О HTTPS, преимуществах и недостатках, а также особенностях миграции на него, в последние месяцы было написано много. Просто, вопрос безопасности перестал быть чем-то из разряда дополнительных бонусов, а становится одним из основных вызовов для ключевых игроков онлайн-рынка.

Несмотря на многочисленные преимущества перехода на HTTPS, многие оптимизаторы и владельцы сайтов пока еще этого не сделали, по самым разным причинам. Кто-то опасается просадки трафика и прочих подобных проблем, кому-то не хватает технических навыков, а кто-то просто решил тянуть до последнего, считая, что в этом пока нет необходимости.

Почему стоит переводить сайт с HTTP на HTTPS? Так ли это необходимо всем сайтам? В чем плюсы и минусы такого шага, и можно ли это сделать самостоятельно? В данном посте я дам ответы не только на эти, но и на ряд других важных вопросов.

Кратко о HTTPS, и зачем он нужен

HTTPS (HyperText Transfer Protocol Secure) является модификацией стандартного протокола приема и передачи информации в Интернете — HTTP (Hypertext Transfer Protocol). Основное отличие между ними, кроется в приставке «Secure», что значит «защищенный».

Он был создан специально для передачи личной информации и платежных данных, например, обеспечения безопасности транзакций на ecommerce-сайтах, передачи номеров/кодов доступа банковских карт через платежные шлюзы и т. д.

Данные, передаваемые с помощью HTTPS, шифруются. То есть, в процессе взаимодействия с сайтом, пользователь может быть уверен, что информация о его деятельности и другие конфиденциальные данные, защищены от отслеживания со стороны. Также, обеспечивается их целостность, то есть, их нельзя будет изменить или повредить во время передачи.

Информация, которая передается от сервера и к нему, шифруется перед отправкой, и расшифровывается при получении.

Кому это необходимо в первую очередь?

Google утверждает, что всем. И еще в августе 2014 года в компании заявили, что безопасность пользователей является для них главным приоритетом, а сайты, использующие https-протокол, получат дополнительный бонус при ранжировании.

В октябре 2016 года представители Google в одном из интервью сообщили, что все HTTPS-страницы получают небольшой импульс в ранжировании, даже при наличии ошибок протокола.

Уже в феврале 2018 года доля сайтов с HTTPS в результатах выдачи Google превысила более 70%, а начиная с июля этого же года браузер Google Chrome стал помечать все HTTP-сайты, как ненадежные.

С начала 2019 года Яндекс.Вебмастер стал оповещать вебмастеров и показывать в разделе “Диагностика сайта”, что главное зеркало сайта не использует HTTPS-протокол. Это также является одним из знаков к установке защищенного соединения, так как возможно в скором времени в выдаче Яндекса, отсутствие безопасного протокола будет влиять на ранжирование. Но пока эта информация носит лишь рекомендательный характер.

А вот ресурсам, при взаимодействии с которыми предусматривается передача личных данных, позаботиться о миграции нужно уже сейчас. Это такие типы веб-проектов как:

  • банки и платежные системы;
  • интернет-магазины;
  • различные онлайн-сервисы;
  • другие сайты, использующие функционал личного кабинета пользователя.

Немного о сертификатах

Обмен информацией между клиентом и сервером, при использовании HTTPS-соединения, основан на использовании SSL-сертификатов. Это своего рода уникальная цифровая подпись, используемая для проверки соединения.

В зависимости от типа проверки, они бывают нескольких видов:

  • с проверкой домена;
  • с проверкой организации;
  • с расширенной проверкой организации.

Сертификат первого типа самый доступный, он выдается как компаниям, так и физическим лицам, и получить его можно буквально за несколько минут, и даже бесплатно.

Сертификат второго типа доступен только ИП и юридическим лицам, а также, разного вида организациям. А самым дорогим вариантом, предусматривающим расширенную проверку организации, является именно сертификат третьего типа. Пример:

Для информационных сайтов и интернет-магазинов, вполне хватает SSL-сертификата с проверкой домена. Другие могут быть недешевым удовольствием, особенно, если вы ведете блог «для души»:

prt3

Кстати, получить его можно и бесплатно, если воспользоваться предложением от Let’s Encrypt – некоммерческой организации, предоставляющей бесплатные криптографические сертификаты в автоматизированном режиме. Учитывая, что спонсорами инициативы являются такие известные компании как Mozilla, Cisco и другие, возможных проблем можно не опасаться.

А вот в ряде случаев, вполне реальны «сюрпризы». Например, в последних числах января появилась новость, что Google Chrome перестал доверять сайтам, которые используют бесплатные сертификаты от WoSign и StartCom. Так что лучше все-таки воспользоваться проверенным вариантом, и не экспериментировать со своим же проектом.

Преимущества перехода на HTTPS

Кроме возможности спать спокойно, не опасаясь, что Google Chrome или другой браузер однажды выдаст посетителям полноэкранное сообщение, что ваш сайт небезопасен, миграция на HTTPS дает ряд других дополнительных преимуществ:

  • Бонус при ранжировании. Даже если сейчас он незначительный, никто не даст гарантий, что роль данного фактора не будет увеличиваться в будущем. Так что это будет ставкой на правильную ячейку, с точки зрения долгосрочной стратегии в SEO;
  • Безопасность и конфиденциальность. Передача данных шифруется, что минимизирует возможность их перехвата третьими лицами. Да и зеленый замочек в строке возле адреса сайта, приятно видеть как его посетителям, так и самому владельцу;
  • Доверие пользователей. Перекликается с предыдущим пунктом, ведь совершенно понятно, что надпись «Надежный» вызывает куда больше доверия, чем значок, который предупреждает, что подключение не защищено. Пока это еще не тренд, но, вполне возможно, что в будущем люди будут более склонны доверять и делать покупки на тех сайтах, которые используют HTTPS;

В придачу к возможности идти в ногу со временем, это довольно-таки неплохой список бонусов.

Возможные риски

Если бы все и всегда проходило как по маслу, проблем с распространением HTTPS среди широких слоев населения, не было бы вообще. Однако, миграция несет в себе некоторые риски, что в ряде случаев может привести к негативным последствиям.

Спешу заметить, что возможные проблемы связаны не с самим фактором смены протокола – здесь фактически речь идет о легкой тряске, потом все становится ОК – а с неправильной реализацией процесса перехода со стороны вебмастера.

Основные возможные проблемы следующие:

  • появление большого количества битых ссылок, из-за того, что внутренняя перелинковка делалась на http-адреса;
  • появление ошибки «mixed content» (смешанное содержимое), в случае, если изображения или ряд других элементов страницы продолжают загружаться по http;
  • 301-редирект проставлен не со всех старых страниц на новые, из-за чего теряется «вес», а в выдаче появляются дубли;
  • браузер может перестать доверять некоторым бесплатным сертификатам, о чем я уже писал в начале этой статьи. Поэтому, рекомендуется использовать именно проверенных поставщиков.

Если придерживаться рекомендаций, и выполнить необходимые работы на каждом этапе в процессе перехода, всех этих рисков можно избежать, и никаких проблем не будет.

Краткая инструкция по переходу на HTTPS

Можно воспользоваться услугами специалиста, а можно сделать все самому. Вариант выбирайте уже исходя из собственных знаний и навыков. В большинстве случаев все можно сделать самостоятельно, особенно, если сайт работает на какой-нибудь распространенной CMS.

Шаг 1. Первым делом нам нужно получить и установить сам сертификат. Если делать все вручную, это будет долго и муторно, поэтому, рекомендую воспользоваться возможностями хостинга. Большинство провайдеров уже реализовали у себя эту функцию. Например, вот как это выглядит в админке одного из хостеров:

prt6

Покажу на примере популярного в Рунете Beget.ru. После авторизации в админпанели, перейдите на вкладку «Домены», и возле адреса нужного сайта, нажмите кнопку «SSL»:

prt7

Теперь можно приступить к заказу сертификата. Выбираем, конечно же, любимый нами, и совершенно бесплатный Let’s Encrypt, и жмем на кнопочку «Установить»:

prt8

Теперь осталось подождать некоторое время, обычно несколько часов, пока сертификат будет установлен. Когда это случится, вам придет соответствующее уведомление по почте:

prt9

Шаг 2. Добавляем домен сайта с протоколом HTTPS в Яндекс.Вебмастер. Проверяем, чтобы он не был склеен в группу зеркал с другим сайтом. Если это так, то воспользуйтесь инструментом “Отклейка зеркал”. После расклейки переходите к следующему шагу.

Шаг 3. Настраиваем серверный 301-редирект со страниц сайта с HTTPS на страницы сайта с HTTPS. Обязательно учитываем следующие важные моменты:

  • Сайты должны совпадать между собой структурно, поэтому страницы старого сайта должны выполнять редирект именно на аналогичные страницы нового сайта. Если же структура сайта при переезда изменилась, вы можете установить редирект со страниц старого сайта на аналогичные страницы нового, а уже с них установить редирект на нужные адреса.
  • Убедитесь, что большая часть страниц сайтов доступна и отвечает кодом HTTP-200 ОК или кодом редиректа 301. Если на доменах существенная доля страниц будет недоступна из-за кода ответа 404, это может помешать переезду. В таком случае недоступные страницы можно запретить к индексированию в файле robots.txt, чтобы робот-зеркальщик не посещал их при сверке контента.
  • В файлах robots.txt HTTP версии и HTTPS версии разрешено индексирование для робота Яндекса. Содержимое файлов должно совпадать, чтобы робот мог обращаться по одинаковым адресам при проверке зеркал. Также настройте 301-редирект с robots.txt старого сайта на robots.txt нового.

Шаг 4. Проверьте, что все зеркала в группе выполняют редирект на желаемое главное зеркало. Это также относиться к версиям «с www» или «без www». Когда все необходимые настройки будут внесены, в панели Яндекс.Вебмастера старого адреса отправьте заявку на переезд сайта.

Шаг 5. В случае с Яндексом, если заявка была успешно принята, значит, настройки выполнены корректно и сайты смогут склеиться. Процесс склейки может занимать от 2-3 дней до нескольких недель. Завершение переезда не означает, что все страницы сайта сразу попадут в поиск по адресу главного зеркала. Страницы неглавного зеркала будут участвовать в поиске какое-то время, пока аналогичные страницы главного зеркала не будут проиндексированы. Постепенно, по мере обхода нужного сайта, неглавное зеркало сможет пропасть из поиска.

Для Google, просто добавляем наш ресурс как новый сайт, указав при этом протокол https, и подтверждаем права. После того как Google обнаружит, что наш сайт доступен по https, он довольно оперативно отреагирует, и начнет заменять старые адреса страниц в выдаче новыми.

Подводя итоги

Google и Co продолжают ползущее наступление на вебмастеров, которые все еще не спешат распрощаться со старым-добрым http.

Владельцам интернет-магазинов и прочих подобных проектов стоит все же задуматься. Ведь учитывая тот факт, что сертификат можно получить бесплатно, а сам процесс миграции не такой уж и сложен, вполне стоит задуматься над тем, что рано или поздно все равно придется сделать.

Большинство проблем при смене протокола вызваны неправильной реализацией процесса перехода, ошибками или недоработками. И если следовать проверенным инструкциям, никаких проблем быть не должно.

Повсеместный переход на https неминуем? Я бы сказал, что скорее да, чем нет. А вы что думаете по этому поводу?