Как перевести сайт на HTTPS

Перевод сайта на https как переезд из одной квартиры в другую — вроде бы ничего сложного, но, если не подготовиться заранее, дополнительных проблем не избежать. Чтобы ничего не упустить и не забыть, воспользуйтесь нашей пошаговой инструкцией. И пусть ваш переезд на https пройдёт легко и безболезненно.     

Итак, приступим. Что же нужно сделать, чтобы переехать на защищенный протокол.

1. Создать резервную копию файлов и баз данных

Во-первых, вы сможете восстановить данные, если что-то пойдёт не так.

Во-вторых, у вас появится шанс безопасно попрактиковаться на копии сайта, прежде чем рубить с плеча и делать всё «на горячую» на работающем сайте. Совет особенно полезен владельцам сложных и нестандартных проектов, а также всем, кто сомневается, что всё пройдёт гладко, и знает, как сильно перерывы в работе сайта бьют по карману и репутации.

Для создания резервной копии используйте отдельное хранилище, а не дисковое пространство сервера с данными сайта. Если с сервером что-то случится, копии файлов останутся целыми и невредимыми.

Чтобы подключить диск для бэкапов и настроить его с помощью ISPManager, вам потребуется 15-20 минут, не больше.     

Как создать копию сайта, чтобы потренироваться

1. Создайте тестовый поддомен вида test-ssl.yoursite.com, чтобы потренироваться на нём. Или используйте бесплатный технический поддомен от FirstVDS — yoursite.fvds.ru. Просто добавьте данный домен в панели ISPmanager.

2. Перенесите копии файлов и баз данных вашего сайта на тестовый поддомен.

3. Далее действуйте по нашей инструкции по переезду на HTTPS.

4. Чтобы не покупать сертификат для тестового переезда, рекомендуем подключить бесплатный сертификат от Let’s Encrypt.

2. Выбрать SSL-сертификат

Без SSL-сертификата не получится перевести сайт на https: ведь именно сертификат проверяется поисковиками и участвует в шифровании данных, которые веб-сервер получает от пользователя.

Мы советуем заранее выбрать сертификат, ведь его получение может занять не один день. Так, на выпуск сертификата с проверкой организации (OV) может уйти до 5 дней.

Чтобы определиться в выборе SSL-сертификата, ориентируйтесь на то, какой тип сертификата подойдёт вашему проекту и какая цена является для вас оптимальной.

3. Подготовить  сайт

Чтобы между сайтом и браузером клиента было установлено защищённое соединение, необходимо, чтобы весь контент сайта отдавался исключительно по https-протоколу.

Так как содержимое сайта запрашивается с веб-сервера при помощи ссылок, начать следует с того, чтобы грамотно их изменить.

Какие бывают ссылки:

Внешние ведут с вашего сайта на другие ресурсы.

Внутренние — переводят с одной страницы на другую внутри сайта.

Также ссылки делятся на абсолютные и относительные.

Абсолютные ссылки представляют собой полный URL, с указанием протокола, домена и пути до каталога или файла.

Пример:

https://firstvds.ru/services/ssl_certificate

Относительные ссылки — по своей сути лишь часть URL, неполный путь к определенному файлу. Путь такой ссылки высчитывается относительно чего-либо, например, корневой директории домена или протокола.

Пример:

//firstvds.ru/services/ssl_certificate (без указания протокола)

/services/ssl_certificate (без указания домена).

Что же нужно сделать?

3.1. Все внутренние ссылки изменить с абсолютных на относительные    

Проверьте, каким образом на вашем сайте реализована внутренняя адресация. Если для этого используются абсолютные ссылки вида http://, измените все URL на относительные. Во-первых, это серьёзно упростит настройку редиректа, о котором речь пойдет позже, а во-вторых, если вы однажды соберетесь менять доменное имя, сильно облегчите себе задачу.

3.2 Изменить все внешние ссылки с http на https

Если внешние ссылки с сайта относительны по протоколу, то после подключения SSL, контент по этим ссылкам автоматически будет запрашиваться через https. В этом случае, надо лишь убедиться, что запрашиваемый URL доступен по https.

Если внешние ссылки сейчас являются абсолютными и в них используется протокол http, то просто переделайте их на https.

И главное, помните: необходимо исправить ссылки для всех типов контента — картинок, видео, скриптов и т.д.

Примечание: на страницах вашего сайта могут быть ссылки на другие ресурсы, выполненные в виде кликабельного текста. Это реализовано через html-тег <a href =”ссылка”>, и в этих ссылках не надо менять http-адрес на https, поскольку адрес может не работать по защищённому протоколу.

Как изменить ссылки

Большая часть сайтов в мире сделана на базе готовых движков, так называемых систем управления контентом — CMS. У большинства из них есть готовые решения для управления ссылками либо средствами самой CMS, либо при помощи плагинов. Это самый простой и безопасный способ для того, чтобы изменить ссылки.

Такой вариант подходит для многостраничных сайтов со сложной структурой. Если же ваш сайт содержит всего несколько страниц, можно попробовать изменить ссылки вручную.

Современные CMS сохраняют содержимое страниц в базу, поэтому чаще всего ссылки хранятся в базе данных сайта. Чтобы заменить их вручную, можно использовать phpMyAdmin с удобным поиском по базе. Тем более, что он доступен в панели ISPManager.

Есть и другие способы:

— Вручную просмотреть все файлы сайта, скрипты и т.д.: откройте их в текстовом редакторе, типа

NotePad++,  и при помощи функции поиска и замены приведите все ссылки к нужному виду. Этот вариант подходит тем, чей проект содержит до 4-5 страниц, имеет мало активного содержимого и не имеет базы данных как таковой.

— Поменять при помощи самописных программ. Можно написать скрипт, который при запуске заменит все сочетания вида «http://» на «https://» во всех файлах сайта, или только в указанных. В ОС Linux, например, это можно сделать, написав однострочный скрипт с использованием редактора sed. Такой способ подходит не всем, так как есть риск нарушить структуру файлов.

В статье способы рассматриваются как альтернативные, однако для некоторых веб-сайтов придется использовать не один способ, а два или больше. Например, отдельно поменять ссылки в CMS, отдельно — в базе данных и вручную переписать ссылки в коде сайта.

4. Установить  SSL-сертификат    

Установка сертификата — несложный процесс, но имеет свои нюансы в зависимости от того, какой сертификат вы устанавливаете — платный от известного центра или бесплатный Let’s Encrypt. Если вы обслуживаетесь у нас и используете панель ISPmanager, то можете воспользоваться готовой инструкцией по установке сертификата  для любого сайта или для окружения Битрикс. Если возникли сложности,  напишите в техническую поддержку, и мы поможем вам  с установкой.

5. Проверить работу сайта

Самый простой способ проверить, верно ли настроен сайт и установлен ли SSL-сертификат — открыть сайт через https://. Если появился значок защищённого соединения в браузере, значит сертификат установлен и все данные на странице загружаются через защищённый протокол.

    

Хорошо, если вы сможете проверить каждую страницу: неверные ссылки или ошибки при настройке редиректа могут привести к тому, что часть контента будет загружаться через http-протокол. В этом случае при просмотре страницы в браузере будет отображаться ошибка смешанного содержимого (Mixed content).

Понятно, что проверить вручную все страницы сайта получится не всегда. Тогда, чтобы убедиться, что все страницы загружаются корректно, используйте бесплатные средства SEO-аудита от Яндекс.Вебмастера и Google Search Console. С их помощью можно проверить, верно ли указаны ссылки, а ещё, что тоже пригодится, как отрабатывает редирект, правильно ли сформированы robots.txt и sitemap.xml. Для более детального SEO-анализа можем порекомендовать такие инструменты как, как

Netpeak Spider или Screaming Frog.    

6. Настроить редирект

После того, как установлен SSL-сертификат, пользователи смогут заходить на ваш сайт как по запросу http, так и по https. Чтобы использовалось только защищенное соединение, необходимо настроить перенаправление запросов, или редирект. В этом случае любой полученный сервером http-запрос будет возвращаться по защищённому каналу.

В нашей Базе знаний вы можете прочитать о том, как настраивать автоматический редирект на HTTPS с помощью ISPmanager для самых распространенных вариантов — на связке Apache+Nginx и чистом Apache.

7.  Внести изменения в файл

robots.txt и sitemap.xml

Файл robots.txt — это текстовый документ, размещённый в корне сайта, в котором прописываются параметры управления индексацией сайта. И в нём нам надо изменить следующие адреса:

В поле «host» меняем ссылку с http на https:

Было:

Host: http://ssl-test.fvds.ru

Стало:

Host: https://ssl-test.fvds.ru

    

Меняем ссылку на sitemap.xml.

Было:

Sitemap:  http://ssl-test.fvds.ru/sitemap.xml

Стало:

Sitemap:  https://ssl-test.fvds.ru/sitemap.xml

Sitemap — это, как следует из названия, карта сайта для поисковых систем, которая ускоряет процесс индексации. Это файл в формате XML, размещённый в корне сайта и содержащий адреса всех страниц сайта.

Файл sitemap.xml необходимо заново сгенерировать. Это можно сделать при помощи онлайн-ресурсов или через плагины CMS. После создания новой карты сайта, нужно загрузить её в корневую директорию ресурса.

8. Изменить адрес сайта на стороне поисковых систем

Чтобы не потерять позиции в поисковой выдаче, следующий и последний шаг, который вы должны сделать, — указать поисковым системам, что сайт защищён SSL-сертификатом и работает по https-протоколу.  

Для Яндекс.Вебмастера

Для индексирующих ботов сайт по http и сайт по https — это разные сайты. Поэтому добавим новый сайт с https.

Шаг первый. 

Шаг второй. 

После подтверждения прав на домен, перейдём снова на сайт без HTTPS и после перейдём в раздел «Индексирование» —

«Переезд сайта» и поставим галочку «Добавить HTTPS».

Для Google Search Console

Необходимо добавить отдельный сайт для каждого URL, поэтому добавим ресурс с https.

Теперь вам останется только подождать, когда поисковые системы проиндексируют ваш сайт по HTTPS. Чтобы узнать больше о работе поисковиков и индексации сайта, воспользуйтесь справочной информацией от Google Search Console и помощью Яндекс.Вебмастера.  

 

Читать еще по этой теме:

Как настроить автоматический редирект на HTTPS?

Установка SSL-сертификата на сервер с Битрикс

Установка SSL-сертификата с помощью ISPmanager

Установка PhpMyAdmin на Bitrix-сервер

Установка бесплатного SSL-сертификата Let’s Encrypt на сервер с Битрикс

Как выбрать SSL-сертификат для своего сайта

 

Как правильно перевести сайт на HTTPS

Для повышения общей интернет-безопасности и защиты информации, Гугл и Яндекс планомерно ухудшают условия ранжирования сайтов на http, пытаясь свести их количество к минимуму.

В скором времени всем сайтам с полем для ввода пользовательских данных придется перейти на безопасный https протокол, если, конечно, они не хотят потерять свои позиции в выдаче Google. Сейчас http сайты с полем ввода помечаются Гуглом как ненадежные, а в ближайшем будущем их отметят как небезопасные.

Посетители таких сайтов увидят красный треугольник и предупреждающую надпись в адресной строке. Мало кому захочется вводить личные данные и платежную информацию на сайте с такими отметками, поэтому у доменов без https протокола неизбежно уменьшится трафик и популярность, а, следовательно, количество транзакций и прибыль.

По всей видимости, нас ждет массовый переход на безопасный протокол всех онлайн магазинов, банков, форумов, почтовых серверов и медучреждений. Чтобы все прошло плавно и незаметно для посетителей ресурса, лучше всего переносить сайт в несезонное для данного вида деятельности время. Оно может отличаться – например, для интернет-магазина горнолыжного оборудования это будут летние каникулы, а для продавца экипировки для водных видов спорта – зима. Если особой сезонности в работе сайта нет, переносить его проще летом, когда многие уходят в отпуск и посещаемость снижается.

Перенос на HTTPS проходит в три этапа – подготовка сайта, работа с техническими параметрами SSL сертификата и работа с техническими параметрами сайта.

Что нужно сделать, чтобы перевести сайт на https

Еще до начала перевода домена на SSL стоит проверить его код и исправить все внутренние ссылки на относительные. Это позволит избежать возможных технических неполадок в процессе перехода и жалоб пользователей на нерабочие внутренние ссылки в новой версии сайта. Абсолютная ссылка содержит полный адрес страницы, например «https://www.ipipe.ru/info/ssl-https», а относительная – только адрес страницы относительно корневой папки сайта, например «//info/ssl-https»

В относительной ссылке нет названия протокола, поэтому она будет работать и с SSL защитой, и без. Внешние ссылки оставьте без изменений, т.к. не все внешние ресурсы работают по https протоколу.

Проверка медиа-файлов сайта

Теперь нужно проверить все графические, аудио- и видеофайлы и презентации. Те, что хранятся на сервере вашего ресурса, должны иметь относительные ссылки. Внешние медиафайлы необходимо загрузить на надежные https-хранилища с хорошей репутацией – YouTube, Facebook, Slideshare и др..

Не стоит пользоваться незащищенными видеохостингами, иначе нет смысла переносить сайт на https. При загрузке медиа-контента с http серверов страница сайта будет отмечена, как содержащая небезопасный контент. Вряд ли посетители сайта обладают достаточными навыками и желанием разбираться, что это происходит из-за видео, вставленного со стороннего http сайта.

Проверяем правильное подключение внешних скриптов

Чтобы прописать шрифты или прикрутить к сайту функцию онлайн-консультанта или обратного звонка, используют внешние скрипты. Прежде чем переводить домен на https, убедитесь, что они содержат только относительные ссылки, без указания протокола. Это касается любых внешних скриптов – библиотек jQuery и JavaScript, Ajax, Google Analytics, LiveInternet. Крупные и широко используемые библиотеки и сервисы работают через https, поэтому подключение к ним проходит по безопасному соединению. Пользоваться малоизвестными или непопулярными сервисами небезопасно, т.к. они, как правило, работают по http протоколу.

Выбираем SSL сертификат для перехода на https

Любой SSL сертификат выполняет свою основную функцию – защищает сайт и передаваемую информацию от доступа посторонних лиц. Различают несколько типов сертификатов:

• Обычный SSL сертификат устанавливается на один домен, принадлежащий частному или юридическому лицу. Такой сертификат можно получить за несколько минут после простой проверки собственника домена.
• Сертификаты с расширенной проверкой (Extended validation) могут купить только компании при предъявлении регистрационных документов. Обязательное условие – название фирмы должно фигурировать в whois домена. У сайта, защищенного таким сертификатом, будет зеленая адресная строка.
• Wildcard SSL сертификат приобретают компании, имеющие несколько поддоменов в одном домене.
• IDN сертификаты поддерживают национальные шрифты и пригодятся владельцам кириллических доменов.

Устанавливаем сертификат

При покупке SSL сертификата у хостинг-провайдера тот сам устанавливает его либо обеспечивает быструю установку через панель управления. Процесс установки занимает от нескольких минут до 1-2 дней, но есть обязательное условие — сервер хостера должен поддерживать SSL-протокол. По этой причине лучше выбирать популярный хостинг с высоким уровнем защиты данных.
SSL сертификат не привязан к определенному IP-адресу или хостингу, поэтому можно выбрать любого надежного хостера.

Проверяем правильность установки SSL

Теперь нужно проверить корректность установки SSL сертификата. Сделать это можно через любой из бесплатных онлайн сервисов, например, SSL Shopper, Symantec SSL Toolbox, GlobalSign SSL Check или Qualys SSL Labs.

Проверка происходит мгновенно, достаточно ввести адрес сайта в указанном формате и нажать ввод. Большинство сервисов по итогам проверки выставляет оценку уровня защищенности домена и указывает все уязвимые участки. Пример результатов проверки:

Допустимая оценка – от А и выше. Если сервис нашел ошибки в настройках сервера либо сертификата, исправьте их и запустите повторную проверку, до тех пор, пока не получите высокий уровень защиты.

Указываем https-версии в файле robots.txt

Следующий этап — настройка технических параметров сайта. Для поисковиков один и тот же сайт на http и https – это абсолютно разные ресурсы. Ваша задача – сделать так, чтобы в выдачу попадала только новая версия сайта, иначе вы рискуете лишиться значительной доли трафика.

При настройке в Яндексе пропишите директиву Host в файле robots.txt и явно укажите https-протокол. Тем самым вы сообщаете поисковику, что https-зеркало сайта является основным.

Переадресация с http на https — нужно настроить редирект

По мнению поисковиков, http и https версии сайта (так же как и сайт с приставкой www и без нее) – это разные сайты, поэтому после установки сертификата придется настраивать переадресацию всех http страниц на соответствующие страницы https. Требуются те же действия, что при переводе сайта на новый домен. Если Ваш проект еще использует анахронизм в виде приставки www – можно вместе с переездом на https протокол также указать основную версию сайта без www – например, https://demo-domen.ru .

Делайте прямую переадресацию без промежуточных документов, т.е. со старой версии сайта сразу на новую. Для переадресации достаточно настроить 301 для сайта, в зависимости от используемой CMS.

Проверяем на «битые» ссылки и доступ в разных браузерах

Теперь нужно проверить корректность работы сайта в целом — ссылки, доступ из разных браузеров, правильность редиректов. Исправьте «битые» ссылки и проверьте, что в адресной строке виден замок и надпись «Надежный» (и зеленая подсветка, если ваш SSL сертификат ее поддерживает).

Если что-то не работает, не отображается или отображается неверно, исправляйте сразу, не дожидаясь замечаний посетителей. От того, насколько хорошо вы отладите https версию, зависит трафик ближайших месяцев.

Добавляем https версии в инструменте вебмастера Яндекс и Гугл

Чтобы сообщить поисковикам о появлении https версии ресурса, добавьте в панели вебмастера https-версию сайта. Теперь в списке видны обе версии – http и защищенная https. Гуглу этого достаточно, а в Яндексе придется еще указать, что https-версия — главное зеркало http-сайта. Дополнительные настройки старой версии (файлы sitemap.xml, список ссылок для Гугла и др.) перенесите в новую с помощью панели вебмастера.

Теперь остается только подождать 1-3 недели, пока поисковые роботы Гугла и Яндекса проиндексируют новую https версию. В первые недели трафик может упасть, пока ресурс не вернет утраченные позиции в выдаче. Потом он вернется на прежний уровень, зато позиция сайта в выдаче Гугла вырастет благодаря новым правилам ранжирования.

iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.

Мы предлагаем:

• Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
• Безлимитный хостинг на SSD дисках от 142 руб/мес
• Выделенные серверы в наличии и под заказ
• Регистрацию доменов в более 350 зонах

Пошаговое руководство по переходу вашего сайта на HTTPS

Интернет-безопасность становится все более важной областью для предприятий любого размера. И одна из самых основных форм онлайн-безопасности влечет за собой переход на хостинг HTTPS.

Конечно, необходимо учитывать множество факторов, но, помимо преимуществ безопасного и надежного веб-сайта для ваших посетителей, переход на безопасный хостинг HTTPS (в отличие от HTTP) полезен для бизнеса. Наряду с уверенностью, которую он дает вашим посетителям, HTTPS на самом деле является заявленным фактором ранжирования Google.

И в ближайшие годы вопрос будет не столько , нужно ли переходить на HTTPS, сколько , когда вы собираетесь переходить.

Но если вы не готовы к этому или не знакомы с этой технологией, все, что вам нужно сделать, это выполнить следующие шаги, чтобы убедиться, что ваш сайт перенесен безопасно, надежно и с минимальными последствиями.

Изображение предоставлено Pickaweb

Шаг l. Купить SSL-сертификат

Первое, что нужно сделать, это купить правильный SSL-сертификат. Не вдаваясь в технические подробности, скажем, что SSL-сертификат работает так, что создает зашифрованную непроницаемую связь между окном браузера и веб-сервером.

Существует множество различных SSL-сертификатов, и они различаются по стоимости. Важным моментом является то, что принципиально все они работают по одному и тому же принципу. Вы не получаете «больше безопасности» только потому, что платите за более дорогой сертификат.

Они будут предлагать различные наборы функций.

SSL начального уровня — это доменные SSL. Они выдаются мгновенно и требуют только подтверждения электронной почты. Они предлагают просмотр HTTPS с замком, но нет процесса углубленной проверки, только проверка владения доменом. Они идеально подходят для небольших компаний с ограниченным бюджетом, которые не принимают онлайн-платежи.

Следующими на очереди являются SSL-сертификаты организации, которые требуют более высокой степени проверки, включая проверку права собственности компании. В результате их выдача занимает больше времени, обычно два-три рабочих дня. С этим типом сертификата название компании и имя домена отображаются на панели браузера.

Наконец, существуют SSL с расширенной проверкой, которые позволяют использовать «зеленую панель браузера». Они дороже, чем SSL-сертификаты домена или организации, и включают процесс проверки для более подробной проверки компании; этот процесс включает юридическую, оперативную и физическую проверку.

Именно по этой причине выдача этих SSL-сертификатов может занять от трех до пяти дней, и они потребуют предоставления различных юридических документов.

Шаг 2. Получите установку SSL-сертификата.

После того, как вы приобрели SSL-сертификат, вам необходимо подтвердить его. Как показано на графике, существуют разные уровни проверки перед выдачей сертификата; но если мы используем пример доменного SSL, это может быть выпущено мгновенно, как только владелец домена подтвердит свой адрес электронной почты.

Это делается эмитентом SSL; эмитент отправляет автоматическое электронное письмо на один из предварительно определенного набора адресов электронной почты, таких как webmaster@TheDomainName.

Если вы используете виртуальный хостинг, ваша хостинговая компания поможет вам в администрировании сервера. Он настроит все для вас, как только вы утвердите сертификат.

Шаг 3. Сделайте полную резервную копию.

Всякий раз, когда вы вносите серьезные изменения в свой веб-сайт, всегда стоит выполнить полное резервное копирование всех файлов вашего веб-сайта. Например, если вы используете хостинг cPanel, вы можете использовать встроенную функцию резервного копирования cpanel, которую легко настроить.

В противном случае узнайте у своей хостинговой компании, предлагает ли она управляемую службу резервного копирования, и используйте ее.

В любом случае, создание резервной копии — это подход, основанный на ремнях и скобках.

Шаг 4. Измените свои HTTP-ссылки на HTTPS.

Прежде чем перейти на HTTPS, вам необходимо обновить все внутренние ссылки на вашем веб-сайте. Позже мы рассмотрим способ добиться этого в глобальном масштабе, но по-прежнему хорошей практикой является просмотр вашего веб-сайта и изменение любых ссылок, которые указывают на страницы HTTP внутри вашего сайта, на новые ссылки HTTPS.

То, как вы это сделаете, зависит от размера вашего сайта. Если у вас всего несколько страниц, это всего лишь ручной процесс. Если у вас сотни, даже тысячи страниц, есть инструменты, которые могут автоматизировать этот процесс (особенно если вы используете WordPress).

Шаг 5. Проверьте библиотеки кодов.

Это необязательный шаг, который действительно применим только к более сложным сайтам, которые используют дополнительное программное обеспечение, такое как JavaScript или Ajax, за кулисами. Если вы сделаете этот шаг, вам, вероятно, придется проконсультироваться со своим разработчиком, чтобы убедиться, что он/она обновляет любое программное обеспечение, которое ссылается на HTTP-страницы или создает их, и изменяет их на HTTPS.

Шаг 6. Обновите все внешние ссылки, которыми вы управляете.

Все ссылки, указывающие на ваш сайт из ваших учетных записей социальных сетей и списков в авторитетных каталогах, должны быть обновлены. Просто сосредоточьтесь на тех, которые находятся под вашим контролем.

Вскоре вы будете перенаправлять HTTP-трафик на эквивалентную HTTPS-страницу, поэтому не нужно беспокоиться об их 100-процентном обновлении — просто сосредоточьтесь на основных.

Шаг 7. Создайте редирект 301.

Звучит сложно, но на самом деле все довольно просто. 301 Redirect — это метод перенаправления трафика с одной веб-страницы (URL) на другую. По сути, это «постоянное» перенаправление, потому что ваш сайт постоянно переключается с HTTP на HTTPS.

Это действительно важный момент, потому что, если на ваш сайт есть десятки, сотни или даже тысячи обратных ссылок, указывающих на него с других сайтов, hey будет настроен на HTTP-страницы. Если ваш рейтинг в поисковых системах зависит от количества и качества обратных ссылок, то вы не хотите терять силу, которую они вам дают.

Таким образом, перенаправление 301 означает, что вам не нужно идти и менять все эти ссылки, что часто было бы непрактично, если вообще возможно.

Настройка перенаправления 301 зависит от типа используемого веб-сервера. Наиболее популярными типами веб-серверов являются Apache, NGinx, LiteSpeed ​​и Windows. При использовании Apache и LiteSpeed ​​вам необходимо обновить файл htaccess. С NGinx вам необходимо обновить файл конфигурации NGinx. В Windows вам необходимо обновить файл web.config.

Шаг 8 (необязательно). Обновите CDN SSL.

Если вы используете сеть доставки контента (CDN), например CloudFlare, вам также потребуется синхронизировать SSL с этой системой. CDN — это глобально распределенная сеть серверов, которая хранит копии ваших веб-страниц на своих серверах, чтобы ваши страницы были представлены сервером, ближайшим к человеку, просматривающему ваши файлы.

Это дает преимущества не только с точки зрения скорости, но и безопасности, поскольку может распознавать различные шаблоны вредоносных программ и предотвращать взлом вашего сайта. Вам просто нужно еще раз уточнить у вашей хостинговой компании или разработчика, размещены ли вы на CDN. Если да, то вам необходимо обратиться к технической команде CDN за инструкциями.

Большинство веб-сайтов не используют CDN, поэтому этот шаг включен для полноты картины.

Шаг 9. Обновите любые другие инструменты и транзакционные электронные письма.

В наши дни многие компании используют множество дополнительных инструментов на своих веб-сайтах, таких как электронный маркетинг, автоматизация маркетинга и генераторы целевых страниц.

Вам необходимо подготовить список этих программ и найти любые упоминания веб-страниц, которые ссылаются на HTTP; затем обновите их до HTTPS.

Еще одна область — транзакционные электронные письма: такие вещи, как приветственные электронные письма, счета-фактуры и электронные письма о забытом пароле. Все это необходимо обновить. Конечно, перенаправление 301 обычно учитывает все это, но всегда выглядит более профессионально, если вы предоставляете своим клиентам правильный URL-адрес.

Шаг 10. Обновите Google (Analytics и Search Console)

И последнее, но не менее важное: вам необходимо обновить свои учетные записи Google — Analytics и Search Console. В Analytics вам просто нужно изменить URL-адрес по умолчанию на HTTPS. В Search Console вам нужно будет добавить новый сайт с HTTPS.

Резюме

Переход на HTTPS — это направление движения, когда речь идет о сетевой безопасности. Рано или поздно вам придется это сделать.

Но это не должно быть сложным вопросом. Если вы не являетесь техническим специалистом, вам может понадобиться помощь веб-профессионала. Но если вы будете следовать описанным здесь шагам, все будет в порядке.

Преобразование вашего сайта с HTTP на HTTPS

Примечание редактора. Начиная с октября 2018 года посетители веб-сайтов, не поддерживающих HTTPS, будут отмечены красным цветом. Google объявил, что начнет мигать красными ошибками в адресной строке, когда пользователи будут выполнять определенные действия на незащищенных сайтах.

С тех пор, как Elevated впервые опубликовал этот популярный HTTPS-блог в 2014 году, большинство основных браузеров усилили ограничения и публичное порицание незащищенных веб-сайтов. В июле 2018 года Google Chrome подтвердил, что все веб-сайты, не поддерживающие HTTPS, просматриваемые в Chrome, будут помечены как «незащищенные».

Чтобы помочь вам сориентироваться, мы обновили сообщение ниже и добавили удобную загрузку для удобства: Контрольный список Elevated Essential HTTPS Conversion

С чего все началось… Морковь
В июле 2014 года Google объявил небольшое преимущество в рейтинге перед сайтами с правильно установленными SSL-сертификатами. Сайты, которые были преобразованы в сайты, защищенные SSL, отображались как https:\\elevated.com вместо http:\\elevated.com. Почему это имеет значение? Этот дополнительный уровень безопасности предотвратит нежелательный доступ к данным, собранным на вашем сайте, при их передаче туда и обратно.

Сегодня… The Stick
Google, Safari, Firefox и большинство других популярных браузеров теперь требуют этот протокол для лучшего ранжирования, геолокации, ввода данных кредитной карты и многого другого. Протокол безопасности https также защищает ваш веб-сайт от нежелательных рекламных инъекций, которые поражают ваших посетителей навязчивой, уродливой, нежелательной рекламой, которая может содержать вредоносное ПО.

Вот как будет развиваться остальная часть истории в октябре 2018 года, согласно Google:

• «В конце концов, наша цель — сделать так, чтобы единственные отметки, которые вы видите в Chrome, были, когда сайт небезопасен, и по умолчанию неотмеченное состояние безопасно. Мы будем развертывать это со временем, начиная с удаления формулировки «Безопасно» в сентябре 2018 года. А в октябре 2018 года мы начнем показывать красное предупреждение «небезопасно» , когда пользователи вводят данные на HTTP-страницах».

См. Полное уведомление Google здесь.

С точки зрения разработчиков это облегчение. Я рад видеть, что Google продолжает продвигать HTTPS, и доволен тем, что соединения HTTP продолжают исчезать.

Давайте рассмотрим некоторые шаги и рекомендации по переходу на безопасную настройку веб-сайта:

1. Приготовьтесь
2. Приобрести SSL-сертификат
3. Настройка хостинга с сертификатом SSL
4. Изменить все ссылки веб-сайтов на HTTPS
5. Настройка 301 перенаправляет с HTTP на HTTPS или рассмотрите HSTS
6. Заключение

Шаг 1. Подготовьтесь

Прежде чем вкладывать деньги в SSL-сертификат и менять сайт, обдумайте задачу в целом.

• Продажи готовы? Если вы запускаете сезонный сайт, не рекомендуется синхронизировать конверсию HTTPS в часы пик посетителей. Разумно ожидать простоя, таким образом, если это произойдет, вы будете готовы, и это произойдет в нерабочее время дня и цикла продаж.
• Ваш хост готов? Перед тем, как тратить деньги или настраивать свой сайт, убедитесь, что хост способен доставлять веб-сайт HTTPS. Для некоторых хостов может потребоваться дополнительная настройка, и они должны помочь вам в этом.
• Ваша команда готова? Обязательно сообщите всем, кто участвует в переходе, о том, что веб-сайт будет находиться на техническом обслуживании, включая отделы продаж, разработчиков, работающих над сайтом, от которых вам может понадобиться помощь или с которыми вы будете работать, и посетителей. Общение проходит долгий путь.
• Вы готовы? Процесс требует времени и большого объема работы одновременно. Как только вы начнете этот процесс переключения ссылок и настройки перенаправлений, может быть трудно быстро отменить все это, и обычно лучше продвигаться вперед. Итак, будьте готовы следить за сайтом и быть доступным для возникающих проблем. И, может быть, не начинать эту задачу в пятницу в 15:00 — это не та задача.

Шаг 2. Приобретите SSL-сертификат

Из всех шагов этот самый быстрый. Обычно хосты веб-сайтов продают SSL-сертификаты и даже выполняют большую часть настройки за вас — хорошим примером этого является Nexcess. Примерно самый дешевый сертификат можно приобрести за 10 долларов. Вам необходимо знать адрес своего веб-сайта и разницу между www.example.com и example.com — не думайте, что стандартный SSL-сертификат будет охватывать и то, и другое! Более дорогие сертификаты Wild Card охватывают и то, и другое, но могут не потребоваться для вашей установки. Если вы считаете, что вашему веб-сайту может потребоваться специальный тип SSL-сертификата, обратитесь в профессиональную компанию, которой вы доверяете, но это довольно редкое требование. Для получения дополнительной информации о различных типах SSL ознакомьтесь с нашим контрольным списком преобразования HTTPS.

Небольшое примечание о более дорогих SSL-сертификатах, особенно «расширенных» типах: некоторые из них будут отображать зеленый замок в адресной строке, см. ниже: трудно сказать. Увеличение продаж или нет, теперь вы знаете, почему некоторые сайты отображаются зеленым цветом.

Шаг 3. Настройка хостинга с SSL-сертификатом

Если ваш хостинг-провайдер не настроил для вас SSL-сертификат, вам нужно сгенерировать ключи у продавца и вставить их в панель управления хостингом сайта. Помните о полях и всегда обращайтесь в службу поддержки, если это необходимо — часть ваших затрат на хостинг оплачивается за их помощь в таких ситуациях.

После правильной настройки веб-сайта вы больше не будете видеть сообщения, предупреждающие о недействительных сертификатах при посещении HTTPS-страниц. Вам, вероятно, потребуется полностью очистить кеш (а не просто использовать окно приватного просмотра), чтобы увидеть эти изменения — если вы сомневаетесь, попросите кого-нибудь посетить HTTPS-страницу сайта, который никогда раньше не посещал этот сайт. Также обратите внимание, что если вы не настроили фактический веб-сайт для поддержки HTTPS, вы можете быть перенаправлены обратно на сайт HTTP. Каждый хостинг веб-сайта немного отличается — у некоторых будет совершенно отдельная папка для HTTPS, поэтому будьте непредвзяты при настройке.

Шаг 4. Измените все ссылки на веб-сайты на HTTPS

Вот где все эти годы люди слышали, что «используйте относительные ссылки» и «никогда жестко не кодируйте свои ссылки!» войдет в игру (и теперь вы тоже можете начать говорить это и чувствовать себя хорошо, зная, почему). Кроме того, вот почему использование системы управления контентом (CMS) также сэкономит время. Итак, предположим, что ваш SSL-сертификат настроен…

Начните исправлять все ссылки, не сгенерированные CMS, чтобы они были такими, какими они должны быть:

1. Найти все ссылки на веб-сайте, которые не генерируются CMS. Сюда входят ссылки на CDN, ссылки на страницы, изображения, JavaScript и все, что будет использоваться на вашем веб-сайте.
2. Переход на относительные пути ссылок: если ссылка «http://www.example.com/link», а не «/link» — таким образом, даже если вы не совсем готовы переключиться на HTTPS, эти ссылки по-прежнему будут работать для веб-сайта HTTP. Убедитесь, что ссылки начинаются с первого символа «/», иначе у вас возникнут проблемы. Тупик? Давайте обсудим.
3. Проверьте это: обновите кеш в своем браузере и на веб-сайте, затем перейдите на страницу, на которой находится ссылка, и щелкните по ней. Вы можете протестировать, чтобы убедиться, что это работает на веб-сайте HTTP или HTTPS, в любом случае это будет работать как тест.

Изменить ссылки, созданные CMS: это зависит от платформы к платформе. Вот как это сделать в Magento и WordPress при обычной установке. Если у вас есть какие-либо плагины или расширения для кэширования, рекомендуется проверить форумы поддержки для получения дополнительных советов. Для других платформ CMS вам может потребоваться обратиться к их документации.

1. Просмотрите страницы вашей CMS, сообщения, статические блоки (для Magento), файлы шаблонов и все остальное на наличие неправильных ссылок, которые необходимо обновить. Некоторые ссылки генерируются вашей CMS, но могут генерировать неправильный URL. Например, если URL-адрес в редакторе Magento CMS — «{{unsecure_base_url}}example.html, то это должна быть относительная ссылка, такая как «/example.html»
.
2. Следующий шаг для пользователей Magento: войдите в систему и перейдите в Система -> Конфигурация -> Интернет -> Безопасный, чтобы проверить правильность настроек:
   • Базовый URL-адрес (заканчивается косой чертой): ваш URL-адрес HTTPS, например https://example.com/
   .
   • Использовать безопасные URL-адреса во внешнем интерфейсе: Да
   • Использовать безопасные URL-адреса в Admin: Да
3. Для пользователей WordPress: я полагаюсь на инструкции Yoast, которые можно найти здесь. По сути, вам нужно будет изменить URL-адрес веб-сайта, добавить некоторый код для принудительного использования HTTPS в области администрирования и, возможно, установить этот плагин. Поскольку сайты WordPress сильно различаются по своим плагинам кэширования, обратитесь за помощью к документации вашего плагина.

Ищите ошибки: на этом этапе, надеюсь, все ваши ссылки и связанные файлы изменены на HTTPS, но вам повезет получить их все с первой попытки. Итак, чтобы найти их, один из способов — посетить ваш сайт. Зайдите на свой сайт в Chrome/Safari/Firefox, щелкните элемент правой кнопкой мыши и выберите «Проверить элемент». Оттуда посмотрите в консоли на наличие ошибок: если есть неправильные файлы, связанные HTTP, для каждого будет выведена ошибка. Другой способ поиска HTTP-ссылок — открыть исходный код страницы и найти что-нибудь с «HTTP:» в нем… надеюсь, ничего не найдено и ваша работа завершена. Смешанный контент может повредить вашему пользовательскому опыту (надоедливые предупреждения браузера) и повредить вашему SEO-рейтингу.

Шаг 5. Настройте 301 перенаправление с HTTP на HTTPS или рассмотрите вариант HSTS

Для веб-сайтов на основе Apache, чтобы перенаправить весь входящий трафик, например, со старых ссылок Google или устаревших ссылок на других сайтах, настроив перенаправление для всех HTTP запросы на HTTPS могут быть выполнены довольно легко. Вот код, который нужно добавить в начало файла .htaccess в корневой папке:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [П=301,Л]

После этого тщательно проверьте, работает ли ваш веб-сайт и что любой запрос, сделанный на ваш сайт, перенаправляется на URL-адрес HTTPS.

Если вы хотите быть в авангарде технологических стандартов и не беспокоитесь о том, что затронете горстку пользователей, HTTP Strict Transport Security (HSTS) для вас. Здесь можно найти руководство с инструкциями по настройке. HSTS — это способ заставить все соединения быть HTTPS — по сути, он действует так же, как упомянутое выше перенаправление, но стандартизированным образом. К сожалению, Internet Explorer еще не реализовал решение, но большинство других браузеров уже работают на полную мощность. В будущем HSTS, вероятно, станет стандартом для авторитетных веб-сайтов.

Шаг 6. Заключение

Перевод вашего сайта на HTTPS — непростая задача, но, к счастью, существует множество ресурсов, которые могут вам помочь. Google даже составил руководство по рекомендуемому процессу. Со всей онлайн-помощью действительно нет хорошего оправдания отсутствию HTTPS. Потратив немного времени и 10 долларов в год, любой сайт можно преобразовать.

Здесь, в Elevated, мы работаем с клиентами, чтобы преобразовать их веб-сайты, как старые, так и новые, в версии HTTPS. Нам нравится этот процесс, потому что он придает непреходящую ценность онлайн-присутствию любой компании. Вот некоторые из наших недавних счастливых новообращенных:

• Day Motor Sports — магазин автозапчастей с более чем 16 000 товаров
• BioCom — группа защиты интересов наук о жизни с надежным сайтом для участников
• Earthlite Massage Tables — компания по производству массажных продуктов, которая продолжила добиваться успеха, перейдя в этом году на полный протокол HTTPS (они работают на Magento).

Для быстрого ознакомления с этими шагами и получения дополнительной информации о том, какой SSL может вам подойти, загрузите наш контрольный список Essential HTTPS Conversion.