Переход на https. Как перевести сайт на защищенный протокол?

В  третьем квартале 2022 года в мире насчитывалось 5,5 млрд интернет-пользователей, по данным Internet World Stats. Это 69% от общего населения планеты. Что касается Украины, то согласно тому же источнику процент проникновения интернета в 2022 году составил 94,5%: из 43,3 млн населения 40,9 млн человек имеют доступ к интернету.

Среди такого количества людей обязательно найдутся мошенники. Насколько пользователи могут чувствовать себя в безопасности в цифровом мире?

Любое действие в глобальной сети — это обмен данными между десятками промежуточных узлов. Когда подключение происходит по протоколу HTTP (HyperText Transfer Protocol), злоумышленник может завладеть вашими личными данными, если контролирует любой из узлов.

Дело в том, что данные передаются в открытом виде. Когда вы пишете сообщение в социальной сети или заходите на нужный сайт, компьютер подключается к серверу и получает от него ответ. С помощью этого протокола браузер загружает данные на ваше устройство. Грамотный специалист без особого труда считает информацию с вашего компьютера, или загрузит вредоносный файл вместе со скачивающимся видеороликом.

Для того, чтобы избежать таких ситуаций, разработали протокол HTTPS, где буква S означает Secure (Защита).

Преимущества сайта на https

Чем хорош HTTPS протокол и зачем его устанавливать:

• Данные передаются в зашифрованном виде на всех этапах.
• Безопасная аутентификация на сайте гарантируется защитой от атак с перехватом — протокол удостоверяет подлинность сторон соединения, и приведет именно на тот сайт, к которому был намерен обратиться пользователь.
• Малейшие изменения или искажения данных в процессе подключения к серверу фиксируются и пресекаются, независимо от того случайно это произошло или преднамеренно.
• Сайт, работающий на протоколе HTTPS, повышает доверие со стороны пользователей и более релевантен для поисковых систем. Хорошо раскрученному ресурсу с высокой посещаемостью, даже небольшое улучшение в поисковой выдаче может привести десятки тысяч новых посетителей. О том, что HTTPS прямо влияет на выдачу в Google еще в 2014 году говорилось в главном блоге вебмастеров Google.
• Электронную платежную систему можно установить только на сайт с защищенным протоколом.
• Если на сайте есть поля ввода данных для обратной связи, а шифрование не поддерживается, в браузере он будет помечен как небезопасный.

По данным Google Transparency Report в январе 2023 года доля зашифрованного трафика во всех продукта Google составила 94%. Если вдруг ваш ресурс все еще входит в те 6% онлайн-площадок, которые не успели внедрить защищенную передачу данных, то самое время перевести сайт на https. Как это лучше сделать, давайте разбираться.

Когда лучше осуществлять переезд на https

Перевод сайта на https надо провести как можно быстрее.

Но будьте готовы к тому, что позиции в поиске и посещаемость могут временно ухудшиться, примерно на 20%.

Проседание трафика во время переезда, в Google обычно занимает не больше двух недель; в других браузерах процесс может длиться от нескольких недель до месяцев. Это зависит от того, как часто поисковик обновляет данные о зеркалах сайта, скорости обхода сайта роботом, от типа переезда.

Может понадобится несколько обновлений поисковой базы, прежде чем позиции, посещаемость и количество страниц сайта вернутся к первоначальным показателям.

Поэтому планировать переход с http на https лучше на время, когда продажи сезонно падают, или будет идти рекламная кампания, которая сможет поддержать посещения на уровне.

Подготовка сайта

Чтобы обойтись без особой потери трафика, смена протокола должна проходить в несколько этапов.

Перенос сайта стоит начать с сохранения резервной копии базы данных и файлов. Далее — по порядку, как это сделать. 

1. Необходимо заменить внутренние ссылки ресурса с абсолютных на относительные.
Пример:

• Полная ссылка: https://example.ua/archive/
• Относительная — //example.ua/archive/

Если этого не сделать, внутренние ссылки будут указывать на старый домен — просто удалите название протокола. Внешние ссылки исправлять не надо.

Это можно делать вручную, в SQL, но намного удобнее использовать плагины и заменить их автоматически. Например, платформа Wordpress предлагает два варианта: SSL Mixed Content Fix и Velvet Blues Update URLs.

2. Обратите внимание на внешние скрипты
Если скрипт использует соединение HTTP, в нем тоже надо изменить URL на относительный.

Эта рекомендация относится к редко используемым скриптам, потому что популярные сервисы, как Google Analytics и подобные, и так работают с защищенным соединением. Проверьте, какие подключены у вас и, при необходимости, скорректируйте.

3. Исправьте контент
Также стоит перепроверить и обновить ссылки каждого видео, изображения и презентации. Все медиафайлы на сайте должны открываться по протоколу HTTPS. Загружая файлы со сторонних ресурсов, убедитесь, что они поддерживают защищенное соединение. Если нет, лучше откажитесь от их использования.

Установка SSL-сертификата

Secure Socket Layer (SSL) необходим для работы HTTPS протокола. Если видите в адресной строке браузера значок "закрытый замок” — это значит, что онлайн-ресурс имеет SSL, и данные пользователей, которые они вводят на сайте, будут под защитой.

Secure Socket Layer бывают бесплатные и платными. Разница между самоподписным (self-signed) бесплатным и платным сертификатом в том, что во втором варианте данные проверены и подтверждены центром сертификации.

Бесплатные сертификаты (self-signed) подойдут для использования во внутренней сети или для служебных целей, но не годятся для публичных сайтов и интернет-магазинов. Браузер, при подключении к ресурсу с самоподписным сертификатом, выдает предупреждение о том, что сертификат безопасности не является доверенным и советует не продолжать. Большинство заказчиков после этого разворачиваются и уходят.

Что касается платной сертификации, есть несколько категорий сертификатов с разной стоимостью. Вот несколько советов, которые помогут выбрать правильный сертификат безопасности:

• Сертификат безопасности с проверкой доменного имени. Документы для его получения не требуются, выпуск занимает около 15 минут. Самый простой в оформлении и недорогой сертификат, подходит и для организаций, и для физического лица. Если деятельность ресурса связана с финансовыми операциями, такой сертификат не подойдет.
• Проверка организации. При посещении сайта, защищенного таким SSL, в адресной строке браузера указывается название организации. Его выбирают турфирмы, корпоративные сайты, соцсети, онлайн-магазины. Проверка данных занимает несколько дней.
• Расширенная проверка. Он нужен сайтам, где пользователи вводят или хранят реквизиты платежных карт, совершают объемные сделки, загружают сканкопии паспорта или любых других документов. Информацию проверяют до двух недель.

Самый простой способ заказать сертификат — обратиться к своему хостинг-провайдеру. Если это не вариант, вот самые популярные центры сертификации: Comodo, Symantec, Trustwave, Geotrust, Thawte.

Затем сертификат надо активировать, заполнив технические данные и указав контакты. Сделать это можно на сайте компании, где вы приобрели SSL.

При заказе SSL-сертификата будет сгенерирован CSR, то есть запрос на получение. Задача его проста — подготовить файл с информацией о домене и организации заказчика. Вместе с этим будет сгенерирован закрытый ключ шифрования трафика между сервером и клиентом.

В ответ на запрос, центр сертификации отсылает на указанный email письмо, в котором надо подтвердить активацию. В письме будет секретный код, который понадобится ввести, перейдя по ссылке из письма. После проверки, готовый сертификат будет также отправлен на почту.

Установить его можно через панель управления сервером. Если хостинг не имеет графической панели управления, можно сделать это вручную, скопировав файлы сертификата — все они есть в электронном письме.

Процесс установки SSL зависит от хостинга и CMS (панели управления содержимым). Хорошие решения для создания сайтов и управления содержимым предлагают платформы:

• Opencart. Конструктор интернет-магазина с огромным выбором модулей и тем, прост в управлении и обладает всем необходимым для функционирования коммерческого сайта.
• Joomla. Гибкая платформа, которая расширяет возможности сайтов. Систему управления контентом не раз отмечали наградами, также есть возможность создания сайтов и онлайн-приложений.
• Modx. Еще одна профессиональная CMS и фреймворк для веб-приложений. Распространяется бесплатно.

Для пользователей, разбирающихся в программировании, тоже есть незаменимый помощник — файл .htaccess. С его помощью просто и удобно управлять настройками веб-сервера Apache и похожих серверов.

Находится он, как правило, в корневом каталоге сайта, но в некоторых CMS может выглядеть как htaccess.txt. В таком виде он бесполезен, для активации его надо переименовать в .htaccess.

Проверить активность файла просто — напишите в первой строчке первое, пришедшее на ум слово. Например, robot. Сохраните, и замените им .htaccess, который хранится на сервере. Если никаких изменений в работе сайта не произошло — файл неактивен. Иначе сервер выдал бы ошибку, сообщив, что не смог понять команду.

Что конкретно он делает:

• Поможет настроить редирект с http на https.
• Кэшировать файлы для ускорения работы.
• Создавать понятные пользователю URL.
• Описывать ошибки.
• Контролировать доступ с конкретных IP-адресов.
• Управлять поисковыми ботами.
• Изменять исходный код страниц.

И многое другое. С помощью файла специалисты seo и программисты могут менять настройки сервера без прав администратора — все изменения влияют только на сайт, а не на сервер.

Настройка сайта

В первую очередь удостоверьтесь, что сайт теперь доступен в двух вариантах: с http и https. То есть, если пишете адрес с протоколом http, но автоматически попадаете на https, — значит настройка выполнена правильно.

Осталось три шага:

1. Теперь надо настроить 301 редирект. Со всех зеркал сайта перенаправляем трафик на главное зеркало через 301 редирект, то есть в один шаг. Можно прописать его в файле .htaccess, либо обратиться в техподдержку хостера.
2. Еще раз проверьте корректную работу сайта и убедиться, что все страницы доступны, а контент на своих местах. Есть проблема? Устраните ее.
3. Только после этого сообщите поисковикам о переходе на безопасный протокол HTTPS. Это важно сделать, чтобы избежать потери трафика. Надо указать новое главное зеркало сайта в поисковых сервисах. 

Добавление сайта в панель вебмастеров

Когда вы перевели ресурс на новый протокол, важно, чтобы поисковые системы заново проиндексировали ваш сайт с уже обновленными URLs. Как это сделать — рассмотрим на примере Google.

В первую очередь вам понадобиться ссылка на карту сайта. Если ваш сайт использует одну из популярных CMS, как WordPress, Wix, или Shopify, то, скорее всего, вы сможете найти Sitemap по одному из этих адресов: 

• yoursite.com/sitemap.xml
• yoursite.com/sitemap_index.xml
• yoursite.com/sitemap1.xml

Далее — заходим в Search Console и выбираем там нужный сайт, если у вас их несколько. В боковом меню находим раздел Sitemap, вставляем ссылку на карту сайта и нажимаем “Отправить”.  Если вдруг в Sitemap будут ошибки — система после проверки их подсветит и укажет, что нужно исправить для лучшей переиндексации сайта.

Для других поисковых систем алгоритм будет примерно такой же: берем карту сайта и выливаем ее на переиндексацию через инструмент, который предлагает конкретный поисковик. 

Переезд сайта на этом можно считать завершенным: какой инструмент и для чего использовать, как подготовить сайт и как завершить переход на защищенный протокол, чтобы максимально снизить риски потери трафика — все это постарались доступно изложить в данной статье. Надеемся, вам это будет полезно.