Не секрет, что представители Google говорили, что будут понижать в выдаче сайты, которые не используют HTTPS.
Причем, в сообщении говориться, что:
- это касается сайтов
- которые собирают данные
- на которых пользователи делают какие то действия, оплату, регистрацию
Но, слова о том, что это необходимо информационным сайтам – не было.
Не в этом суть.
Сегодняшняя статья о том, почему вас все равно придется поставить HTTPS, если вы не хотите терять поисковый трафик уже сегодня.
Мы неверное последние, кто был против того, чтобы ставить https на сотни информационных сайтов. Которые кроме того, что отправляют пользователя по партнерским ссылкам, не собирают никакие данные.
Но реальность оказалась совсем другая.
1. Google Chrome и мобильные устройства
Если на сайте нету HTTPS, то пользователь, который переходит с выдачи, или просто вводит url в хроме – не попадет на сайт!
Так выглядит это:
Самое интересное, что нет вариантов зайти без https. Просто не защищенное соединение.
Как следствие, если у вас большой трафик с мобильных устройств, то нужно ставить в любом случае. Трафик теряется уже.
2. Новые письма счастья от Google по поводу HTTPS
Много кому начиная с 20-го января пришли новые письма счастья в Google Search Console по поводу HTTPS:
Письмо выглядит таким образом:
Даже, если сейчас письмо не пришло, трафик не просел. То основной посыл от Google:
“В будущем мы планируем помечать любые страницы, не использующие протокол HTTPS, как небезопасные”.
Поживем и увидим. Но, думаю в данном случае нужно ставить HTTPS на проект и чем быстрее сайт нормально склеиться, тем лучше.
3. Как поставить HTTPS?
Ранее мы уже публиковали статью о https.
Что нужно:
- купить сертификат
- далее нормально настроить
Основным критерием настройки является проверка.
В том чтобы нормально https нет ничего сложного.
4. Данные в сертификате
Перед тем, как ставить одинаковые данные на все домены, советую сначала подумать.
По сути:
- это как сателлиты
- или как 3-4 сайта одного владельца в топе по ВЧ запросам
В данном случае такая же технология, как и с доменами. Только:
- whos is тут скрыть нельзя
- и основная информация доступна
Давайте разберемся, какая информация отображается в сертификате:
Как следствие, для безопасности, лучше регистрировать на разные данные.
Из нашего опыта:
- разные данные
- разные продавцы ssl
Тогда беспокоиться не о чем и все должно быть нормально.
5. Хорошо это или плохо?
Если смотреть в целом, то вебмастерам и владельцам сайтов не остается выбора.
Было бы хорошо:
- если сайт действительно не собирает информацию
- там нет личного кабинета, возможности логиниться
- не приходили такие сообщения и такое обходило стороной
Но, если читать между строк. То веб будет более защищенный, но все таки придется ставить https на сайты. Особенно, если они генерируют хороший трафик и доля мобильного трафика ощутима.
Трафик то из Google. А браузер Chrome (тоже Гугл) стремительно вытесняет все остальные варианты.
Как следствие, особо вариантов не много.
5. Как перейти на HTTPS и не потерять поисковый трафик
У нас почти нету конфиденциальных данных и пока нету авторизованных пользователелей, но мы перешли на HTTPS. И вот почему:
- Поисковые системы стимулируют к переходу: https используется как сигнал в поисковом ранжировании;
- Доверие пользователей повышается;
- Появились бесплатные сертификаты от инициативы letsencrypt.org (наш выбор), CACert (на момент публикации выдавал ошибку Your connection is not private), StartSSL;
Основной страх перехода с HTTP на HTTPS — стать невидимкой для Google Analytics чужих сайтов и потерять поисковый трафик. Система аналитики не распознает переход с вашего https-сайта на обычный http и отнесёт его к прямому. Проблему решит мета-тег «referrer». Его нужно использовать, чтобы системе аналитики было видно, с какого защищённого сайта был переход. Есть несколько способов составления тега:
- None: Никогда не передает реферальные данные:
<meta name="referrer" content="none"> - None When Downgrade: Передает реферальные данные сайтам на HTTPS, в то время, как сайтам на HTTP данные не передаются.
<meta name="referrer" content="none-when-downgrade"> - Origin Only: Передает данные о хостах и поддоменах.
<meta name="referrer" content="origin"> - Origin When Cross-Origin: Передает полные данные о URL в случаях, когда настройка произведена по схеме №3 вне зависимости от того, какой протокол использует сайт HTTP или HTTPS.
<meta name="referrer" content="origin-when-crossorigin"> - Unsafe URL: Всегда передает полный URL реферера. Важно понимать, что данная настройка является наименее безопасной. Часть незашифрованных данных может быть передана. По умолчанию фрагменты URL , имя пользователя и пароли автоматически исключаются из URL-а.
<meta name="referrer" content="unsafe-url">
Смена протокола нужнa особенно для сайтов, которые содержат информацию для перехвата (интернет-магазины, платные онлайн курсы, сервисы с конфиденциальными данными пользователей). Такой протокол как HTTP не предоставляет защиту информации на сайте: соединение можно перехватить, и оно является небезопасным. HTTPS соединение зашифровано и безопаснее, и возможность перехвата информации блокируется.
Покупка SSL сертификата
Для того, чтобы перейти на безопасный протокол, в первую очередь необходимо установить SSL сертификат. Необходимо определиться, какой вид сертификата нужен. Классифицировать SSL сертификаты можно по степени защиты:
- Domain Validation. Наиболее распространенный сертификат. Выдается на один домен, и если вы решите сменить доменное имя, придется оплачивать заново. Цена — от $10 до $30 в год.
- Organization Validation. Подтверждает домен и организацию. Могут проверить информацию в прессе, свидетельство о государственной регистрации. Цена — от $40 до $200 в год.
- Extended Validation. Сертификат с расширенной проверкой — для его получения проверяется наличие компании по адресу, свидетельство о регистрации, операционная деятельность, торговая марка. Все для того, чтобы получить зеленую строку в адресной строке браузера. Цена — от $120 до $300 в год.
А также по функциональности:
- обычные SSL-сертификаты;
- Wildcard сертификаты — используйте, если хотите установить HTTPS и на поддоменах;
- SAN сертификаты — используется для нескольких доменов;
Подготовка к переходу на HTTPS
Подготовка смены протокола начинается с замены абсолютных внутренних ссылок на сайте на относительные. Кроме того, заменяются также адреса скриптов, картинок, видео и кодов ремаркетинга на относительные с доменным именем, но без протокола HTTP.
Например:
http:/ /mysite.ru/internet-marketing/mobile-friendly-email/Если источник имеет HTTPS версию, вы можете просто заменить ссылки на соответствующий контент. Это будет актуально для крупных компаний — Google, Яндекс, Facebook, Вконтакте. Остальные картинки мы рекомендуем загрузить на свой сервер и открывать их по защищенному протоколу. Это поможет в дальнейшем избежать ошибки со смешанным содержимым.
→
/internet-marketing/mobile-friendly-email/
Кроме того, все внешние скрипты, например, библиотеки javascript и jQuery, а также скрипты сервисов Яндекса (например, Метрика и Директ), а также Google AdWords и Analytics следует открывать через относительные URL-адреса.
Переход на HTTPS
Тест работы вручную
Тестируем работу в разных браузерах. Нужно посмотреть на цвет замочка во время просмотра сайта: зелёный или серый. Определить, нет ли ошибок в консоли о том, что часть элементов загрузилась небезопасно.
Поправьте картинки, скрипты, где инструмент https://www.jitbit.com/sslcheck/ нашел, просматриваем вручную в Mozilla Firefox, ищем поломанный замочек.
Перегенерируйте sitemap.xml, чтобы он содержал ссылки на https-версии страниц и добавьте сайт в версии https в webmaster-панели Google и Яндекс.
Настройка 301-го редиректа с HTTP на HTTPS
Следующий шаг — настройка переадресации каждой HTTP-страницы на соответствующую ей HTTPS-страницу.
Эта процедура соответствует переносу сайта на другой домен. Переадресация должна быть прямой и не включать промежуточных документов, иначе образуются цепочки редиректов, которые только запутают поисковых роботов и негативно повлияют ранжирование.
Вы можете осуществить переадресацию с HTTP на HTTPS с помощью .htaccess, если ваш сайт размещен на сервере Apache. Если ваш сайт создан на каком-либо языке программирования, настроить переадресацию можно прямо в коде сайта.
В файле robots.txt замените строку host для Яндекса, прописав в ней не просто доменное имя, а доменное имя вместе с https.
Сообщите поисковым системам о переходе на HTTPS
- Убедитесь, что все теги “rel=canonical” в HTML-коде указывают на страницы с HTTPS
- Обновите URL-адрес вашего сайта в социальных сетях и в системах отслеживания трафика, таких как Google Analytics и Yandex Metrika
- Создайте новую запись для ресурсов с HTTPS в Google Webmaster Tools и Яндекс.Вебмастер. Помните, что эти сервисы рассматривают версии сайта с HTTP и HTTPS как два разных ресурса. В вебмастере Яндекса нужно также выбрать, в инструменте Переезд, что теперь сайт по https:// работает
- По возможности обновите важные внешние ссылки на ваш веб-сайт, чтобы они вели на URL-адрес с HTTPS
- Убедитесь, что поисковые системы могут индексировать и предоставлять содержимое вашего ресурса по новому URL-адресу
- Ежедневно отслеживайте сайт с HTTPS в Google Webmaster Tools и в Google Analytics, чтобы предупредить возможные проблемы с индексацией и загрузкой вашего сайта
Результат
301-й редирект передает, по слухам, от 85 до 99% веса ссылки, поэтому переход с HTTP на HTTPS может вызвать колебания в объемах трафика и в позициях сайта. Падение трафика также может быть обусловлено тем, что будут слабеть внешние ссылки, которые ранее вели на HTTP версию вашего ресурса.
При правильных работах позиции и трафик восстанавливаются уже через несколько месяцев после того, как перешли с HTTP на HTTPS.
У самого руки так и не дошли, как вы заметили, но планирую.
Новые интернет-магазины ставлю на https изначально. Так как даже Яндекс касса без этого сейчас не принимает платежи.
