Переїзд на https: навіщо і кому потрібен, повна інструкція по переїзду на HTTPS
Перед тим як приступити до розбору теми – маленький відступ: у січні 2017 року 1PS.RU перейшов на безпечний протокол https (і вам радить). Також пропонуємо і вам допомогу в переїзді на безпечний протокол. Навіщо? Як це зробити? І який період краще всього вибрати? Ось про це зараз і розповімо.
У статті піде мова про переїзд сайтів на безпечний протокол HyperText Transfer Protocol Secure (https). Тема на сьогоднішній день вважається «заїждженої» та розглянуто на багатьох ресурсах, але від цього вона не стає менш актуальною. Читачі нашого блогу і постійні клієнти часто цікавляться – як переїхати на https? Навіщо мені переходити на https? Потрібен https для мого сайту? Щоб відповісти на всі питання разом і допомогти тим, хто все ще не розібрався в питанні, ми написали цю статтю.
Для початку давайте розберемося, що таке https? HyperText Transfer Protocol Secure – це безпечний розширений протокол http із ключем шифрування для передачі даних або гіпертексту (термін «гіпертекст» був введений в 1965 американський соціологом, філософом і першовідкривачем в області інформаційних технологій Нельсоном, Теодором Пагорбом), прикладом гіпертексту є веб-сторінки – документи HTML.
HTTPS не є окремим протоколом. Це звичайний HTTP, що працює через шифровані механізми SSL і TLS.
Що таке SSL і TLS
SSL (secure sockets layer – рівень захищених сокетів) – набір правил з більш безпечною зв’язком, що регламентують застосування шифрувальних (криптографічних) перетворень і алгоритмів в інформаційних процесах.
TLS – (Transport Layer Security – безпека транспортного рівня) – протокол, заснований на специфікації протоколу SSL, версії 3.0. Хоча імена SSL і TLS взаємозамінні, вони все-таки відрізняються, так як кожне описує іншу версію протоколу.
З термінологією більш менш розібралися, тепер переходимо до того, як змусити наш сайт працювати на https.
Для того, щоб змусити наш веб-сервер приймати і обробляти https-з’єднання, необхідно встановити в систему SSL сертифікат.
SSL сертифікат – унікальна цифрова підпис вашого сайту, заснована на двох типах криптографічних ключів – приват і паблік.
Публічний ключ не є секретним і він присутній у запиті.
Приватний ключ розташовується на вашому сервері, повинен бути відомий тільки вам.
Крім паблік ключа, в сертифікаті містяться також і інші відомості: версія, серійний номер, час дії сертифіката, видавець і інші дані.
Зокрема, час дії сертифіката дуже важливо. Браузери не будуть вважати ключ валідним, якщо час дії ключа ще не настав або (що трапляється частіше) вже закінчилося.
Більш детальну інформацію про встановленому на сайті сертифікаті ви можете подивитися за допомогою спеціальних сервісів, таких як:
https://www.ssllabs.com/ssltest/index.html – він передоставит розширену технічну інформацію про сертифікат.
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp – перевірить, наскільки вірно встановлено сертифікат.
Типи SSL сертифікатів з валідації
Що таке SSL сертифікат і навіщо він потрібен начебто розібралися ).
Тепер давайте розберемо їх типи з валідації:
- Самопідписаний сертифікат. Обмовлюся відразу, даний вид сертифіката НЕ підійде 99% користувачів. Плюс у даного сертифіката один – ціна (він абсолютно безкоштовний). Самий вагомий мінус – при переході на ваш сайт з пошукової системи чи за будь-якого іншого заходу користувачеві будуть показані ось такі повідомлення:
- У Chrome:
- В Яндекс браузері:
- В Opera:
- У Mozilla Firefox:
- Вид в адресному рядку:
Ціна: 0 руб.
- Валідація по домену (Domain Validated) – SSL-сертифікат, при оформленні якого проводиться тільки перевірка доменного імені. Також дані сертифікати називають сертифікатами початкового рівня довіри. Підійдуть практично 90% власників сайтів. Є найпоширенішими. Підходять як фізичним, так і юридичним особам. Видача такого сертифіката, як правило, проводиться протягом доби.
Вид в адресному рядку:
Ціна: може коливатися від 800 руб./рік до 3000 руб./рік (хоча ця цифра не межа).
- Валідація організації (Organization Validation) – сертифікат з підвищеною надійністю. При видачі сертифіката проводиться перевірка компанії, перевіряється не тільки право володіння доменом і приналежність веб-сайту організації, але й існування компанії як такої. Доступний тільки юридичним особам. При видачі цього сертифіката можуть бути запитані наступні документи: свідоцтво ІПН/КПП, свідоцтво ОГРН, свідоцтво про реєстрацію доменного імені, і. т. д.
Вид в адресному рядку:
Ціна: може коливатися від 2000 руб./рік до 35000 руб./рік.
- Розширена валідація (Extended Validation) – сертифікат з найвищим рівнем аутентифікації між усіма типами SSL сертифікатів. Не підійде 99% «смертних» з-за своєї ціни та способу перевірки. Призначений для великих корпорацій. Доступний тільки юридичним особам. Зелена адресний рядок браузера відображає назву компанії і забезпечує візуальне підтвердження безпеки вашого сайту.
Вид в адресному рядку:
Ціна: може коливатися від 12000 руб./рік до 150000 крб./рік.
- Ще існує окремий вид сертифікатів, про який не можна не сказати – це сертифікати Wildcard. Даний вид сертифіката варто вибрати, якщо у вас структура сайту представлена у вигляді піддоменів. Або потрібен захист переданої інформації на доменах. На деяких хостингах даний вид представлений у вигляді опції.
Ціна: може коливатися від 1500 руб./рік до 35000 руб./рік.
Також для реалізації https з’єднання на деяких хостингах вимагається оплата виділеного IP, ціна якого може бути дорівнює
1200 руб./рік.Якщо у вас виникнуть проблеми з встановленням або вибором SSL сертифікату, ви завжди можете звернутися до свого хостинг-компанії чи до нас (ціна розраховується індивідуально).
Тепер давай розберемо, для чого ви прочитали 5716 байт попереднього тексту, і відповімо на питання – для чого нам потрібно переходити на https.
Для чого потрібно переходити на https?
Причин кілька, і всі вагомі:
- Протокол https, що забезпечує безпеку інформації, що передається.
- З 2014 року наявність https з’єднання на сайті пошукової системи Google є фактором ранжирування зі знаком плюс.
- C початку 2017 року браузер Google Chrome версії 56 почне позначати всі HTTP-сайти, які передають особисті дані користувачів, як «небезпечні».
- Якщо ви власник сайту, що містить відео контент, то наступна інформація для вас:
Підходимо до завершальної частини і відповіді на питання – як коректно переїхати на https з мінімальними втратами.
Інструкція по переїзду на https
- Вибираємо сезон, в якому відвідування вашого сайту мінімально (якщо ваш сайт не пов’язаний з тематикою «все для свята», то, можливо, найкращий час для вас – новорічні свята, коли купівельна активність в Мережі знижується). Перевірити сезонність можна з допомогою систем аналітики Google Analytics і Яндекс.Метрика.
- Вибираємо потрібний нам SSL сертифікат.
- Встановлюємо сертифікат на хостинг, використовуючи панель керування, доступ ssh або допомога хостингу, при цьому ніяких редиректів з http налаштовуємо.
- Відкриваємо файл robots.txt і прописуємо директиву host з протоколом https
User-agent: Yandex
…
Host: https://site.ru - Далі переходимо в Яндекс.Вебмастер з підтвердженими правами на сайт. Якщо такого немає, то підтверджуємо права (дотримуючись інструкції сервісу).
- Далі переходимо в розділ Налаштування індексування – Переїзд сайту. І виставляємо чекбокс (галочку) навпроти «Додати HTTPS», після цього натискаємо «Зберегти».
- Після цього чекаємо поки зміни вступлять в силу. Як правило, цей термін складає 2 тижні.
- Налаштовуємо 301 редирект зі сторінок http https, при цьому уникайте ланцюжків переадресації.
- Міняємо всі посилання, наявні в коді сайту, на https або робимо їх відносними.
- Дивимося, щоб в карті сайту .xml був присутній тільки протокол https.
- Додаємо карту в Вебмастер.Яндекса.
- Додаємо всі версії сайту в Google Search Console.
- Переходимо в налаштування сайту та вибираємо Основний домен (якщо цього не було зроблено раніше).
- Переносимо всі налаштування (якщо такі були) з версії сайту http https.
- Інструмент зміни адрес не використовуємо.
- Відразу після перенесення сайту спробуйте оновити всі вхідні посилання, в тому числі: Зовнішні посилання, посилання на профілі, наприклад в Google+, Facebook, Twitter, Vk і т. д.
Ось ніби і все. Якщо сумніваєтеся, що впораєтеся своїми силами, звертайтеся до нас. Подивимося ваш сайт, зорієнтуємо по вартості і допоможемо з переїздом.
При підготовці матеріалу ми орієнтувалися на офіційні джерела Яндекса і Google. Однак, зазначу, що 20 березня 2017 р. в блозі Яндекса була опублікована нова інформація по переїзду на HTTPS. У зв’язку з цим багатьом може здатися, ніби Яндекс повідомляє про те, що немає необхідності дотримуватися пункт №7 даній статті. У матеріалах Яндекса це питання №4.
Однак звертаємо вашу увагу, що в коментарях до цього матеріалу Олена Першина (співробітник компанії Яндекс) відповідає Бакалову Ігорю: «Редирект краще налаштовувати, коли більша частина сторінок http-версії буде виключено з пошуку», що відповідає рекомендаціям з пункту №7 цієї статті.
У зв’язку з цим радимо все-таки дочекатися, поки зміни вступлять в силу, як і написано в пункті №7, тобто орієнтовний час – 2 тижні.