Для чего переходить с HTTP на HTTPS и как это сделать правильно?

опубликовано
Январь, 2020
категория
Кибербезопасность

Раньше отсутствие HTTPS не имел существенного влияния на работу сайта и на поисковую выдачу. Позже, всего лишь предупреждало пользователей о том, что сайт небезопасен. Сейчас на ресурс порой вовсе невозможно зайти, если сертификат не установлен! Более того, поисковики уже в выдаче отмечают потенциально опасные страницы и 95% посетителей, увидев предупреждение поисковика о том, что сайт небезопасен, немедленно закрывают страницу и сайты теряют трафик, а вместе с ним и клиентов. Чтобы этого не произошло необходимо установить SSL сертификат и перейти с HTTP на HTTPS. Давайте разберем как лучше всего это сделать.

До этого мы разбирали все этапы разработки сайтов и одним из пунктов был переход на HTTPS и установка SSL сертификата. Все перечисленные нами пункты включая дизайн, правильно подобранный формат, контент, рекламная стратегия, удачное доменное имя очень важны. Но если пользователь видит возле вашего объявления значок незащищено либо же вовсе не может попасть на сайт из-за ограничений браузера, то все ваши труды по созданию сайта окажутся бессмысленными. Именно поэтому переход на защищенный протокол так важен. Еще в 2014 году Google внёс изменения в свой алгоритм ранжирования и официально заявили, что с этого времени будет отдавать предпочтения сайтам, имеющим сертификаты безопасности. На практике данный сертификат поможет избежать санкций со стороны поисковых систем и является одним из условий которые нужно выполнить для выхода в топ результатов поисковых запросов. Более того, с января 2017 года браузер Хром начал вносить ограничения на сайты без SSL сертификата и с каждым годом эти ограничения становятся все более ощутимыми. В дополнении сайтов, работающих на HTTPS с использованием SSL/TLS сертификатов все больше, и отсутствие данного сертификата делает ваш сайт менее конкурентным на рынке веб-ресурсов. Особую важность данный протокол имеет для владельцев интернет-магазинов, социальных сетей и прочих веб-ресурсов, работающих с личными данными пользователей. Однако и обычные сайты-визитки, не получающие какие-либо конфиденциальные данные от пользователей должны двигаться в сторону безопасного шифрования так как это влияет непосредственно на рейтинг сайта в поисковой сети и как минимум сам факт появления текста "Ваше подключение не защищено" не прибавит авторитета вашему сайту в глазах пользователей. Тем не менее, сейчас часто встречаются сайты-визитки, требующие заполнение формы с указанием ФИО и контактного номера что, также является личными данными пользователя

сайт работающий на незащищенном протоколе HTTP
Пример блокировки незащищённого сайта

В целом переход на HTTPS процесс не сложный, но очень важный рабочий момент. Конечно же рядовой пользователь с такого рода задачей не в силах справиться, но для специалиста это не составит труда. Тем не менее это статья будет полезна и заказчику так как после прочтения статьи вы сможете дать более детальную оценку работе программиста или веб-студии.

Что такое HTTP и HTTPS и их различия

HTTP (HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол передачи данных в виде гипертекстовых документов в формате «HTML». Данный протокол уязвим к так называемым “атакам посредника“, а это означает, что способ передачи конфиденциальных данных таких как номера телефонов и платежных карточек не является безопасным.

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности и обеспечения их защиты от прослушивания и изменений. Иначе говоря, это протокол, который обеспечивает качественное шифрование личных данных. В протоколе безопасности HTTPS используется асимметричная схема шифрования за счет использования гибридной системы TLS (усовершенствованный SSL)

не защищеное подключение пример HTTP

Экран, выводимый браузером при попытке попасть на сайт

Вполне ожидаемо что при виде предупреждения о незащищенности соединения у посетителя отпадает какое-либо желание покупать что-либо на вашем интернет-магазине. Какое может быть доверие к компании, которая не заботится о конфиденциальности данных своих клиентов.

безопасное подключение через HTTPS
Так выглядит защищенное соединение

SSL и TLS сертификаты

SSL является аббревиатурой для Secure Sockets Layer. TLS означает Transport Layer Security. TLS сертификат изначально был создан для добавления HTTPS протокола в веб-браузер и пришел на замену устаревшему ныне SSL сертификату. Так как технология SSL является предшественником технологии TLS и поэтому правильнее пользоваться термином TLS, хотя многие используют старое обозначение. Он обеспечивает симметричное шифрование для сохранения конфиденциальности, генерирует коды аутентификации сообщений для целостности сообщений и асимметричную криптографию для аутентификации ключей обмена тем самым гарантируя безопасное соединение между браузером пользователя и сервером. При использовании TLS-протокола информация передается в зашифрованном виде по HTTPS и расшифровать ее можно только с помощью специального ключа. Вкратце, цель SSL/TLS — сделать соединение безопасным для передачи конфиденциальной информации, включая личные данные, информацию о платеже или регистрации.

Используемая в протоколе HTTPS система TLS предполагает защиту на трех уровнях:

  • Все данные шифруются. Так злоумышленники не смогут перехватить личные данные пользователей, отследить действия пользователей на сайте, прослушать сетевое соединение. Для шифрования используется общий секретный ключ, который при установке безопасного соединения выбирают сервер и компьютер. Все ключи одноразовые, перехватить и подобрать очень сложно – длина ключа превышает 100 знаков.
  • Защита от всех изменений или искажений данных, даже если это было сделано случайно.
  • Аутентификация гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки посредника. Для этого у сайта должен быть специальный цифровой сертификат.

Как перевести сайт на защищённый протокол HTTPS

Таким образом мы поняли важность перехода на защищённый протокол и ознакомились с основными понятиями. Далее мы перейдем к тому как совершить переход с HTTP на HTTPS. Полный переход состоит из нескольких шагов которые нужно выполнить, это - замена внутренних ссылок на относительные, исправление подключений внешних скриптов, проверить ссылки в rel canonical, замена ссылок в медиа файлах, установка TLS сертификата, настройка файла robots.txt, установка 301 редиректа с http на https, настройка файла sitemap.xml, отправка главной страницы сайта и карты сайта в Google Search Console и Yandex.Webmaster. Далее разберем каждый пункт в отдельности.

“Считаете ли вы, что вы можете, или думаете, что не сможете — вы правы.”
Генри Форд
Защита данных пользователей превыше всего

Замена внутренних ссылок на относительные

Первым делом для перехода на HTTPS, еще перед сменой протокола, рекомендуем вам абсолютные внутренние ссылки на сайте заменить на относительные. При этом относительные ссылки бывают двух видов:

/aboutus/ - по отношению к домену

//mysite.com/aboutus/ - по отношению к протоколу

Таким образом если ваши ссылки выглядят следующим образом: http://mysite.com/aboutus/.

Переведите его в один из следующих форматов: //mysite.com/aboutus/ или /aboutus/.

Нужно просто заменить адреса на относительные с доменным именем, но без протокола HTTP.

Замена внешних ссылок на относительные

Все внешние скрипты, например, библиотеки javascript и jQuery, а также скрипты сервисов Яндекса (например, Метрика и Директ), а также Google (Analytics) и прочие, следует открывать через относительные URL-адреса.

Проверить ссылки в rel canonical

Атрибут rel=“canonical” указывает поисковым роботам каноническую страницу, которая будет отображаться в поиске, на неё перейдут ссылочный вес и другие характеристики страниц с одинаковым содержанием. Ссылки в данном атрибуте также должны быть относительными для корректной индексации сайта поисковыми системами.

Пример старого кода где на месте mysite.com название вашего сайта:

link rel=”canonical” href=”http://mysite.com”

Его необходимо заменить на:

link rel=”canonical” href=”https://mysite.com”

Замена ссылок в медиа файлах

Изображения, презентации и другой медиа-контент также должны открываться по защищённому протоколу. Если источник имеет HTTPS версию, вы можете просто заменить ссылки на соответствующий контент. Если же нет, то мы рекомендуем загрузить медиа файлы на свой сервер и также сделать ссылки на них относительными.

Установка SSL/TLS сертификата

Существует три распространенных вида SSL/TLS-сертификата по степени защиты:

  • Domain Validation - Проверка домена. Наиболее популярный и часто устанавливаемый сертификат. Выдается только на один домен, и если вы решите сменить доменное имя либо же купить дополнительный, придется покупать на его новый сертификат. Преимущество данного сертификата является то что проверка домена проходит легче и быстрее всех остальных типов сертификатов. Также, это самый дешевый тип сертификата. Недостатком является низкий уровень проверки - проверяется только домен, а не компания, которая стоит за ним. Выдается в среднем в течении 30 минут.
  • Organization Validation - Проверка компании. Подходит, если у вас корпоративный сайт, социальная сеть, крупный интернет-магазин — везде, где пользователи вводят платежную информацию и конфиденциальные данные. Подтверждает домен и организацию. Часто проверяют информацию в прессе, наличие компании в Whois, свидетельство о государственной регистрации. На проверку уходит от 1-3 дней.
  • Extended Validation - Расширенная проверка. Такой сертификат подойдет финансовой организации, страховой компании или корпорации. Для его получения проверяется наличие компании по адресу, свидетельство о регистрации, операционная деятельность, торговая марка. Все для того, чтобы получить зеленую строку в адресной строке браузера с указанием названия компании. Стоимость данного сертификата самая высокая, период проверки может длится до 10 дней.

Какой SSL сертификат выбрать вам? Все зависит от ваших целей.

Если вы просто хотите шифровать данные повысить позиции сайта в поисковиках, берите SSL с проверкой домена, с невысоким уровнем доверия.

Если же у вас интернет-магазин, в котором нужно вводить данные пользователя, платежных карт или любую другую конфиденциальную информацию представляющую ценность для злоумышленников, берите SSL с высоким уровнем доверия — с проверкой компании.

Если у вас банк, страховая компания, или иной крупный бизнес — берите сертификат с самым высоким уровнем доверия — SSL с расширенной проверкой.

Настройка файла robots.txt

Файл robots.txt — обычный текстовый документ в кодировке UTF-8, действует для протоколов http, https, а также FTP. Файл обычно располагается в корневом каталоге в вашем личном кабинете на сайте хостинг провайдера. Имеет вид обычного текстового документа. Файл дает поисковым роботам рекомендации: какие страницы/файлы стоит сканировать, а какие нет. Не корректная ссылка на уже несуществующий сайт на старом HTTP протоколе может негативно сказаться на посещаемость сайта. Таким образом, в файле robots.txt необходимо заменить строку host, прописав в ней не просто доменное имя, а доменное имя вместе с https. На пример: Host: https://mysite.com. Строку с картой сайта также нужно обновить.

Установка 301 редиректа с http на https

301 редирект ― это один из видов переадресации пользователей на другую страницу в случае, если информация с этой страницы теперь располагается по другому адресу из-за различных причин. Если пользователь перешел из поисковика по старому адресу, его автоматически переводят на новый. В нашем случае два одинаковых URL с http и https могут распознаться как дубли, а вес не перенесется. Правильно настроенный редирект способствует полноценной индексации при переносе сайта на версию https.

Настройку редиректа с http на https необходимо проводить после установки SSL-сертификата на сайт. Сначала спросите в техподдержке хостинга, какой способ настройки переадресации актуальный в вашем случае. Редирект устанавливается с помощью команды прописанной в файле .htaccess. Сам файл находится в корневой папке сайта, до которой можно добраться через файловый менеджер или систему управления хостингом.

Для редиректа добавьте в файл .htaccess следующие строки:

RewriteEngine On

RewriteCond %{SERVER_PORT} !^443$

RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

После внесения всех изменений следует проверить корректность работы кода редиректа. Для этого в поисковике вносите по очереди разные страницы вашего сайта на http, при корректной работе вас должны перенаправить на страницу, работающую на https.

Настройка файла sitemap.xml

Sitemap – Карта сайта - это своеобразный каталог, состоящий из перечня ссылок, ведущих на все разделы и страницы сайта. Файл Sitemap помогает поисковым системам более быстро и качественно индексировать интернет проект. Карта сайта хранится там же где и файл .htaccess, в корневой директории файлового менеджера вашего хостинг провайдера.

Если карта сайта отсутствует, то поисковому роботу придется самостоятельно просканировать все страницы сайта и включить их в поиск. В худшем случае, система может дать сбой и пропустить некоторые новые страницы сайта, которые останутся неиндексированными.

Карту сайта можно обновить вручную. Заходите в файловый менеджер хостинга, находите файл sitemap.xml, проводите авто замену «http://» на «https://», после чего нажимаете кнопку "сохранить".

Еще один способ, это - удалить старую карту сайта и установить новую. Существует множество онлайн-сервисов по созданию sitemap, например, MySitemapGenerator или HTML Web. После создания новой карты сайта остается только загрузить его в файловый менеджер на вашем хостинге.

Сообщите поисковым системам о переходе на https

Последним штрихом при переходе на защищённый протокол HTTPS является уведомление об этом поисковых систем. Для того чтобы такие сервисы как google.ads, google analytics, google search console, yandex.metrix и yandex webmaster tools начали свою работу с новым адресом сайта необходимо обновить данные в их системах. Также не забудьте изменить данные в социальных сетях и по возможности изменить входящие данные на других ресурсах для того чтобы не потерять наработанную долю трафика.

Заключение

После всех этих настроек остается только ждать, когда поисковые системы переиндексируют сайт по новому протоколу. Скорость обновления данных в поисковых системах зависит от многих факторов. Одним из них является посещаемость и репутация сайта. Ресурсы с трафиком в миллион человек в день и существующий на рынке на протяжении скажем, трех лет, могут рассчитывать на индексацию в течении нескольких дней. Сайт созданные менее года назад и имеющие посещаемость в десять человек в день могут ждать свою очередь до одного месяца. И в том и ином случае существует вероятность, что сайт потеряет на некоторое время в трафике, но если вы все сделали правильно и не упустили ни один пункт, то он должен восстановиться и даже дать прирост в связи с переходом на защищенный протокол. Тем не менее, переход на защищенный протокол, в последние годы стал скорее обязательным, чем желательным, если вы хотите добиться высоких результатов на конкурентном рынке онлайн рекламы.

Похожие Статьи