БЛОГ MILLION MILES
февраль, 2019

«Переезд» сайта на https

Актуальная рабочая инструкция для подключения https протокола к сайту. Ответы на часто возникающие вопросы относительно необходимости, сроков, потери позиций
FAQ
Инструкция
Чек-лист



Мой блог «переехал» на https протокол по нижеприведенной инструкции 10 января 2019 года. Переход состоялся быстро и корректно.

Для начала отвечу на самые часто задаваемые вопросы.

FAQ

Зачем переходить на https?

Во-первых, необходимо заботиться о защищенности пользователей при посещении ресурса. Даже сам факт пребывания на сайте должен оставаться конфиденциальной информацией, и уж тем более потребитель должен быть защищен при совершении платежей либо при отправке своих данных посредством форм.

Во-вторых, наличие SSL сертификата – это один из факторов ранжирования. В данный момент он является необязательным, но очень-очень желательным. И Яндекс и Google неоднократно акцентировали на этом внимание.
Поскольку при работе с HTTP-сайтами не используется шифрование, злоумышленники могут получить доступ к информации, которая отправляется на ресурс или поступает с него, и даже изменить сайт до того, как он загрузится. При использовании протокола HTTPS выполняется шифрование соединения с сайтом. Это означает, что пароли, данные банковских карт и прочие сведения будут защищены при передаче на сайт и не попадут к посторонним лицам.

Пометка Не защищено в Chrome не только оповещает пользователей, что при соединении с тем или иным сайтом не применяется шифрование, но и побуждает владельца такого сайта повысить его безопасность. С тех пор как мы объявили о появлении пометки Не защищено, прошло почти два года. За это время протокол HTTPS внедрило огромное количество сайтов... На 83 из 100 наиболее популярных сайтов по умолчанию используется протокол HTTPS (прежнее значение: 37).

Сколько времени занимает перенос сайта?


Сам процесс выполнения работ для малостраничного сайта займет несколько часов, т.е. со всем можно управиться в пределах одного рабочего дня. Полная переиндексация Гуглом и Яндексом происходит в течении 2-3 недель.



Сколько стоит SSL сертификат?

Я подключала бесплатный SSL от Let's Encrypt. Для сайтов, которые не принимают платежи, такого вполне достаточно.

Для наглядности ниже представлены несколько платных вариантов. Их можно приобрести у официальных партнеров удостоверяющих центров (Certification authority, CA), например в RU-CENTER.
Перевод на https: какой ssl сертификат выбрать.
По уровню проверки SSL-сертификаты делятся на три группы:
  • DV (domain validation) — подтверждают домен, шифруют и защищают данные при передаче с помощью протокола https. Доступны физическим лицам и организациям. Выпускаются не дольше суток.
  • OV (organization validation) — кроме защиты информации гарантируют принадлежность домена конкретной организации. Выдаются только юридическим лицам с подтвержденным номером телефона. Выпускаются в течение 3 дней.
  • EV (extended validation) — требуют расширенной проверки и вошли в стандарты мировой финансовой индустрии. Срок выпуска — от 5 дней.
Платежные инструментарии, такие как Яндекс.Деньги или Робокасса, имеют собственные EV сертификаты. Поэтому если в интернет-магазине подключены подобные сервисы, достаточно будет купить для сайта DV сертификат.



Будет ли потеря позиций после перехода?

Сразу после переноса сайта на https, позиции и соответственно трафик несколько просядут. Но после того, как полностью завершится переиндексация (в пределах месяца), страницы «пойдут» вверх.

По моему личному опыту: сайт по запросам, позиция которых была 8-12, «вырос» на 2-3 пункта, по запросам из Топ 50 (3-5 страница выдачи) – на 5-7 пунктов.



Что будет с внешними ссылками?

Т.к. в процессе «переезда» будет настроен 301 редирект и проведена склейка зеркал, то бэклинки, которые вели на сайт http, будут учтены, как ссылки сайта https.
Внешние ссылки старого сайта будут учитываться как внешние ссылки нового. При этом в Яндекс.Вебмастере на странице Внешние ссылки будут отображаться те адреса, которые указаны на стороннем сайте.

Сохранятся ли значения кнопок «Поделиться» и «Лайк»?

К сожалению, счетчики будут обнулены.

Инструкция

1. Изменение внутренних ссылок

Для начала все внутренние ссылки меняются с абсолютных на относительные:
http://mysite.ru/cat на /cat
или на //mysite.ru/cat

Эти изменения производятся в базе данных либо вручную, если сайт малостраничный. Для WordPress можно использовать плагин HTTP / HTTPS Remover.

Если в будущем планируется подключение турбо-страниц, то ссылки стоит сразу заменять на абсолютные с протоколом https:
https://mysite.ru/cat

2. Устранение смешанного контента

Все виджеты, скрипты, шрифты, а также картинки и видео, подгружаемые со сторонних ресурсов, также должны передаваться по защищенному протоколу. В противном случае, страница будет отмечена значком Защищено не полностью.
Переход сайта на https: смешанный контент, подключение защищено не полностью.
В принципе, почти все популярные ресурсы в данный момент поддерживают безопасное соединение. Но на всякий случай, после подключения SSL сертификата, сайт стоит проверить на наличие смешанного контента.

3. Подключение SSL сертификата

Генерируются ключи и подключается сертификат. Если сайт сверстан на Tilda или WIX, то это делается посредством одного клика в панели управления сайтом. Для WordPress можно использовать плагин Really Simple SSL.

4. Диагностика корректности инсталляции SSL

Чтоб убедиться, что сертификат установлен правильно, необходимо воспользоваться одним из он-лайн сервисов автопроверки. Например, SSL Checker.
Проверка SSL подключения он-лайн.
Еще одни неплохой сервис от SSL Labs дает более широкую информацию. В том числе, отчет о корректности сертификата при работе с различными браузерами.
Переход на https: проверка SSL сертификата.

5. Проверка наличия смешанного контента

Далее необходимо «пройтись» по всем страницам сайта. Если где-то остался контент, который передается по незащищенному соединению, и страница в браузере будет отмечена значком Защищено не полностью, то эту ошибку нужно устранить.

Для этого в Chrome необходимо отрыть панель разработчика: либо кликнуть правой кнопокой на странице и выбрать Просмотреть код, либо использовать комбинацию Ctrl+Shift+I. Во вкладке Security внизу будет подробное описание ошибки.
Переход с http на https: поиск и устранение смешанного контента.
Также можно использовать он-лайн краулер от JitBit, но проверка будет ограничена 200 страницами сайта.

6. Настройка 301 редиректа

Ранее рекомендовалось настраивать переадресацию строго после того, как произойдет склейка зеркал в Яндекс.Вебмастер. Сейчас, как показала практика, ждать склейки НЕ требуется. Для блога я настроила редирект с http на https сразу же после подключения SSL сертификата.

7. Изменение sitemap.xml и robots.txt

После подключения SSL, файлы sitemap.xml и robots.txt на моем сайте обновились автоматически. Если CMS не поддерживает функцию автообновления, то необходимо создать новую карту сайта, которая будет содержать страницы https.

В robots.txt нужно указать путь к новому файлу sitemap.xml и обновленную директиву HOST с https.
robots txt при переходе на https.

8. «Оповещение» поисковиков, настройка метрик

Новая версия сайта https добавляется в веб-мастерские, подтверждаются права, отправляются обновленные файлы sitemap.xml.


8.1. Яндекс.Вебмастер

Как говорилось выше, для Яндекса необходимо выполнить склейку зеркал. В разделе Индексирование выбирается Переезд сайта и отмечается сайт https как главное зеркало.
Переезд на https Яндекс: склейка зеркал.
Для моего блога склейка произошла за 4 дня. Яндекс уведомляет об этом в веб-мастерской.
Переход на https Яндекс: уведомление о главном зеркале.
Сразу после замены домена в результатах поиска, из индекса начали выпадать страницы сайта http и появляться их аналоги https. Полная переиндексация прошла менее чем за две недели после склейки зеркал.

В настройки Яндекс.Метрики никаких изменений вносить не потребовалось. Код отслеживания для обоих систем аналитики также не меняется.


8.2. Google Search Console

Гуглу понадобилась неделя для замены страниц в выдаче. Страницы сайта http были исключены из индекса с пометкой «Страница с переадресацией».

Что интересно: если раньше в разделе Удобство для мобильных было меньше половины всех страниц сайта, то после смены протокола на https, почти все помечены как «Страницы, оптимизированные для мобильных устройств».


8.3. Google Analytics

Если на сайте установлен код отслеживания Гугл Аналитикс, то новый протокол нужно указать в Настройках ресурса.
Переезд на https в Гугле: настройки Аналитикс.
Кроме того, вносятся изменения в Настройки представления.
Переход на https Гугл: настройки представления.
Если была установлена связь между Search Console сайта http и Google Analytics, то ее необходимо удалить и установить заново, но уже с Search Console сайта https:
Администратор – Ресурс – Связь с другими продуктами – Все продукты – Связанные аккаунты – Search Console – Изменить связь
Перевод сайта на https: изменения в Google Analytics.

Вместо вывода
Переезд на https чек-лист.

__________________
13 февраля 2019

Бонусный кот для любителей смелых экспериментов
Made on
Tilda