Переводим сайт на HTTPS

Обмен данными между сайтом и браузером клиента осуществляется по протоколу HTTP (HyperText Transfer Protocol). Его методы обеспечивают корректную работу с любыми гипертекстовыми документами, но уровень безопасности передаваемых данных недостаточно высок.

Масштаб развития современной электронной коммерции и банковских технологий, а также требования к конфиденциальности информации предусматривают передачу данных по защищенному соединению. Как раз для этого и необходим переход на HTTPS.

Что все это значит?

Аббревиатура HTTPS расшифровывается как HyperText Transfer Protocol Secure — защищённый протокол для передачи гипертекста.

Стоит отметить, что HTTPS — это не самостоятельный протокол, структура запросов и ответов отличий от HTTP не имеет.

Основная разница — добавление при передаче данных шифрования, которое обеспечивается при помощи механизмов SSL и TLS.

SSL (Secure Sockets Layer) — протокол, повышающий безопасность передачи данных посредством криптографии (шифрования). Он подходит не только для гипертекстовых документов, но и для загрузки файлов, IP-телефонии, электронной почты. Разработка протокола началась в 90-х годах XX века, в 1995 году появилась версия 2.0, а в 1996 — 3.0, которая и стала основой TLS 1.0.

TLS (Transport Layer Security) — современный криптографический протокол, который исключает несанкционированный доступ к данным во время их передачи. Достигается это за счет аутентификации, симметричного и ассиметричного шифрования, средств проверки аутентичности сообщений.

В чем «секрет» HTTPS?

Переход на HTTPS предполагает установку на сервере SSL-сертификата, именно его наличие позволяет принимать соединение по протоколу HTTPS. Сертификат каждого сайта уникален, его можно назвать цифровой подписью.

Основа сертификата — два криптографических ключа: публичный и приватный. Ключ public шифрует входящие (идущие от клиента к серверу) данные, а private – исходящие. Это секретный ключ, доступ к нему есть только у администратора сайта.

В сертификате содержатся серийный номер, версия, данные о доменном имени и владельце, а также об организации, его выдавшей. Важнейший параметр — срок действия сертификата, точнее, даты начала и окончания его действия, вне диапазона которых сертификат признается невалидным.

Существуют специализированные сервисы для проверки SSL-сертификатов.

Правильность установки сертификата можно проверить здесь.

А этот сервис предоставляет доступ к полной технической информации, содержащейся в сертификате.

SSL сертификаты: основные виды

Как уже было сказано ранее, для переноса сайта на HTTPS нужно получить и установить SSL-сертификат. В зависимости от способа валидации их разделяют на несколько типов. Здесь нужно отметить, что большинство из них платные.

Самоподписанный сертификат

Бесплатно можно получить и установить только самоподписанный сертификат. Но минусов у такого варианта гораздо больше, чем плюсов. Собственно, преимущество лишь одно — бесплатность. Но сайт с такой цифровой подписью скорее отпугнет пользователей, поскольку браузеры будут предупреждать о том, что:

• подключение не защищено (Chrome);
  
  
• соединение с этим сервером небезопасно (Яндекс браузер);
  
  
• ваше соединение не защищено (Mozilla Firefox);
  
  
• ошибочный сертификат (Opera).
  
  

Да, все технические преимущества SSL этот вариант обеспечивает, но для посетителя сайт выглядит подозрительно. И браузер помечает такой сайт в адресной строке браузера следующим образом: 

Domain Validated или DV-валидация

Domain Validated или DV-валидация — это сертификат начального уровня доверия. При его выдаче проверяется, как следует из названия, только принадлежит ли доменное имя тому, кто оформляет сертификат. Это самый доступный и распространенный вариант, поскольку:

В адресной строке такой сайт отмечается как безопасный: 

Organization Validatio

Organization Validation или валидация организации — хороший вариант для юридических лиц. Для получения сертификата нужно подтвердить факты наличия компании и принадлежности ей доменного имени и сайта.

Сертификат выдается после предоставления и проверки соответствующих свидетельств:

• ОГРН;
• ИНН/КПП;
• о праве на владение доменным именем и другие.

Полный список документов зависит от организационно-правовой формы предприятия. Получить его можно в организации, выдающей сертификаты.

Organization Validation — сертификат высокого уровня надежности, его стоимость начинается от 2000 рублей в год.

В адресной строке сайт выглядит так:  Extended Validation

Extended Validation — это самый надежный из возможных SSL сертификатов. Этот вид валидации предназначен для крупных корпораций. Цена EV-сертификата начинается от 12000 рублей в год. Дополнительное преимущество — отображение в адресной строке браузера названия компании, что повышает доверие клиентов.

Если сайт компании имеет несколько поддоменов (например, для разных регионов или направлений деятельности), может потребоваться установка сертификата Wildcard. Некоторые хостинг-провайдеры предоставляют его в качестве дополнительной услуги.

Стоимость этих сертификатов начинается от 1500 рублей в год.

Итак, большинство SSL-сертификатов платные. Для перехода на HTTPS также могут потребоваться расходы на оплату выделенного IP адреса, если эта опция не включена в тариф хостинга изначально. Стоимость этой услуги устанавливается провайдером и в среднем составляет 1200 рублей в год.

Если вы не определились с выбором вида SSL-сертификата для своего сайта, компания Peppers Digital поможет вам. Также мы можем полностью перенести сайт на HTTPS, избавив вас от любых хлопот, связанных с этим процессом.

Расходы на получение SSL-сертификата и перенос сайта на HTTPS необременительны даже для небольшой компании. А преимущества, которые обеспечивает этот вид аутентификации, стоят потраченных денег.

Преимущества перевода сайта на HTTPS

Основное преимущество — это безопасная передача данных. Любая компания должна заботится о сохранении персональных данных клиентов, их платежной информации. Забота о безопасности повышает лояльность клиентов, улучшает репутацию компании. Для интернет-магазинов и других сайтов, на которых совершаются финансовые операции, переход на HTTPS — необходимая мера, которую не стоит откладывать.

Использование защищенного соединения — важная часть современного подхода к обеспечению сетевой безопасности, которая поддерживается разработчиками программного обеспечения и поисковыми системами.

Так, в браузере Chrome, начиная с 56 версии (выпущенной в 2017 году), соединение по HTTP на сайтах, запрашивающих какие-либо данные пользователей, отмечается как небезопасное. А такое предупреждение может заставить потенциального клиента отказаться от покупки или регистрации.

Сайты, использующие HTTPS, с 2014 года ранжируются выше в поисковой системе Google. Это может стать весомым конкурентным преимуществом. При этом Яндекс воспринимает и индексирует все сайты в поиске на равных условиях.

Планируется, что к 2021 году все сайты перейдут на HTTPS, а веб-ресурсы, работающие на протоколе HTTP, просто не будут открываться в браузерах.

Переводим сайта на HTTPS: пошаговая инструкция

Для переноса сайта на HTTPS требуется определенное время, поэтому приступать к работе нужно в период, когда активность ваших клиентов в сети минимальна. Не стоит заниматься переносом сайта горячих путевок в разгар туристического сезона, а магазина подарков перед Новым годом. Определить активность посетителей в зависимости от времени года помогут сервисы аналитики (Яндекс.Метрика, Google Analytics), в каждом из них есть параметр «Сезонность».

Первый шаг — это выбор SSL сертификата и организации, которая выдаст его.

После того, как цифровой документ получен, его устанавливают на хостинг. По сути, сертификат — это несколько файлов, которые загружаются на хостинг, после чего в панели управления включается защищенное соединение. Не настраивайте редиректы на этом этапе!

Далее нужно внести правки в файл robots.txt. Директива Host в этом файле прописывается в виде: Host: https://site.ru, где site.ru — доменное имя вашего сайта. После этих действий сайт должен быть доступен по HTTPS, проверьте это.

User-agent: Yandex
…
Host: https://site.ru

Теперь нужно сообщить об изменениях поисковым системам. В Яндекс.Вебмастер нужно добавить сайт с новым протоколом. Если права на сайт в этом сервисе до сих пор не подтверждены, самое время сделать это. То, что сайт теперь использует новый протокол, нужно указать и в настройках индексирования в подразделе «Переезд сайта», отметив галочкой пункт «Добавить HTTPS». Не забудьте сохранить изменения!

URL с HTTPS должен быть назначен главным зеркалом сайта.

Изменения произойдут не сразу, иногда на переназначение главного зеркала уходит несколько недель. По завершении в разделе «Уведомления» в Вебмастере появится сообщение, что главное зеркало изменилось и теперь это https://site.ru. Чтобы получить оповещение на почту, можно подписаться на уведомления. На странице «Мои сайты» в Яндекс.Вебмастере сайты будут отмечены как «связанные».

Кроме того, косвенным признаком может послужить количество проиндексированных страниц. На домене с HTTPS оно должно сравняться с таковым для основного домена. До признания сайтов зеркалами нежелательно настраивать переадресацию, чтобы страницы с редиректами не выпали из индекса.

После склейки зеркал настраивают 301 редирект в файле .htaccess. Например, не нужно делать двойной редирект с http://www.site.ru на http://site.ru, а затем на https://site.ru. Это приводит к образованию так называемых цепочек переадресации, которые не нравятся поисковым системам.

Непосредственно в CMS сайта может потребоваться указать в качестве главного адрес с HTTPS. Если на сайте используется полный формат внутренних ссылок, нужно изменить каждую из них в коде сайта. Не забудьте, что ссылки располагаются не только на страницах с контентом, но и в меню, сайдбарах и виджетах. Если менять ссылки по одной сложно, стоит сделать их относительными.

Проверяем XML-карту сайта. Ссылки в ней должны начинаться с HTTPS. Если это не так — исправляем. При необходимости для HTTPS-сайта создаём новый файл sitemap с актуальными ссылками.

Если карта сайта еще не добавлена в Яндекс.Вебмастер, самое время это сделать.

Как только сайты склеились, все тексты и внешние ссылки с исходного сайта будут учитываться для главного зеркала, доступного по HTTPS. Но в Вебмастере они будут размещены в панели того сайта, для которого их изначально добавили.

После того, как все изменения вступили в силу и сайт благополучно переехал на HTTPS, удалять старые версии из панели Вебмастера нет необходимости. В частности, потому что может потребоваться отслеживать статистику по внешним ссылкам и оригинальным текстам. Но, если вы по какой-то причине удалили HTTP-версию сайта из Яндекс.Вебмастера, ничего страшного не произойдет, индексацию HTTPS-сайта это не затронет.

Уведомить о смене главного зеркала сайта потребуется и поисковую систему Google. Для этого в Google Search Console добавляется версия сайта с HTTPS (или все версии, если это не было сделано ранее). После этого в разделе «Настройка сайта» указывается основной домен. Не забудьте также перенести на адрес с HTTPS настройки первоначального сайта.

Использовать инструменты Google для изменения адресов в этой ситуации не нужно.

Не забудьте изменить на адрес с HTTPS внешние ссылки на сайт там, где это возможно (в социальных сетях, сервисах карт, каталогах сайтов).

В целом, переход сайта на HTTPS несложен. Если у вас возникли вопросы, обращайтесь, мы обязательно поможем. А если вы не хотите разбираться во всех тонкостях, закажите перенос сайта на HTTPS в компании Peppers Digital.