Поэтапный переход на HTTPS. Оптимизация безопасного протокола

Поэтапный переход на HTTPS. Оптимизация безопасного протокола

Отвечаем: — У вас на сайте есть форма заказа, заполняя которую пользователи обязаны предоставить вам свое имя и фамилию, е-мейл, телефон и адрес, а разве это не персональные данные? И вы в результате, не потеряете ни времени, ни денег, а наоборот, повысите доверие пользователей и поисковых систем, благодаря защищенности соединения с сервером, что приведет в результате к повышению прибыли с сайта. Клиент выбрал светлую сторону ;)

Как же уберечь сайт от проседания позиций при переходе на https?

ЭТАПЫ ПЕРЕХОДА НА HTTPS

При переходе с обычного протокола http на защищенный – https важно не только выполнить все настройки, учесть все нюансы, но и соблюдать очередность мероприятий.

  • Во внутренних ссылках,
  • В адресах скриптов, в том числе Метрики и Директ, Google AdWords и Analytics,
  • В кодах ремаркетинга,
  • В библиотеках javascript и jQuery,
  • В адресах картинок, фото, видео,
  • В адресах презентациях и доковских файлах.

3. Подключение SSL сертификата

  • SAN — для нескольких доменов,
  • Wildcard — для установки HTTPS на поддоменах,
  • Обычные – для одного домена.
Есть SSL сертификаты
  • корпоративные (Organization Validation) – подтверждающие компанию и домен,
  • с углубленной проверкой (Extended Validation) – подтверждающие юридическую организацию и домен,
  • простые (Domain Validation) – подтверждающие домен и не сохраняющиеся, если домен сайта изменить.
Какой же сертификат SSL для настройки https выбрать?
  • Для больших интернет-магазинов и порталов подойдет сертификат Wildcard и/или Organization Validation (или Extended Validation).
  • Для небольших интернет-магазинов достаточно обычного — Domain Validation и/или Organization Validation
  • Для корпоративных сайтов больше подойдет сертификат Organization Validation или Extended Validation.
  • Для простых однопрофильных сайтов достаточно обычного — Domain Validation.
Влияет ли наличие SSL сертификата на ранжирование? Можно ли использовать бесплатные SSL сертификаты?

Использовать бесплатные сертификаты можно, но следует помнить о рисках, связанных с ними. По сути SSL сертификат является цифровой подписью домена. И его ценность, и защищенность зависит от того, кто эту подпись поставил – сам владелец домена, не сертифицированный центр или официальный проверенный сертификационный центр.

4. Установка сертификатов SSL промежуточных и корневых.

Заказ SSL сертификата >> Создание CSR запроса >> Прохождение валидации >> Получение сертификата >> Установка Проверить правильность установки можно с помощью сервиса SSL TEST.

5. Проверка на наличие смешанного контента, то есть нет ли на сайте файлов (смешанных скриптов протоколов https и http), которые загружаются по http-каналу при установленном SSL сертификате. Для проверки не защищенного контента на сайте можно воспользоваться инструментом JITBIT SSL CHECK.

6. Перегенерация sitemap.xml – сделать XML-карту доступной по https, но желательно оставить доступной и по http.

7. Правки в robots.txt – нужно поправить строку хоста и указать в ней https (Host: site.ru) и прописать в файле htacess:

8. Добавление сайта с https в Яндекс и Google Webmaster.

Нужно ли перенастраивать Яндекс и Google Вебмастерc, а также Аналитику статистики после перехода?

Да. Нужно обязательно. В Яндекс Webmaster нужно указать главное зеркало теперь c https, к сожалению склейка происходит на протяжении двух недель.

В Google Webmaster – склейка происходит быстрее. Нужно добавить как новый сайт с протоколом https. Также рекомендуем обновить файлы sitemap.xml и robots.txt в панелях. Чтобы Аналитика учитывала рефералов при переходе с защищенного сайта на обычный нужно прописать мета тег "refferer".

origin — передает протокол и домен. Он нужен, чтобы аналитика статистики видела с какого защищённого сайта был переход. Другими словами, он позволяет контролировать процесс передачи реферальных данных, то есть никогда не передает реферальные данные.

9. Настройка 301-го редиректа с HTTP на HTTPS.

Как правильно настроить редирект с HTTP на HTTPS?
  • Редирект должен быть постоянный 301, а не временный 302
  • Должна быть только прямая переадресация 301-м редиректом без промежуточных звеньев.
  • Каким способом вы настроите 301 редирект – с помощью файла .htaccess или прописав прямо в коде сайта – не важно.
  • 301 редиректы постранично нужно делать только после склейки https-версии с http, тогда в индексе уже будет до 70% https-страниц. А редирект с site.ru/robots.txt делать не нужно.

ОПТИМИЗАЦИЯ сайта на HTTPS

Настроить HSTS

Технология HSTS (подробнее в справке) позволяет браузеру запрашивать HTTPS страницы, даже в том случае если человек введет http в адресной строке. Чтобы ускорить работу сайта на https, можно оптимизировать заголовок HSTS, который помогает избежать перенаправления из входящего http на сайт, оповещая, что на сайт можно зайти только по HTTPS в течение определенного периода времени – и этот период времени вы можете устанавливать самостоятельно с помощью заголовка HSTS. После подключения https, нужно активировать отправку заголовков HSTS с минимальным значением директивы max-age, потом плавно поднимать значение max-age в заголовках HSTS. Вот пример правильного заголовка HSTS:

Если HSTS не тормозит, то можно включить сайт в список предварительной загрузки HSTS в браузере Google Chrome. Проверить можно тут.

📎📎📎📎📎📎📎📎📎📎