Как перевести сайт на HTTPS без потери трафика и позиций

Когда вы открываете сайт, браузер отправляет запрос серверу и получает от него ответ. При использовании HTTP-соединения данные передаются в открытом виде. А на пути от браузера к серверу данные проходят десятки узлов, и на каждом этапе злоумышленники могут включиться в канал передачи и получить доступ к информации. Для обеспечения безопасности используется HTTPS.

HTTPS — это модификация протокола HTTP, которую разработали в 1994 году для браузера Netscape Navigator. HTTPS поддерживает шифрование через криптографические протоколы SSL или TLS, что обеспечивает более безопасную передачу данных по сравнению с HTTP. Протоколы SSL/TLS являются своего рода оберткой для HTTP — они шифруют данные и исключают возможность их кражи на пути от браузера к серверу и обратно.

Если сайт использует HTTPS, это видно в адресной строке браузера:

Рис. 1. Маркер безопасного протокола

Пометка об HTTPS может иметь и другой вид:

Рис. 2. Другой маркер безопасного протокола

Как бы ни выглядела пометка, при клике по ней должна появиться информация, подтверждающая безопасность соединения:

Рис. 3. Информация о защите данных

Принцип работы HTTPS:

1. Браузер отправляет запрос к серверу (сайту);
2. Сайт отправляет копию SSL-сертификата;
3. Браузер проверяет, является ли сертификат подлинным (отправляет запрос в центр сертификации);
4. Если сертификат подлинный, браузер и сервер тайно «договариваются» о создании секретного ключа;
5. Устанавливается защищенное соединение (данные передаются в зашифрованном виде, и доступ к ним имеет только сервер и клиент).

Секретный ключ состоит из более чем 100 символов (буквы и цифры), и взломать его практически невозможно (особенно если учесть, что в каждой новой сессии создается новый уникальный ключ).

Изначально HTTPS устанавливали на сайтах, через которые проходили платежи и персональные данные (авторизация с помощью электронной подписи, загрузка сканов и копий документов, и т. п.). Остальные сайты преимущественно передавали данные по HTTP. Но все изменилось 6 августа 2014 года — в этот день Google официально подтвердил, что наличие HTTPS при прочих равных условиях повышает шансы занять более высокие позиции в результатах поисковой выдачи. То есть HTTPS стал фактором ранжирования в Google. Мотивация Google простая: чем больше сайтов перейдут на HTTPS, тем безопасней будет пользование интернетом.

На первых порах Google присвоил фактору HTTPS минимальный вес для того, чтобы вебмастера постепенно переходили на новый протокол. Но со временем значимость защищенного протокола возрастает. Так, в декабре 2015 года Google начал индексировать HTTPS-версию страницы по умолчанию. А 17 октября 2017 года с запуском Chrome 62 Google начал предупреждать посетителей о сайтах с небезопасным соединением (то есть без HTTPS). Аналогичные пометки начал ставить и браузер Mozilla Firefox. Это важный шаг на пути к полному переходу на HTTPS.

Согласно исследованию SEMRush, в 2017 году HTTPS занял 10-е место в списке факторов ранжирования Google (между длиной контента и общим количеством текстовых анкоров).

Рис. 4. Значимость факторов ранжирования по версии Google

В этом же исследовании показана обратная зависимость между позициями в ТОП-20 и наличием HTTPS:

Рис. 5. В ТОП-3 Google по высокочастотным запросам преобладают сайты на HTTPS (исследование SEMRush)

Похожие цифры приводятся в исследовании MOZ. По состоянию на апрель 2017 года более 50% сайтов на первой странице выдачи Google перешли на HTTPS:

Рис. 6. Другое исследование (MOZ) также подтверждает зависимость позиций в ТОП Google от наличия протокола HTTPS

За год ситуация кардинально изменилась: на конец апреля 2018 года удельный вес результатов с HTTPS в ТОП-10 Google составил 83,4%:

Рис. 7. Число сайтов на HTTPS в ТОП Google неуклонно растет

В Яндексе на конец апреля 2018 года доля результатов с HTTPS в ТОП-10 составляла почти 58%:

Рис. 8. Аналогичный тренд характерен и для выдачи Яндекса

Что касается Рунета в целом, то всего 6,25% сайтов используют HTTPS. Вероятно, такая цифра обусловлена меньшей распространенностью Google, чем на Западе, а также тем, что Яндекс официально не подтвердил, что учитывает HTTPS при ранжировании.

Некоторая инертность отечественных вебмастеров по отношению к HTTPS может сыграть вам на руку: если переехать сейчас, то вы однозначно получите «плюс в карму» от Google (и, возможно, от Яндекса), сделаете сайт безопасным и повысите доверие к нему со стороны пользователей (держим в уме нелицеприятные пометки в браузерах о небезопасном соединении).

Прежде чем начать переезд, необходимо выбрать SSL-сертификат. В зависимости от уровня проверки они могут быть трех видов.

1. Domain Validation, DV

   Проверке подлежит только право собственности на доменное имя. Время выпуска — до 10 минут. Сертификат подходит для блогов, сайтов-портфолио, сайтов-визиток. Стоимость — от $5 в год (иногда предоставляется бесплатно «в нагрузку» к хостингу).

2. Organization Validation, OV

   Проверке подлежит право собственности на доменное имя, а также юридическое и физическое существование компании. Время выпуска — до 10 рабочих дней. Для прохождения сертификации необходимо не только подтвердить право на домен, но и предоставить уставные документы и ответить на контрольный вопрос оператора центра сертификации. Эти сертификаты подходят интернет-магазинам и прочим коммерческим ресурсам, которые имеют дело с финансовыми и другими конфиденциальными данными пользователей. Стоимость — от $40 в год.

3. Extended Validation, EV

   Это престижные SSL-сертификаты, которые подтверждают информацию о реальном существовании и операционной деятельности компании, содержат информацию о ней. Выдаются только юридическим лицам в срок до 14 рабочих дней. При этом адресная строка браузера подсвечивается зеленым цветом и содержит название компании, вызывая тем самым максимальный уровень доверия. Сертификат подходит крупным интернет-магазинам, платежным системам, банкам и т. п. Стоимость — от $150 в год.

Три перечисленные разновидности сертификатов подходят для сайтов с одним доменом (без поддоменов). Если же у вас есть основной сайт и поддомены вида msk.site.ru, необходим сертификат WildCard SSL Certificates (стоимость — от $80 в год). Если у вас несколько доменов верхнего уровня, принадлежащих одной компании, их можно защитить с помощью одного общего сертификата — Multi Domain SSL Certificates. Обойдется он от $70 в год.

Есть продвинутые сертификаты — SGC SSL Certificates. Они поддерживаются практически всеми версиями браузеров, в том числе устаревшими. Такие сертификаты подходят почтовым службам, платежным системам, ресурсам B2B-тематики и крупным интернет-магазинам. Стоимость — от $700 в год.

Для цифровой подписи программного обеспечения разработчиками используются сертификаты Code Signing SSL. Они гарантируют пользователям, что ваш код и содержимое безопасны для загрузки и установки. Стоимость — от $100 в год.

Основные поставщики SSL сертификатов — Symantec, Thawte, Certum, Comodo, GeoTrust, RapidSSL и др.

Прежде чем переносить сайт на HTTPS, необходимо подготовиться, выполнив следующие действия:

1. Проверьте, поддерживает ли ваш хостинг-провайдер SSL-сертификаты.

   Большинство провайдеров поддерживают SSL, но если вдруг так случится, что поддержки нет, необходимо перенести сайт на другой хостинг, и только потом переезжать на HTTPS.

2. Замените внутренние абсолютные ссылки относительными.

   По умолчанию внутренние ссылки на вашем сайте выглядят так:

   http://site.ru/contacts/

   Это так называемые абсолютные ссылки. Вам нужно сделать, чтобы они выглядели следующим образом:

   /contacts/

   Это относительные ссылки вне зависимости от сайта. Изменения касаются только внутренних (!) ссылок. Ссылки на внешние ресурсы менять не нужно. Совет! Перед внесением изменений создайте резервную копию файлов сайта и базы данных. В случае неудачи вы всегда сможете вернуться в исходную точку.

   Как изменить ссылки?

   • Вариант 1. Плагины для CMS. Например, для WordPress наиболее популярны 2 плагина: HTTP / HTTPS Remover (работает по принципу «активировали и забыли», все делает сам, но должен быть постоянно включен) и Velvet Blues Update URLs (требует настройки, но его можно деактивировать после изменения ссылок).
   • Вариант 2. Помощь программиста. Если у вас сайт с разветвленной ссылочной структурой, поддоменами, создан на базе CMS, для которой нет плагинов, то этот вариант для вас.

3. Убедитесь, что изображения и прочий медиаконтент, а также скрипты подгружаются по HTTPS.

   Если медиаконтент хранится на вашем сервере, то просто замените абсолютные ссылки относительными. Например, если ссылка на изображение была вида:

   http://site.ru//images/image25.jpg,

   то после изменения она должна выглядеть так:

   /images/image25.jpg

   Для подгружаемого извне контента используйте медиаресурсы, которые передают данные по HTTPS. К таким ресурсам относится YouTube, Facebook, ВК, SlideShare и масса других известных площадок. От источников контента, которые не обеспечивают защищенное соединение, откажитесь.

   Аналогично, если внешние скрипты подгружаются по HTTP, необходимо исправить абсолютные ссылки на относительные. Что касается популярных скриптов вроде библиотеки jQuery CDN, Яндекс.Метрики, Google Analytics и т. п., то они уже поддерживают HTTPS. Если у вас на сайте старые коды (без HTTPS), их нужно или обновить, или, опять же, изменить ссылки.

   Рис. 9. Пример старого кода библиотеки jQuery

   Рис. 10. Решение первое — заменить старый код новым

   Рис. 11. Решение второе — установить относительную ссылку

Обязательно завершите все работы, прежде чем устанавливать сертификат. После подготовительных работ переходите к установке сертификата и настройке редиректа.

1. Установка SSL-сертификата

   После того как вы настроили ссылки, установите купленный ранее SSL-сертификат. Инструкции по его установке вы найдете у хостинг-провайдера. Обычно процедура занимает несколько шагов и требует не более 10 минут.

2. Настройка редиректа

   Переиндексация сайта требует времени. Для того чтобы не потерять трафик, следует настроить 301 редирект с HTTP на HTTPS.

   Универсальный и наиболее простой способ сделать это — с помощью файла .htaccess (он находится в корне сайта). Если такого файла нет, создайте его. Для редиректа всех страниц с http:// на https:// (в том числе с http://www на https://) на хостинге Linux пропишите в .htaccess следующие строки:

   RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

   Если это не сработает, пропишите такие команды:

   RewriteEngine On RewriteCond %{HTTPS} =off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

   Если ничего не работает и имеет место циклическая переадресация, воспользуйтесь набором команд:

   RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

   Если и в этом случае редирект не работает, обратитесь за разъяснениями к хостинг-провайдеру.

   Если у вас хостинг на Windows, то необходимо вносить изменения в файл web.config. При переезде основного домена и всех поддоменов код будет иметь такой вид:

   <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <rewrite> <rules> <rule name="Redirect to https" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" ignoreCase="true" /> </conditions> <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" /> </rule> </rules> </rewrite> </system.webServer> </configuration>

3. Указание поисковикам на главное зеркало сайта

   Раньше для Яндекса необходимо было в файле robots.txt изменять директиву Host. Но эта директива больше не поддерживается, и достаточно 301 редиректа, чтобы поисковик понял, что сайт переехал.

   Для ускорения переиндексации и минимизации просадки трафика рекомендуется в разделе Яндекс.Вебмастера «Индексирование» / «Переезд сайта» выбрать сайт, который переезжает, установить флажок напротив «Добавить HTTPS» и нажать «Сохранить».

   Рис. 12. Добавление сайта на переиндексацию в Яндекс.Вебмастере

   Просадка трафика и потеря позиций в этом случае маловероятна. Однако даже если и случится, то будет носить временный характер и не сильно повлияет на общую картину продвижения.

   Совет! Рекомендуем выполнять переезд в низкий сезон (если он есть), чтобы временная потеря позиций и трафика не сказались на доходе.

   Для того чтобы указать Google на наличие новой версии сайта, 301 редиректа достаточно. Добавьте в Google Search Console версию сайта с HTTPS, и Google начнет автоматически индексировать именно ее.

   Теперь обновите в панелях для вебмастеров путь к XML карте сайта (должен быть https://site.ru/sitemap.xml). Как это сделать:

   • Яндекс.Вебмастер: «Индексирование» / «Файлы Sitemap» / Ввести ссылку на карту сайта в поле «Добавить файл Sitemap»;
   • Google Search Console: «Сканирование» / Файлы Sitemap / Кнопка «Добавление / проверка файла Sitemap».

   Убедитесь, что:

   • в теге link с атрибутом rel="canonical" указано безопасное соединение с HTTPS;
   • в теге link с атрибутом rel="alternate" (для мультиязычной версии сайта) тоже указано безопасное соединение с HTTPS;
   • на сайте нет битых ссылок (проверка — Xenu’s Link Sleuth, validator.w3.org/checklink).

4. Проверка SSL-сертификата

   Если все сделано верно, при проверке с помощью сервиса SSLLabs не возникнет ошибок. Если же что-то не так с сертификатом, об этом уведомят сообщения с расшифровкой.

   Рис. 13. Результат проверки сайта в сервисе SSLLabs

   При открытии сайта в браузере должен быть изображен «замочек» и зеленая строка, без предупреждений о небезопасном соединении. Если после установки браузер выдает предупреждение, скорее всего, проблема в том, что отдельные ресурсы подгружаются через HTTP. В этом случае необходимо еще раз перепроверить скрипты, изображения, видео и прочие ресурсы.

• У меня сайт на HTTP, и все устраивает. Зачем мне HTTPS?
  Поисковые системы уделяют все больше внимания безопасности передачи данных. В ТОП-10 стабильно стоит более 50% сайтов с HTTPS, а по высокочастотникам — более 60%. Через год-другой их доля будет близка к 100%. Чтобы не потерять преимущество перед конкурентами, нужно поспешить в переходом на HTTP.
• Я понимаю, что HTTPS нужен интернет-магазинам и сервисам, использующим личные данные. Но у меня элементарный сайт-визитка — что мне шифровать?
  История посещения сайтов — это тоже конфиденциальная информация, которая может быть использована злоумышленниками. Кроме того, не забывайте, что браузеры помечают результаты на HTTP как небезопасные. Это не добавит доверия вашему сайту, даже если это простая визитка.
• Переезд на HTTPS приводит к просадке трафика?
  Да, это может случиться. Но если все сделать согласно инструкции, то просадка будет минимальной и, как правило, трафик после этого немного вырастет. Рекомендуется переезжать на HTTPS в низкий сезон — тогда будет время полностью восстановить позиции к моменту роста спроса.
• Мой сайт подгружает массу ресурсов и скриптов по HTTP, из-за чего они будут блокироваться после переезда на HTTPS.
  Все серьезные поставщики ресурсов, заслуживающие доверия, давно перешли на HTTPS. Откажитесь от сотрудничества с небезопасными площадками или, если это невозможно, поменяйте ссылки с абсолютных на относительные. Кроме того, проблема решается переносом контента на собственный сервер (например, изображений).
• HTTPS замедляет работу сайта?
  Да, шифрование требует определенных ресурсов. Но их объем настолько мал, что загрузка сервера минимальная. Эта проблема не новая. Еще в 2010 году Google опубликовал исследование, согласно которому сайты на SSL/TLS протоколах создают менее 1% нагрузки на CPU, требуют менее 10 Кб на соединение и менее 2% загрузки сети. Простым языком — загрузка сервера протоколами HTTPS ничтожно мала.
• Могу ли я перенести часть сайта на HTTPS (например, страницы личного кабинета и оплаты)?
  Да, можете, и раньше вебмастера часто так делали. Но для обеспечения полноценной защиты соединения и получения выгод в плане роста позиций в поиске рекомендуется переводить на HTTPS весь сайт.
• HTTPS не гарантирует защиты сайта от взлома?
  HTTPS обеспечивает только безопасность передачи данных. Защита базы данных и файлов сайта достигается другими способами.