Содержание
В последнее время в новостном SEO-сегменте то и дело встречаются термины и словосочетания типа: "SSL", "HTTPS", "безопасное соединение", "цифровой сертификат" и т.д. В сообществах веб-мастеров участились дискуссии, чей сертификат лучше, где SSL-сертификаты дешевле и как перевести сайт на защищенный протокол https?
Что происходит? И касается ли это Вас как владельца сайта?
Виновником ажиотажа является Google, уже несколько лет склоняющий вебмастеров к безопасному протоколу. Широко известны блокирующие окна в браузере Chrome, если с сертификатом сайта что-то не так...
И если вебмастерам удавалось до сих пор избегать их, отказываясь от https протокола вообще, то теперь поисковый гигант пошел еще дальше: с 1 января 2017 года, с помощью того же браузера Chrome он намерен клеймить все сайты на небезопасном HTTP-протоколе как «небезопасные» соответствующей пометкой в поисковой строке браузера.
Совершенно ясно, что новых пользователей вашего сайта это будет отталкивать и сайт постепенно будет терять доверие. Не исключено также, что это не скажется на ранжировании вашего сайта, Google может впоследствии выводить соответствующие уведомления для пользователей и в поисковой выдаче. Важно знать, что Google сторонник "безопасности" и моду на нее среди сайтостроителей он продвигает уже несколько лет, поэтому целесообразно переводить свой сайт на https протокол уже сегодня, так как теоретически лишь на пометке в браузере этим дело не ограничится.
В конце концов, установка SSL сертификата для использования https - важный шаг к обеспечению безопасности Вашего сайта в Интернете.
Два слова о протоколе SSL
Протокол SSL (Secure Socket Layer) был разработан в 1996 году в компании Netscape и очень скоро стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Именно он интегрирован в большинство браузеров (посмотрите на пометку вначале адреса в браузере) и веб серверов и использует асимметричную криптосистему с открытым ключом.
Как работает защищенное SSL соединение?
Необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Сам цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной. В роли такой третьей стороны выступают центры сертификации. Эти центры сертификации продают SSL сертификаты разного рода надежности, защищенности, значимости и т.д.
Как узнать что web-cайт имеет SSL сертификат?
Главный признак того, что посещаемый Вами сайт имеет SSL сертификат и используется проверенное защищенное соединение, вы найдете в строке адреса в браузере:
Внимание следует обратить на значок в виде замочка. Замкнутый зеленый замок сигнализирует о том, что используется защищенное соединение по SSL протоколу (сайт работает по https c подписанным сертификатом третьей стороной).
HTTPS как головная боль вебмастера
Если вы начинающий или не универсальный программист, реализация замкнутого зеленого замка в строке браузера покажется Вам архисложной задачей. А именно, для реализации полноценного https протокола потребуется:
- выделенный ip для вашего сайта (дополнительные регулярные расходы);
- подписанный сертификат SSL (дополнительные регулярные расходы);
- покупка и активация всего этого на вашем сайте;
- настройка правильной работы сайта на новом https протоколе;
- переезд сайта в поиске на новый адрес (http и https это то же что и с www и без www - два разных сайта);
Использование https на сайте также чревато некоторыми последствиями:
- снижается быстродействие сайта (поскольку трафик между вашим сайтом и пользователем шифруется);
- временное обнуление тИЦ, проседание позиций и частичная потеря трафика;
- потеря всех социальных "лайков" для всех ваших страниц (поскольку изменился url);
- недоразумения с некоторыми ссылочными биржами и рекламодателями, если вы торгуете ссылками и откручиваете рекламу;
Это в общих чертах все круги ада, но на самом деле упущено много всяких мелочей, с которыми вы будете постоянно сталкиваться при переезде на заветный зеленый замочек. Но поскольку процесс уже инициирован и вы в поисках ответа, как же все это сделать для своего сайта (чтобы не упасть в глазах Google с началом нового года), я попытаюсь вам доступно объяснить, как именно это делается и, что самое главное - ничего при этом не покупая.
Шаг 1. Бесплатный SSL сертификат
Наверняка вы уже расспрашивали у поддержки своего хостинга о возможности включения https протокола, в надежде, что это некая опция на вашем тарифном плане и один ваш тикет в поддержку расставит все точки над "i" :)
Все что может решить поддержка хостинга в Вашем случае, это предложить обязательный выделенный ip для Вашего сайта (на этом ip адресе будет только ваш сайт), адреса компаний, у которых Вы сможете купить SSL сертификат и помощь в его подключении (дело сводится к загрузке некоторых файлов на ваш хостинг). А между тем, всего этого можно не покупать и ограничится бесплатным SSL сертификатом! Но стоит ли экономить?
Бесплатный сертификат вам подойдет в том случае, если вы не собираете никаких сведений от пользователей, не занимаетесь торговлей в интернете и т.д. Для этих случаев, разумеется, вам подойдет только платный и дорогой SSL сертификат. Если у вас новостной блог, сайт-визитка компании или нечто в этом роде, в покупке платного SSL сертификата большой нужды нет.
Варианты бесплатных SSL сертификатов есть разные, мы же рассмотрим пример с сервисом Cloudflare (сервис CDN). Для того чтобы получить и использовать бесплатный SSL сертификат, Вам потребуется регистрация в сервисе Cloudflare и смена NS значений у своего домена (весь трафик на Ваш сайт будет проходить через их сервера, где собственно и будет установлен Ваш сертификат).
Если в двух словах, то:
- регистрируетесь в Cloudflare;
- Добавляете свой сайт в сервис, следуя подсказкам системы (на определенном этапе не забываем выбрать тариф Free);
- Меняете текущие значения у регистратора своего домена на предложенные системой NS (например, fred.ns.cloudflare.com и molly.ns.cloudflare.com);
- Нажимаем кнопочку "Crypto", в блоке SSL выбираем (если не установлено) - Flexible;
На этом активация бесплатного SSL сертификата для Вашего сайта закончена! Вы избавили себя от необходимости покупать выделенный ip для сайта и ежегодно оплачивать сам сертификат. Популярная в мире сеть доставки (и дистрибуции) контента под названием Cloudflare взяла на себя все обязанности по выдаче сертификата для вашего сайта, шифрованию трафика и т.д. С помощью этого же сервиса вы можете максимально ускорить работу своего сайта, безболезненно отбивать DDOS-атаки... но это уже тема для другой статьи.
Шаг 2. Переезд на https
Это самый сложный шаг, здесь будет много подводных камней, но дорогу осилит идущий.
После того, как ваш сайт полноценно заработает посредством сервиса Cloudflare (а смена NC домена может затянуться на сутки), попробуйте его открыть с новым, https протоколом:
https://ВашСайт.ру
Если ваш сайт открылся по этому адресу (на внешний "перекошенный" вид сайта можете не обращать внимания), то это признак того, что вы на правильном пути. Если открылся не ваш сайт, редирект и т.д. стоит вернутся к шагу №1.
Если Ваш сайт стал доступен по HTTPS (и зеленого замка в строке браузера вы не увидели), вам необходимо глобально на всем сайте (включая как файлы вашего сайта, так и вашу базу данных, где записаны ссылки) заменить все ссылки и адреса с http на https (применительно к ссылкам своего сайта и внешним подключениям). Это нужно сделать как для ссылок, так и для подгружаемых скриптов, стилей, картинок и т.д. И делать это нужно с осторожностью, автоматически "искать и заменить" http на https не получится, вы можете нарушить целостность скриптов и сайта в целом.
Используя "инструменты для разработчиков", которые встроены в ваш браузер, вы можете отслеживать и исправлять все незащищенные (http) подключения и исправлять их...
Это придется делать до тех пор, пока все красные извещения не исчезнут и в строке браузера вместо красного предупреждения не появится заветный зеленый замочек.
В зависимости от используемого вами движка и скриптов, на это может уйти много сил и времени, вплоть до того, что некоторые функции придется заменить (переписать), отказаться от некоторых плагинов, модулей и т.д.
Шаг 3. Переезд сайта на новый адрес
Если вы осилили шаг №2 и зеленый замочек появился у вас на всех страницах сайтах с приставкой https (проверить обязательно нужно все ключевые страницы), остается самый последний шаг - перенести версию вашего сайта с http на https.
Ваш сайт теперь открывается одинаково хорошо как на http и https? Поздравляю. Но это два разных сайта (два разных url) и вы должны сделать все необходимое для корректного переезда на новый основной сайт с https.
Редирект с http на https
Важный момент - редирект, все ваши ссылки должны редиректить на https. Обычно редирект прописывают в файл .htaccess. Универсального решения нет, все зависит от программного кода вашего сайта. Попробуйте один из перечисленных вариантов:
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Protocol} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]Или
RewriteCond %{HTTP_HOST} ^vashsite\.ru [NC]
RewriteCond %{HTTP:X-Forwarded-Proto} ^http$
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]Или
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R,L]Или
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Каждый раз тестируйте работу сайта, проверяя на корректность редиректа, полноценную работу основных узлов сайта. Распространенная проблема - циклическая переадресация, браузер может отказать в открытии сайта с формулировкой "Сайт выполнил переадресацию слишком много раз".
Если ни один из вышеперечисленных кодов редиректа не помог, обратитесь к поддержке своего хостинга или к специалистам в этой сфере. Когда же на этом вопрос будет исчерпан, стоить еще раз перестраховаться - проверить ответ сервера. Сделать это можно в Яндекс.Вебмастере - Инструменты - Проверка ответа сервера.
Правильный ответ при тестировании ссылки с http:
Код статуса HTTP 301 Moved Permanently
Правильный ответ при тестировании ссылки с https:
Код статуса HTTP 200 OK
Директива Host с https
В файле robots.txt необходимо изменить директиву Host. Поскольку теперь Ваш сайт доступен только по защищенному каналу, мы должны записать это как:
Host: https://site.ru
Пусть это не смущает Вас, так как в классическом варианте (с http), протокол не указывался, это выглядело как:
Host: site.ru
Для сомневающихся ссылка на документацию Яндекса.
Переезд сайта
И завершающий этап - сообщить роботам, что вы переехали. Для Google будет достаточно правильно настроенного редиректа, а в Яндексе есть специальный раздел в Вебмастере: Настройка индексирования - Переезд сайта:
Необходимо поставить галочку "Добавить HTTPS" и Сохранить. Начнется процесс переноса Вашего сайта на новый адрес, он может занять от двух недель, до нескольких месяцев. Будьте готовы к временному падению тИЦ, позиций и посещаемости.
Резюме
Я показал на пальцах основной процесс переезда сайта с незащищенного (http) на защищенное (https) соединение. При этом, Вам ничего не придется покупать дополнительно, разве что не сможете сами сделать корректный перенос и переезд сайта на https (если основное содержание статьи осталось для Вас туманным).
Поскольку полноценный переезд сайта на новый протокол может занять несколько месяцев, а Google обещает снисходительно относиться к таким сайтам начиная с наступлением 2017 года, переходить на защищенное соединение нужно уже прямо сейчас!
Зеленого Вам «закрытого» замка в строке браузера! И да будет Ваш SSL сертификат всегда подписан!
(17 голоса, рейтинг: 4,12 из 5)
Загрузка...
Вячеслав Скоблей (ака files) - типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на Wordpress, решаю многочисленные проблемы, которые до появления интернета не существовали...
Как кстати эта статья. Стал только сейчас задумываться о переходе на защищенный протокол, сервис предложенный довольно авторитетный. Но пугает меня ручная глобальная замена https с http во втором шаге.
Редирект возможно ли применить для сайтов на юкозе? У вас нет информации какой код редиректа себя хорошо зарекомендовал?
Применительно к юкоз, редирект целесообразно сделать на стороне самого сервиса. Инструкция https://seo-zona.ru/https-dlya-vashego-sajta-bez-vydelennogo-ip-i-pokupki-sertifikata-2016-10-13.html#comment-9416
А в случае, если что то пойдет не так или запутался вконец, все отменить можно будет?
Или это дорога в одну сторону до победного конца.
Все таки дело серьезное.
Можно откатиться, если сделаете все, да наоборот. Но если у вас сомнения, то лучше этого не делать самостоятельно. К слову, на https можно перейти средствами самого UCOZ (есть кнопка), по сколько и какие сертификаты они продают - спросите у них.
В том то и дело что продают. А тут разговор о возможности бесплатного подключения к протоколу.
Я конечно понимаю что скупой дважды платит. Но не понимаю якобы необходимости перехода на https.
напоминает еще один способ честного отъема денег у граждан.
Хорошая статья! Мне на хостинге beget.ru попросили установить лицензию.После установки лицензии и перехода сайта с http на https,ТИЦ-20 после аптэйда сразу обнулился,но через неделю все стало на свои места.
Спасибо за статью!!!
Предчувствую вопрос некоторых читателей: и каковы последствия переезда на https?
На этот вопрос возможно ответить спустя некоторое время, когда можно снять текущие показатели и сравнить с ситуацией ДО и ПОСЛЕ.
На скрине вы видим динамику поискового трафика на сайт до и после переезда на защищенный протокол https. Этот момент обозначен стрелкой, проседание трафика - временный результат переезда, а потом наблюдается последующий рост (никаких параллельных работ по продвижению не проводилось в этот период).
Является ли это совпадением или все же это результат переезда на https? Пока вы все еще в размышлениях, Хром от Google уже начал помечать сайты по надежности в поисковой строке браузера.
А какие настройки нужно ввести в WordPress? На субдомене с WordPress не работает.
Мало информации, чтобы помочь вам
Какой прекрасный блог! Что ж я раньше то на него не вышел( Спасибо за труды!
Спасибо и Вам, что читаете!
Некоторые сеошники, в том числе Девака, писали о возможном временном (на 2-3 мес) проседании сайта после переноса на https. Есть ли шанс по вашему мнение попасть в просадку?
Попутно с написанием инструкции, я перевел на https около десятка сайтов. Максимальное проседания трафика наблюдалось в районе 50% (именно поисковый трафик), но основная масса сайтов вышла на прежний уровень посещаемости за 2 недели! Возможно я попал в череду апдейтов Яндекса, но он быстро определил зеркала и переиндексировал основную массу страниц сайтов по новым адресам именно за эти 2 недели.
Если это новостной, часто обновляемый сайт, "переезд" вообще осуществляется очень быстро с минимальной потерей поискового трафика.
Касательно возвращения тИЦ, то ждем первого ближайшего апдейта.
На иллюстрации: недельное проседание поискового трафика после переезда на https на одном из моих сайтов
У многих читателей, использующих мою инструкцию, очень часто встречается проблема реализации редиректа с http на https. Многие "попадаются" на циклическую переадресацию и никакой вариант кода не помогает. Проблема связана с конфигурацией web-серверов. Так, при использовании связки Nginx+Apache всегда будет иметь место ошибка циклической переадресации.
В статье я упустил из виду эффективное и простое решение перенаправления посетителей на HTTPS, которое можно задействовать на стороне самого CloudFlare. Перейдем в раздел "Page Rules" и создадим новое правило - Create Rage Rule. Используя маску по типу http ://example.com/* применим к ней правило "Always use HTTPS" - "Всегда использовать HTTPS"
Никаких правил в файл .htaccess при этом вносить не нужно.
Здравствуйте!
А ТИЦ обратно полностью восстанавливается?
Вес ссылок обратно возвращается или необходимо работы по ссылочной массе при миграции на https начинать с нуля?
ТИЦ восстанавливается в первоначальное состояние, как и все остальное со временем.
А нет еще данных за какой срок, какие потери трафика, в целом картина поведения сайта?
Срок - от двух недель до нескольких месяцев. Проседание трафика: 10-20%. Цифры ориентировочные. Если в целом - ничего страшного не происходит.
Сделал всё по инструкции Вячеслава, трафик просел на два дня, сегодня трафик уже приходит в норму.
Если сайт динамичный и там постоянно быстроботы сидят, он быстрее переиндексируется и войдет в индекс с новым протоколом, т.е. быстрее "восстановится" к первоначальным позициям.
Естественно, тут очень важно скорость обновления сайта. Если сайт обновляется раз в месяц, переиндексации можно ждать долго. Если же проект размещает 5-10 новостей в день, переиндексация будет в разы быстрее. Скажем так - дело в приоритете. Любая поисковая система любит сайты, которые часто обновляются и работают над развитием проекта (главное не переусердствовать).
Правило в CF пишем чтобы автоматом ридеректил на версию https и не заморачиваемся с htaccess
Часто из-за других редиректов возникает циклическая переадресация (например убирая www и index )
Делаем добавить правило
Всегда использовать https
Не за что!)
еще стоит отметить что 33% всех адресов заблокированных роскомнадзором принадлежат CloudFlare.
Хотя уже на третьем аккаунте получил "чистый" ip
На бегете мне lets encrypt без выделенного ставили, у них это опция стандартная уже. На fozzy обратился в ТП с такой же просьбой, также поставили за полчаса, без ip
Я так понимаю тариф Free даёт сертификат на время, а потом платно?
В статье я говорил о тарифе Free на услуги Cloudflare, а это никак не выдача бесплатных сертификатов, цели у сервиса совершенно другие.
Теперь о самом сертификате. Бесплатные SSL Cloudflare подключил для всех своих сайтов (а это свыше 2 млн.) года 2 назад. В том виде подключения (Flexible SSL), о котором говорится в статье (самый простой способ), ничего никому не надо платить. Это не тест и не демо-услуга, это бесплатная опция на бесплатном тарифе услуг Cloudflare.
Огромное спасибо, побольше бы таких вкусняшек ;)
Я, к сожалению, не могу смодулировать ситуацию при которой я бы весь трафик на свой сайт пропускал через другой сервис. Что интересно у них за цели?
Сloudflare - CDN сервис, ваш сайт существенно ускоряется за счет кеширования вашего сайта в облаке (с вашего хостинга снимается всякая нагрузка). Естественно, пропуская трафик через себя они могут предложить множество дополнительных услуг: оптимизация ресурсов сайта на лету, фильтрация подозрительного трафика, предотвращение DDOS-атак и т.д. Есть бесплатные и платные тарифы. Бесплатные тарифы подходят для решения множества типичных задач на типичных сайтах. О преимуществах CDN можно говорить долго (например, пользователь может открыть ваш сайт, даже когда ваш сервер не работает). CDN сервисов есть много и они играют немаловажную роль в оптимизации Интернета в целом.
Было бы супер, если бы развивали эту тему и сделали обзор всех бесплатных плюшек этого сервиса.
Посмотрел поиском, действительно в рунете о Cloudflare много не сказано, но несмотря на отсутствие русской локализации, в рунете сервис довольно известен среди веб-разработчиков.
После всех манипуляций, пытаюсь засунуть новый адрес rss (https:..../rss.xml) в Яновости, пишет "при проверке фида возникла ошибка". Вы сталкивались с этим?
Скорее всего надо написать в Яндекс.Новости и сообщить, что у Вас https
сообщил, они быстро обновили http на https, но подгрузки новых новостей из нашей rss не происходит уже сутки.
А сами новости в RSS обновляются? Если нет, надо адаптировать код к https, который их формирует.
И какой ответ сервера отдает адрес c RSS?
код отдаёт 200-й, rssка обновляется...
помнится мне была у кого то подобная ситуация, там была причина закрыли роботу яндекса доступ, но я вреде не закрывал ничего. Может Cloudflare пропуская через себя закрывает доступ к rss Яновости?
Попробуйте в разделе Firewall - Security Level поставить в OFF
стоит уже, сам тоже думал, что настройки уровня безопасности влияет, но увы ничего не поменялось со вчерашнего вечера...замкнутый круг...
Тогда еще так можно попробовать: Page Rules - Create Page Rule - Указываем полный адрес с RSS и включаем три правила:
уже и кэш отключал и "всегда онлайн", ничего не помогает...и яндекс, мать его молчит сегодня, выходной наверное)
не поверишь - без изменений....аааа....я уже не могу)
Самое время услышать ответ поддержки Яндекса. Их ответ должен прояснить ситуацию.
Ответ меня ошарашил...я тут понимаешь ломаю голову, что случилась, а они видите ли вели проводили работы по валидации экспортных файлов)
Мы вели работы над инструментом для валидации экспортных файлов, что и стало причиной этой ошибки.
Сейчас они наконец окончены, и фид снова можно проверять в партнёрском интерфейсе
Спасибо за терпение, и хорошего дня.
"Меняете текущие значения у регистратора своего домена на предложенные системой NS " - а как же NS-ки хостинга?
NS-ки хостинга как раз и нужно заменить. Содержимое вашего сайта будет отдаваться пользователю в браузер посредством CDN. Кеширование и шифрование контента будет осуществляться на стороне Cloudflare
Я понимаю, но в таком случае на чем будет стоять сайт? На хостинге Cloudflare?
Стоять он будет на Вашем хостинге!
Схема работы примерно такая:
Запад конкретно достал своими инновациями. Существовали без защищенного протокола и ничего, нормально жили. Пройдет 5 лет и ssl станет бесполезен, а вслед за ним любое другое "ноухау".
Андрей, тенденция такова, что через 5 лет HTTP уже не будет.
Безусловно это так! А https будет такой же обыденностью, как http, и появится новый способ шифрования, который будет навязываться корпорацией добра.