0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Переход сайта с HTTP на HTTPS: что нужно знать

Содержание

Переход сайта с HTTP на HTTPS: что нужно знать

О важности перехода на https-протокол говорят давно. Но если раньше этот вопрос был критичным для отдельных сфер бизнеса (например, платежных сервисов), то сегодня он распространяется на все большее количество веб-ресурсов. Связано это с ужесточением требований к безопасности в сети, о которых мы сегодня поговорим детально. Также в этой статье мы разберемся, как сделать переход с http на https безболезненным и быстрым, рассмотрим все нюансы и детали этой процедуры.

Как до 2017 года отличали надёжные сайты от ненадёжных

Отличительные знаки при переходе на разные сайты в браузере были и раньше. Просто не все обращали на них внимание.

На сайте с SSL-сертификатом в адресной строке браузера был только значок замка. Вот как это выглядело в популярных браузерах:

На сайте без SSL-сертификата не появлялось предупреждений, хотя на них небезопасно вводить личную информацию. Выглядят эти сайты вот так:

На сайте с неправильно установленным SSL-сертификатом в Firefox появлялось предупреждение: замочек с желтым треугольником. В других браузерах сайт выглядит безопасно. Но если вы оставите на нём личные данные, их всё равно смогут перехватить.

Иногда пометки помогали определить, есть на сайте сертификат или нет. Но они не давали понять, что на сайтах без SSL-сертификатов опасно оставлять личную информацию: номера банковских карт, пароли, адреса электронной почты и т.д. Первым браузером, который изменил подход к предупреждениям, стал Google Chrome.

1. Зачем переносить сайт на защищенный HTTPS-протокол

Отправная точка — принятие: зачем вообще переезжать на защищённый протокол? Иногда, после многочисленных итераций объяснений причин переезда, так хочется просто сказать — потому что, делайте! Но давайте представим себя студентом, которому очень хочется выслужиться перед комиссией (в нашем случае — собрать трафик), что бы мы тогда сказали?

  1. Наличие защищённого шифрования предотвращает возможность перехвата конфиденциальной информации, оставленной на сайте, для последующего использования мошенниками. А даже если не мошенниками, зачем кому-либо копаться в чужом белье? Поэтому наличие защищённого соединения так критически важно для сайтов, обрабатывающих пользовательскую информацию — почты, номера телефонов, банковские карты etc. Сайт с настроенным HTTPS — это классический частный дом в тихом районе Токио, окна которого не пропускают дневной свет и любознательные носы.
  2. Google любит HTTPS. Для него защищённое шифрование — дочь маминой подруги, которой он с большей вероятностью предложит билеты в VIP-ложу поисковой выдачи.
  3. Яндекс выделяет сайты с защищённым протоколом симпатичным замочком. Как известно: для увеличения CTR все средства хороши.
  4. В браузерной строке, напротив адреса домена, ещё один замочек вещает пользователям о безопасности передачи данных. Это весомый плюс — человеку нравится знать, что конфиденциальная информация не попадёт в третьи руки.

Проверка сайта

После привязки сертификата и веб-сайта, вы можете настроить Web Adaptor на работу с сервером. Вам понадобится открыть страницу настройки Web Adaptor с использованием URL по протоколу HTTPS, например, https://webadaptor.domain.com/arcgis/webadaptor .

После настройки Web Adaptor следует проверить, что SSL работает правильно, сделав HTTPS-запрос к ArcGIS Server Manager, например, https://webadaptor.domain.com/arcgis/manager .

Более подробно о тестировании сайта с SSL см. в инструкциях Microsoft по настройке SSL в IIS.

Настройка сайта для работы по HTTPS

Настройка сайта для работы по HTTPS

Если для работы с сайтом должен использоваться протокол HTTPS, после установки сертификата производится настройка защищенного соединения для всех элементов и страниц сайта.

В первую очередь осуществляется переадресация сайта на защищенный протокол HTTPS. Переадресация с протокола HTTP на протокол HTTPS реализуется добавлением в файл .htaccess следующих директив:

Также производится проверка всех ссылок на сайте на предмет явного использования протокола HTTP. При наличии элементов, открывающихся по небезопасному протоколу, соединение будет считаться недоверенным, и информация об этом отобразится в адресной строке.

Проверить страницы сайта можно с помощью следующего сервиса.

При наличии элементов, доступных только по протоколу HTTP, ссылки на них меняются на относительные (к примеру, вместо http://yourdomain.com/content/pic.jpg в коде страницы ссылка должна иметь вид /content/pic.jpg ), либо явно указывается использование протокола HTTPS (в таком случае ссылка будет иметь вид https://yourdomain.com/content/pic.jpg «).

Также меняются ссылки для элементов, загружаемых с внешних ресурсов. Например, если на сайте используется скрипт, доступный по адресу http://externaldomain.us/scripts/ad.js , эта ссылка должна быть изменена на //externaldomain.us/scripts/ad.js или https://externaldomain.us/scripts/ad.js . Обратите внимание, что сайт, на котором расположен элемент, также должен иметь валидный SSL-сертификат.

Читать еще:  Почему на некоторых сайтах нельзя скопировать текст

Настройка известных CMS для работы по HTTPS

Помимо ссылок, которые явным образом указываются в коде страницы, существуют особенности при переводе различных CMS на защищенный протокол.

Joomla!

В конфигурационном файле (configuration.php) строка public $live_site =»»; заменяется на следующую public $live_site = ‘https://www.yourdomain.com’; где «yourdomain.com» — имя домена. Также вместо строки public $force_ssl = ‘0’; используется: public $force_ssl = ‘2’; .

В Joomla! версии 3.x. перевод сайта на протокол HTTPS может быть осуществлён автоматически в административной панели сайта в разделе Система -> Общие настройки. На вкладке Сервер в поле «Включить SSL» устанавливается значение «Весь сайт«.

В Joomla! 3.x. Русская версия для проверки работы сайта по протоколу HTTPS до указания в файле /public_html/.htaccess рекомендуемых в данной статье директив, можно внести изменения в файл /public_html/libraries/joomla/uri/uri.php, заменив строку if (isset(
[H1toH2]
SERVER[‘HTTPS’]) && !empty(

SERVER[‘HTTPS’]) && (strtolower(

SERVER[‘HTTPS’])!= ‘off’)) на if (isset(

SERVER[‘HTTP_X_FORWARDED_PROTO’]) &&

SERVER[‘HTTP_X_FORWARDED_PROTO’] == ‘https’) .

Обращаем внимание, что указанные действия производятся уже после установки сертификата на домен, иначе они могут привести к неработоспособности сайта.

WordPress

В административной панели WordPress производится смена протокола в адресе сайта. Для этого в разделе «Настройки» > «Общие«, в полях «Адрес WordPress» и «Адрес сайта» протокол «http» меняется на «https».

Для быстрой и удобной настройки SSL можно воспользоваться специальным плагином Really Simple SSL Стоит заметить, что для безопасности сайта все установленные компоненты и плагины необходимо своевременно обновлять.

Bitrix

Работа сайта включается в административной панели сайта с использованием безопасного соединения. Сделать это можно следующим образом: Настройки > Управление масштабированием > Панель управления > Глобальные действия > Включить https.
В новых версиях Bitrix этого не требуется. Достаточно установить редирект на https, прописав директивы в файл .htacсess.

Drupal

В конфигурационном файле (/sites/default/settings.php) добавляется следующая директива $conf[‘https’] = TRUE; Также, для удобства настройки безопасного доступа к авторизованным разделам сайта рекомендуем установить модули «Auth SSL Redirect» и «Secure Login«.

Для расширенной настройки доступа к сайту по защищенному протоколу рекомендуем установить модуль «SSL 1.0.0-ga«, доступный по следующей ссылке. При использовании MODX Revolution для настройки работы сайта по https вносятся следующие изменения в конфигурационный файл core/config/config.inc.php:

После внесения изменений очищается кэш MODX.

Как указать поисковым системам, что сайт является защищенным

Компания Google рассматривает использование HTTPS на сайте в качестве фактора ранжирования. Для корректного индексирования сайта по протоколу HTTPS компания Google рекомендует соблюдать следующие правила:

Используйте относительные URL для ресурсов, которые находятся на одном защищенном домене.
Например, для перехода на страницу на вашем сайте example.com, использовать a href=»/about/ourCompany.php» предпочтительнее, чем a href=»https://example.com/about/ourCompany.php» . Это гарантирует, что ваши ссылки и ресурсы всегда будут использовать HTTPS. За счет этого также уменьшается вероятность ошибок в локальном развитии сайта, так как изображения, страницы и другие ресурсы загружаются из локальной среды разработки, а не из производственной среды.

Используйте схожие по протоколам URL-адреса для всех остальных доменов (например //petstore.example.com/dogs/biscuits.php ), или обновите ссылки своего сайта для перехода непосредственно на ресурс HTTPS.

Конструктор сайтов настройка протокола HTTPS

Изменения делаются в кострукторе сайтов, значок Настройки -> Настройки -> галочка в поле «Публикация с принудительным HTTPS» и нажать кнопку «сохранить».

Важно.
Следует понимать, что включение шифрования SSL без сертификата приведет к некорректной работе сайта..

Не нашли ответ на свой вопрос? Позвоните нашим специалистам по бесплатному телефону 8-800-100-16-15.

[/H1toH2]

Как правильно перейти с HTTP на HTTPS

  1. Используйте тестовый сервер. Это важно, поскольку работая на тестовом сервере вы сможете настроить все правильно не поломав ничего на “живом” сайте. После того, как вы пройдете весь процесс перенастройки на тестовом сервере, вы сможете без проблем перенести результат на рабочий сервер.
  2. Проиндексируйте текущий веб-сайт с помощью программы Screaming Frog для того, чтобы знать его текущее состояние и в целях сравнения.
  3. Ознакомьтесь с документацией по HTTPS для вашего типа сервера.
  4. Получите сертификат безопасности и установите его к себе на сервер.
  5. Обновите все внутренние ссылки в контенте сайта. Это можно сделать с помощью поиска-замены в базе данных. Вам необходимо будет обновить все внутренние ссылки используя либо относительные пути, либо пути с HTTPS.
  6. Обновите внутренние ссылки в файлах сайта.
  7. Обновите теги rel=”canonical”. Большинство CMS сделают это автоматически после того, как вы переключитесь на HTTPS, но все же стоит перепроверить.
  8. Обновите все модули/плагины/адд-оны чтобы убедиться, что ничего не поломалось и нигде не осталось незащищенного контента.
  9. Примените настройки специфические для CMS вашего сайта. Для большинства CMS есть хорошо расписанная документация по миграции на HTTPS.
  10. Повторно проиндексируйте ваш сайт с помощью программы Screaming Frog или другой схожей программы, чтобы убедиться, что ничего не сломалось.
  11. Убедитесь, что все внешние скрипты и библиотеки поддерживают HTTPS.
  12. Настройте редиректы через HTTPS. Этот шаг будет зависеть от вашего сервера и его настроек, но он очень хорошо задокументирован для Apache, Nginx and IIS.
  13. Обновите старые редиректы.
  14. Обновите файл sitemap.xml с использованием нового протокола.
  15. Обновите файл robots.txt, включив в него новый sitemap.
  16. Включите HSTS. Эта настройка позволит браузеру всегда использовать HTTPS, что устранит дополнительную проверку на сервере и ускорит загрузку сайта.
  17. Включите OCSP. Эта настройка заставит сервер, а не браузер проверять не аннулирован ли защитный сертификат.
  18. Подключите поддержку HTTP/2.
  19. Добавьте HTTP версию вашего сайта в Веб мастера всех поисковых систем и обновите в них ссылку на sitemap.
  20. Обновите файл отклонения ссылок, если вы использовали таковой.
  21. Обновите настройки параметров URL, если вы использовали какие-либо.
  22. Поздравляю! Вы готовы к релизу.
Читать еще:  Сайт для проверки совместимости комплектующих пк

Однако в большинстве случаев после релиза работа не заканчивается. Если вы предпринимаете определенные активности для продвижения вашего сайта то вам нужно будет обновить URL сайта во всех рекламных кампаниях. Также если у вас есть время и возможность сделать это, можно постараться обновить и URL на площадках, которые ссылаются на ваш сайт.

Очень важной задачей при переносе сайта с http на https является избежание потери трафика из поисковых систем.

HTTPS для малого бизнеса

Зачем нам все это знать, спросите вы? Оно вам может быть и не нужно, если вы сделали сайт для галочки и не планируете заниматься его продвижением. Дело в том, что тренд ведет к приоритетному делению на безопасные сайты и все остальные. И при прочих равных условиях, если сайт вашего конкурента будет работать по защищенному соединению, а ваш нет, то он всегда будет впереди.

Если вы создаете или планируете создать интернет-магазин, то потребность в протоколе https еще более остра, так как имеет место быть регистрация пользователей и передача персональной информации. Тем более, если в планах есть подключение онлайн оплаты заказов через системы эквайринга. Ведь почти у всех систем наличие защищенного соединения это обязательное требование.

Алгоритм самостоятельного перехода на протокол HTTPS

Если сейчас покупка SSL-сертификата обязательна, в первую очередь, для ресурсов, которые хранят пользовательские данные, (если, конечно, они не хотят потерять клиентов), то в перспективе перейти на безопасное шифрование придется всем сайтам. Перенести сайт с http на https можно самостоятельно. Главное, учесть нюансы и делать все последовательно.

Важно понимать, что процедура переноса зависит от архитектуры/CMS, поэтому этот процесс может отличаться в каждом конкретном случае. Мы постарались написать для вас наиболее типовой универсальный алгоритм. Но не забывайте учитывать особенности реализации именно вашего сайта. Так, например, в ряде систем есть расширения/функции, которые значительно упрощают переход на защищенное соединение. Дальше представляем наш алгоритм. Удачи!

1. Выбор и приобретение SSL-сертификата

Чтобы сэкономить время на ожидании сертификата, рекомендуем выбрать и купить его сразу, а потом переходить к подготовке сайта.

Не советуем использовать бесплатные сертификаты. Это небезопасно, так как браузер даже после его установки может выдать ошибку о том, что сайт не проверен. Но решать вам: сейчас можно найти множество различных предложений, в том числе и бесплатных. Иногда хостинг-провайдеры предлагают SSL-сертификаты в подарок за покупку хостинга и домена.

По функциональности сертификаты разделяют на:

Подходят как для физических, так и для юридических лиц. Самый бюджетный вариант.

Его приобретают, если у ресурса есть поддомены.

Этот сертификат можно использовать для нескольких доменов.

С поддержкой IDN.

Необходим для кириллических доменов.

По степени защиты сертификаты делятся на:

Самый распространенный тип. Он выдается только на один домен. Самый бюджетный вариант.

Этот тип подтверждает не только домен, но и организацию. При его покупке у вас могут запросить свидетельство о государственной регистрации.

Это сертификат, выдачу которого осуществят лишь после проверки адреса, свидетельства о регистрации, торговой марки. Покупка сертификата статуса «Extended Validation» позволяет получить зеленую строчку в браузерной строке.

Самый простой способ приобрести SSL-сертификат — обратиться за ним к компании, которая предоставляет хостинг вашему сайту.

Вы можете прочитать подробную инструкцию по покупке SSL-сертификата от Hoster.by.

2. Подготовка сайта

Чтобы избежать возникновения ошибки смешанного содержания «Mixed Content» после смены протокола, мы рекомендуем проверить все ссылки на вашем ресурсе.

Для проверки можно воспользоваться инструментом браузера «Инспектор кода» (вкладка »Безопасность»).

Должно быть так:

Не должно быть так:

Все подключения скриптов (в том числе на внешних ресурсах), изображений и прочих файлов, а также внутренние ссылки должны быть без указания протокола http (то есть или относительными ссылками, или абсолютными ссылками с указанием протокола https, или абсолютными без указания протокола).

Например, вместо такого http://penguin.by/styles/main.css в текстах должно быть или такое /styles/main.css, или такое //penguin.by/styles/main.css.

SEO-специалисты рекомендуют использовать третий тип ссылок (но основной критерий здесь, все же, сохранение работоспособности кода).

Где и как менять ссылки?

На этот вопрос нет универсального ответа. В каждом конкретном случае нужно действовать по-разному. Часть ссылок будут прописаны в исходных кодах вашего сайта (php, html и прочих файлах). Чтобы поменять такие ссылки, вам нужно будет найти все файлы, в которых есть проблема, скачать их с сервера, внести изменения и загрузить обратно через ФТП-соединение. Часть ссылок будут находиться в контенте (например, в тексте статьи на сайте) — такие ссылки можно менять вручную через админку. Обратите внимание, что на этом шаге идет речь только о ссылках типа .. внутри вашего сайта. Если вы замените ссылку на чужой сайт, указав протокол https, а чужой сайт еще не перешел на безопасное соединение, ваши посетители при переходе по данной ссылке обнаружат ошибку.

Иногда внутренних ссылок на сайте очень много и заменить их вручную через админку не представляется возможным. В этом случае вы можете сделать эту операцию автоматически через базу данных одним махом. О том, как заменить ссылки на сайте для перехода на https с помощью phpMyAdmin, читайте в отдельной инструкции.

3. Подключение сертификата

Оплатив сертификат, вам, будут предоставлены файлы, которые нужно установить на хостинге. Процесс установки зависит от вашего сервера, но, как правило, ничего сложного в нем нет. Если у вас не получается сделать это самостоятельно, всегда можно обратиться в службу поддержки хостинга.

Крупнейшие хостинг-провайдеры предоставляют к выдаваемому сертификату инструкцию по их установке. Также мануал можно найти на официальных сайтах. На свой сайт мы установили сертификат, который купили у hoster.by. Вот инструкция по его установке.

После вам нужно проконтролировать правильность установки. Корректность проверяется следующим образом:

Читать еще:  Как запретить доступ к сайту на компьютере

Зайдите на свой сайт по двум протоколам — http и https. И в том, и в другом случае он должен быть доступен;

Проведите анализ с помощью специального сервиса. Например, ssllabs.com.

Если все настроено правильно, то результат будет выглядеть так:

Это значит, что все страницы сайта автоматически станут доступны по двум url-адресам.

4. Сообщение поисковикам о переносе сайта

И Google, и Яндекс воспринимают ресурсы с разными протоколами как разные сайты. Поэтому при установке протокола, как и при переезде ресурса на новый домен, позиции сайта в выдаче поисковика и посещаемость может снизиться. Чтобы минимизировать риски, необходимо правильно настроить сайт после переноса своего сайта на безопасный протокол. Для этого необходимо учитывать рекомендации от Яндекс и Google.

Шаг 1. Сообщение поисковым роботам

После установки сертификата сообщите поисковым роботам, что ваш сайт стал доступен по новому протоколу. Просто добавьте его в список своих сайтов через панели вебмастера. Это поможет снизить потери трафика на ресурс.

Также добавьте сайт с указанием протокола https в Google Search Console.

Яндекс и Google просят подтвердить право собственности на сайт любым удобным способом.

Шаг 2. Выберите адрес главного зеркала в Яндекс.Вебмастере

Далее укажите адрес главного зеркала вашего сайта. Сделать это можно, внеся изменения в файле robots.txt. О том, как добавить директиву Host, читайте в справочной информации поисковика.

Шаг 3. Сообщите роботу об изменении главного зеркала

Сообщите Яндекс-роботу, что у вас изменилось главное зеркало сайта. Для этого зайдите в вебмастер на страницу «Настройки индексирования» и выберите «Переезд сайта».

Шаг 4. Обновите Sitemap в Search Console

Не забудьте обновить XML-карту. Ее можно загрузить в подразделе «Файлы Sitemap» раздела «Сканирование» Search Console.

Шаг 5. Ожидание

Сейчас у вас есть два вариант развития событий:

Ждать, пока поисковик определит https-версию главным зеркалом вашего ресурса. Это может занять от трех дней до целого месяца. Зато, выбрав этот вариант, меньше рисков, что сайт снизит позиции в выдаче.

Принять риски и приступить к следующему шагу.

Шаг 6. Настройка 301 редиректа

Будем считать, что вы дождались, когда хотя бы 90% страниц вашего ресурса уже проиндексировались (или приняли возможные риски, тут уж вам решать). Теперь можно приступить к следующему, последнему шагу — настройке 301 редиректа с неглавного зеркала.

Эта процедура проходит по-разному в зависимости от установленной системы управления содержимым (CMS). Например, Joomla позволяет настроить 301 редирект за пару секунд — вам всего лишь нужно выбрать «Весь сайт» напротив «Включить SSL» в настройках сервера.

Чаще всего процесс перенаправления с http:// на https:// выполняется с помощью кода, который необходимо прописать в файле .htaccess.

Как подключить бесплатный SSL для DLE сайта или особенности перехода на HTTPS

С появление Бесплатных SSL-сертификатов Let’s Encrypt процесс перехода на протокол HTTPS стал совсем простым. Главное — правильный хостинг у которого данная услуга бесплатна. Хотя до недавнего времени подобные действия были разрешены исключительно для виртуальных серверов, и никак не касались обыкновенных виртуальных хостингов.

Свой опыт перевода сайта работающего на DataLife Engine с протокола http на https опишем на примере хостера Инфобокс и домена blogssmartzone.com

0. в настройка своего хостинга активируем подключение сертификата

процедура активации занимает меньше минуты.

теперь всего 4 шага непосредственно с вашим DLE

1. В админке сайта указать протокол https

2. В корневом файле /robots.txt добавить

адрес сайта с HTTPS

3. В админке сайт провести перестроение публикаций.

ВНИМАНИЕ

В документации яндекса по переходу на https четко сказано. Не ставить редиректы до полной склейки зеркал. И оба сайта должны быть доступны и по http и по https. Редирект можно поставить позже уже после склейки, примерно через полтора два месяца.

4. В корневод файле редиректов /.htaccess

а зачем оно нам надо то?

Поддержку защищенного соединения активно продвигает и пропагандирует компания Google. Уже сейчас сайты, не имеющие SSL-сертификата, не могут участвовать в сервисе Google Покупки, не могут размещать рекламу в Google Adwords (если на сайте есть форма заказа или форма регистрации). А с января 2017 года браузер Google Chrome начнет помечать сайты без HTTPS-шифрования как «незащищённые».

Похожие публикации

[recovery mode] Тестирование 15+ виртуальных хостингов для WordPress или как не исчезнуть из индекса Яндекса

Шаг 0: С чего все началось? У меня есть сайт-визитка на WordPress. И в один прекрасный день скорость ответа сервера по нему начала периодически «прыгать» до 2000 мс и выше. Яндекс это заметил. читать далее

Исправление html кода для bb редактора

Если вдруг ваш сайт на DLE случайно поломал отображение верстки в админке, то данная заметка для вас. Как это обычно бывает? В настройках сайта используется по-умолчанию BBcode редактор ля написания. читать далее

Модуль DLE-convert.xfields

Скрипт конвертации формата дополнительного поля новостей для DataLife Engine тип поля: text в новый тип поля: yesorno. читать далее

Sitemap.xml или «Делать было нечего. »

Новогодние праздники 666+666+666+6+6+6-го года в самом разгаре. За серьезные вещи совсем не хочется браться. Зато можно заняться всякими мелочами, до которых обычно не доходят руки. Такой мелочью для. читать далее

Moscow JS Meetup в Badoo

Рады сообщить, что 24-го сентября в Badoo пройдет Moscow JS Meetup. Программа «Что надо знать о HTTP/2», Александр Майоров (Tutu.ru) Протокол HTTP/2 обещает ускорение загрузки страниц и очень активно. читать далее

Спортивный клуб — Самооборона СПб

Разработка сайта для клуба самообороны в отличии от прошлых заказов оказалась совершенно иной. У заказчика уже существовал сайт и наша задача была перевести его на новый движок вместе со всем. читать далее

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector