ГлавнаяJoomlaПереход joomla на https

Переход сайта на https или зачем нужны ssl сертификаты? Переход joomla на https


Осуществляем переход сайта на https. Пошаговая инструкция.

Что такое https?

https — это защищенный протокол передачи. От обычного http он отличается шифрованием всех передаваемых данных, что позволяет обезопасить обмен между сайтом и пользователем.

Если вдаваться в техническую часть, то работает он за счет криптографических протоколов SSL и TLS. Данные  протоколы имеют трехуровневую защиту, которая позволяет исключить перехват, перенаправление и изменение данных.

Кому нужен защищенный протокол?

Изначально защищенный протокол создавался для безопасной передачи данных о платежах и конфиденциальной информации. То есть, был необходим Интернет-магазинам, хост-провайдерам, Интернет-банкингу, а также всем тем, кто проводил финансовые операции. Со временем поисковые системы выяснили, что сайты на https обычно более качественные и безопасные для пользователей. Так защищенный протокол стал одним из факторов ранжирования.

Google открыто заявляет, что сайты с https ранжируются выше, чем прочие равные на http. Яндекс утверждает, что относится к данному протоколу нейтрально, однако практика показывает, что ресурсы с https все же выходят в ТОП охотнее.

Сегодня защищенный протокол передачи данных желательно иметь каждому. Совсем недавно появилась бесплатная версия сертификата (SSL Let’s Encrypt), поэтому переход теперь не стоит ни копейки.

Подготавливаем сайт к переезду

Прежде чем приобрести у хост-провайдера сертификат, необходимо подготовить сайт. Без этих работ переход может стоить Вам львиной доли органического трафика или работоспособности сайта. В обязательном порядке нужно:

Переходим на https

Для начала нужно выбрать и заказать сертификат SSL. Сделать это можно у хост-провайдера. Их существуют несколько видов:

Какой из перечисленных выбрать — зависит от целей и потребностей. Скажем только, что сертификатам с расширенной проверкой, поисковики (как и люди) доверяют больше.

Прописываем редирект в .htaccess

Сразу после того, как сертификат будет выдан и сайт станет доступен по https, необходимо прописать 301 редирект в файле .htaccess. Файл этот можно найти в корневом каталоге Вашего сайта. Некоторые файловые менеджеры по умолчанию не показывают документы начинающиеся с точки, поэтому поройтесь в настройках.

Нужно это для того, чтобы пользователь при переходе на http сразу перенаправлялся на https.

Следующие строки, которые нужно прописать в файле, справедливы практически для всех серверов.

RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

Меняем host в robots.txt

Не забудьте поменять Host и ссылку на Sitemap.xml в файле robots.txt.

Смена протокола в robots.txt

Стоит сказать, что если у вас обычное соединение http, то писать его в host не нужно. (пишите просто домен)

Меняем адреса в sitemap.xml

Адреса в карте сайта так же нужно обновить. Это позволит избежать лишних редиректов при обращении робота.

Смена протокола в Sitemap

Добавляем https в Webmaster

В Вебмастере в разделе «Индексирование» есть пункт «Переезд сайта«. Необходимо поставить галочку напротив «Добавить HTTPS«.

Переезд сайта на новый протокол в Вебмастере

После этого, Вы увидите подобное сообщение, которое означает, что Яндекс уведомлен о переезде.

Смена протокола в поиске Яндекса

Добавляем новый Webmaster

Кроме всего перечисленного, что бы получать корректную информацию, нам придется добавить в Вебмастер сайт с https. То есть, по итогам должно получиться 2 сайта. Один с http, другой с https. После обновления сайты будут связаны.

Адрес со старым протоколом можно не удалять, так как в нем будет информация о внешних ссылках именно на http.

Проверяем, все ли верно

Для проверки перейдите на свой сайт и пробегитесь по страницам. В адресной строке браузера у Вас должен появится замочек и протокол https.

Замочек в адресной строке браузера

Если в некоторых разделах нету замочка, но есть https, это означает, что на странице присутствует незащищенная передача данных. Это может быть следствием работы виджета или скрипта.

Перейдите на сайт по ссылке с http. При корректной работе Вы сразу должны  быть перенаправлены на защищенный протокол. (В следствии работы 301 редиректа)

В долгосрочной перспективе сайты в Yandex Webmaster должны быть склеены. В результате Вы увидите следующую картину.

Склейка сайтов с https

Кроме этого, в разделе «Индексация» пункт меню «Переезд сайта» должен смениться на «Расклейка зеркал«.

dh-agency.ru

Как правильно сделать переход с http на https (SSL сертификат)

Как правильно сделать переход с http на https - руководство к действию к переходу на SSL сертификат. Почему делают это вообще? Дело в том, что буква s в конце http означает security - безопасность.

То есть данные передаются с шифрованием, то есть перехват

и распознавание хакерами маловероятен очень все это сложно становится для них и ваш интернет-магазин например, становится очень привлекательным для поисковиков, потому что им важно также показывать людям безопасные ресурсы и решения. Поэтому смысл именно в этом и далее, если у вас есть это - ваш сайт будет получать с каждым годом все больше трафика (переходов с поисковиков). Пока Google на это больше обращает внимание, но уже и Яндекс взялся за это дело. И теперь в браузерах вы можете увидеть такие слова как "Небезопасный" или "Безопасный"(зеленый замочек)

Как вы думаете продажи просядут, где красный замок? Я думаю это очевидно, кому охото доверять сайту, где еще и красные замки развешены, и которые не прошли фильтры на защищенность, как минимум не охото вводить свои данные, банковских карточек например.

Поэтому многие сайты уже сделали этот переход, приступаем к практике как это сделать...

Как перейти на https

Во-первых, нужно знать, что есть дорогие(для качественных сервисов, которым нужны "ок" от всех "инстанций"), и есть минимальный вариант - который сейчас даже вводится в бесплатном варианте от НОРМАЛЬНЫХ хостингов, таких как Бегет или Juno (это то, что знаю). А так, я сам покупал один за 1200 рублей в год, в следующий раз может будет уже бесплатно, а может и этот продлю, все зависит от определенных факторов и от серьезности сервиса.

1. Во-первых, вы должны Яндексу дать знать, что вы переходите на https и чтобы он узнавал ваш сайт только по этому протоколу, с буквой s на конце.

а) для этого заходим в Вебмастер и добавляем ваш сайт, например, этот я сегодня добавлял https://lystra-vsem.ru - хороший, кстати, интернет-магазин люстр и светильников, если надо дешево, то советую ТОЛЬКО туда, давно с ними работаем, это их новый сайт(абсолютно не реклама!!! - нет такой цели, только для примера). Подтверждаем права на ресурс. / тут также он может написать, что уже определено главное зеркало и действительно ли вы хотите добавить с https - соглашайтесь!

б) Заходим там же в вебмастере - Индексирование/Переезд сайта (новинки их) - тут надо выбрать подтвержденный сайт, и указать галочкой с https. Все далее процесс начался. Тут основные настройки есть!

в) можете "скормить" новую карту сайта, через Инструменты/Анализ файлов Sitemap

2. Заходим в робот - там прописываем новый Host, чтобы было в http также на конце s.

3. Далее нужна автоматическая переадрессация без потери веса(301), в данном случае это делается так:

Добавьте в начало файла .htaccess следующие строки

RewriteEngine On RewriteCond %{HTTP_HOST} ^(www\.)?lystra\-vsem\.ru$ [NC] RewriteCond %{HTTP:X-Forwarded-Proto} !=https RewriteRule ^(.*)$ https://lystra-vsem.ru/$1 [R=301,L]

 В примере, выше поменяйте на свой домен!

 Все теперь все страницы будут автоматически перекидываться на security вариант и ТИЦ также сохранится (если вам это важно). Именно это получается безболезненный вариант перехода.

Пользуйтесь)

PS на данном сайте этого не нужно - так как это информационный сайт больше, s - нужна больше для коммерции.

Добавить комментарий

saitsozdanie.ru

Переход сайта с http на https или зачем нужны ssl сертификаты ➔ как перевести сайт на https

СОДЕРЖАНИЕ

Чуточку истории

Для чего используется https?

Кому нужно переходить на https?

Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?

Теперь о том, как обстоят дела с Яндексом

Теперь коротко про виды SSL-сертификатов

Особенности SSL-сертификатов

Почему не стоит использовать бесплатные сертификаты

Подготовка к переходу на https

Уведомляем поисковые системы Яндекс и Google о переезде

Финальная шлифовка

Что будет, если не переходить на https, а остаться на http?

Все больше «скандалов, интриг и расследований» крутится вокруг темы перехода сайтов с http на https. Мы решили дать подробную информацию о том, что это такое, кому стоит делать переход сайта с http на https в экстренном порядке, кому в мегаэкстренном, а кому это надо было сделать «еще вчера».

Чуточку истории

Тема про переход сайтов с HTTP на HTTPS затрагивалась Google’ом еще в 2014 году. Тогда они сказали, что «все-таки безопасность передачи данных должна быть приоритетной». Тогда же пообещали повысить ранжирование за использование HTTPS-протоколов. В 2015 году Google объявил, что если сайт доступен и в http и в https версиях, то индексироваться будет последняя. Далее, в 2016 году этим же Google’ом было объявлено, что наличие в адресе https:// вместо http:// уже достаточно для того, чтоб повысить ранжирование сайта, даже если протокол «прикручен» криво и работает с ошибками, т. е. тупо «есть – и ладно». А вот с января 2017 года великое русское «есть – и ладно» уже не работает, но об этом чуть позже.

Для чего используется https?

Https используется для того, чтобы никто не мог «перехватить» передаваемые данные и использовать их в своих злых целях. К таким данным относится абсолютно все, что пользователь вводит на сайте – Ф.И.О., адрес электронной почты, физический адрес для доставки, номер телефона, данные своей банковской карты при оплате заказа (наиболее вкусная информация для мошенников) и т. д. С помощью https-протоколов данные становятся зашифрованы, а потому защищены от перехвата. Как следствие – более высокий уровень доверия к сайту и со стороны поисковых систем, и со стороны пользователей. Если Вы хотели узнать как улучшить поведенческие факторы, тогда это один из способов.

Кому нужно переходить с http на https?

Ответ прост – всем. Всем без исключения. Если сайт является интернет-магазином, где сотни людей ежедневно оплачивают свои покупки с помощью WebMoney, Яндекс.Денег, QIWI, банковской картой и другими способами – то HTTPS у Вас должен быть реализован «еще вчера». Если у Вас просто новостной блог, где народ оставляет комментарии к статьям – переезд на https защитит логины-пароли Ваших читателей от «угона», а также защитит сайт от навешивания всякой ненужной рекламы «на лету» (таким навязыванием рекламы страдает, например, Московский Метрополитен).

Почему «есть и ладно» больше не прокатывает, а HTTPS стал обязательным?

Для начала рассмотрим ситуацию с http-сайтами.

В январе 2017 года Google Chrome (а это, если кто не в курсе, один из самых популярных в России браузеров) изменился (речь о 56 версии), начав помечать красным фоном и словом «ненадежный» http-сайты, где требуется ввод логина-пароля либо каких-то других данных (адрес, платежные реквизиты, и т. д.). Выглядело это - вот так:

И вот тут уже идет психология. Пользователь заходит на сайт, видит «ненадежный», по незнанию ситуации пугается и уходит, принимая сайт за мошеннический! Позже такая пометка немного видоизменилась:

Но факт остается фактом – такие сайты по-прежнему помечаются. И будут помечаться дальше.

Теперь рассмотрим ситуацию с https-сайтами, где протокол реализован не так, как нужно, т. е. работает с ошибками. Если в случае с http-сайтами содержимое сайта хотя бы загружалось, то с криво реализованным https все еще хуже:

Увидев красный замок с крестом, пользователь даже не утруждает себя чтением текста, а просто уходит с сайта, по привычке думая, что сайт просто «отвалился». Разумеется, в следующих версиях браузера данное уведомление тоже видоизменили.

И третий вариант – когда https «прикручен» корректно. В этом случае Хром просто помечает сайт, как «надежный».

И это самое слово «надежный» отображается в адресной строке и в более поздних версиях браузера Google Chrome.

Т. е. Google нам, таким образом, отчетливо дал понять, что http-сайты будут просто задавлены.

Вот Вам и ответ на вопрос «С каких это пор переход на HTTPS стал обязательным?». Правильно – с января 2017 года.

Это коротко о том, как дела обстоят с Google.

Теперь о том, как обстоят дела с Яндексом

Если коротко – Яндекс тоже рекомендует сделать переход сайта на https. Но никаких привилегий за это пока не обещает. Тем не менее Яндекс многие свои сервисы перевел на https, дабы показать их надежность и защищенность SSL сертификатов.

Что касается привилегий – это, скорее всего, временно. Наиболее вероятно, что Яндекс тоже будет поощрять переход с http на https..

Т. е. переезд на https нужен всем: и Вам (чтобы не потерять позиции и защитить данные от перехвата) и пользователям (для которых, собственно, данные и защищаются), правда, они еще не в курсе. Также, некоторые владельцы сайтов бояться переносить свой сайт, так как где-то на форумах читали, что у кого-то после перехода на https упали позиции.

Теперь коротко про виды SSL-сертификатов

Сертификат DV (Domain Validated). Выдается либо бесплатно (опасно), либо приобретается за небольшую сумму. Защищает данные, но не гарантирует, что владельцу сайта можно доверять. Такой сертификат наиболее подойдет сайтам-одностраничникам, блогам, форумам, сайтам-визиткам и т. п. Т. е. оптимальный вариант для сайтов, где требуется ввод, разве что, логина-пароля почты.

Сертификат OV (Organization Validated). Этот сертификат могут получить только юридические лица и индивидуальные предприниматели. При этом неважно коммерческие или нет. Выдается только после соответствующих проверок. Наиболее оптимален для интернет-магазинов и сервисов предоставления услуг.

EV (Extendex Validated). Это самый, можно сказать, элитный (но и самый дорогой) сертификат. В адресной строке будет указано на зеленом фоне наименование организации:

Для получения данного сертификата требуется гораздо более тщательная проверка. Т. е. само наличие данного сертификата дает 100% гарантию того, что сайт действительно принадлежит именно этой организации, и что такая организация действительно существует. Оптимальный вариант для банков, платежных систем, а также для крупных порталов.

Особенности SSL-сертификатов

SSL-сертификаты можно условно разделить на 4 группы:

Ну а технические аспекты (подготовка сайта, сам процесс перехода на https, и т. д.) – это уже совершенно другая история.

Почему не стоит использовать бесплатные сертификаты

Ответ на этот вопрос элементарен: где бывает бесплатный сыр? Правильно – в мышеловке. Во-первых, использование такого сертификата ставит под сомнение защиту передачи данных. Во-вторых, сайт запросто может выдать уведомление:

Что сделает посетитель, увидев такое уведомление? Правильно – уйдет с сайта.

Правильный переход на https без потери позиций

Самое первое, что нужно сделать – это сделать полный бэкап сайта. Если это и не поможет, то как минимум не повредит.

Затем, нужно переделать ВСЕ внутренние ссылки с абсолютных на относительные. Для тех, кто не в курсе:

Абсолютные ссылки:

http://hogwards.academy/absolut-link/

https://hogwards.academy/absolut-link/

Т. е. [протокол]://[домен]/[адрес_документа]/

Относительные же могут содержать либо /[адрес документа]/, либо //[домен]/[адрес_докумета]/:

/absolut-link/

//hogwards.academy/absolut-link/ (для перехода на https это самый предпочтительный вариант).

Объем работ в этом случае напрямую зависит от количества страниц на сайте.

Далее. Пока программист занимается заменой ссылок, необходимо выяснить поддерживает ли Ваш хостер SSL. Если нет – придется менять хостера.

После этого идем в админку хостинг-провайдера и ищем, где располагается кнопка «сделай мне хорошо». Она может называться «Настройки SSL», «Настройки HTTPS», «Перевести сайт на HTTPS», «Установить SSL-сертификат» ну или как-то так. Все что осталось – выбрать нужный SSL-сертификат, нажать «Готово», теперь дело за хостинг-провайдером – он должен выпустить и установить SSL-сертификат. После этого сайт будет переведен на https.Также нужно проверить работоспособность как основных страниц, так и всех форм и кнопок, ведь иногда бывает такое, что сайт после перехода на https не работает.

Итак, сайт теперь у нас доступен в версиях http и https. Но http-версия нам больше не нужна, ее надо убрать. Для этого необходимо настроить редирект с http на https-страницы. Каким образом это делается – напрямую зависит от самого сайта, поэтому тут нельзя дать универсальных рекомендаций.

После настройки редиректа необходимо «погулять» по сайту и протестировать различные страницы как в http, так и в https вариантах. Должен происходить автоматический редирект на https-страницу даже в том случае, если в адресной строке мы пишем http.

Исключение – файлы sitemap.xml и robots.txt – они должны быть доступны по обоим протоколам.

Нелишним будет еще и проверить сайт на сервисе https://www.ssllabs.com/ssltest/.

Все, сайт теперь у нас работает по защищенному https-протоколу. Но и этого мало.

Уведомляем поисковые системы Яндекс и Google о переезде

Идем в Яндекс.Вебмастер выбираем там Ваш сайт, в левой колонке «Настройки индексирования» – «Переезд сайта» – устанавливаем галочку «Добавить HTTPS», «Сохранить». Все – мы уведомили Яндекс о том, что сайт переехал на https. ВАЖНО!!! Переклейка главного адреса может занимать несколько недель!!! Ускорить эту процедуру, к сожалению, невозможно. В течение этого времени сайт в выдаче может адски колбасить. Чтобы минимизировать потери настоятельно рекомендуем сначала провести переезд в панели вебмастера Яндекс, а затем уже ставить редиректы!! Это позволит на 100% сделать перенос сайта на https без потери позиций в Яндекс и Google.

Также специально для Яндекса необходимо исправить файл robots.txt – в строке host добавить https://

Было: Host: hogwards.academy

Стало: Host: https://hogwards.academy

Аналогичную операцию проводим в строке, где указан адрес карты сайта.

И вот теперь с Яндексом всё.

Теперь идем в Google Search Console, где вносим соответствующие изменения в адрес Вашего сайта (т. е. меняем http на https). Но чтобы изменения вступили в силу, нужно повторно подтвердить права на сайт. Останавливаться на этом не будем, т. к. Вы это, скорее всего, ранее уже делали.

Следует также отметить тот факт, что переход на https в WordPress, Joomla, Bitrix (Битрикс), ModX или любой другой CMS делается по такому же принципу. То есть основная работа по настройке SSL сертификатов проводится на хостинге и в сервисах Яндекс Вебмастер, Google Search Console, а движок сайта или Интернет-магазина особой роли не играет. Просто при переходе с http на https в Joomla, WordPress и т.д. необходимо будет в коде движка изменить все ссылки с абсолютных на относительные.

Вот, собственно, и все – переезд сайта на https закончен.

Финальная шлифовка

Все что осталось – найти оставшиеся http-ссылки и заменить их на относительные, а также подправить скрипты, «тянущиеся» с других страниц. Это две основные причины, по которым после перехода на https может выдаваться уведомление «соединение не защищено».То же самое необходимо сделать с «языковыми» ссылками (если сайт мультиязычный).

Вот теперь действительно все. Ждем переиндексации.

Что будет, если не переходить на https, а остаться на http?

Отчасти, мы на этот вопрос уже ответили – потеря позиций, понижение доверия со стороны поисковиков, поведенческие факторы. Но может быть и хуже.

Представьте себе такую ситуацию – человек заходит в кафе, где есть Wi-Fi, открывает ноутбук, заходит на Ваш интернет-магазин (который по каким-то причинам все еще на http), логинится через номер телефона и пароль, добавляет в избранное пару товаров, допивает кофе, закрывает ноутбук, собирается и уходит. Все это время Wi-Fi- траффик сканируется другим человеком за соседним столиком – он из отсканированного трафика выдергивает номер телефона и пароль, за счет чего получает доступ, например, к кошелькам жертвы в платежных системах Qiwi, Rapida и др. Что подумает жертва? Правильно – он решит, что это Вы обеспечили слив его персональных данных, расскажет об этом везде, где можно, а в качестве бонуса еще и заявление в правоохранительные органы напишет. Итог – подрыв репутации (в лучшем случае) Вашего магазина. Именно Вашего магазина, а не кафе, где все и произошло. А теперь представьте, что будет, если жертва еще и оплатит заказ, засветив данные своей банковской карты, а злоумышленник потом эту же карту «обчистит». Переход на https полностью исключает такие ситуации.

Немногие знают, но данные, передаваемые по http, можно не только перехватить, но еще и отредактировать. Поэтому рассмотрим другую ситуацию.

То же самое кафе. Человек смотрит товары в Вашем интернет-магазине, но кто-то перехватил трафик. Перехватчик «на лету» меняет код одного из баннеров Вашего магазина, жертва жмет на этот баннер, переходит на сайт злоумышленника (который является визуальным клоном Вашего сайта) и ловит вирус, который вымогает деньги. Кто будет виноват в глазах жертвы? Правильно, Вы. Итог – снова подрыв репутации. Думаете такого не бывает? Примерно таким способом ранее упоминавшийся Московский Метрополитен и навешивает свои рекламные баннеры на http-сайты. Т. е. Вы заходите в интернет-магазин автозапчастей, а тут опаньки – реклама женских прокладок.

Ну и третий «бонус». Разработчики браузера Mozilla FireFox заявили, что через пару лет вообще уберут поддержку http. Т.е. http-сайты в браузере FireFox просто перестанут работать. Тревожный звоночек, правда? Вот и не тяните с переходом.

stokrat.org

Как перевести сайт на HTTPS

HTTPS использует криптографические протоколы SSL или TLS, которые позволяют обеспечить конфиденциальность обмена данными. Сегодня все больше сайтов переходят на этот протокол, а причиной послужило сообщение Google в сентябре 2016 о том, что они будут отмечать все сайты на протоколе HTTP, как небезопасные.

Сообщение вызвало настоящую панику, многие посчитали, что проекты на протоколе http могут вообще убрать из поиска и заблокировать их в Google Chrome, но, разумеется, все совсем не так страшно. Ничто не будет блокироваться, будут лишь появляться пометки о том, что страница небезопасна. И только на тех страницах, которые требуют ввода каких-либо данных (платежные реквизиты, логин, пароль и т.д.). Но, тем не менее, доступность сайта по безопасному протоколу является уже одним из факторов, влияющих на ранжирование. 

Переезд на HTTPS необходим для сайтов, которые:

Для таких сайтов использование защищенных протоколов обмена данными необходимо просто с точки зрения безопасности. 

При запуске почти любых новых сайтов, я сразу их делаю доступными по HTTPS. Тем более, есть возможность сделать это бесплатно.

Какие бывают SSL-сертификаты?

Для переезда на HTTPS необходимо приобрести SSL-сертификат, они бывают нескольких видов:

Стоимость стандартного SSL-сертификата 2-3 тысячи рублей в год. Их выдают центры сертификации, но к ним можно не обращаться, а купить у партнеров. Сегодня SSL-сертификаты продают хостеры и регистраторы доменов.

Также некоторые некоммерческие организации, борющиеся за безопасность интернета дают возомжность перенести сайт на https бесплатно. Например, компания Let's Encrypt. Про то, как его подключить пойдет речь ниже.

Инструкция по переходу на HTTPS

Процесс переезда не сложен, но очень важно ничего не упустить. Иначе можно серьезно потерять в трафике сайта, пусть и временно. Дело в том, что с точки зрения поисковиков, проект на HTTPS – совершенно другой сайт, чем на HTTP. То есть, если просто подключить SSL-сертификат, то у вас появится полный дубль сайта.

Подготавливаем сайт

Проверьте, что бы все внутренние ссылки были обязательно относительными, а не абсолютными.

Вам пойдут два последних варианта. Вообще, я рекомендую всегда на своем сайте делать именно относительные внутренние ссылки (не важно какого вида). При переезде это позволяет избежать массы головной боли.

Относительные ссылки должны быть и для вложений медиа-контента, прежде всего это относится к изображениям. Если медиа-контент находится на стороннем ресурсе (например, видео с YouTube), то нужно убедиться, что он поддерживает HTTPS. Для всех популярных и крупных сервисов это уже давно не актуально, они все используют этот протокол (Facebook, Вконтакте, YouTube, Яндекс, Google и другие). Все внешние скрипты также должны иметь относительные URL или же быть на HTTPS.

Подобные подготовительные работы очень важны, в противном случае на сайте могут появиться дубли, битые ссылки и другие проблемы.

Устанавливаем SSL-сертификат

Для установки SSL-сертификата сервер должен обязательно поддерживать SSL протокол. У большинства хостинг-провайдеров такая функция есть. Более того, у многих хостеров есть возможность установить SSL-сертификат прямо через внутреннюю панель управления. Если ее нет, то необходимо обратиться в техническую поддержку хостера, если они не смогу помочь, то придется нанимать программиста.

Если хостинг не поддерживает SSL, то вам придется уйти к другому или отказаться от переезда на HTTPS. После установки убедитесь, что сайт теперь доступен сразу по двум протоколам: HTTP и HTTPS.

Я использую хостинг от Бегета, там SSL сертикат можно установить через панель управления в разделе "Домены". Как раз этот хостер позволяет установить бесплатный SSL сертикат от Let's Encrypt.

переход HTTPS

Это далеко не единсвенный способ получения бесплатного сертификата, также его взять у регистратора reg.ru, при покупке домена. А также его могут бесплатно предоставить другие хостинг компании и регистраторы, можно погуглить.

Настраиваем сайт

В первую очередь, пропишите директиву Host в файле robots.txt, выглядит это так: Host: https://ваш сайт. Далее необходимо прописать 301 редирект в htaccess. Вам необходимо сделать редирект с версии HTTP на HTTPS для всех страниц, обычно это делается добавлением всего двух строчек года.

RewriteCond %{SERVER_PORT} !^443$  RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

На этом настройка сайта для переезда на HTTPS будет завершена. Вам нужно еще раз проверить правильность всех перенаправлений, отсутствие битых ссылок и т.д. После этого нужно сообщить поисковым системам о переезде.

В Google Search Console нужно добавить новый сайт и подтвердить на него права. В Яндекс Вебмастере нужно добавить новый сайт и установить в меню «Настройка индексирования» «Главное зеркало – HTTPS».

Обратите внимание на настройки региональной принадлежности сайта, карту сайта. Если вы пользовались Disallow Tools Google, то вам необходимо перенести и его. Относится это и к исключенным параметрам URL в Google.

Теперь вам осталось только дождаться полной переиндексации. На практике могут встречаться просадки трафика, однако со временем он восстановится.

Важно: следите за сроком продления сертификата, особенно, если выбрали платный вариант!

www.seostop.ru

Советы и хитрости: перемещение сайта на HTTPS/SSL

В 2014 году мы решили перейти на широко используемый в настоящее время протокол HTTPS для шифрования конфиденциальных данных, которые отправляются через наш сайт. В рамках этой статьи будут даны некоторые полезные советы, основанные на нашем собственном опыте, которые могут  пригодиться, если вы планируете осуществить переход  с протокола  HTTP на HTTPS.

Небольшая предыстория

В уже далеком 2014 году HTTPS стал горячо обсуждаемой темой после того, как получила огласку уязвимость Heartbleed.  Эта уязвимость позволяла злоумышленникам перехватывать трафик, передаваемый через SSL/TLS. Также она дала им возможность похищать и читать данные.

К счастью, эта ошибка была быстро исправлена после своего обнаружения. Этот инцидент стал предупреждением о том, что должное шифрование пользовательской информации в Интернете является необходимостью и не может быть лишь дополнительной опцией.

Для того чтобы подчеркнуть важность шифрования конфиденциальных данных, Google Chrome, начиная с января 2017 года отображает явное предупреждение рядом с адресной строкой всякий раз, когда вы посещаете сайт, который не использует шифрование для конфиденциальных сведений.

Как переключиться (смена протокола http на https)?

Поскольку важно, чтобы данные были в безопасности, в 2014 году мы предприняли меры, чтобы обеспечить наличие SSL-сертификатов на наших сайтах. Если вы решите сменить протокол http на https, (а вы действительно должны это сделать!), есть несколько моментов, которые необходимо учитывать, чтобы ваш сайт работал надлежащим образом после завершения перехода.

Google также опубликовал удобное руководство по переходу на HTTPS без существенного влияния на рейтинг сайта, которое можно найти здесь.

Как это влияет на рейтинг?

Как было сказано в предыдущем разделе, переход от протокола HTTP к протоколу HTTPS может немного повлиять на  рейтинг сайта, если не спланировать все должным образом.

Однако, после перехода на HTTPS, со временем ваш рейтинг будет улучшаться. В 2014 году поисковая система Google объявила о том, что наличие SSL-сертификата будет считаться положительным фактором при расчете рейтинга, поэтому игра стоит свеч.

Для того чтобы Googlebot смог быстрее переиндексировать  сайт после перехода, переходите на https:// в часы с низким притоком трафика. Таким образом, Googlebot сможет использовать больше ресурсов вашего сервера. Просто учтите, что для сайта среднего размера может потребоваться некоторое время, чтобы восстановить рейтинг. У вас есть карта сайта? Тогда Googlebot сможет пересчитать и переиндексировать ваш сайт еще быстрее.

Настройка HTTPS и SSL на вашем сервере

У многих хостинг-провайдеров есть сервис, позволяющий включать HTTPS или заказать SSL-сертификат. Есть несколько типов сертификатов на выбор, отличающихся по нескольким параметрам. Каждый вариант также имеет свой собственный ценник, поэтому перед покупкой убедитесь, что вы запросили сертификат, соответствующий вашим потребностям и бюджету!

Если вы стеснены в плане бюджета, но разбираетесь в технических аспектах, взгляните на Let’s Encrypt, чтобы получить бесплатный (!) сертификат.

Сшивание OCSP (Online Certificate Status Protocol)

Необходимость проверки действительности SSL-сертификата может привести к небольшому снижению скорости загрузки. Для того чтобы устранить это, можно использовать сшивание OCSP (OCSP – протокол для проверки статуса SSL-сертификата). Сшивание OCSP – это функция, которая позволяет серверу загружать копию ответа удостоверяющего центра при проверке SSL-сертификата.

Это означает, что, как только браузер подключается к серверу, он проверяет действительность сертификата на основе копии, размещенной на сервере, а не запрашивает удостоверяющий центр, что приводит к значительному повышению производительности. 

Apache

Прежде чем включить сшивание OCSP на сервере Apache, убедитесь, что вы используете версию Apache 2.3.3+, выполнив команду «apache2 -v» (или «httpd -v») на своем сервере. Более ранние версии Apache не поддерживают эту функцию.

Если вы прошли процесс настройки HTTPS на вашем сервере, как описано в разделе «Настройка HTTPS и SSL на вашем сервере», то должны были познакомиться с конфигурацией VirtualHost, разработанной специально для использования в сочетании с HTTPS/SSL.

В этом файле выполните следующие действия:

  1. Внутри раздела <VirtualHost> </VirtualHost> вы должны добавить SSLUseStapling.
  2. Чуть выше раздела <VirtualHost> </VirtualHost> добавьте SSLStaplingCache shmcb:/tmp/stapling_cache (128000).
  3. Убедитесь, что конфигурация корректна, запустив apachectl -t. Если это так, перезагрузите Apache, перезапустив сервис apache2.
Nginx

Nginx также поддерживает сшивание OCSP. Перед изменением конфигурации сервера, пожалуйста, проверьте, что вы используете версию Nginx 1.3.7+, выполнив команду «nginx –v» на своем сервере. Ранние версии Nginx не поддерживают эту функцию.

Если вы прошли процесс настройки HTTPS на своем сервере, как описано в разделе «Настройка HTTPS и SSL на вашем сервере», то должны были познакомиться с конфигурацией Nginx, разработанной специально для использования в сочетании с HTTPS/SSL.

В файле конфигурации Nginx в разделе server {} добавьте следующие строки:

ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;

Последняя строка ссылается на файл, содержащий список доверенных сертификатов удостоверяющего центра. Этот файл применяется для проверки клиентских сертификатов при использовании OCSP.

После добавления этих строк в файл убедитесь, что конфигурация по-прежнему корректна, запустив сервис nginx configtest. Если это так, перезапустите Nginx, выполнив перезагрузку сервиса nginx.

Заголовок Strict Transport Security

Заголовок Strict Transport Security (HSTS) – это еще одна удобная функция, которая, по сути, заставляет браузеры использовать HTTPS-запрос вместо эквивалентного HTTP-запроса. Включение этой функции относительно безболезненно.

Apache

Если вы используете Apache, сначала включите модуль Apache Headers, выполнив  команду «a2enmod headers». После этого  нужно всего лишь добавить следующую строку в конфигурацию VirtualHost (в раздел <VirtualHost> </VirtualHost>), которую вы установили ранее для HTTPS:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Перезагрузите сервис Apache и готово!

Nginx

Для Nginx необходимо добавить следующую строку в раздел server{}  конфигурационного файла сервера:

add_header Strict-Transport-Security max-age=31536000;
Тестирование

Для того чтобы убедиться, что ваш SSL-сертификат работает правильно, зайдите на SSL Labs, укажите свое доменное имя и посмотрите, какую оценку вы получите.

Перенаправление URL-адресов при переходе с протокола http на https

Для обеспечения правильного перенаправления запросов на URL-адреса HTTPS необходимо добавить дополнительную конфигурацию. Таким образом, трафик, который пытается поступить на ваш сайт через HTTP, автоматически будет перенаправлен на HTTPS.

Apache

В конфигурации VirtualHost, используемой по умолчанию (например, в той, которая используется для HTTP-запросов) добавьте следующие строки, чтобы обеспечить правильное перенаправление (редирект) URL-адресов:

RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Как и в случае с другими изменениями, которые мы вносили ранее, не забудьте перезагрузить Apache!

Nginx

В Nginx измените конфигурационный файл по умолчанию, который использовался для HTTP-запросов, модифицируйте его следующим образом:

server {     listen 80;     server_name your-site.com www.your-site.com;     return 301 https://your-site.com$request_uri; }

Не забудьте перезагрузить Nginx перед тестированием внесенных изменений.

Заключение

Нужно ли переключаться на HTTPS? Краткий ответ: «Да». Использование HTTPS гарантирует, что конфиденциальная (пользовательская) информация пересылается через Интернет более безопасным образом. Особенно, если вы имеете дело с финансовыми транзакциями, HTTPS является обязательным.

Какой тип SSL-сертификата вы в конечном итоге выберете, зависит от вашего конкретного варианта использования и бюджета. Обязательно тщательно изучите все возможные варианты. 

 

Перевод статьи «Moving a website to HTTPS/SSL. Tips & tricks» был подготовлен дружной командой проекта Сайтостроение от А до Я.

www.internet-technologies.ru

HTTPS протокол - как правильно перевести свой сайт с http на https.

Что скрывается за HTTPS?

HTTPS (от английского HyperText Transfer Protocol Secure) — это расширение для протокола прикладного уровня передачи данных (сокращенно HTTP).

Визуально сайт, работающий по https-протоколу отличается только наличием замка в адресной строке и информацией о сертификате.

HTTPS поддерживает шифрование. Передаваемые с помощью этого расширения данные, «упакованы» в криптографические протоколы шифрования. Всего их два. Сокращённо эти протоколы называются SSL и TLS. Главная функция протоколов — обеспечивать защищённую передачу данных.

Сильные и слабые стороны перехода c HTTP на HTTPS.

Преимущества:
Недостатки:

Виртуальный хостинг сайтов для популярных CMS:

Как грамотно перевести сайт на HTTPS? Пошаговое руководство по переходу.

Шаг 1. Чтобы перейти без битых ссылок - приводим их к относительному виду

Уберите название протокола во внутренних ссылках. Вместо http://nazvanievashegosite.ru должно быть // nazvanievashegosite.ru

Шаг 2. Выбираем поставщика и приобретаем сертификат безопасности

Вариант первый (бесплатный):

В конце 2015 года начал работу центр сертификации Let's Encrypt. Проект предоставляет криптографические сертификаты для шифрования TLS. Получить сертификат вы можете бесплатно. Процесс их выдачи полностью автоматизирован. Получить сертификат можно на официальном сайте проекта.

Вариант второй (платный):

Многие центры сертификации (GlobalSign, Symantec, Comodo Group) дают возможность приобретения цифрового сертификата безопасности. Приобрести сертификат вы сможете на их официальных сайтах.

Шаг 3. Устанавливаем сертификат на сервер

Практически все HSP-компании (компания, где вы приобрели сертификат) предоставляют возможность установить выданный сертификат через панель управления. Это сэкономит ваше время. Сам процесс занимает не более пяти минут. В случае вопросов, служба технической поддержки всегда окажет вам посильную помощь.

Важно: убедитесь, что Ваш хостер поддерживает SSL.

Шаг 4. Настраиваем файл robots.txt

Откройте файл robots.txt и измените директиву HOST на https://nazvanievashegosite.ru. Эта директива указывает роботам поисковых систем что главная версия сайта – защищенная.

Шаг 5. Настраиваем файл .htaccess

В файле .htaccess потребуется указать редиректы с незащищенной версии сайта на защищенную. Лучше всего использовать 301 редирект, который означает, что страница перемещена насовсем.

Шаг 6. Уведомляем поисковые системы о переходе на HTTPS

Для минимизации риска потери поискового трафика, следует сообщить о проделанной работе поисковым системам. Это можно сделать с помощью панели для web-мастеров.

В Google надо просто добавить HTTPS-версию вашего сайта и указать основной сайт. Старую версию удалять не нужно.

В «Яндекс» так же надо будет добавить новую версию и установить главное зеркало. Для этого найдите в панели «Настройка индексирования», затем «Главное зеркало» и нажмите на «Установить протокол HTTPS».

На этом всё. Стоит отметить, что поисковая система «Яндекс» изменяет позиции сайта в результатах поиска, из-за чего возможно обнуление тематического индекса цитирования (ТИЦ). Волноваться не стоит. Через некоторое время всё вернётся на свои места.

www.ipipe.ru

Деликатный переезд на https или о чем еще стоит знать (советы яндекса)

Сегодня мы постарались ответить на частые вопросы, которые возникают при переезде.

1. Нужно ли переходить на HTTPS? Поможет ли это улучшить позиции?

В поисковой системе Яндекс сайты по протоколу HTTP/HTTPS индексируются и участвуют в поиске на равных условиях. Принимая решение о подключении SSL-сертификата, ориентироваться стоит на безопасность пользователей. Например, в случаях, если на сайте можно совершать покупки или другие операции с финансами.

2. Планируете ли вы помечать все сайты по протоколу HTTP как небезопасные?

Таких планов в настоящий момент нет.

3. Мой сайт сразу работает по протоколу HTTPS. Нужно ли сначала добавить его по HTTP и дождаться индексирования?

Нет, этого делать не обязательно. Вы можете сразу добавить его в Яндекс.Вебмастер по адресу с HTTPS.

4. Стоит ли ждать, пока сайт HTTPS проиндексируется перед тем, как начинать переезд?

Нет, переезд можно начинать в любой момент.

5. Есть ли разница между 301-м и 302-м редиректом при переезде?

Нет, и в том, и в другом случае переезд будет совершен в обычном режиме.

6. Нужно ли добавлять файл sitemap для HTTPS-сайта?

Да. Для сайта по протоколу HTTPS лучше создать свой файл sitemap и указать в нем ссылки на страницы по протоколу HTTPS. Сделать это можно сразу после начала переезда.

7. Мы захотели подключить SSL-сертификат, добавили https://site.ru в Яндекс.Вебмастер, а выясняется, что он уже неглавное зеркало сайта с HTTP. Нужно ли расклеивать их для смены главного зеркала?

Расклеивать сайты не нужно, вы можете просто сменить главное зеркало в данной группе. Процесс в целом ничем не отличается от склейки, только в этом случае я особенно не рекомендую использовать редирект для переезда: получится, что главное зеркало недоступно из-за редиректа, а цель редиректа - это неглавное зеркало и в поиск попасть не сможет. В результате в поиск страницы не смогут попасть совсем. В такой ситуации устанавливайте директиву "Host: https://site.ru", используйте "Переезд сайта", адрес в поиске будет изменён в течение нескольких недель.

8. Выполнили переезд, настроили редирект, а теперь в Яндекс.Вебмастере для сайта с HTTP висит предупреждение, что robots.txt недоступен. Что делать?

Это связано с установленным вами редиректом. Файл site.ru/robots.txt редиректит на https://site.ru/robots.txt и поэтому недоступен. В этом случае можно либо снять редирект только с файла robots.txt, либо игнорировать данное сообщение. На обход главного зеркала с HTTPS это никак не повлияет.

9. Завершили переезд на HTTPS, но в Яндекс.Вебмастере висит предупреждение о противоречивой директиве Host.Если главное зеркало - сайт с HTTPS, протокол в директиве Host также необходимо указать: "Host: https://site.ru"

10. Как узнать, что переезд завершился?

В разделе "Уведомления" Яндекс.Вебмастера вы увидите сообщение о том, что для сайта site.ru изменилось главное зеркало и теперь главным зеркалом признан домен https://site.ru . В разделе "Мои сайты" сервиса сайты начнут отображаться как "связанные":

Главное зеркало будет располагаться в самом верху группы. Инструмент "Переезд сайта" для неглавного зеркала сменится на инструмент "Отклейка зеркал".

11. Сайты склеились, а Внешние ссылки и Оригинальные тексты не перенеслись, что делать?

Показатели старого сайта с HTTP, включая ссылки и оригинальные тексты, учитываются для нового главного зеркала. При этом отображаться они будут в панели Яндекс.Вебмастера именно для того сайта, для которого были добавлены.

12. Нужно ли удалять старый сайт из Яндекс.Вебмастера?

Удалять старый сайт необязательно. Вы можете оставить его, чтобы проверять информацию о внешних ссылках (см. пункт выше) и другие статистики неглавного зеркала. По желанию, его можно и удалить из сервиса, на индексирование главного зеркала это никак не повлияет

Оригинал записи опубликован в блоге Платона Щукина.

joomlafreelancer.ru

Prostoy-Site | Все права защищены © 2018 | Карта сайта