Как перейти на HTTPS не потеряв трафик и ранжирование в Google

Проблема защиты персональных данных возникла не вчера. В 2010-11 годах ряд незащищенных ресурсов подверглись серьёзной хакерской атаке. В течение текущего года все федеральные сайты Соединенных Штатов должны будут перейти на протокол HTTPS. А Mozilla Firefox в скором времени перестанет в браузере поддерживать НТТР. Не трудно догадаться, что вскоре ожидается ажиотаж вокруг переходов на HTTPS. К тому же Гугл обещает преференции защищенным ресурсам, считая этот фактор одним из основных при осуществлении ранжирования.

Согласно исследованиям  Moz.com в 2016 году треть сайтов, находящихся в ТОП-10, используют HTTPS:

Что такое HTTPS (Secure HyperText Transfer Protocol) 

Протокол HTTPS, то есть «безопасный HTTP», был разработан для авторизации и защищенных транзакциях. Во многих отношениях HTTPS идентичен HTTP.  Однако HTTPS обеспечивает дополнительный уровень защиты, поскольку применяет криптографический протокол SSL при обмене данными. 

С технической точки зрения HTTPS по умолчанию используется 443 TCP-порт, т.е. протоколы HTTP и HTTPS используют два разных порта для коммуникации. 

HTTPS работает совместно с криптографическим протоколом Secure Sockets Layer (SSL). Вместе они обеспечивают надежную передачу данных, и именно это отличие от HTTP учитывает Google.  По сути HTTPS — это HTTP, обернутый в SSL.

Какие бывают сертификаты SSL

И так, что бы наш сайт заработал по https нам необходимо иметь SSL сертификат, который устанавливается на сервер и привязывается к домену. Мы заказывали сертификат через нашего провайдера Timeweb. Сертификационный сервис COMODO  выдавал нам сертификат
Через Tiemweb можно заказать следующие виды сертификатов:

1. Positive SSL - удостоверяет только домен, устанавливается только на домен или поддомен, имеет упрощенную процедуру проверки при выпуске. Совместимость практически со всеми браузерами. Обеспечивает 128 или 256-битное шифрование. После окончания срока действия можно продлить в течение 30-ти дней 

2. Positive SSL Wildcard - устанавливается на один домен и все поддомены этого домена, имеет упрощенную процедуру проверки при выпуске. Совместимость практически со всеми браузерами Выдается в течение 2-х дней. Обеспечивает 128 или 256-битное шифрование. После окончания срока действия можно продлить в течение 30-ти дней. 

Стоимость сертификатов: 
Positive SSL - 2000 руб. в год. 
Positive SSL Wildcard - 13000 руб. в год.

Вместе с SLS сертификатом предоставляют выделенный IP адрес, приятный бонус. 
Обратите внимание на запись "имеет упрощенную процедуру проверки при выпуске" - это означает, что при выпуске сертификата Вам нужно подтвердить только e-mail. 

Через Timeweb возможно приобрести сертификаты, которые подтверждают только доменное имя (Domain Validation — DV). При заказе данного типа сертификатов проверка информации об организации не проводится и никакая информация об организации в сертификате не отображается. Отображение установленного сертификата будет только в виде зеленого замка и протокола безопасности https://. 


если Вы хотите, что бы в строке браузера выводилось имя организации, то нужно заказывать сертификат типа EV SSL

Соответственно нужно будет готовить перечень документов для проверки организации. Для себя решили пока год пожить с сертификатом начального уровня, а дальше посмотрим.

Как подготовить сайт к переменам

Необходимо провести ревизию своего ресурса, и сделать это следует до перехода на защищенное соединение. В противном случае могут возникнуть некоторые технические проблемы.

1. Ссылки внутренней перелинковки, необходимо поменять абсолютные на относительные ссылки. Есть два типа относительных ссылок, с указанием протокола и без указания:
• ссылки типа    https://www.atrix-media.ru/about/ —называют абсолютными, а ссылки типа /about/ — относительными без указания протокола и домена сайта. Но есть еще один тип относительных ссылок, когда указан домен а протокол подставляется браузером автоматически  //www.atrix-media.ru/about/ — относительная с указанием домена, но без указания протокола.
Для себя мы решили везде использовать относительные ссылки без указания домена типа /about/  исключив протокол и убрав домен из ссылки, мы получим результат, при котором, вне зависимости от типа протокола, будет происходить нужная нам переадресация. Эти перемены должны коснуться только внутренних ссылок. 


2. Корректируем медиа-контент. Под медиа-контентом мы подразумеваем презентации, различную видео-информацию и картинки. Нужно проверить протокол, по которому осуществляется запрос этого контента. Своевременный перевод его на относительные адреса позволит медиа-контенту и после перехода подгружаться с защищенных ресурсов. В том, что мы действительно добились нужного результата, необходимо убедиться.

Если местом хранения изображений является сам переводимый сайт, для них достаточно использовать относительные адреса. Если же они подгружаются из внешних источников, которыми могут являться прочие ресурсы или CDN, удостоверьтесь, что они находятся под защитой. В противном случае придется выполнять их замену или перенести на свой сервер, открывая в дальнейшем по защищенному протоколу.


Что касается таких известных сервисов, как YouTube или виджеты популярных социальных сетей, то поддержка ими защищенного протокола осуществляется уже давно, поэтому от них неприятностей ожидать не стоит. Речь идет о менее востребованных пользователями источников. Медиа-контент, находящийся на их страницах, в связи со сменой протокола может перестать работать или отображаться.


3. Подключение внешних скриптов. Внешние скрипты тоже следует перевести на относительные URL. Чтобы этого достичь, в коде нужно просто убрать «http:», ничего не введя взамен. Эта перемена должна коснуться скриптов Яндекс.Директ, Яндекс. Метрика, Google Analytics и т.д. Как с медиа-контентом, проблемы бывают только в отношении не слишком популярных сервисов. В число таких зон риска вошел, например, ПриватБанк. Он всё ещё использует устаревшей вариант соединение.

Эту работу нельзя отнести к числу сложных, но она отнимает достаточно много времени. Иногда именно стоимость подготовки и является основной затратной частью некоторых проектов, тогда как расходы других владельцев сайтов складываются в основном из затрат на приобретение SSL-сертификата и оплаты услуг программиста. 

Как найти все абсолютные ссылки

Если честно у меня в жилах стыла кровь от того как выискивать все абсолютные ссылки и перевести их на относительные. Прекрасно понимая, что проекту жу не один день и в тексте ставились абсолютные ссылки это внушало просто ужас. Но мы нашли решение, что бы не рыскать по всем страницам, мы перевели сайт на протокол https с абсолютными ссылками и затем уже с помощью программы Screaming Frog (стоимость примерно 200$) про сканировали свой сайт  и нашли все абсолютные URL. Далее оставалось только дать задание на правку ссылок на нужных страницах. 

 

Переходим к настройке ресурса.

Настройка сайта – непростая стадия, поэтому расслабляться ещё рано. 

Прописываем директиву  Host в robots.txt

Для сохранности трафика необходимо в поиске оставить всего один сайт. Сейчас сайт доступен по двум протоколам: один на http и ещё один - на https. Так их видят роботы поисковиков. Надо, чтобы роботы Яндекс и Google знали, что теперь главное - это зеркало с HTTPS. 

Для этого и пропишем директиву Host в robots.txt.
Например: Host: https://www.atrix-media.ru

Установка редиректа с http на https

При переходе на защищенный протокол трафик из Google и Яндекса немного просел, но через неделю все восстановилось. Чтобы эта операция прошла гладко, можно обратиться в техническую поддержку своего хостера. У Timeweb есть настройка в панели управления для редиректа на https

При включении данной настройки начал ругаться Битрикс


В конечном итоге наигравшись в доволь с настройками панели, мы все отключили и настроили через htaccess 

  RewriteEngine On

  # редирект host.ru -> www.host.ru 
  RewriteCond %{HTTP_HOST} !^www\.  
  RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [L,R=301] 
  
  RewriteCond %{HTTP:X-HTTPS} !1
  RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Это код реализовал 301 редирект с
http://www.atrix-media.ru на https://www.atrix-media.ru
http://atrix-media.ru на https://www.atrix-media.ru
https://atrix-media.ru на https://www.atrix-media.ru

Постинг в социальные сети

На нашем сайте установлен скрипт Яндекс "Поделиться" который позволяет делать перепосты в социальные сети. Мы внедрили на сайте специальные теги для социальных сетей и постинг до внедрения https работал отлично, но после внедрения при проверке через debuger facebook стала появляться ошибка:


Благодаря подсказке технической поддержке Timeweb мы удалили для домена АААА-запись, для исключения проблем с подключением из ipv6 сетей. и после обновления информации на dns-серверах проблема решена.

Вносим изменения Я.Вебмастер и Google Search Consol

На этой стадии выполнения работ важна оперативность: нельзя допускать неоправданной потери трафика. Воспользуемся панелью для вебмастеров, чтобы сообщить поисковикам о проделанной работе.

Порядок работы таков:

• Добавляем  https-версию ресурса в Яндекс Вебмастер и Google Search Consol как новый сайт. 
  
• В Яндекс.Вебмастер отправляем заявку на замену протокола - инструмент «Переезд сайта» нового Яндекс. Вебмастер.

Результат переноса на hptts

Пройдет немного времени, и поисковики примут полученные сведения во внимание. У нас это заняло две недели. Была небольшая просадка трафика, но сейчас все в порядке. Мы переодически смотрим в сервисы для Вебмастеров на наличие проблем, но пока все хорошо. Перенос на https оказался сложным и долгим, но главное в том, что ресурс и данные всех его пользователей теперь защищены. А тот факт, что безопасный протокол положительно скажется на ранжировании ресурса, будет достойной наградой за затраченные усилия.

P.S. Для Битрикса нужно еще добавить строкув файл /bitrix/php_interface/dbconn.php

$_SERVER["HTTPS"] = "On";

Рекомендации от Google https://support.google.com/webmasters/answer/6073543?hl=ru