Инструкция по грамотному переезду сайта на HTTPS

Что такое HTTPS-протокол? Это более защищённый, чем стандартный HTTP протокол соединения с сервером. Он нужен, чтобы защитить личные данные, которые посетители передают сайту. Например, пароли или данные банковских карт. Протокол HTTP никак не шифрует данные и передаёт их в открытую, а это значит, что хакеры могут очень легко их перехватить. Поэтому, начиная с 2017 года, большинство ресурсов в интернете начали использовать более безопасный тип соединения с сервером.

В статье обсудим, как отсутствие HTTPS влияет на посещаемость площадки и как перейти на новый протокол соединения наиболее безболезненно для своего ресурса.

Почему HTTPS так важен?

Безопасный протокол соединения уже больше пяти лет считается золотым стандартом для любых ресурсов. Ведь, как мы уже говорили, протокол HTTP, который использовался раньше, не может обеспечить адекватную защиту пользовательских данных. Поэтому отсутствие протокола безопасности может негативно повлиять на репутацию компании, если многие пользователи столкнуться с тем, что их данные украли. 

Чтобы обеспечить безопасность людей, которые ищут что-то в интернете, поисковики тоже не поощряют площадки, у которых до сих пор нет протокола HTTPS. И Google, и Яндекс отвечают за информацию, которую выводят в ТОП, своей репутацией. Поэтому им невыгодно продвигать на первые места сайты, которые не могут обеспечить безопасность пользовательских данных. Следовательно, отсутствие протокола HTTPS на ресурсе очень влияет на его SEO-продвижение, и без этого вы не попадёте на первые страницы выдачи. 

А если пользователь всё-таки захочет сам зайти на ваш сайт, его ждёт ещё одно препятствие. Любой браузер начнёт отговаривать его от этой идеи и выведет предупреждение, что ресурс небезопасный. Кто в этом случае захочет продолжать пользоваться вашей площадкой? Скорее всего, небольшой процент людей. То есть если у вас всё ещё нет защищённого протокола, вы теряете большое количество посетителей.

Итого HTTPS важен, потому что:

• Безопасные площадки вызывают у людей больше доверия;
• Поисковики используют наличие HTTPS как фактор ранжирования в выдаче;
• Браузеры помечают сайты с устаревшим протоколом как подозрительные;
• Так мошенники не смогут украсть данные ваших пользователей.

Инструкция по правильному переходу с HTTP на HTTPS

Перед тем как приступать к переходу, подумайте, когда это можно сделать. Лучше выбрать время, когда вашим сайтом пользуется меньше всего человек. Например, точно не стоит переезжать в высокий сезон продаж или во время проведения каких-то акций. Переход может ненадолго уронить позиции ресурса в выдаче, а этого в пиковые моменты продаж хотелось бы избежать. 

Шаг 1. Выбор SSL-сертификата

Для начала нужно купить сертификат, который даст возможность работать SSL-протоколу. Это основная технология шифрования данных в HTTPS. Такой протокол позволяет зашифровать данные в случайный набор символов перед тем, как передавать их на сервер. 

Купить такой сертификат обычно можно у своего хостинг-провайдера. Например, у крупных площадок вроде reg.ru и nic.ru такая возможность есть. Но даже если у вашего провайдера такой услуги нет, то он наверняка сможет порекомендовать вам проверенные сервисы, с которыми сотрудничает.  

Сертификаты бывают трёх видов:

• Domain Validation. Самый простой уровень защиты, который подойдёт, если у вас небольшой лендинг, блог или форум. Его могут использовать как физические, так и юридические лица.
• Organization Validation. Может использоваться только юридическими лицами, потому что потребуется проверка существования вашей организации. Подойдёт для малого бизнеса или небольших интернет-магазинов.
• Extended Validation. Тоже может использоваться только юридическими лицами. Обычно применяется крупными интернет-магазинами, платёжными системами и финансовыми компаниями. Помимо замочка в адресной строке, как в двух предыдущих вариантах, у сайта с таким SSL-сертификатом вся адресная строка в браузере будет выделена зелёным цветом.

Логично, что первый вариант дешевле, а последний дороже. Поэтому выбирайте тот, который подходит в вашем случае. Есть и бесплатные сертификаты, но они не очень надёжные. Плюс, часто это просто демо-версия, которая работает определённое время. А потом вам нужно будет всё равно покупать сертификат.

Шаг 2. Создание резервной копии сайта

Перед тем как перейти на HTTPS, обязательно сделайте резервную копию своего ресурса. Если что-то пойдёт не так, вы всегда сможете безболезненно откатить все изменения назад и восстановить сайт.

Шаг 3. Установка SSL-сертификата

Устанавливается сертификат через хостинг. Вам нужно зайти в личный кабинет, найти раздел SSL и добавить туда файл с сертификатом. Если вы покупали его напрямую у хостинга, то почти всегда система это увидит и предложит вам просто выбрать нужный сертификат из списка.

Если не можете разобраться с установкой сертификата, поищите инструкцию на сервисе, где вы его покупали. Обычно там всё подробно описано.

Шаг 4. Обновление всех ссылок

Ссылки, которые отличаются только протоколами, всё равно воспринимаются системой разными. Поэтому вам нужно обновить адреса всех внутренних ссылок, которые есть на страницах ресурса, чтобы они начали вести на URL с новым протоколом. Иначе браузер и поисковая система опять же будут считать площадку небезопасной. 

Изменить нужно ссылки:

• На внутренние страницы и файлы. В том числе на технические файлы, например, стили CSS или библиотеки JavaScript.
• На страницы в карте сайта.
• На саму карту в файле robots.txt.

А как быть со ссылками на внешние ресурсы, если эти сайты не поддерживают безопасный протокол соединения? Такие ссылки опять же могут навредить позициям и отображению вашей площадки. Чтобы избавиться от этого эффекта, добавьте к ним метатег reffer.

Шаг 5. Обновление настроек сервера

Все URL, на которые попадают пользователи, теперь должны содержать протокол HTTPS. Но как быть, если где-то остались ссылки на ресурс, в которых используется старая версия? Для этого используют склейку зеркал. Зеркалами называются копии сайта с немного отличающимися адресами URL. Например, с разными протоколами, со слешем в конце и без, с www и без него. Так вот вы должны выбрать основную версию сайта (например, с HTTPS, со слешем и без www) и установить на сервере редиректы со всех других версий именно на эту.

Для полного переезда на безопасный протокол подходит 301 редирект. Его нужно настроить для каждой страницы. Тогда все показатели старой версии сайта, важные для SEO (ссылочный вес, поведенческие факторы), практически без потерь передадутся новой.

Настроить 301 редирект можно через файл .htaccess. Этот способ подойдёт, если ваш ресурс работает на сервере Apache, а так функционирует большинство площадок. Найти файл можно в папке сайта. Для перехода на безопасный протокол в начала файла нужно вставить вот такой код:

Если ваш ресурс сделан на CMS, для настройки редиректа на HTTPS можно воспользоваться специальными плагинами. Например, для Wordpress есть Safe Redirect Manager и Simple 301 Redirects, а для Битрикс — Простой редирект страниц, SEO редиректы и другие. 

Выбирайте либо один, либо другой способ. Настраивать переадресацию сразу и вручную, и в CMS не нужно.

Шаг 6. Проверка работоспособности

Чтобы проверить всё ли правильно вы настроили, просто зайдите на сайт по новому адресу с использованием HTTPS. Если всё работает, браузер быстро загрузит страницу, и в адресной строке вы увидите значок замочка. Так можно проверить главную и ещё несколько рандомно выбранных страниц. 

Ещё для проверки можно воспользоваться специальными сервисами. Например, инструментом от PR-CY. Туда можно вставить ссылку на свой сайт, а сервис покажет, есть ли на нём SSL-сертификат и доступен ли ресурс по HTTPS.

Шаг 7. Обновление Яндекс.Вебмастера, Google Search Console и других инструментов

Чтобы поисковая система быстрее узнала о том, что сайт обновился, можно сообщить ей об этом с помощью инструментов для вебмастеров. В Яндекс.Вебмастере нужно зайти в раздел “Индексирование” и выбрать подраздел “Переезд сайта”. Включите опцию “Добавить HTTPS” и нажмите “Сохранить”.

Google Search Console в некоторых случаях тоже нужно сообщать о переезде. Если вы изначально добавляли сайт в панель в формате доменного ресурса, то новый адрес автоматически подтянется туда.

Если нет, просто добавьте в панель новую версию ресурса. При этом старую версию удалять не нужно.

Также в обоих сервисах не лишним будет обновить ссылку на файл с картой сайта. Ведь и сама ссылка, и содержимое файла изменились.

В Google Analytics и Яндекс.Метрике не забудьте поправить настройки целей, срабатывание которых зависит от точного адреса URL. Например, это посещение конкретных страниц или скачивание файлов. В самих счётчиках домены указываются без префиксов, поэтому обновлять ничего не требуется.

Дополнительно можно обновить ссылки на ресурс в ваших соцсетях, на YouTube и других внешних площадках. В принципе, если не сделать этого, ничего страшного не произойдёт. Мы же настроили редирект, и люди всё равно смогут попасть по адресу. Но лучше всё-таки обойтись без редиректа и сразу предложить аудитории корректную ссылку.

Заключение

Если вы до сих пор не используете безопасный протокол соединения, то многое упускаете. Ваш сайт воспринимается браузером и поисковой системой небезопасным, а значит вы теряете посетителей и потенциальных клиентов. Конечно, переадресация с HTTP на HTTPS волшебным образом не выведет вас в топ выдачи. Ведь есть много других факторов ранжирования, которые влияют на позиции. Но если можно за счёт небольшого усилия повысить посещаемость своей площадки, почему бы этого не сделать? Сразу после перехода позиции и трафик, скорее всего, снизятся, но потом всё восстановится и даже улучшится. Так что дерзайте.