Блог

Перехід на https. Як перевести сайт на захищений протокол?

31 січня 2023 р.

Перехід на https. Як перевести сайт на захищений протокол? #1

У третьому кварталі 2022 року у світі налічувалося 5,5 млрд інтернет-користувачів, за даними Internet World Stats. Це 69% загального населення планети. Щодо України, то згідно з тим же джерелом відсоток проникнення інтернету в 2022 році склав 94,5%, тобто з 43,3 млн населення 40,9 млн осіб мають доступ до інтернету.

Серед такої кількості людей обов'язково знайдуться шахраї. Наскільки користувачі можуть відчувати себе в безпеці в цифровому світі?

Будь-яка дія в глобальній мережі — це обмін даними між десятками проміжних вузлів. Коли підключення відбувається по протоколу HTTP (HyperText Transfer Protocol), зловмисник може заволодіти вашими особистими даними, якщо контролює будь-який з вузлів.

Справа в тому, що дані передаються у відкритому вигляді. Коли ви пишете повідомлення в соціальній мережі або відвідуєте потрібний сайт, комп'ютер підключається до сервера і отримує від нього відгук. За допомогою цього протоколу браузер завантажує дані на ваш пристрій. Грамотний фахівець без особливих зусиль зчитає інформацію з вашого комп'ютера, або завантажить шкідливий файл разом зі скачуваним відеороликом.

Для того, щоб уникнути таких ситуацій, розробили протокол HTTPS, де буква S означає Secure (Захист).

Переваги сайту на https

Перехід на https. Як перевести сайт на захищений протокол? #2Перехід на https. Як перевести сайт на захищений протокол? #3

В чому переваги HTTPS протоколу і навіщо його встановлювати:

  • Дані передаються в зашифрованому вигляді на всіх етапах.
  • Безпечна аутентифікація на сайті гарантується захистом від атак з перехопленням - протокол засвідчує справжність сторін з'єднання, і призведе саме на той сайт, до якого мав намір звернутися користувач.
  • Найменші зміни або спотворення даних в процесі підключення до сервера фіксуються і припиняються, незалежно від того випадково це сталося або навмисно.
  • Сайт, що працює на протоколі HTTPS, підвищує довіру з боку користувачів і є більш релевантним для пошукових систем. Добре розкрученому ресурсу з високою відвідуваністю навіть невелике поліпшення в пошуковій видачі може привести десятки тисяч нових відвідувачів. Про те, що HTTPS прямо впливає на видачу в Google ще в 2014 році говорилося в головному блозі вебмайстрів Google.
  • Електронну платіжну систему можна встановити тільки на сайт із захищеним протоколом.
  • Якщо на сайті є поля введення даних для зворотного зв'язку, а шифрування не підтримується, в браузері він буде позначений як небезпечний.

За даними Google Transparency Report у січні 2023 року частка зашифрованого трафіку у всіх продуктах Google склала 94%. Якщо раптом ваш ресурс все ще входить до тих 6% онлайн-майданчиків, які не встигли впровадити захищену передачу трафіку, то саме час перевести сайт на https. Як це краще зробити, давайте розбиратися.

Коли краще здійснювати перехід на https

Перехід сайту на https треба провести якомога швидше.

Але будьте готові до того, що позиції в пошуку і відвідуваність можуть тимчасово погіршитися, приблизно на 20%.

Просідання трафіку під час переходу в Google зазвичай займає не більше двох тижнів; в інших пошукових системах процес може тривати від кількох тижнів до декількох місяців. Це залежить від того, як часто система оновлює дані сайту, від швидкості перевірки сайту роботом, від типу переходу.

Може знадобиться кілька оновлень пошукової бази перш ніж позиції, відвідуваність і кількість сторінок сайту повернуться до первинних показників.

Тому планувати перехід з http на https краще на час, коли продажі сезонно падають, або буде йти рекламна кампанія, яка зможе підтримати відвідування на звичному рівні.

Підготовка сайту

Щоб обійтися без особливої ​​втрати трафіку, зміна протоколу повинна проходити в кілька етапів.

Перенесення сайту варто почати зі збереження резервної копії бази даних і файлів. Далі розглянемо, як саме це зробити. 

1. Необхідно замінити внутрішні посилання ресурсу з абсолютних на відносні
Приклад:

  • Повне посилання: https://example.ua/archive/
  • Відносне — //example.ua/archive/

Якщо цього не зробити, внутрішні посилання вкажуть на старий домен - просто видаліть назву протоколу. Зовнішні посилання виправляти не треба.

Це можна робити вручну, у SQL, але набагато зручніше використовувати плагіни і замінити їх автоматично. Наприклад, платформа Wordpress пропонує два варіанта: SSL Mixed Content Fix та Velvet Blues Update URLs.

2. Зверніть увагу на зовнішні скрипти
Якщо скрипт використовує з'єднання HTTP, в ньому теж треба змінити URL на відносний.

Ця рекомендація стосується рідко використовуваних скриптів, бо популярні сервіси, як Google Analytics і подібні, і так працюють із захищеним з'єднанням. Перевірте, які підключені у вас і, за необхідності, скорегуйте.

3. Виправте контент
Також варто перевірити посилання кожного відео, зображення і презентації. Всі мультимедійні дані на сайті повинні відкриватися по протоколу HTTPS. Завантажуючи файли зі сторонніх ресурсів, переконайтеся, що вони підтримують захищене з'єднання. Якщо ні, краще відмовтеся від їх використання. 

Встановлення SSL-сертифіката

Перехід на https. Як перевести сайт на захищений протокол? #4Перехід на https. Як перевести сайт на захищений протокол? #5

Secure Socket Layer (SSL) необхідний для роботи HTTPS протоколу. Якщо бачите в адресному рядку браузера значок "закритий замок", це означає, що онлайн-ресурс має SSL, і дані користувачів, будуть під захистом.

Secure Socket Layer бувають безкоштовними та платними. Різниця між самопідписним (self-signed) безкоштовним і платним сертифікатом у тому, що у другому варіанті дані перевірені та підтверджені центром сертифікації.

Безкоштовні сертифікати (self-signed) підійдуть для використання у внутрішній мережі або для службових цілей, але не підійдуть для публічних сайтів та інтернет-магазинів. Браузер, при підключенні до ресурсу з самопідписним сертифікатом, видає попередження про те, що сертифікат безпеки не є довіреним і радить не продовжувати взаємодію з ним. Більшість клієнтів після цього розвертаються і покидають сайт.

Щодо платних сертифікатів, то вони бувають кількох категорії категорій та вартують по-різному. Кілька порад, які допоможуть вибрати правильний сертифікат безпеки:

  • Сертифікат безпеки з перевіркою доменного імені. Документи для його отримання не потрібні, випуск займає близько 15 хвилин. Найпростіший в оформленні та недорогий сертифікат, підходить і для компаній, і для фізичних осіб. Якщо діяльність ресурсу пов'язана з фінансовими операціями, такий сертифікат не підійде.
  • Перевірка організації. При відвідуванні сайту, захищеного таким SSL, в адресному рядку браузера вказується назва організації. Його вибирають турфірми, корпоративні сайти, соцмережі, онлайн-магазини. Перевірка даних займає кілька днів.
  • Розширена перевірка. Він підійде сайтам, де користувачі вводять або зберігають реквізити платіжних карт, роблять об'ємні угоди, завантажують сканкопії паспорта або будь-яких інших документів. Інформацію перевіряють до двох тижнів.

Найпростіший спосіб замовити сертифікат — звернутися до свого хостинг-провайдеру. Якщо це не варіант, ось найпопулярніші центри сертифікації: Comodo, Symantec, Trustwave, Geotrust, Thawte.

Потім сертифікат треба активувати, заповнивши технічні дані і вказавши контакти. Зробити це можна на сайті компанії, де ви придбали SSL.

При замовленні SSL-сертифіката буде згенеровано CSR, тобто запит на отримання. Завдання його просте - підготувати файл з інформацією про домен і організацію замовника. Разом з цим буде згенеровано закритий ключ шифрування трафіку між сервером і клієнтом.

У відповідь на запит, центр сертифікації відсилає на вказаний email лист, в якому треба підтвердити активацію. У листі буде секретний код, який знадобиться ввести, перейшовши за посиланням з листа. Після перевірки готовий сертифікат буде також відправлений на пошту.

Встановити його можна через панель управління сервером. Якщо хостинг не має графічної панелі управління, можна зробити це вручну, передавши файли сертифіката - всі вони є в електронному листі.

Процес установки SSL залежить від хостингу і CMS (панелі керування вмістом). Хороші рішення для створення сайтів і їх керуванням пропонують платформи:

  • Opencart. Конструктор інтернет-магазину з величезним вибором модулів і тем, простий в управлінні і має все необхідне для функціонування комерційного сайту.
  • Joomla. Гнучка платформа, яка розширює можливості сайтів. Систему управління контентом не раз відзначали нагородами, також є можливість створення сайтів і онлайн-додатків.
  • Modx. Ще одна професійна CMS і фреймворк для веб-додатків. Розповсюджується безкоштовно.

Для користувачів, які знаються на програмуванні, теж є незамінний помічник — файл .htaccess. З його допомогою просто і зручно управляти налаштуваннями веб-сервера Apache і схожих серверів.

Знаходиться він, як правило, в кореневому каталозі сайту, але в деяких CMS може виглядати як htaccess.txt. У такому вигляді він марний, для активації його треба перейменувати в .htaccess.

Перевірити активність файлу просто — напишіть в першому рядку найперше, що прийшло на розум. Наприклад, robot. Збережіть, і замініть їм .htaccess, який зберігається на сервері. Якщо ніяких змін в роботі сайту не сталося — файл неактивний. Інакше сервер видав би помилку, повідомивши, що не зміг зрозуміти команду.

Що конкретно він може:

  • Допомагати налаштувати редирект з http на https.
  • Кешувати файли для прискорення роботи.
  • Створювати зрозумілі користувачеві URL.
  • Описувати помилки.
  • Контролювати доступ з конкретних IP-адрес.
  • Керувати пошуковими ботами.
  • Змінювати вихідний код сторінок.

І багато іншого. За допомогою файлу фахівці seo і програмісти можуть змінювати налаштування сервера без прав адміністратора — всі зміни впливають тільки на сайт, а не на сервер.

Налаштування сайту

Перехід на https. Як перевести сайт на захищений протокол? #6Перехід на https. Як перевести сайт на захищений протокол? #7

В першу чергу переконайтеся, що сайт тепер доступний в двох варіантах: з http і https. Тобто, якщо пишете адресу з протоколом http, але автоматично потрапляєте на https, значить налаштування виконано правильно.

Залишилося три кроки:

  1. Тепер треба налаштувати 301 редирект. З усіх дзеркал сайту перенаправляємо трафік на головне дзеркало через 301 редирект, тобто в один крок. Можна прописати його у файлі .htaccess, або звернутися в техпідтримку хостера.
  2. Ще раз перевірте коректну роботу сайту та переконайтеся, що посилання працюють, всі сторінки доступні, а контент на своїх місцях. Є проблема? Усуньте її.
  3. Тільки після цього повідомте пошуковикам про перехід на безпечний протокол HTTPS. Це важливо зробити, щоб уникнути втрати трафіку. Треба вказати нове головне дзеркало сайту в пошукові системи. 

Додавання сайту в панель вебмайстрів

Коли ви перевели ресурс на новий протокол, важливо, щоби пошукові системи знову проіндексували ваш сайт зі вже оновленими URLs. Як це зробити — розглянемо на прикладі Google.

Насамперед вам знадобиться посилання на карту сайту. Якщо ваш сайт використовує одну з популярних CMS, як WordPress, Wix, або Shopify, то, швидше за все, ви зможете знайти Sitemap за однією з цих адрес:

  • yoursite.com/sitemap.xml
  • yoursite.com/sitemap_index.xml
  • yoursite.com/sitemap1.xml

Далі заходимо в Search Console і вибираємо там потрібний сайт, якщо у вас їх кілька. У бічному меню знаходимо розділ Sitemap, вставляємо посилання на карту сайту та натискаємо "Надіслати". Якщо раптом у Sitemap будуть помилки, після перевірки система їх підсвітить і вкаже, що потрібно виправити для кращої переіндексації сайту.

Для інших пошукових систем алгоритм буде приблизно такий самий: беремо карту сайту та виливаємо її на переіндексацію через інструмент, який пропонує конкретна пошукова система.

Перехід сайту на цьому можна вважати завершеним: який інструмент і для чого використовувати, як підготувати сайт і як завершити перехід на захищений протокол, щоб максимально знизити ризики втрати трафіку — все це постаралися доступно викласти в даній статті. Сподіваємося, інформація була для вас корисною. 

Faq

Навіщо переводити сайт на HTTPS?

Відповідь доволі проста: переводити сайт на HTTPS потрібно для гарантування користувачам безпечного підключення. Дані за цим протоколом на всіх етапах взаємодії передаються в зашифрованому вигляді, на відміну від того ж HTTP, де все відкрито та доступно для шахраїв. Крім того, сайт, який працює на протоколі HTTPS, має вищу довіру з боку користувачів. Також він є більш релевантним для пошукових систем, що надає можливість підвищити охоплення.

Як перевірити, що мій сайт правильно налаштований на HTTPS?

Для перевірки правильності налаштування сайту на HTTPS ви маєте переконатися в тому, що сторінка тепер доступна у двох варіантах: з HTTP і HTTPS. Для цього напишіть адресу з протоколом HTTP та подивіться, куди потрапите. Якщо вас автоматично переадресовує на HTTPS — значить, все виконано правильно. Залишилося тільки декілька фінальних кроків до повного переходу: налаштувати редиректи, перевірити коректність роботи та повідомити пошуковикам про все це через відповідну консоль.
 

Чи можу я отримати безкоштовний SSL-сертифікат для свого сайту?

Так, кожен може отримати безкоштовний SSL-сертифікат для свого сайту, але не кожному такий варіант підійде. SSL використовується у внутрішній мережі й для службових цілей. Однак він не підійде публічним сайтам та інтернет-магазинам, оскільки браузер при підключенні до такого ресурсу видає попередження про недовірений сертифікат безпеки. Це може налякати потенційного клієнта та зменшити рівень відвідуваності сайту, підвищивши кількість відмов.