Переход на HTTPS: инструкция

Уже несколько лет Google активно продвигает технологию защищённого подключения HTTPS. Ещё в 2014 наличие у сайта SSL-сертификата было названо одним из факторов ранжирования в Google, а с 1 января 2017 года все сайты, работающие по протоколу HTTP, стали помечаться в Google Chrome как небезопасные с предупреждением Не защищено.

К нему также присоединился браузер FireFox, помечающий безопасные сайты, замочком зелёного цвета в адресной строке. Chrome и FireFox несколько лет подряд удерживают топовые позиции среди других браузеров на мировом рынке.

К настоящему моменту Яндекс не подтвердил, что протокол влияет на ранжирование, но подтверждает, что наличие HTTPS учитывается при оценке качества сайта. Яндекс также планирует внедрить предупреждения о безопасности по примеру Chrome в свой браузер и проводит эксперименты со сниппетами поисковой выдачи.

Эти меры должны стимулировать дальнейший переход с HTTP на HTTPS для всех веб-сайтов. Статистика подтверждает, что доля сайтов с HTTPS в топе неуклонно возрастает.

Для передачи защищённых данных в HTTPS используется криптографический протокол SSL/TLS. Этот протокол использует сертификат для проверки принадлежности ключа шифрования владельцу. Получить SSL-сертификат, который гарантирует подлинность цифровой подписи ресурса, можно в удостоверяющем центре (Certification authority).

В крупнейших мировых центрах сертификации Sectigo (ребрендинг Comodo) и DigiCert можно купить SSL на определённый срок (тарифный план на 1-2 года). Как правило, купить или получить SSL-сертификат бесплатно можно и у своего хостинг-провайдера.

Бесплатный SSL также можно получить в Let's Encrypt или FreeSSL, и хотя они имеют свои ограничения, для большинства сайтов таких сертификатов часто достаточно.

Как понять, что установить на ваш сайт? Есть три разных типа протокола SSL:

• Domain Validation (DV SSL) подтверждают доменное имя.
• Organization Validation (OV SSL) подтверждают доменное имя и организацию.
• Extended Validation (EV SSL) — расширенная валидация, самая надёжная защита.

Об уровне компании и надёжности защиты данных можно судить, в том числе, по установленному на её официальном сайте сертификату.

Кроме того, SSL-сертификаты отличаются своими свойствами:

• Single Certificate действует только на один домен, указанный при его покупке.
• Wildcard защитит не только основной домен, но и все его поддомены, но стоит значительно дороже.
• Unified Communications/SAN — сертификаты для одной компании с несколькими доменами.
• Если ваш домен в кириллической зоне, то важна поддержка IDN.

1. Замените абсолютные внутренние ссылки на относительные. Сюда относятся не только текстовые ссылки, но также ссылки на изображения, видео, подключаемые файлы.

   Коды ремаркетинга, различные скрипты нужно заменить на относительные с доменным именем, но без протокола HTTP (пр. //site.ru/script.js).

2. Сгенерируйте новый файл sitemap.xml с HTTPS-адресами.

3. Внесите правки в robots.txt, указав верную ссылку на sitemap.xml с HTTPS-адресом. Если вы ещё используете в robots.txt директиву Host, то самое время её удалить.

4. Не забудьте исправить внутренние ссылки в тегах rel=canonical, rel=alternate и др., если используете их на своём сайте.

1. Настройте 301 редиректы с HTTP на HTTPS. Страницы старого сайта должны выполнять редирект именно на аналогичные страницы нового сайта. Если же структура сайта при переезде изменилась, Вы можете установить редирект со страниц старого сайта на аналогичные страницы нового, а с них установить редирект на нужные адреса.

   Однако, чтобы не создавать себе лишних трудностей, постарайтесь по возможности избегать совмещения смены протокола с любыми другими работами по сайту. Сделайте их до или после переезда.

2. Файлы robots.txt и XML-карта сайта должны быть доступны и по HTTP, и по HTTPS.

   Содержимое версий должно совпадать, чтобы робот мог обращаться по одинаковым адресам при проверке зеркал.

   Ссылку на файл sitemap.xml в обоих robots.txt лучше указать по адресу нового главного зеркала с HTTPS.

3. Проверьте серверные ответы и убедитесь, что все зеркала в группе выполняют редирект на желаемое главное зеркало. Если у сайта есть поддоменная структура, не забудьте про редиректы для поддоменов.
   
   Это также относится к версиям "с www" или "без www". Важно настроить склейку вида HTTP://www.поддомен.домен.ru → HTTPS://поддомен.домен.ru, если приобретенный сертификат SSL действует только на поддомены первого уровня. В этом случае при обращении к www-зеркалу поддомена будет возникать ошибка безопасности.

Не забудьте произвести необходимые настройки, чтобы иметь доступ к аналитике нового HTTPS-зеркала.

1. Добавьте HTTPS-сайт в Google Search Console и подтвердите права на него.
2. Добавьте HTTPS-сайт и подтвердите права на него, а затем произведите переезд на HTTPS в Яндекс.Вебмастер.

Теперь можно ожидать скорейшей склейки зеркал. Приблизительный срок перехода на приоритетное ранжирование защищённой версии 1-2 недели. При этом старая версия HTTP может еще некоторое время показываться в поиске — вы увидите это в статистике переходов.

Не расслабляйтесь сразу после отправки заявки на переезд. Помните, что поисковики не дают никаких гарантий, поэтому особенно внимательно отслеживайте ранжирование и индексирование сайта сразу после переезда. Не стесняйтесь обращаться в службу поддержки Яндекса или отправлять страницы на переобход вручную через тот же Вебмастер.

Используйте инструменты для анализа внутренней структуры сайта (любой краулер, например, бесплатный Xenu Link Sleuth). Так вы сможете найти абсолютные внутренние ссылки, которые пропустили на первом шаге, и выявить возникшие цепочки редиректов. Исправив их, вы упростите обход сайта роботами, а значит ускорите его переиндексацию, и отправите сигнал поисковикам, что следите за актуальностью информации на своём сайте.

Также не забудьте актуализировать адрес сайта в Яндекс.Справочнике и Google Maps — так вы получите свои первые "хорошие" ссылки на HTTPS-зеркало.