Практические советы
Правильный переезд на HTTPS-протокол
Актуальность вопроса переезда с HTTP-протокола на HTTPS растет с каждым днем. Особый рост интереса к нему вызвало заявление компании Google, что с января 2017 года браузер Google Chrome будет помечать сайты без HTTPS как небезопасные.
Осталось совсем немного до выхода обновленного браузера Google Chrome 56. Суть апдейта заключается в том, что сайты, собирающие данные пользователей (пароли, данные кредитных карт и т.п.) и не использующие защищенный протокол HTTPS будут помечаться в окне браузера, как небезопасные. На официальной странице Google Webmasters в Google+ сообщается, что это обновление будет запущено в конце января.

В первую очередь, кому стоит обратить внимание, это интернет-магазины, т.к. пометка, что сайт небезопасен для пользователя как минимум снизит доверие и трафик, что в свою очередь повлечет за собой ухудшение в ранжировании.

Если у вас новый сайт, которому от двух недель, до пары месяцев, и вы еще не успели обзавестись ТОПами и высокой посещаемостью (наверное, даже еще и не все страницы попали в индекс), то переживать не стоит. Просто приобретите SSL-сертификат, настройте его, и все произойдет само в течении пару недель, вы даже не заметите просадки в трафике.

Но это про молодые, еще неокрепшие сайты. Но что делать, если у вашему магазину или порталу уже не один год и вы своевременно не успели переехать с HTTP на HTTPS? Эта статья как раз для вас.

Зачем переезжать?

HTTPS (Hypertext Transport Protocol Secure) — протокол с поддержкой шифрования информации, служащий для безопасного обмена данными между интернет-ресурсом и браузером.
Многие крупные ресурсы начали использовать защищенный протокол ещё в 2000-х. Большая часть перешла в 2010-2011 годах, когда был большой бум из-за утилит иранского хаккера Марлинспайка Firesheep и SSLStrip, позволяющих воровать персональные данные с незащищенных сайтов.

8 июня 2015 года правительство США поручило всем сайтам федерального уровня перейти на протокол HTTPS до конца 2016 года в срочном порядке. А уже в этом году браузер от Google начнем помечать все сайты без HTTPS, как небезопасные

Как выбрать SSL-сертификат?

Существует несколько видов SSL-сертификатов, каждый из которых отличается особенностями проверки и подтверждения прав, а также по функционалу.

По типу проверки

Domain Validation
— Проверочный код на E-Mail @site.ru
— TXT-запись в DNS домена

Проверяется только подтверждение прав на домен.
Для кого

Малый бизнес и отраслевые блоги
Organization Validation
— Данные во Whois
— Информация о компании в «Желтых страницах»
— Свидетельство о государственной регистрации

Необходимо подтверждение прав на домен и регистрации организации.
Для кого

Для малого и среднего бизнеса, федеральных компаний
Extended Validation
— Наличие компании по адресу
— Свидетельство о государственной регистрации
— Документы, подтверждающие операционную деятельность
— Торговая марка

Необходим полный перечень документов об осуществлении деятельности организации, зарегистрированный товарный знак, точный физический и юридический адреса, подтверждение прав на домен.
Для кого

Крупные коммерческие организации, интернет-магазины, банки

По функциям

Standart
— Низкая стоимость
— Подходит для всех сфер

Самый распространенный вид SSL-сертификатов, идеально подходит для того, чтобы опробовать все прелести HTTPS.
Wildcard
— Поддерживает неограниченное число поддоменов (не нужно покупать отдельные сертификаты для каждого)
— Подходит для крупных сетей с региональными субдоменами и разделением сайта на тематические направления

Важно! Приобретать данный сертификат стоит только лишь в том случае, когда количество ваших поддоменов слишком велико. Если у вас их два-три, то выгоднее купить для каждого субдомена свой сертификат.
SAN
Сертификат, действующий для нескольких доменов на одном сервере.
IDN
Сертификат, поддерживающий кириллические домены.
Подробнее о видах SSL-сертификатов читайте здесь https://habrahabr.ru/company/tuthost/blog/150433/

Подготовка к переезду

Перед тем, как полностью переходить на использование HTTPS-протокола, я рекомендую подготовить сайт с технической части заранее, что позволит избежать ряд проблем в дальнейшем.

Смена внутренней перелинковки

При любом переезда сайта, не важно смена то протокола или домена, нужно учитывать, чтобы все внутренние ссылки были относительного вида. Это не просто избавит вас от 100500 битых ссылок или ссылок с редиректами, но и сократит время на исправление после переноса.

Если у вас на сайте по умолчанию используются абсолютные ссылки или ваш контент-менеджер просто не знал о существовании относительных, советую проверить сайт на наличие таковых и привести их к относительному виду.

Стоит учитывать, что относительные ссылки бывают двух типов:

1. Относительные вне зависимости от домена https://site.ru/about/ — абсолютная. /about/ — относительная.

2. Относительные вне зависимости от протокола. https://site.ru/about/ — абсолютная //site.ru/about/ — относительная

При переезде с HTTP на HTTPS необходимо использовать ссылки второго вида, когда вы исключаете название протокола. Благодаря этому, уже становится неважным на HTTP ваш сайт или на HTTPS, все ссылки будут постоянно ссылаться только актуальный протокол. Важно! Это касается только внутренней перелинковки.

Исправление вложений медиа-контента

Проверьте, какой медиа-контент (изображения, видео, презентации, и др.) вы используете у себя на сайте и по какому протоколу его запрашиваете. Здесь необходимо тоже все перевести в относительные адреса, и тогда при переходе на HTTPS у вас медиа-контент также будет подгружаться с защищенных сайтов. Но стоит убедиться, что он действительно доступен по HTTPS.

Если используемые вами картинки хранятся на вашем сайте, то просто используйте относительные адреса //site.ru/img/mega-image.jpg. Если вы подгружаете картинки с внешних ресурсов (CDN или других сайтов), то они также должны поддерживать HTTPS, иначе стоит отказаться от этих вложений.

Популярные сервисы, которые позволяют внедрять свой контент, типа YouTube, SlideShare, виджеты VK или Facebook, и другие, уже давно поддерживают HTTPS, поэтому с ними проблем не возникнет. Но если вы используете медиа-контент с непопулярных сервисов, то уточните, будет ли этот контент работать/отображаться, если вы смените протокол.

Исправление подключений внешних скриптов

Во внешних скриптах также нужно использовать относительные URL. Например, для библиотеки jQuery, вместо кода:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
Нужно использовать:
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
Также и с другими скриптами: Яндекс.Метрика, LiveInternet, Google Analytics, Яндекс.Директ, различные javascript библиотеки и др.

Подготовительная работа может занять много времени, поэтому все эти исправления лучше делать до полного переноса сайта с HTTP на HTTPS. Если для некоторых проектов стоимость переноса зависит в большей степени от стоимости SSL-сертификата и 1 часа программиста, то у других проектов стоимость переноса как раз заключается в подготовительных работах, так как не все партнеры, которые помогают этим проектам монетизироваться, могут поддерживать защищенный HTTPS протокол.

13 рекомендаций от Google

Далее вы найдете ответы Джона Мюллера (John Mueller), ведущего аналитика компании Google, специалиста отдела качества поиска по работе с вебмастерами (Webmaster Trends Analyst).

Джон возглавляет команду помощи вебмастерам, оказывает оперативную информационную поддержку специалистам отрасли, освещает принципы работы поиска.

Джон Мюллер
Actress
Вопрос:
Необходимо ли что-нибудь настраивать в Search Console?
Джон Мюллер:
Нет. Достаточно добавить сайт. Если изменяете протокол с HTTP на HTTPS, отправлять запрос на изменение адреса не нужно.
Вопрос:
Как провести A/B-тест?
Джон Мюллер:
Чтобы протестировать непроиндексированный сайт на HTTPS, используйте 302 редирект и rel=cannonical для HTTP-версии. Не блокируйте в robots.txt.
Вопрос:
Гарантирует ли атрибут rel=canonical индексацию URL с HTTP?
Джон Мюллер:
Нет. Но это сильный сигнал при выборе проиндексированного адреса.
Вопрос:
Что делать после тестирования?
Джон Мюллер:
Руководствуйтесь справкой по переносу. Настройте 301 редиректы с HTTP на HTTPS, добавьте rel=canonical на страницы с HTTPS с рекурсивной ссылкой, создайте и сохраните файл Sitemap с HTTP и HTTPS URL (в перспективе храните Sitemap на HTTPS).
Вопрос:
Что делать с robots.txt?
Джон Мюллер:
Сайт на HTTPS использует HTTPS robots.txt. Убедитесь, что он доступен или возвращает код 404. Проверьте, что адреса с HTTP не закрыты в robots.txt для HTTP.
Вопрос:
Это нормально, что не все страницы на HTTPS?
Джон Мюллер:
Да. Начните с части, протестируйте и двигайтесь дальше.
Вопрос:
Необходимо переносить все сразу или можно частями?
Джон Мюллер:
Можно переносить частями.
Вопрос:
Потеряет ли сайт позиции?
Джон Мюллер:
Колебания в позициях происходят и при более значительных изменениях на сайте. Мы не даем гарантий, но обычно при переезде на HTTPS все в порядке.
Вопрос:
Какой нужен SSL-сертификат?
Джон Мюллер:
Для поиска Google подойдет любой сертификат, который принимают современные браузеры.
Вопрос:
Потеряет ли сайт ссылочный вес из-за редиректов?
Джон Мюллер:
Нет. Вы не потеряете PageRank из-за 301 и 302 редиректов с HTTP на HTTPS.
Вопрос:
Если мы перейдем на HTTPS, увидим ли поисковые фразы в Google Analytics?
Джон Мюллер:
Ничего не изменится с переездом на HTTPS. Посмотреть поисковые запросы можно в Search Console.
Вопрос:
Как проверить, сколько страниц в индексе?
Джон Мюллер:
Проверяйте HTTP и HTTPS отдельно в Search Console. Используйте «Статус индексирования» для большей информации или данные файлов Sitemap.
Вопрос:
Как долго длится переезд на HTTPS?
Джон Мюллер:
Частота и скорость переиндексации зависят от размера сайта. Переезд происходит на базе URL.
Пошаговая видео-инструкция о смене протоколов
Переезд с HTTP на HTTPS. Пошаговая инструкция
Как правильно перенести сайт на HTTPS-протокол, какие SLL-сертификаты бывают и на что стоит опираться при переезде расскажет Виталий Виноградов авто блога vinograd.io

Полезные статьи

Google
Официальные рекомендации из пособия для вебмастеров от Google:

Переезд сайта с изменением URL с HTTP на HTTPS
Made on
Tilda