И хотя переход на HTTP имеет много преимуществ, далеко не все разработчики сайтов делают это из-за сложности процесса. Однако, все легче, чем кажется. Узнайте, как безопасно перейти с HTTP на HTTPS, и почему стоит сделать это прямо сейчас.
Зачем переходить на HTTPS?
Перед тем, как начать переход на HTTPS, нужно выяснить, почему это так важно. Во-первых, сайты, которые хотят использовать HTTP/2, должны внедрить этот протокол, т.к. большинство браузеров поддерживают безопасное соединение только через HTTPS. Во-вторых, Google и другие компании продвигают HTTPS и даже делают его наличие фактором ранжирования: рейтинги защищенных сайтов обычно выше. Однако, несмотря на все попытки продвижения сегодня менее чем 0.1% всех сайтов использует данный протокол. При том, что многие хостинг и CDN провайдеры предоставляют бесплатные сертификаты защиты, лишь единицы решаются на переход.
Данные, которые посылаются через HTTPS и TLS-протокол (защита транспортного уровня), имеют тройную защиту:
- Кодирование данных для обеспечения их сохранности. Это означает, что данные посетителя сайта не передаются третьим лицам, и никто не может отследить их активность и действия на сайте.
- Целостность данных. Информация не может быть изменена или украдена – это тут же будет замечено.
- Благодаря аутентификации, пользователь обменивается данными только с веб-сайтом и не подвергается хакерским атакам. Посетители чувствуют себя в безопасности и знают, что сайту можно доверять.
Google упоминает еще несколько поводов перейти на HTTPS. Первый – это вышеупомянутое улучшение в ранжировании. Второй – возможность восстановить потерянные реферальные данные (это обычно случается, когда реферал теряется из заголовка при переходе с защищенного сайта на незащищенный). Кроме того, HTTPS предотвращает различные атаки и незаконное размещение рекламных объявлений.
Защитит ли HTTPS мой веб-сайт?
Когда люди видят, что они посещают сайт с HTTPS-протоколом, им кажется, что он полностью защищен. Однако данный протокол не всегда предотвращает такие угрозы как:
- Взлом сервера, сайта или сети;
- Уязвимость SSL/TLS;
- Уязвимость ПО;
- Атаки, ухудшающие соединение;
- DDoS-атаки;
- Атаки методом "грубой силы".
Как переключиться с HTTP на HTTPS
Рекомендуется начинать с тестового сервера, т.к. у вас будет время все правильно настроить, не повредив своему сайту. Разумеется, можно начать переход без тестового сервера: в любом случае, у вас будет возможность все восстановить. Но лучше иметь тщательно продуманный план и проверять все заранее.
Итак, при переходе вам нужно будет предпринять следующие шаги:
- Просмотреть свои сайты и запомнить их нынешнее состояние, чтобы сравнить его потом.
- Внимательно прочитать все документы, связанные с вашим сервером/CDN и использованием HTTPS на них – при его внедрении могут возникнуть всякие проблемы.
- Получить сертификат безопасности и внедрить его на сервер: особенности этого процесса зависят от провайдера, но обычно он предоставляет всю необходимую документацию и инструкцию.
- Обновить ссылки в вашем контенте: сменить HTTP на HTTPS. Это можно легко сделать автозаменой в своей базе данных.
- Обновить ссылки в шаблонах. Вы можете использовать Git или просто Notepad++ для этого – все зависит от того, как происходит переход. Убедитесь, что ссылки на изображения, скрипты или адреса используют либо HTTPS, либо относительные пути.
- Поменяйте канонические тэги. И хотя большинство CMS-платформ самостоятельно обновляет их после перехода, лучше проверить это дважды.
- Обновите тэги hreflang и OG, если такие используются. Не все CMS-системы делают это автоматически.
- Обновите аддоны и плагины, проверьте их целостность и безопасность. Довольно часто при переходе теряются поиск и формы.
- Некоторые настройки в CMS-системе должны быть изменены после перехода. Как правило, это описано в инструкции к переходу на HTTPS.
- После перехода проверьте свой сайт: все ли работает, не потерялась ли информация. Если вы используете поисковый бот Screaming Frog, можно написать о небезопасном контенте в отчете.
- Проверьте, поддерживают ли внешние скрипты HTTPS.
- Активируйте переадресацию в HTTPS: этот процесс зависит от конфигурации сервера, чаще всего, это указано в документации.
- Обновите старые ссылки для переадресации, проверьте старые ссылки, которыми не пользовались долгое время. Многие люди волнуются, что переход на HTTPS will плохо скажется на трафике или ранжировании: при грамотной работе с переадресацией такого не произойдет.
- Проверьте старые URL адреса и исправьте «мертвые ссылки» и переадресацию.
- Обновите карту сайта и вставьте HTTPS в ваши URL-адреса.
- Обновите ваш файл robots.txt и включите в него новую карту сайта.
- Активируйте HSTS (строгая безопасность передачи информации по протоколу HTTP): она заставляет браузер всегда использовать HTTPS, благодаря чему не нужно выполнять проверку на стороне сервера, и сайт загружается быстрее. Кроме того, иногда возникают ошибки, из-за чего в результате переадресации показана ошибка 307. Чтобы точно понять, какая ошибка вызывает проблему, нужно очистить кэш браузера.
- Активируйте соединение OCSP (Online Certificate Status Protocol): оно позволяет серверу проверять статус сертификата, благодаря чему браузеру не приходится связываться и ждать ответа от организации, отвечающей за распределение сертификатов
- Активируйте поддержку HTTP/2.
- Добавьте HTTPS-версию сайта в версии поисковиков в ваши инструенты разработчика, и загрузите новую карту сайта. При переключении на HTTPS, не нужно менять Address Tool (Инструменты Адресов).
- Если в вашем HTTPS есть отклонение обратных ссылок, обновите этот файл.
- Обновите настройки параметров URL.
Все готово.
Финальные штрихи
Не забывайте о платформах для аналитики: измените URL по умолчанию, чтобы все HTTPS адреса правильно отслеживались, и оставьте напоминание об этом изменении. Также обновите счетчики из соцсетей: лишь некоторые системы автоматически переносят данные через API. Если вы не знаете, как это делается, воспользуйтесь инструкциями. У вас есть оплаченные объявления, акции и электронная рассылка? Не забывайте обновить URL адреса и в этом контенте.
Когда переход завершен, нужно тщательно все проверить и убедиться, что сайт нормально работает, ведь столько всего может пойти не так! Во время миграции на HTTPS может возникнуть несколько проблем.
Во-первых, если сервер не сможет обновиться так, чтобы разрешить доступ ботам, то Google не сможет просматривать обе HTTP и HTTPS версии сайта. Во-вторых, контент может дублироваться на HTTP и HTTPS страницах, либо пользователи будут видеть разные версии страниц на HTTP и HTTPS. Чаще всего, это происходит из-за неправильно настроенной переадресации. Кроме того, разработчики, полностью меняющие дизайн и структуру сайта при переходе, также сталкиваются со множеством проблем в будущем.
При переходе с HTTP на HTTPS нужно обращать внимание на каждую мелочь (особенно, переадресацию), чтобы все прошло успешно. Это непростой процесс, но он определенно стоит каждой затраченной на него минуты!