Протокол https как настроить на сайте - TurboComputer.ru
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд (пока оценок нет)
Загрузка...

Протокол https как настроить на сайте

SSL сертификат и настройка https на сервере

В июле 2015 года я перевел свой сайт на безопасный протокол HTTPS. Данная инструкция поможет вам без труда проделать тоже самое. Тем более, что постоянно витают слухе об отказе популярными браузерами незащищенного HTTP, в связи с чем, предвидится массовый переход на HTTPS.

Так же любой сайт на котором есть комментирование статей, форма подписки и окно поиска, можно формально подвести под закон о защите персональных данных, который требует использовать безопасные защищенные протоколы при передаче информации. Поэтому рано или поздно вам тоже придется столкнуться с необходимостью перевода сайта на HTTPS.

Как перевести сайт на HTTS

Пять простых шагов как перевести свой сайт на HTTPS

  1. Получение SSL сертификата
  2. Установка сертификата на сервер
  3. Настройка сайта, отказ от HTTP ссылок
  4. Настройка веб-сервера
  5. Информирование поисковых систем

Где взять SSL сертификат для сайта

Сразу стоит определиться к какой категории относитесь вы и ваш сайт. Если вы выступаете как частное (физическое) лицо, то вам доступен лишь один вид сертификата: DV (Domain Validation). Он самый простой, выпуск его занимает минимальное время. Необходимо лишь подтвердить права владения доменным именем. Если вы представляете юридическое лицо, то вам доступны все типы сертификатов. Выбирайте любой в зависимости от потребностей вашего сайта. Но готовьтесь к тому, что проверка займет длительное время, а сам сертификат может дорого стоить.
Ранее я писал, где взять сертификат бесплатно. Этот вариант отлично подходит блогерам и владельцам персональных сайтов. Как получить такой бесплатный сертификат хорошо описано на Хабре в статье-инструкции Получаем бесплатный SSL сертификат.

Установка сертификата на сервер

Перед приобретением Ssl сертификата следует выяснить возможность его использования у себя на хостинге. Если у вас виртуальный хостинг, то настроить использование HTTPS может только поставщик услуг хостинга. Заранее выясните у него такую возможность. Если у вас сервер, не важно виртуальный или выделенный, то сертификат SSL гарантированно можно установить или использовать.

Помните, что сертификат вы получаете на домен (доменное имя), а устанавливать его надо на сервер (веб-сервер).

Установка зависит от вебсервера. Apache и NGINX настраиваются по разному. Вот неплохая инструкция как все сделать своими руками Ручная установка SSL сертификата.
Но если вы на хостинге используете панель управления VestaCP, то все заметно упрощается. Эта панель позволяет установить сертификат для вашего домена прямо из веб-интерфейса.

Предполагаю, что подобная возможность есть и в других панелях управления.

Настройка сайта, отказ от HTTP ссылок

Настройками сайта нужно добиться того, чтобы замочек защищенного соединения всегда был закрытым на всех страницах вашего сайта.

Вполне возможно, что обратившись к своему сайту в первый раз по HTTPS протоколу вы увидите такую картину:

Как видите замочек открыт, а это значит, что посетитель получает часть информации в незащищенном виде. Если щелкнуть мышкой по раскрытому замку, то можно увидеть примерно следующее:

Что нужно сделать, чтобы устранить проблему открытого замка HTTPS:

  • Исправить все внутренние ссылки на использование протокола HTTPS
  • Если используете картинки с внешних ресурсов, которые не работают по HTTPS, то скопируйте изображения себе на сайт
  • Отказаться от внешних сервисов и систем которые не работают по HTTPS
  • Убрать все плагины которые работают только по HTTP

Как исправить все ссылки на сайте

Для начала следует принять за правило использовать все ссылки без указания протокола. Это решение я подсмотрел в коде вызова скрипта Google.Adsense. Если раньше ваши ссылки выглядели так http://domainname.tld/page1.htm, то теперь они должны выглядеть так //domainname.tld/page1.htm. Ссылки такого рода будут работать и по HTTP и по HTTPS.
Если ваш сайт использует для хранения данных MySQL, а таких большинство. То проще всего сделать дамп базы. Скачать его себе на компьютер. Так как дамп базы данных MySQL представляет собой обыкновенный текстовый файл, то можно с помощью обычного текстового редактора произвести замену внутренних адресов на вариант описанный выше. После чего дамп базы данных нужно залить на сервер обратно.
Также можно поступить и с внешними ссылками. Но только не ставьте принудительно протокол HTTPS, так как нет никакой гарантии, что внешний ресурс его поддерживает.

Картинки с внешних ресурсов

Часто вебмастера при публикации постов используют изображения с других сайтов. Возьмите за правило копировать их к себе на сайт. Вполне возможно, что внешний ресурс откуда вы скачиваете картинки для оформления своей статьи работает только по HTTP.

Внешние сервисы которые не поддерживают HTTPS

Мне пришлось отказаться от двух рекламных сетей из-за того, что они не поддерживают протокол HTTPS. Пользователи посещая мой сайт могли видеть рекламные баннеры которые подгружались по HTTP и раскрытый замок сообщал о незашифрованном трафике.

Плагины работающие по HTTP

На моем сайте оказалось два плагина которые никак не хотели работать по безопасному протоколу HTTPS. Пришлось от них отказаться. Кроме того я проверил весь HTML код сайта на предмет загрузки скриптов и прочего с внешних ресурсов. Многие на автомате заработали по безопасному протоколу. Так же вычистил кучу мусора и неиспользуемого кода.

После проведения всех вышеописанных процедур сайт полноценно заработал по протоколу HTTPS, и замок безопасности оставался закрытым при посещении всех страниц.

Настройка веб-сервера на использование HTTPS

Для поисковых систем сайты доступные по разным протоколам http://domainname.tld и https://domainname.tld — это совершенно разные сайты. Поэтому необходимо поисковому роботу указать, кто тут главный. Для это в файле robots.txt необходимо написать название сайта с явным указанием протокола:

Затем необходимо настроить принудительную переадресацию всех запросов на протокол HTTPS. Чтобы пользователь который набрал http://domainname.tld все равно попал на безопасную версию сайта https://domainname.tld.
Если вы используете вебсервер Apache, то можно поступить следующим образом, добавьте в файл .htaccess нижеследующий код:

Информирование поисковых систем об использовании протокола HTTPS

В панели для вебмастеров поисковых систем Яндекс и Google необходимо добавить и подтвердить новый сайт, указав версию https.

[pcenter][/pcenter]

Теперь у вас в списке сайтов будет две записи по сути об одном и том же сайте. Для Google дополнительных настроек больше делать не надо, достаточно присутствия 301 редиректа. А для Яндекса у сайта работающего по HTTP необходимо указать в качестве главного зеркала HTTPS версию сайта.

[pcenter][/pcenter]

Не забудьте для нового сайта указать файл Sitemap.xml.

Яндекс не гарантирует сохранение количества страниц сайта в поиске, его позиций или посещаемости в случае изменения главного зеркала.

На этом все настройки можно считать законченными. Теперь посетители общаются с вашим сайтом по защищенному протоколу. Поисковые системы Яндекс и Google со временем поменяют адрес вашего сайта в поисковой выдаче.

Благодарности

При написании этой инструкции были использованы следующие источники

Шифруйтесь: как установить протокол защищенного соединения HTTPS

Мир помешался на интернет-безопасности. Если вы в тренде и переписываетесь исключительно в «Телеграме», то почитайте про то, как установить на сайт протокол защищенного соединения HTTPS. Он пригодится в любом случае, а если вы интернет-магазин, то без него вообще нельзя будет обойтись. Попутно расскжем про сертификаты SSL: что это такое и для чего они нужны.

Что такое HTTPS

Это протокол защищенного соединения. Он шифрует информацию, которой обменивается сервер и браузер пользователя – это помогает защитить данные о паролях, номерах кредиток и адресах электронной почты. Использование HTTPS сильно повышает безопасность сайта и делает его немного привлекательнее в глазах поисковых систем – Google ранжирует защищенные сайты выше, чем незащищенные. Чтобы включить протокол HTTPS на своем сайте, нужно сперва установить на сервере SSL-сертификат.

Для чего нужен сертификат SSL

Он формирует уникальную цифровую подпись сайта, которая и помогает защитить соединение. Без сертификата SSL получить протокол HTTPS не получится, как ни старайся. В нем содержится:

  • домен сайта;
  • полное юридическое название компании-владельца;
  • физический адрес компании;
  • срок действия сертификата;
  • реквизиты разработчика SSL.

Сертификат понадобится и для подключения любой платежной системы, например «Яндекс.Денег». Логика простая – никто не позволит вам рисковать чужими деньгами.

Читайте также:  Выскакивают сайты которые не открывал

Как выбрать SSL-сертификат

Они делятся на два типа, в зависимости от степени защиты и верификации.

Domain Validation SSL

Самый простой вариант. Заработает после того, как вы подвтердите владение доменом. Сделать это можно тремя способами:

  • Через E-mail. Вам на почту придет письмо с инструкцией по верификации. В качестве адреса отправки выбирается либо почта из Whois домена, либо ящики админа или вебмастера.
  • Через запись в DNS. Если у вас настроен сервер электронной почты, создайте специальную запись в DNS. По ней система и подтвердит, что вы действительно владелец сайта. Метод автоматизирован и подходит тем, у кого почта Whois скрыта в настройках.
  • Через хэш-файл. Разместите специальный .txt файл у себя на сервере, чтобы центр сертификации смог установить его наличие.

Такая верификация подойдет, если у вас личный блог или небольшой офлайновый бизнес, потому что она не позволяет защищать субдомены и проводить финансовые операции. Плюс, для подтверждения чистоты домена и ваших помыслов не требуется делать ничего сложного, а готовый сертификат делается быстро.

Business Validation

Этот вид сертификата SSL надежней, потому что вы подтверждаете факт связи компании с сайтом. Для этого нужно отправить в верификационный центр несколько документов и принять звонок на корпоративный номер. Business Validation-сертификаты делятся на 3 вида:

  • Extended Val >Это сертификаты с расширенной проверкой. Они нужны всем, кто работает с большим объемом денег: банкам, крупным интернет-магазинам, финансовым компаниям, платежным системам.
  • Wildcard SSL. Такой сертификат защищает и сам сайт, и его поддомены. Причем их может быть любое количество, а располагаться они могут на разных серверах. Обязателен, если вы используете поддомены с разной региональной привязкой или разными проектами.
  • SAN SSl. Главное преимущество этого типа сертификата – поддержка альтернативных доменных имен: и внешних, и внутренних.
  • CodeSigning SSL. Подтверждает сертификатом безопасность кода и программных продуктов с сайта. Подойдет разработчикам любых приложений.

Можно ли установать на свой сайт бесплатный SSL-сертификат?

Да. Большинство таких продуктов платные, но есть и варианты, за которые не придется отдавать деньги. Это базовые сертификаты с валидацией по домену. Они не позволят прикрутить к ресурсу онлайн-кассу, но защитить соединение пользователя с сервером смогут. Такие SSL подойдут небольшим информационным сайтам или офлайн-бизнесам. Пример – базовый сертификат StartSSL.

Установка сертификата SSL

Сперва нужно сгенерировать запрос CSR на получение сертификата. В нем содержится вся информация о хозяине домена и открытый ключ. Большинство поставщиков SSL позволяют сделать это в процессе заказа сертификата, но сгенерировать запрос можно и на стороне веб-сервера.

В процессе генерации ключа CSR нужно указать:

  • Имя сервера: «site.com» или «*.site.com», если получаете WIldcard сертификат. Звездочка означает любое количество любых символов перед точкой.
  • Код страны: RU, UA, KZ и так далее.
  • Область, например, Saratov Region.
  • Город.
  • Полное название организации или имя владельца сайта.

Запрос CSR отправляется в центр верификации. На выходе вы получаете сертификат SSL и файл с приватным ключом, который нельзя терять и выкладывать в открытый доступ.

После этого нужно установить сертификат на веб-сервер. Рассмотрим случаи с Apache и nginx.

Apache

Чтобы это сделать, нужно загрузить на сервер все сертификаты: и основные, и промежуточные. Первым делом нужно последний в директорию /usr/local/ssl/crt (используется по умолчанию, в вашем случае может отличаться). В ней будут храниться все сертификаты.

После этого скачайте основной сертификат, откройте его в любом текстовом редакторе и полностью скопируйте содержимое вместе со строчками «BEGIN» и «END».

В директории /ssl/crt/ создайте файл vashsite.crt и вставьте в него содержимое сертификата.

Файл приватного ключа переместите в директорию /usr/local/ssl/private/

В файле VirtualHost добавьте строки:

Указывать нужно действительные пути до файлов. Сохраните изменения и перезапустите сервер.

nginx

Здесь процесс установки SSL сертификата немного отличается. Сначала нужно объеденить корневой, промежуточный и SSL-сертификаты в один. Для этого создайте файл vashsite.crt и вставьте туда содержимое сертификатов вместе со строчками «BEGIN» и «END» (порядок: SSL, промежуточный, корневой). Пустых строк быть не должно.

Почти то же самое нужно сделать и с приватным ключом – создать файл vashsite.key и перенести содержимое ключа, загруженного с сайта поставщика.

Оба файла (vashsite.crt и vashsite.key) поместите в директорию /etc/ssl/ (она используется по умолчанию, но может отличаться).

В файле с конфигурациями отредактируйте VirtualHost. Добавьте:

server <
listen 443;
ssl on;

ssl_certificate /etc/ssl/vashsite.crt;
ssl_certificate_key /etc/ssl/vashsite.key;
server_name vashsite.com;

Если директория с сертификатом и ключом отличается от дефолтной, поменяйте ее.

Теперь сохраните изменения и перезапустите nginx.

Как получить рабочее HTTPS-соединение

После установки сертификатов SSL сайт станет доступен по двум адресам: http://vashsite.com и https://vashsite.com. Вам нужно оставить только последний. Для этого настройте файл robots.txt и сделайте 301-редирект со старого сайта.

В «robots» нужно обновить host. Пример: Host: https://vashsite.com. Для настройки редиректа нужно добавить в файл .htacsess строчки:

RewriteRule ^(.*)$ https://vashsite.com/$1 [R=301,L] .

Теперь осталось сообщить об изменениях поисковикам. В «Вебмастере» «Яндекса» добавьте страницу с https и укажите ее как главное зеркало для старого сайта.

Итоги

Мы разобрались, что такое https, как установить его на свой сайт и как настроить все правильно. Этот протокол уже стал стандартом соединения и со временем на него перейдут все живые сайты. Этот процесс поощрают поисковики – наличие установленного протокола защищенного соединения HTTPS стало одним из факторов ранжирования. Поэтому, если хотите попасть в топ, установить его придется.

– Только качественный трафик из Яндекса и Google
– Понятная отчетность о работе и о планах работ
– Полная прозрачность работ

Пошаговое руководство по настройке https

Настройка протокола https для «чайников»

Согласно официальным заявлениям представителей Google, с начала 2017 года сайты, работающие по протоколу http, будут помечаться в браузере Chrome, как небезопасные.

Совершенно очевидно, что это наложит свой отпечаток на продвижение веб-сайтов в поисковиках, поскольку использование (или не использование) защищенного протокола https еще с середины 2014 года является одним из факторов ранжирования поисковых выдач.

Это является особенно важным для тех сайтов, которые каким-либо образом связаны с финансовыми операциями, а также с обработкой прочих личных данных клиента (телефон, e-mail, имя), так как с точки зрения Google они могут стать целью атаки хакеров, охотящихся за конфиденциальными данными их посетителей (в т. ч. платежными).

Поэтому чтобы не попасть под искусственное понижение позиций за несоответствие требованиям поисковика, необходимо произвести настройку протокола https уже сейчас.

Подготовительный этап к переходу на https протокол

  1. Заменить все абсолютные ссылки в рамках внутренней перелинковки на относительные. Этот пункт желательно выполнить до того, как начать использовать протокол https, чтобы избежать неожиданных технических проблем с доступностью элементов веб-сайта и его переиндексацией поисковиками после перехода.

  • Исправить ссылки для вложений с медиа-контентом. Если контент находится на сторонних сайтах, то изменять в таких URL http на https следует только, если конечный веб-ресурс доступен по данному протоколу. Но если медиа-файлы расположены в пределах веб-сайта, то их адреса необходимо переделать на относительные по аналогии с обычными внутренними ссылками.
  • Проверить и при необходимости исправить настройки подключения внешних скриптов. Если в скриптах используются абсолютные ссылки, в них также нужно сделать соответствующие изменения и прописать относительные пути.
  • Эти три этапа являются предварительной подготовкой и в основном являются самой затратной (с точки зрения временных ресурсов) статьей расходов при переходе на https протокол.

    Основной этап настройки протокола https

    1. Выбрать и приобрести SSL-сертификат. Придется выбирать, учитывая Ваши потребности и возможности, среди таких видов сертификатов:

    a) Обычные. Используются для одного домена. Подходят физ. и юр. лицам. Выпускаются всего за несколько минут. Требуется лишь проверка принадлежности домена тому, кто запрашивает SSL-сертификат.

    b) Extended Validation (EV). В этой категории находятся сертификаты с расширенной проверкой: помимо подтверждения прав доступа к домену, проверяется свидетельство о госрегистрации организации, наличие имени организации в данных Whois, совершаются проверочные звонки и т. д.
    При приобретении сертификата данного вида появляется возможность получить зеленую пометку в виде «замочка» с названием компании в адресной строке, что для большинства интернет-пользователей является символом надежности веб-сайта.

    Читайте также:  Сайт содержит нежелательное по как убрать

    c) Wildcard-сертификаты. Используются для поддоменов.

    d) Сертификаты, поддерживающие IDN. Используются для сайтов с доменом на кириллице.

    Установить SSL-сертификат на сервере. В большинстве случаев эта процедура выполняется через панель управления, предоставленную хостером, и занимает всего несколько минут.

    В случае, если самостоятельно выполнить ее не удается, на помощью приходит техподдержка. Еще вариант – обратиться за помощью к специалисту в программировании.

    Кстати перед тем, как установить https протокол, следует поинтересоваться у хостера, поддерживает ли он эту возможность. Большинство крупных компаний, предоставляющих услуги хостинга, давно ввели поддержку SLL-сертификатов, но некоторые все еще продолжают «пасти задних».
    Поэтому может потребоваться перенос сайта на сервера более современного хостера.

  • Проверить доступность веб-сайта. Убедитесь в том, что доступ к успешно настроенному сайту с протоколом https имеется по обоим вариантам: и с http, и с https в начале адреса. Теперь по умолчанию при вводе в адресную строку URL сайта с http должно происходить автоматическое перенаправление на защищенный протокол https.
  • Если сайт недоступен по одному из вариантов или же не осуществляется перенаправление, значит настройка выполнена неверно или имеются проблемы со стороны хостера. В любом случае нужно искать причину этого и как можно скорее ее устранять.

    Этап настройки сайта после перехода на https протокол

    1. Настроить 301 редирект. Чтобы не заниматься тратой времени, внося соответствующие команды в код каждой странички сайта, следует воспользоваться возможностью прописывания редиректа 301 в файле .htaccess с помощью модуля mod_rewrite или же обратиться за соответствующей просьбой к техподдержке хостера.

  • Найти и устранить ошибки. В процессе перехода сайта на https протокол невозможно уследить за всеми нюансами. Поэтому по завершению этого процесса следует убедиться в том, что доступны все страницы веб-сайта, ссылки на них работают корректно, медиа-вложения отображаются верно и находятся на своих местах.
  • Уведомить поисковики о переходе на https протокол. Этот этап необходим для того, чтобы обезопасить свой веб-сайт от потери трафика из поисковиков.
    Используя Google Search Console, нужно добавить и указать в качестве главного зеркала новую версию сайта с протоколом https.

    В Яндекс.Вебмастере в разделе настроек индексирования имеется функция «Переезд сайта», воспользовавшись которой нужно указать домен и поставить галочку «Добавить HTTPS».

    На этом все. Остается только дождаться переиндексации сайта после перехода на https протокол. После этого в поисковых выдачах начнут отображаться URL его страниц с https.

    На этом этапе возможны скачки в количестве загруженных в индекс поисковика страничек и занимаемым ими позициями. Но если все вышеперечисленные рекомендации были выполнены правильно, довольно скоро все должно вернуться к изначальным показателям (с допустимыми потерями в 2-3%).

    Надеемся, после прочтения этого материала переход на https протокол перестанет Вам казаться чем-то чрезвычайно сложным.

    Также возьмите себе на заметку, что новые веб-сайты лучше сразу создавать с его использованием, ведь это новый стандарт, к которому рано или поздно придется привыкнуть всем.

    Как перевести сайт на протокол HTTPS. Пошаговая инструкция

    Вопрос перевода сайта с HTTP-протокола на HTTPS-протокол стоит сейчас перед многими компаниями. Это необходимо для защиты персональных данных пользователей, а поисковые системы обещают давать защищенным сайтам некоторые преференции при ранжировании.

    Поэтому мы подготовили подробную пошаговую инструкцию о том, как перевести сайт на защищенный протокол без ошибок и с минимальными рисками для имеющегося поискового трафика.

    Данная инструкция была многократно опробована на сайтах разного размера, включая новостные порталы с сотнями тысяч страниц и суточной посещаемостью в десятки и сотни тысяч человек.

    Нет времени разбираться? Высокие риски допустить ошибку?
    Закажите услугу настройки https у нашей компании. Без головной боли! Оставьте заявку через форму обратной связи.

    Выбор сертификата

    Если у сайта отсутствует SSL-сертификат (требуется для работы сайта по HTTPS-протоколу), следует прибрести его в соответствии со следующими рекомендациями:

      Сертификат необходимо оформить на главное зеркало сайта (с www. или без www.), так как действие самых простых и дешевых сертификатов распространяется только на конкретное зеркало. При заходе на другое зеркало пользователи будут получать предупреждение о недоверенном соединении.

    Если на сайте много поддоменов (например, региональных вида spb.site.ru), то выгодно приобрести сертификат типа WildCard (распространяется на основной домен и все его поддомены), чем покупать для каждого поддомена отдельный сертификат.

    Для проектов с большим количеством доменов (например, у международной компании может быть отдельный сайт на отдельном домене под каждую страну) подойдут сертификаты типа SAN (Subject Alternative Names) или Multi-Domain.

    Для кириллических доменов требуется сертификат с поддержкой IDN (Internationalized Domain Names).

    При оформлении сертификата на юридическое лицо можно получить зеленый значок с названием компании в адресной строке многих браузеров, что повышает уровень доверия к сайту:


    Для получения такого значка необходимо оформить Сертификат Расширенной Проверки (EV – extended validation). Однако такие сертификаты стоят дороже, а их оформление занимает больше времени.

  • Оптимальным вариантом для компаний является сертификат OV (Проверка организации – organization validation). При этом центр сертификации проверит существование организации и ее права на домен.
  • Подготовка сайта к переходу на HTTPS

    1. Убедитесь, что внутренние ссылки на сайте заданы в относительном формате вне зависимости от домена или протокола (то есть ссылки должны быть вида /page/ или //site.ru/page/). Особенно это важно для AMP-версий страниц.

    Проверьте загрузку собственных CSS-, JS-файлов, медиа-контента (изображений, видео и т.д.). Все файлы должны загружаться по относительным адресам (/image/image1.jpg или //site.ru/image/image1.jpg).

    Исправьте подключение внешних ресурсов. Сторонние скрипты, шрифты, стили, изображения необходимо загружать либо сразу по HTTPS (например, как код Яндекс.Метрики https://mc.yandex.ru/metrika/watch.js) либо по относительным адресам, независящим от протокола (например, как код Google Analytics //www.google-analytics.com/analytics.js). Если данные файлы недоступны по HTTPS, то стоит отказаться от их использования.

  • Создайте HTTPS-версию карты сайта (по HTTPS должны быть доступны и сами XML-файлы, и ссылки на все страницы в них).
  • Установка сертификата

    Установку сертификата, как правило, можно выполнить через панель управления хостинга. Если такого функционала нет, то следует обратиться в техподдержку либо привлечь программиста. Если текущий сервер/хостинг не поддерживает SSL, то придется их поменять.

    Технические настройки сайта

      Проверьте доступность сайта по обоим протоколам (HTTP и HTTPS). Отдельно проверьте работу систем статистики (Яндекс.Метрика, Google Analytics и т.д.).

    Добавьте HTTPS-версию сайта в сервисы поисковых систем (Яндекс.Вебмастер и Google Search Console), подтвердите права на нее.

  • Перенесите настройки HTTP-версии сайта в сервисах поисковых систем в HTTPS-версию:
    • Региональность (для Яндекса) и Таргетинг по странам и языкам (для Google);
    • Файлы Sitemap (в HTTPS-версию необходимо добавить ссылки на HTTPS-адреса XML-файлов);
    • Турбо-страницы (для Яндекса, если используются RSS-файлы для Турбо);
    • Параметры URL (для Google, если настроены вручную);
    • Список ссылок в Disawov Links Tool (для Google, если какие-то ссылки были отклонены);
    • Скорость обхода (для Яндекса, если указана вручную);
    • Важные страницы и Избранные запросы (для Яндекса, если добавлены).

    Замените в сервисах Яндекс.Справочник и Google Мой Бизнес адрес сайта на вариант с HTTPS (если сайт коммерческий и адреса указаны).

  • Если на сайте настроено указание канонических страниц с помощью атрибутов rel=”canonical” тега
  • , то необходимо изменить в данных атрибутах адреса страницы на HTTPS-версии. Если rel=”canonical” отсутствуют, то изменение протокола на HTTPS – подходящее время для их внедрения.

    Настройте прямые редиректы с кодом 301 со всех HTTP-страниц сайта на соответствующие им HTTPS-страницы сайта. Избегайте построения цепочек редиректов, когда между исходной HTTP-страницей и конечной HTTPS-страницей существуют промежуточные перенаправления (такое возможно, например, при склейке зеркал с www и без www, дубликатов со / и без / и т.д.).

    Установите протокол HTTPS в инструменте «Переезд сайта» раздела «Настройка индексирования» в сервисе «Яндекс.Вебмастер» (https://webmaster.yandex.ru/) и сохраните изменения:

    Можно столкнуться с ситуацией, что какое-то время данный инструмент не будет позволять это сделать, сообщая, что указанный вами домен с HTTPS не может быть выбран в качестве главного зеркала – роботу надо убедиться в том, что HTTPS-версия сайта действительно является зеркалом HTTP-версии, и склеить эти версии в группу зеркал.

    В Google Search Console использование инструмента Изменение адреса при изменении протокола на HTTPS (без смены домена) не предусмотрено.

    Дождитесь сообщения в сервисе «Яндекс.Вебмастер» о том, что главное зеркало для Яндекса изменено на вариант с HTTPS (это может занять несколько недель).

  • Проверьте корректность учета поискового трафика на HTTPS-версии (отдельно по Яндексу и Google). Регулярно проверяйте наличие значка «Защищено» в популярных браузерах: он может меняться на «Не защищено» при подключении по HTTP сторонних скриптов и других файлов, добавлении Flash-элементов и иных небезопасных ресурсов, что снижает уровень доверия к сайту.
  • Нет времени разбираться? Высокие риски допустить ошибку?
    Закажите услугу настройки https у нашей компании. Без головной боли! Оставьте заявку через форму обратной связи.

    Быстрый переезд сайта на протокол https

    Защищенный протокол HTTPS применяется для повышения безопасности при обмене данными между пользователем и сайтом. Он представляет из себя обычный протокол http плюс шифрование с помощью криптографического протокола SSL.

    Переход на защищенный протокол, как правило, диктуется двумя причинами:

    • внедрение на сайте электронной коммерции и необходимость защиты платежных данных, вводимых покупателями;
    • стремление получить преимущества в ранжировании со стороны поисковых систем. По крайней мере, google уже заявлял, что сайты на https получат бонус в поисковой выдаче.

    Вновь создаваемые сайты рекомендуется сразу делать на защищенном протоколе, что потом не терять трафик при переводе на него.

    В качестве проверки, что все сделали правильно ориентируемся на появление значка с замком в браузере гугл хром. Ниже показаны изображения, как это выглядит, когда на сайте стоит сертификат SSL и когда его нет.

    соединение не защищено

    Поскольку изменение протокола влечет изменение адресов страниц, это невозможно сделать без временной потери позиций в поисковых системах. Но здесь нужно думать о будущем с точки зрения SEO. В вебмастере яндекс тоже стала появляться рекомендация, что нужно перевести сайт на безопасный протокол. Видимо, в ближайшем будущем эта поисковая система будет учитывать этот фактор в ранжировании.

    Рекомендации ниже даны прежде всего применительно к движку Вордпресс, но большая часть советов подходит для всех движков.

    Используем бесплатный сертификат

    В этой статье опишу самый простой и быстрый способ перевода сайта на https. При этом будем использовать бесплатный SSL сертификат, предоставляемый самим хостингом. Эти советы подойдут для большинства сайтов, работающих на виртуальных хостингах.

    Я обычно использую хостинг Beget. Кроме Beget бесплатные сертификаты раздает, например, timeweb, sprinthost и другие крупные хостинги.

    Сначала нужно выпустить сертификат. В панели хостинга Бегет для этого нужно зайти в раздел «Домены и поддомены». У названия домена, который собираемся переводить на https жмем кнопку SSL (на скриншоте отмечено цифрой 1). Цифрой 2 отмечен значок, который появится после того, как сертификат будет выпущен.

    В появившемся интерфейсе жмем кнопку Установить. Заявка на выпуск сертификата будет отправлена.

    Дальше нужно дождаться, когда он будет выпущен, о чем вы получите сообщение на емейл, а возле названия сайта в предыдущем интерфейсе появится значок с замком, о котором я писал в предыдущем абзаце.

    Изменение настроек сайта

    Далее нужно поменять адрес сайта в административной панели сайта WP. Для этого заходим в «Настройки – Общие» и меняем в полях Адрес WordPress (URL) и Адрес сайта (URL) значение http на https.

    Редирект с http на https

    Через htaccess

    Принудительное перенаправление на новый протокол проще всего сделать через файл htaccess. Для этого открываем .htaccess (расположен в корневой папке вашего сайта) и в его начале размещаем инструкции переадресации:

    Если это не прописать, то оба протокола будут работать отдельно и сайт будет открывать как с http, так и с https.

    Теперь же, после добавления указанного кода, если посетитель попробует обратиться к странице по протоколу http произойдет автоматический 301 редирект страницы на https.

    Это наиболее правильный редирект, поскольку настройки работают универсально как с www, так и без www, и для всех страниц.

    С помощью плагина Really Simple SSL

    Устанавливаем плагин Really Simple SSL. Активируем его и в появившемся окне жмем кнопку “Вперед, активируйте SSL!”

    Плагин автоматически будет делать редирект, и преобразовывать внутренние ссылки на https. Внешние ссылки не будут затронуты. В базе данных ссылки также не будут изменены.

    Устанавливаем плагин для устранения смешанного контента

    Этот плагин не нужен, если воспользовались Really Simple SSL.

    Если вы загружали и вставляли на сайт изображения, то могли видеть, что wordpress вставляет их по прямой полной ссылке с указанием протокола. То есть все ранее добавленные изображения выводятся по протоколу http. Таким образом часть контента будет работать по http, а часть по https, что называется смешанный контент. Для устранения этой проблемы будем использовать плагин HTTP / HTTPS Remover.

    Плагин заменяет подключение файлов на относительный путь, то есть ссылку вида https://delaemsait.info/ он заменит на //delaemsait.info/.

    Настроек у плагина нет. Просто устанавливаем, активируем и он работает.

    Для вновь создаваемых сайтов это делать не нужно.

    Проверки и возможные проблемы

    После этого делаем проверки основных страниц на появление замка в браузере, как показано в начале статьи. К основным страницам обычно относятся: главная, страница рубрики и страница отдельной записи, но у вас может быть свой состав страниц.

    Если все хорошо, везде будет появляться замок. Если же его нет, нужно открыть страницу в режиме просмотра кода. Для этого кликаем на странице правой кнопкой мышки и в появившемся меню выбираем «просмотр кода страницы». Появится html код страницы. Жмем ctrl + F (поиск), указываем фразу для поиска «http://» и смотрим, что у нас подключается по этому протоколу. Чаще всего бывает, что где-нибудь в хедере и футере есть ручное подключение скрипта. Нужно найти файл, где это сделано (обычно header.php или footer.php) и добавить букву s в протокол. Еще это может быть загруженная картинка, например, логотип. В этом случае достаточно просто перезагрузить картинку по новой (имеется в виду ситуация, когда используемая тема позволяет загрузить логотип и прочие служебные картинки).

    Скорее всего, когда вы увидите код, будет понятно, что это за файл и как исправить проблему.

    Имейте в виду, что не все ссылки по http приводят к появлению смешанного контента. Например, ссылки на микроразметку к таким проблемам не приводят. Имеют значение только файлы, влияющие на отображение страницы.

    Более полную проверку правильности установленного сертификата можно сделать с помощью сервиса https://www.sslshopper.com/ssl-checker.html. Здесь можно увидеть: кем он выпущен, срок истечения и т.д.

    Изменения в файле robots.txt

    Эти проверки выполняется только при наличии на сайте этого файла (располагается в корневой папке).

    • Проверьте файл robots.txt на предмет наличия в нем ссылок с http, например, это может быть ссылка на карту сайта (sitemap). Откорректируйте ее.
    • Проверьте наличие директивы Host (используется поисковой системой яндекс). Если она была такой – «Host: delaemsait.info», замените ее на «Host: https://delaemsait.info».

    Директива Host больше не используется яндекс, поэтому ее нужно просто удалить.

    Карта сайта

    Нужно переформировать карту сайта – sitemap.xml, чтобы адреса страниц в ней были с новым протоколом. Нужно зайти в настройки плагина, с помощью которого у вас реализована карта, и нажать соответствующую кнопку для переформирования.

    Настройки в вебмастерах

    Далее нужно настроить вебмастера поисковых систем. В вебмастере яндекс нужно в разделе Индексирование – Переезд сайта указать опцию «Добавить HTTPS» и нажать Сохранить, как на скриншоте.

    В вебмастере google нужно добавить сайт с протоколом https. Дальше Гугл должен сам понять, какой протокол является основным.

    В заключение могу сказать, что, не считая времени на ожидание выпуска сертификата эти действия могут занять у вас от силы минут 20, если, конечно, на сайте не используются нестандартные подключения файлов по http, которые придется долго выискивать и заменять протокол.

    Ссылка на основную публикацию
    Adblock
    detector