Зачем нужно переходить на HTTPS?
Привет, арбитраны!) Знаю что у многих есть свои сайты, по этому эта статья будет полезна для вас.
Сегодня мы поговорим о безопасном протоколе шифрования.
HTTPS-протокол является безопасным, в отличие от HTTP.
Google уже не один год старается перевести как можно больше сайтов в «безопасный режим».
Темпы перехода за последние несколько лет не устраивают компанию и уже к концу этой неделе стоит быть готовым к тому, что все сайты без HTTPS-шифрования будут помечаться системой как «небезопасные».
Чем полезен перенос сайта на HTTPS:
- Лояльность со стороны поисковиков
- Ресурс в разы безопаснее для юзеров — вероятность перехвата данных третьей стороной крайне мала
Именно поэтому Google всеми способами пытается замотивировать веб-мастеров изменить протокол шифрования.
Прогресс такой стимуляции налицо:
- 68% трафа Chrome на Windows и Android безопасны
- 78% трафа Chrome на Mac и OS безопасны
- Из ТОП-100 сайтов в сети, 81 использует HTTPS-протокол по умолчанию
В новом браузере Chrome 68 рядом с URL ресурса будет четко указываться «защищено» или «не защищено» в зависимости от протокола шифрования, абсолютно все сайты HTTP будут рассматриваться как небезопасные, а не только страницы с формами, как сейчас.
По этому нужно переходить, сейчас пошагово напишу как это сделать:
- Купить или заказать сертификат. Я заказывал бесплатный сертификат Lets Encrypt в админке Timeweb. Он подходит в 99% случаев. Все прошло легко и быстро. Нажал заказать и уже через 5 минут на почту пришло письмо, что сертификат установлен. Сайт сразу стал доступен по https. Особенность этого типа сертификата в том, что его нужно продлевать раз в 3 месяца. Timeweb это делает самостоятельно.
- Сделать все внешние и внутренние урлы относительными.
- Все внутренние ссылки на сайте должны быть либо относительными, либо идти с протоколом https (второе предпочтительнее)
Пример: http://site.ru/url-part1/url-part2/ > /url-part1/url-part2/
- Все внешние ссылки должны либо идти на с протоколом https либо без протокола (если у внешнего сайта нет https, то возможен только второй вариант)
Пример: http://site.ru/url-part1/url-part2/ > //site.ru/url-part1/url-part2/
- Все внутренние ссылки на сайте должны быть либо относительными, либо идти с протоколом https (второе предпочтительнее)
- Протестировать как работает сайт в разных браузерах на протоколе https: нужно погонять сайт в разных браузерах, посмотреть открывается ли сайт, появляется ли защищенный замочек, не забудьте проверить разные типы страниц сайта, а также в том числе мобильные браузеры. После настройки проверьте, чтобы изображения были доступны по HTTPS, проверьте все типы страниц.
- Протестировать сайт на протоколе https в различных инструментах и сервисах, ссылки на которые приведены в следующем разделе ниже. Если будут какие-то ошибки, то нужно их исправить. Возможно Вы обнаружите, что в коде сайта остались ссылки, которые ведут на незащищенный протокол.
- Просканировать https-весрию сайта программами Xenu и Screaming Frog SEO Spider. Следите, чтобы не было ссылок, ведущих на незащищенный протокол. После этого проверьте коды ответов сервера на сайте, чтобы существующие страницы возвращали код ответа 200, а несуществующие — 404.
- Перегенерируйте sitemap.xml, чтобы он содержал ссылки только на https-версии страниц.
- Переделайте файл robots.txt:
- В файле robots.txt замените строку host, прописав в ней не просто доменное имя, а доменное имя вместе с https:
Host: https://site.com
- Строку с картой сайта в robots.txt также нужно обновить.
- В файле robots.txt замените строку host, прописав в ней не просто доменное имя, а доменное имя вместе с https:
- Настроить каноникл на https.
<link rel="canonical" href="https://site.ru/" />
- Добавить сайт на https в вебмастер Яндекс как новый сайт. Тут нужно будет подтвердить права сайта. А также выставить правильный регион для сайта на https.
- Включить в панели вебмастера Яндекса в инструменте «Переезд сайта», что теперь сайт работает по https.
- Добавьте сайт на HTTPS в Google Search Console как новый сайт. Подтвердите права на этот сайт. Далее укажите XML-карту сайта (используйте ссылку на https), если нужно — выставьте регион. Если у вас есть отклоненные ссылки в Disavow Tool, не забудьте заново загрузить файл с ними.
- Для всех страниц нужно добавить мета-тег referrer:
Добавить для всех страниц сайта (до закрывающего тега </head>) метатег:<meta name="referrer" content="origin"/>
(есть и другие варианты как настроить этот тег, подробнее читайте в дополнительной литературе ниже, но этот вариант настройки основной и подходит для большинства случаев).
- Дождаться пока в Яндексе сменится главное зеркало. Теперь остается только ждать. Время ожидания может быть разным. Оно зависит от размера сайта, от того, как часто в Яндексе будут идти апдейты и от других факторов. Ориентировочное время ожидания — 2-4 недели. Также, у Вас на некоторое время отвалится ТИЦ сайта, но этого бояться не стоит, при переезде всегда так происходит. Через 2 апа ТИЦа Ваш ТИЦ вернется.
Важно: лучше не настраивать 301-редирект на https-версию сайта до того, как в Яндексе сменится главное зеркало. Иначе у Вас может быть большая просадка трафика в Яндексе на несколько недель. - Настроить 301 редирект постранично. Это можно делать только после того, как в Яндексе сменится главное зеркало. Здесь имеются различия между инструкциями Яндекса и Гугла (Гугл советует сразу настраивать 301-редирект), но для более мягкого переезда в Яндексе лучше дать сперва ему сменить главное зеркало сайта.
Важно: 301-редирект нужно настроить так, чтобы файл robots.txt и XML-карта сайта были доступны и по http, и по https без редиректа. В htacess при настройке редиректов исключение для файла robots.txt можно настроить такой строкой:RewriteCond %{REQUEST_FILENAME} robots.txt$ [NC]
- После настройки редиректа еще раз просканируйте сайт программами Xenu и Screaming Frog SEO Spider.
- Обновите все доступные внешние ссылки на Ваш сайт, чтобы они вели на URL-адрес с HTTPS.
- Обновите URL-адрес вашего сайта в социальных сетях.
- В системах отслеживания трафика, таких как Google Analytics и Yandex Metrika.
- То же самое нужно сделать в контекстной рекламе.
Всем удачи, котаны! 😉 Наш блог madcpa.ru тоже скоро переедет на HTTPS, займусь этим как будет свободное время.