Захищене з'єднання - як перевести сайт з http на https

1. Захищене з'єднання https: що це?
2. SEO-просування сайту та протокол https
3. Як зробити захищене з'єднання: підготовка сайту
4. №1 Міняємо абсолютні посилання на відносні
5. №2 Розбираємося з медіа-контентом
6. №3 Розбираємося з підключенням зовнішніх скриптів
7. SSL - сертифікат з'єднання захищено
8. Види SSL сертифікатів: який вибрати?
9. Як встановити сертифікат SSL на сервері?
10. Як налаштувати захищене з'єднання?

Наша команда-партнер Artmisto

Привіт друзі! Сьогодні присвятимо час вирішення нагальної проблеми - переїзду сайту з http на https. Чи доводилося вам читати повідомлення при переході на веб-сторінку в браузерах Chrome, Opera, Mozilla або будь-яких інших: «З'єднання не захищене»? У більшості випадків це означає, що сайт використовує небезпечний протокол http. Щоб відвідувачів сайту не зустрічало подібне повідомлення на вході, варто перейти на захищене з'єднання прямо зараз, не відкладаючи в довгий ящик переїзд.

Як це зробити правильно, і чи варто робити взагалі, будемо розбиратися разом:

1. Захищене з'єднання https: що це?
2. SEO-просування сайту та протокол https
3. Як зробити захищене з'єднання: підготовка сайту
4. SSL - сертифікат з'єднання захищено
5. Види SSL сертифікатів: який вибрати?
6. Як встановити сертифікат SSL на сервері?
7. Як налаштувати захищене з'єднання?

Переїзд сайту чимось нагадує звичайне квартирне переселення, яке знайоме кожному якщо не особисто, то вже з чуток точно. Вся ця метушня і метушня зі збором речей, вибором транспорту і вантажника, переживаннями: а чи буде краще на новому місці?

Що стосується переходу сайту на https, то з упевненістю заявляємо - однозначно буде краще і безпечніше, в першу чергу для відвідувачів сайту і, звичайно ж, ранжування вашого ресурсу в пошуку.

Почнемо наше інтернет-переселення з того, що ближче познайомимося з протоколом захищеного з'єднання.

Захищене з'єднання https: що це?

Https - це абревіатура від Hypertext Transport Protocol Secure і означає протокол, що забезпечує конфіденційність обміну даними між веб-ресурсом і призначеним для користувача пристроєм.

При цьому використовується 3 рівня захисту:

1. Аутентифікація. Захист користувача від перенаправлення на сайт посередника, тобто гарантує, наприклад, що клієнт потрапить саме в потрібний інтернет-магазин, а не буде перехоплений по дорозі конкурентом, хакером.
2. Збереження даних. Протокол завжди фіксує і запам'ятовує найменші зміни інформації на сайті.
3. Шифрування. Віртуальні розбійники не зможуть отримати доступ до персональних даних відвідувачів вашого ресурсу або відстежити їх дії на сайті.

Для порівняння спрощена схема роботи http (рис №1) і https (рис. №2):
Мал. №1

Мал. №2

Якщо сайт все ще користується протоколом http - ваше з'єднання не захищене від посягань віртуальних зловмисників! Https забезпечує трирівневу охорону ресурсу і його відвідувачів від шкідливих дій інтернет-розбійників.

SEO-просування сайту та протокол https

Google і Яндекс ще 4 роки тому заявляли, що захищене з'єднання - один з чинників ранжирування сайту. Сьогодні під час переходу на веб-ресурси, які не хочуть або ще не встигли перейти на протокол з'єднання https пише: ваше з'єднання (підключення) не захищене.

Що буде, якщо НЕ перейти на зашифрований протокол:

• Є шанс потрапити під фільтри пошукових систем - за невідповідність вимогам пошукових машин. Чим це загрожує? Позиції сайту будуть рости дуже повільно і в ТОП 1-10 не потрапиш.
• Сайт наражається на небезпеку стати жертвою атаки хакерів - вони полюють за конфіденційними даними відвідувачів вашого ресурсу, наприклад, за номером банківської картки, ПІБ користувача і т.д.

В першу чергу це стосується онлайн-сервісів, інтернет-магазинів, банків та інших віртуальних організацій, на сайтах яких користувачі залишають особисті дані.

Чим допоможе використання захищеного з'єднання https:

• Завоювати довіру клієнтів. Зашифрований протокол забезпечує надійне збереження будь-якої інформації. Потенційні замовники за замовчуванням довіряють ресурсу, на якому є значок захищеного з'єднання - замочок.
• Підвищити позиції у видачі. Пошуковики Google і Yandex стають «розумнішими» з кожним днем, вони роблять все, щоб користувачі переходили не просто на сайти з потрібними ключами із запиту, а на безпечні ресурси з цікавим, експертним матеріалом. Захищений протокол - один з позитивних факторів при ранжируванні порталів.

Стаття в тему: Google і Yandex - алгоритми роботи пошукових систем (принципи, нюанси, новини 2018)

Справедливості заради варто відзначити, що в даний момент захищене з'єднання в хром, Опері або іншому браузері володіємо меншому вагою, ніж якісний контент, але вже не за горами той час, коли дія фактора збільшиться. Тому варто вже сьогодні потурбуватися про те, щоб веб-сайт не опинився на задвірках видачі або взагалі випав з рядка пошуку.

Будемо вважати, що рішення про переїзд прийнято, починаємо пакувати речі, тобто проводити підготовчі роботи, знайомитися з етапами як виправити, і не допустити надалі появи послання: з'єднання не захищене.

Як зробити захищене з'єднання: підготовка сайту

Всі перелічені нижче дії варто проводити до переїзду на https, так ви уникнете появи технічних проблем (наприклад, з переиндексацией ресурсу пошуковими системами) і якісно підготуєте свій сайт до безболісного переселенню. Підготовка проходить в 3 етапи.

№1 Міняємо абсолютні посилання на відносні

Це стосується внутрішньої перелинковки сайту. Абсолютні посилання починаються з вказівки протоколу (http: // або https: //) і містять ім'я сайту.

Google календар для бізнесу: як використовувати

Відносні - ведуть відлік від кореня сайту або поточного документа і виглядають наступним чином:

Незалежно від домену
/ google-kalendar-dlya-biznesa-kak-ispolzovat /

Незалежно від протоколу
//www.textum.com.ua/blog/google-kalendar-dlya-biznesa-kak-ispolzovat/

Якщо у вас кілька пов'язаних один з одним проектів або піддоменів одного ресурсу, і кожен з них переходить на захищене з'єднання, то відносні внутрішні посилання допоможуть правильної індексації пошуковими системами і правильному перенаправлення користувачів.

№2 Розбираємося з медіа-контентом

Щоб захищене з'єднання не призвело до помилки у відображенні картинок, відео, презентацій потрібно перевірити за яким протоколом на вашому сайті запитується медіа-контент.

Тут є 2 варіанти:

1. Візуальний контент знаходиться на сторонніх ресурсах. Для початку варто переконатися, що сайт-джерело доступний по протоколу захищеного з'єднання. Якщо немає - варто відмовитися від таких небезпечних вкладень. Якщо по https веб-ресурс доступний - задіємо відносні посилання (як описано в розділі вище).
2. Картинки, відео та інше розташовуються в межах веб-порталу. Тут все простіше, використовуйте відносні адреси. Діємо за аналогією зі звичайними внутрішніми посиланнями.

Читайте також: Як правильно оформити посилання в статті?

Хороші новини для тих, у кого є подгрузка картинок або відео з популярних сайтів YouTube, Facebook і інших - всі ці ресурси вже давно підтримують https, тому проблем з розміщенням і відображенням медіа-контенту не виникає.

Перевірити захищене з'єднання легше простого, просто вбиваємо в браузер запит на потрібний портал і дивимося адресу сайту.

№3 Розбираємося з підключенням зовнішніх скриптів

Для початку коротко нагадаю, що таке скрипт:

За аналогією з попередніми етапами підготовки сайту до зміни місця проживання також використовуємо відносний URL. Переважно другий варіант без протоколу.

Це все стосується і таких скриптів як: Google Analytics, Яндекс.Директ, Яндекс.Метрика. Популярні сервіси теж вже давно перейшли на https.

На цьому підготовка до переселення закінчена, речі зібрані. Тепер можна приступати до вибору «перевізника» і «охоронця» в одній особі, який буде забезпечувати надійну і безпечну доставку всіх наших пожитків на нове місце і простежить, щоб гості віртуального будинку були захищені від шкідливих посягань.

SSL - сертифікат з'єднання захищено

Без цього документа у вас не вийде використовувати протокол https. Принцип дії захищеного з'єднання - використання SSL-технологій, які дозволяють обмінюватися даними між клієнтом і сервером в безпечному режимі.

SSL сертифікат видається уповноваженим центром сертифікації (наприклад, Comodo, Symantec, Thawte Consulting, Trustwave) і являє собою унікальний цифровий підпис вашого сайту.

Це сертифікат стане в нагоді не тільки для захисту сайту, він підвищує рівень довіри до ресурсу, підтверджуючи, що компанія є реальною, сайт належить конкретній фірмі. Все це позитивно відбивається на поведінкових факторах відвідувачів, що, в свою чергу, впливає на вдале ранжування порталу.

Види SSL сертифікатів: який вибрати?

Відразу зазначу, що отримання цього документа - платно. Сума залежить від обраного виду SSL сертифікату.

Є і безкоштовний спосіб - використовувати самоподпісной документ, який можна згенерувати на веб-ресурсі. Нюанс такого сертифіката: він підходить тільки для внутрішнього використання, якщо на вашому сайті продають товари або послуги, то при переході на сайт будь-який браузер видасть попередження, типу:

Тому команда Textum не рекомендує вдаватися до цього методу.

Пропонуємо зупинити свій вибір на одному з наступних варіантів SSL сертифікатів:

• За умовчанням. Застосовуються для захисту 1 доменного імені. Їх випуск займає кілька хвилин. Перевіряється тільки приналежність домена того, хто запитує сертифікат.
• WildCard або групового е. Використовуються для захисту не тільки основного домену, але і всіх піддоменів. Якщо у вас велика кількість регіональних піддоменів, варто вибрати саме цей вид.
• Multidomain Certificates або Мультидоменні. Видається один сертифікат, який використовується для захисту декількох окремих доменів.
• Domain validation. Перевірка на право володіння доменом здійснюється за допомогою розміщення файлу в корені сайту або додавання коду в його шаблон. Цей сертифікат можуть безпроблемно отримати фізичні або юридичні особи. Випуск зазвичай відбувається дуже швидко - 5-10 хвилин.
• Organization validation. Тут вже потрібно надати дані і документи для верифікації того, що фірма дійсно існує і зареєстрована як юридична особа. Термін випуску таких сертифікатів доходить до 2-3 днів (в зв'язку з великою кількістю перевірок).
• Extended validation. Застосовується ще більш розширена перевірка. В обов'язковому порядку буде зроблений дзвінок на номер компанії, потрібно буде надати приклади документів фірми (акти, рахунки). Такий сертифікат зазвичай набувають банки, великі інтернет-магазини.
• Internationalized Domain Names. Використовуються для сайтів з кириличними доменами (з символами національних алфавітів, наприклад, комок.укр). Якщо у вас саме такий портал, то шукайте сертифікати IDN.

Вибір потрібного SSL сертифікату залежить від типу вашого сайту. Наприклад, для інформаційного ресурсу, на якому користувачі залишають тільки адресу електронкою цілком підійдуть недорогі стандартні сертифікати.

Для вибору оптимального документа зверніть увагу на:

• специфіку і кількість конфіденційних даних, які обробляються на сайті;
• сферу діяльності вашого веб-порталу;
• наявність і кількість субдоменів основного сайту.

Залежно від всіх цих факторів і вибирайте SSL сертифікат і завжди використовуйте захищене з'єднання https.

Запам'ятайте: зелений «маячок» в верху сайту у вигляді замку або рядки - спосіб справити перше приємне враження на відвідувачів вашого веб-ресурсу.

Як встановити сертифікат SSL на сервері?

Починаємо розпакування речей в нашому новому будинку.

Встановлюємо сертифікат безпеки:

• Сертифікат виданий центром сертифікації. Знаходимо розділ «Налаштування SSL», вносимо інформацію з документа з файлу ім'я сайта.crt в поле «SSL сертифікат (.crt)». У рядку «SSL ключ» вказуємо отриманий приватний ключ.
• Самопісний або автоматизований варіант на хостингу. Заповнюємо форму або подаємо запит в панелі управління, після чого тиснемо «Зберегти» або «Встановити».

Якщо самостійно це зробити у вас не виходить, зверніться в тих підтримку або скористайтеся послугами програміста.

Не зайвим буде перед установкою https протоколу дізнатися у хостера, чи підтримує він цю можливість. Більшість компаній ввели підтримку SSL сертифікатів, але деякі трохи відстають в цьому плані.

Закріпити сертифіката для захищеного з'єднання можна на спеціальних сервісах, наприклад, SSL Checker. Просто переходите на цей сайт, вводите в спеціальне поле адресу свого ресурсу, натискаєте на «Check SSL» і дивіться видачу. Якщо отримаєте ланцюжок зелених галочок - все пройшло вдало, якщо ні - доведеться вдаватися до допомоги фахівців.

Ще один важливий крок після установки сертифіката - перевірка доступності сайту з http і https. Якщо всі налаштування пройшли успішно, то при введенні назви сайту з http відбуватиметься автоматичне перенаправлення на https.

Як налаштувати захищене з'єднання?

Прийшла пора облаштовуватися на новому місці проживання і зробити налаштування сайту після переходу на https.

Робиться це в 4 етапи, приступимо до вивчення як включити захищене з'єднання:

1. Налаштовуємо host в файлі robots.txt. Для пошукачів сайт на http і https - 2 різних ресурсу. Якщо вчасно не подбати про те, щоб в пошуку був тільки один сайт, можна значно знизити трафік. Yandex вимагає для сайту із захищеним з'єднанням вказати директиву host в файлі robots.txt (що це за файл читайте в статті: Створити Robots.txt - просто, як 2х2 ).
2. Встановлюємо 301 редирект. Тепер не потрібно вносити команди в код кожної веб-сторінки на вашому сайті, можна прописати 301 редирект в файлі .htaccess за допомогою модуля mod_rewrite. Ось як це виглядає:
   RewriteCond% {SERVER_PORT}! ^ 443 $
   RewriteRule ^ (. *) $ Https://site.ru/$1 [R = 301, L]
   Якщо самостійно з цим впоратися не вийшло, то можна звернутися до техподдержке хостингу.
3. Виправляємо помилки. Потрібно перевірити кожну сторінку вашого сайту, переконатися, що посилання працюють, картинки, відео відображаються, прайс-листи на місці.
4. Повідомляємо пошуковикам про перехід на https. Так можна уникнути втрати пошукового трафіку. Для Гугл використовуємо Google Search Console. Додаємо сюди нову версію ресурсу з захищеним з'єднанням.

Для Yandex це все здійснюється в Яндекс.Вебмайстер. Заходимо в настройки індексування і бачимо функцію «Переїзд сайту», ставимо галочку на «Додати HTTPS».

З Google Analytics все просто: необхідно змінити протокол в рядку URL за замовчуванням (Аккаунт - Ресурс - Налаштування ресурсу). Також змінити протокол в рядку URL веб-сайту в настройках уявлень.

В панелі для вебмайстрів потрібно перевірити і перенести всі додаткові настройки, які були зроблені для сайту http (наприклад, регіон, файл sitemap).

На цьому наш розбір проблеми як захистити з'єднання сайту можна вважати закінченим. Власникам веб-ресурсів залишається тільки чекати переиндексации від пошукових систем. Якщо ви все зробили правильно, то переїзд на нове місце проживання не принесе істотного падіння трафіку. Незабаром (за умови наповнення сайту якісним контентом) можна очікувати від Google і Yandex перегляду позицій ресурсу в пошуку і можливе поліпшення ранжирування.

Цікаво ознайомитися: Як написати експертну статтю? 5 кроків до якісної тексту

Наостанок порада від Textum: не відкладайте переїзд сайту на захищене з'єднання на понеділок, вівторок або початок наступного місяця, ви можете дочекатися знижень позицій в пошуку і зниження довіри вашої ЦА.

Сподіваюся, рекомендації зі статті допоможуть вам здійснити переселення ресурсу на нове місце проживання швидко, правильно і з найменшими втратами трафіку. Хочете поділитися, як ви здійснили перехід з http на https?

Чекаємо ваші коментарі під цією статтею або на сторінках Textum в Facebook і Instagram.