбрать и купить его сразу, а потом переходить к подготовке сайта.

        Не советуем использовать бесплатные сертификаты. Это небезопасно, так как браузер даже после его установки может выдать ошибку о том, что сайт не проверен. Но решать вам: сейчас можно найти множество различных предложений, в том числе и бесплатных. Иногда хостинг-провайдеры предлагают SSL-сертификаты в подарок за покупку хостинга и домена.

        По функциональности сертификаты разделяют на:

        Подходят как для физических, так и для юридических лиц. Самый бюджетный вариант.

        Его приобретают, если у ресурса есть поддомены.

        Этот сертификат можно использовать для нескольких доменов.

        С поддержкой IDN.

        Необходим для кириллических доменов.

        По степени защиты сертификаты делятся на:

        Самый распространенный тип. Он выдается только на один домен. Самый бюджетный вариант.

        Этот тип подтверждает не только домен, но и организацию. При его покупке у вас могут запросить свидетельство о государственной регистрации.

        Это сертификат, выдачу которого осуществят лишь после проверки адреса, свидетельства о регистрации, торговой марки. Покупка сертификата статуса «Extended Validation» позволяет получить зеленую строчку в браузерной строке.

        Самый простой способ приобрести SSL-сертификат — обратиться за ним к компании, которая предоставляет хостинг вашему сайту.

        Вы можете прочитать подробную инструкцию по покупке SSL-сертификата от Hoster.by.

        2. Подготовка сайта

        Чтобы избежать возникновения ошибки смешанного содержания «Mixed Content» после смены протокола, мы рекомендуем проверить все ссылки на вашем ресурсе.

        Для проверки можно воспользоваться инструментом браузера «Инспектор кода» (вкладка »Безопасность»).

        Должно быть так:

        Security overview ok

        Не должно быть так:

        Security overview no

        Все подключения скриптов (в том числе на внешних ресурсах), изображений и прочих файлов, а также внутренние ссылки должны быть без указания протокола http (то есть или относительными ссылками, или абсолютными ссылками с указанием протокола https, или абсолютными без указания протокола).

        Например, вместо такого http://penguin.by/styles/main.css в текстах должно быть или такое /styles/main.css, или такое //penguin.by/styles/main.css.

        SEO-специалисты рекомендуют использовать третий тип ссылок (но основной критерий здесь, все же, сохранение работоспособности кода).

        Где и как менять ссылки?

        На этот вопрос нет универсального ответа. В каждом конкретном случае нужно действовать по-разному. Часть ссылок будут прописаны в исходных кодах вашего сайта (php, html и прочих файлах). Чтобы поменять такие ссылки, вам нужно будет найти все файлы, в которых есть проблема, скачать их с сервера, внести изменения и загрузить обратно через ФТП-соединение. Часть ссылок будут находиться в контенте (например, в тексте статьи на сайте) — такие ссылки можно менять вручную через админку. Обратите внимание, что на этом шаге идет речь только о ссылках типа <a href=”..”>..</a> внутри вашего сайта. Если вы замените ссылку на чужой сайт, указав протокол https, а чужой сайт еще не перешел на безопасное соединение, ваши посетители при переходе по данной ссылке обнаружат ошибку.

        Иногда внутренних ссылок на сайте очень много и заменить их вручную через админку не представляется возможным. В этом случае вы можете сделать эту операцию автоматически через базу данных одним махом. О том, как заменить ссылки на сайте для перехода на https с помощью phpMyAdmin, читайте в отдельной инструкции.

        3. Подключение сертификата

        Оплатив сертификат, вам, будут предоставлены файлы, которые нужно установить на хостинге. Процесс установки зависит от вашего сервера, но, как правило, ничего сложного в нем нет. Если у вас не получается сделать это самостоятельно, всегда можно обратиться в службу поддержки хостинга.

        Крупнейшие хостинг-провайдеры предоставляют к выдаваемому сертификату инструкцию по их установке. Также мануал можно найти на официальных сайтах. На свой сайт мы установили сертификат, который купили у hoster.by. Вот инструкция по его установке.

        После вам нужно проконтролировать правильность установки. Корректность проверяется следующим образом:

        Зайдите на свой сайт по двум протоколам — http и https. И в том, и в другом случае он должен быть доступен;

        Проведите анализ с помощью специального сервиса. Например, ssllabs.com.

        Если все настроено правильно, то результат будет выглядеть так:

        summary

        Это значит, что все страницы сайта автоматически станут доступны по двум url-адресам.

        4. Сообщение поисковикам о переносе сайта

        И Google, и Яндекс воспринимают ресурсы с разными протоколами как разные сайты. Поэтому при установке протокола, как и при переезде ресурса на новый домен, позиции сайта в выдаче поисковика и посещаемость может снизиться. Чтобы минимизировать риски, необходимо правильно настроить сайт после переноса своего сайта на безопасный протокол. Для этого необходимо учитывать рекомендации от Яндекс и Google.

        Шаг 1. Сообщение поисковым роботам

        После установки сертификата сообщите поисковым роботам, что ваш сайт стал доступен по новому протоколу. Просто добавьте его в список своих сайтов через панели вебмастера. Это поможет снизить потери трафика на ресурс.

        yandex penguin

        Также добавьте сайт с указанием протокола https в Google Search Console.

        Google Search Console penguin

        Яндекс и Google просят подтвердить право собственности на сайт любым удобным способом.

        yandex verification

        google verification

        verification google

        Шаг 2. Выберите адрес главного зеркала в Яндекс.Вебмастере

        Далее укажите адрес главного зеркала вашего сайта. Сделать это можно, внеся изменения в файле robots.txt. О том, как добавить директиву Host, читайте в справочной информации поисковика.

        Шаг 3. Сообщите роботу об изменении главного зеркала

        Сообщите Яндекс-роботу, что у вас изменилось главное зеркало сайта. Для этого зайдите в вебмастер на страницу «Настройки индексирования» и выберите «Переезд сайта».

        pereezd yandex

        pereezd penguin

        Шаг 4. Обновите Sitemap в Search Console

        Не забудьте обновить XML-карту. Ее можно загрузить в подразделе «Файлы Sitemap» раздела «Сканирование» Search Console.

        site map penguin

        Шаг 5. Ожидание

        Сейчас у вас есть два вариант развития событий:

        Ждать, пока поисковик определит https-версию главным зеркалом вашего ресурса. Это может занять от трех дней до целого месяца. Зато, выбрав этот вариант, меньше рисков, что сайт снизит позиции в выдаче.

        Принять риски и приступить к следующему шагу.

        Шаг 6. Настройка 301 редиректа

        Будем считать, что вы дождались, когда хотя бы 90% страниц вашего ресурса уже проиндексировались (или приняли возможные риски, тут уж вам решать). Теперь можно приступить к следующему, последнему шагу — настройке 301 редиректа с неглавного зеркала.

        Эта процедура проходит по-разному в зависимости от установленной системы управления содержимым (CMS). Например, Joomla позволяет настроить 301 редирект за пару секунд — вам всего лишь нужно выбрать «Весь сайт» напротив «Включить SSL» в настройках сервера.

        server

        Чаще всего процесс перенаправления с http:// на https:// выполняется с помощью кода, который необходимо прописать в файле .htaccess.

        голоса
        Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector