При всех видимых преференциях HTTPS — от защиты самого сайта до возможного улучшения ранжирования — не все владельцы ресурсов спешат переходить на защищённый протокол. Многих вебмастеров пугает возможная потеря трафика во время склейки зеркал: для поисковиков HTTP и HTTPS-версии одного домена представляют собой разные сайты, а значит понадобится некоторое время, чтобы разобраться что же выдавать на запрос пользователя.

Почему надо перевести сайт на HTTPS?

Уже несколько лет Google активно продвигает технологию защищённого подключения HTTPS. Ещё в 2014 наличие у сайта SSL-сертификата было названо одним из факторов ранжирования в Google, а с 1 января 2017 года все сайты, работающие по протоколу HTTP, стали помечаться в Google Chrome как небезопасные с предупреждением Не защищено.

Внешний вид уведомлений зависит от браузера и его версии, но в целом их сложно не заметить

К нему также присоединился браузер FireFox, помечающий безопасные сайты, замочком зелёного цвета в адресной строке. Chrome и FireFox несколько лет подряд удерживают топовые позиции среди других браузеров на мировом рынке.

Статистика ресурса www.w3schools.com

К настоящему моменту Яндекс не подтвердил, что протокол влияет на ранжирование, но подтверждает, что наличие HTTPS учитывается при оценке качества сайта. Яндекс также планирует внедрить предупреждения о безопасности по примеру Chrome в свой браузер и проводит эксперименты со сниппетами поисковой выдачи.

Не так давно Яндекс стал помечать HTTPS-сайты в своей выдаче зелёным замочком

Эти меры должны стимулировать дальнейший переход с HTTP на HTTPS для всех веб-сайтов. Статистика подтверждает, что доля сайтов с HTTPS в топе неуклонно возрастает.

Статистика поиска Google.ru по данным moz.com

Переход на HTTPS без потери позиций

  1. Выбор и установка SSL
  2. Подготовка сайта к переезду
  3. Редирект 301
  4. HTTPS и поисковые системы
  5. P.S. После переезда на HTTPS

В настоящее время, когда безопасность поиска всячески стимулируется поисковыми системами, достаточно от нескольких дней до недели, чтобы версия с протоколом HTTPS заменила в поиске HTTP-сайт, хотя раньше этот же процесс мог растянуться на пару месяцев.

Чтобы минимизировать возможные риски, выбирайте самый низкий по трафиковой нагрузке месяц и день для внедрения защищённого протокола. Многие бизнесмены прекрасно знают свой «несезон», остальные же могут проанализировать статистику из Метрики или Аналитики за последние несколько лет.

Шаг 1. Выбор и установка SSL сертификата

Для передачи защищённых данных в HTTPS используется криптографический протокол SSL/TLS. Этот протокол использует сертификат для проверки принадлежности ключа шифрования владельцу. Получить SSL-сертификат, который гарантирует подлинность цифровой подписи ресурса, можно в удостоверяющем центре (Certification authority).

В крупнейших мировых центрах сертификации Sectigo (ребрендинг Comodo) и DigiCert можно купить SSL на определённый срок (тарифный план на 1-2 года). Как правило, купить или получить SSL-сертификат бесплатно можно и у своего хостинг-провайдера.

Бесплатный SSL также можно получить в Let's Encrypt или FreeSSL, и хотя они имеют свои ограничения, для большинства сайтов таких сертификатов часто достаточно.

Как понять, что установить на ваш сайт? Есть три разных типа протокола SSL:

  • Domain Validation (DV SSL) подтверждают доменное имя.
  • Organization Validation (OV SSL) подтверждают доменное имя и организацию.
  • Extended Validation (EV SSL) — расширенная валидация, самая надёжная защита.

Об уровне компании и надёжности защиты данных можно судить, в том числе, по установленному на её официальном сайте сертификату.

Кликните по значку защищённого соединения в адресной строке браузера для просмотра сведений о сертификате

Кроме того, SSL-сертификаты отличаются своими свойствами:

  • Single Certificate действует только на один домен, указанный при его покупке.
  • Wildcard защитит не только основной домен, но и все его поддомены, но стоит значительно дороже.
  • Unified Communications/SAN — сертификаты для одной компании с несколькими доменами.
  • Если ваш домен в кириллической зоне, то важна поддержка IDN.

Для большинства своих клиентов мы устанавливаем бесплатные SSL-сертификаты от центра сертификации Let's Encrypt. Помимо бесплатности у них есть еще одно преимущество: автоматическая пролонгация — один раз настроил и забыл. Для установки сертификата Вам понадобятся: доступ к панели управления хостингом, консоль и знание нескольких команд nginx. По ссылке пошаговая инструкция по настройке SSL, которую мы используем в своей работе.

Отдельно отметим, что на виртуальном хостинге собственными силами автопролонгирование не настроить, так как нужен root-доступ. Однако некоторые хостеры могут предоставить такую услугу, например, SpaceWeb любезно предложил настроить автопрологнацию и сделал это за пару часов после обращения к поддержке через тикет-систему.

Шаг 2. Подготовка сайта к переезду

  1. Замените абсолютные внутренние ссылки на относительные. Сюда относятся не только текстовые ссылки, но также ссылки на изображения, видео, подключаемые файлы.

    Коды ремаркетинга, различные скрипты нужно заменить на относительные с доменным именем, но без протокола HTTP (пр. //site.ru/script.js).

  2. Сгенерируйте новый файл sitemap.xml с HTTPS-адресами.

  3. Внесите правки в robots.txt, указав верную ссылку на sitemap.xml с HTTPS-адресом. Если вы ещё используете в robots.txt директиву Host, то самое время её удалить.

  4. Не забудьте исправить внутренние ссылки в тегах rel=canonical, rel=alternate и др., если используете их на своём сайте.

Используйте тестовый домен для разработки — разверните и отладьте HTTPS сначала на нём, потратив на это столько времени, сколько потребуется. Если же такой возможности нет, то немедля приступайте к шагу 3.

Шаг 3. Редирект 301

  1. Настройте 301 редиректы с HTTP на HTTPS. Страницы старого сайта должны выполнять редирект именно на аналогичные страницы нового сайта. Если же структура сайта при переезде изменилась, Вы можете установить редирект со страниц старого сайта на аналогичные страницы нового, а с них установить редирект на нужные адреса.

    Однако, чтобы не создавать себе лишних трудностей, постарайтесь по возможности избегать совмещения смены протокола с любыми другими работами по сайту. Сделайте их до или после переезда.

  2. Файлы robots.txt и XML-карта сайта должны быть доступны и по HTTP, и по HTTPS.

    Содержимое версий должно совпадать, чтобы робот мог обращаться по одинаковым адресам при проверке зеркал.

    Ссылку на файл sitemap.xml в обоих robots.txt лучше указать по адресу нового главного зеркала с HTTPS.

Не на всех системах управления есть возможность реализовать разные файлы robots.txt, поэтому допустим 301-й редирект на robots.txt HTTPS-версии.

  1. Проверьте серверные ответы и убедитесь, что все зеркала в группе выполняют редирект на желаемое главное зеркало. Если у сайта есть поддоменная структура, не забудьте про редиректы для поддоменов.

    Это также относится к версиям "с www" или "без www". Важно настроить склейку вида HTTP://www.поддомен.домен.ruHTTPS://поддомен.домен.ru, если приобретенный сертификат SSL действует только на поддомены первого уровня. В этом случае при обращении к www-зеркалу поддомена будет возникать ошибка безопасности.

Если нет возможности прописать редиректы, добавьте на каждую страницу старого сайта каноническую ссылку rel="canonical" на эту же страницу нового сайта с HTTPS.

Шаг 4. HTTPS и поисковые системы

Не забудьте произвести необходимые настройки, чтобы иметь доступ к аналитике нового HTTPS-зеркала.

  1. Добавьте HTTPS-сайт в Google Search Console и подтвердите права на него.
  2. Добавьте HTTPS-сайт и подтвердите права на него, а затем произведите переезд на HTTPS в Яндекс.Вебмастер.

Инструмент переезда в Яндекс.Вебмастер

Теперь можно ожидать скорейшей склейки зеркал. Приблизительный срок перехода на приоритетное ранжирование защищённой версии 1-2 недели. При этом старая версия HTTP может еще некоторое время показываться в поиске — вы увидите это в статистике переходов.

P.S. После переезда на HTTPS...

Не расслабляйтесь сразу после отправки заявки на переезд. Помните, что поисковики не дают никаких гарантий, поэтому особенно внимательно отслеживайте ранжирование и индексирование сайта сразу после переезда. Не стесняйтесь обращаться в службу поддержки Яндекса или отправлять страницы на переобход вручную через тот же Вебмастер.

Используйте инструменты для анализа внутренней структуры сайта (мы, например, очень любим Netpeak Spider). Так вы сможете найти абсолютные внутренние ссылки, которые пропустили на первом шаге, и выявить возникшие цепочки редиректов. Исправив их, вы упростите обход сайта роботами, а значит ускорите его переиндексацию, и отправите сигнал поисковикам, что следите за актуальностью информации на своём сайте.

Также не забудьте актуализировать адрес сайта в Яндекс.Справочнике и Google Maps — так вы получите свои первые "хорошие" ссылки на HTTPS-зеркало.