Зачем сайту нужен протокол HTTPS и как настроить его за несколько шагов

Если у сайта все еще нет защищенного протокола, рекомендуем как можно скорее настроить его. Это необходимо по многим причинам – в частности, без HTTPS вы не сможете эффективно продвигать ресурс в поисковых системах. Александр Шестаков, руководитель платформы LinksSape, рассказал, почему важно перейти на протокол HTTPS и как это сделать.

Почему важно перейти на защищенный протокол

Переход на HTTPS – критически важный шаг для безопасной работы с ресурсом и улучшения его позиций в выдаче. Протокол является расширенной версией HTTP и шифрует информацию, которая передается от пользователя серверу и обратно. 

Основные причины для перехода:

1. Безопасность данных – протокол шифрует все данные, передаваемые между браузером пользователя и сервером, что делает их недоступными для третьих лиц. Кроме того, он защищает от атак MITM, когда злоумышленники могут перехватывать и изменять данные, передаваемые через сеть.
2. Улучшение доверия пользователей – Google Chrome, Mozilla Firefox и ряд других браузеров помечают сайты с HTTPS как безопасные для использования. Это повышает доверие пользователей и увеличивает вероятность их взаимодействия с сайтом. А вот остальные ресурсы могут получить оценку небезопасных, что отпугивает посетителей и снижает конверсии.
3. Положительное влияние на ранжирование – поисковики предпочитают сайты с HTTPS, что дает им преимущество при формировании выдачи. В 2014 году Google объявил, что наличие HTTPS непосредственно сказывается на рейтинге сайта. В нишах с высокой конкуренцией каждый нюанс имеет значение – переход на HTTPS может дать сайту небольшое преимущество.
4. Улучшение поведенческих факторов – сайты с HTTPS обычно имеют более низкий показатель отказов, так как пользователи чувствуют себя более уверенно, зная, что их данные защищены. Также это часто приводит к увеличению времени, проводимого на сайте.
5. Совместимость с современными веб-технологиями – протокол HTTP/2, который улучшает производительность сайта за счет параллельной загрузки ресурсов и других оптимизаций, требует использования HTTPS. Мобильные технологии Accelerated Mobile Pages (AMP) и Progressive Web Apps (PWA) также требуют HTTPS для обеспечения безопасности и производительности. 

Выбор сертификата и его установка

Существуют различные SSL-сертификаты для определенных ресурсов и задач. Рассмотрим их отличия:

• Domain Validated (DV) – сертификат подтверждает только доменное имя. Он является самым простым и доступным вариантом, обеспечивающим базовый уровень безопасности. Данный тип отличается быстрой выдачей и низкой стоимостью, хорошо подходит для блогов, личных сайтов и небольших онлайн-проектов, где основное требование – шифрование данных.
• Organization Validated (OV) – подтверждает как доменное имя, так и организацию, которой оно принадлежит. Процесс валидации включает проверку легальности компании. Сертификат имеет средний уровень доверия, предполагает отображение информации об организации. Подходит для корпоративных сайтов, где важно показать пользователям легальность и безопасность.
• Extended Validation (EV) – предоставляет самый высокий уровень безопасности и доверия. Требует строгой проверки компании, однако дает больше всего бонусов. Даже название компании в адресной строке браузера помечается зеленым цветом, когда пользователь наблюдает его в адресной строке. Сертификат имеет высокий уровень доверия и максимальную защиту от фишинга. Подходит для крупных интернет-магазинов, финансовых организаций и других сайтов, где важна максимальная уверенность пользователей в безопасности.

Установка SSL-сертификата включает несколько ключевых шагов, начиная с выбора и покупки сертификата до его активации и настройки на сервере:

1. Покупка – выберите и купите сертификат у заслуживающего доверия поставщика.

2. Создание CSR (Certificate Signing Request) – это файл, который содержит информацию о домене и компании. Он необходим для получения SSL-сертификата. Используйте OpenSSL для создания CSR на вашем сервере, выглядеть он может следующим образом:

3. Активация и проверка – отправьте CSR поставщику SSL-сертификатов для активации, чтобы он провел необходимые проверки. Для OV- и EV-сертификатов процесс может включать телефонные звонки и проверку документов.

4. Установка сертификата на сервер – после получения сертификата установите его на ваш сервер. Так, на сервере Apache код может выглядеть следующим образом:

5. Настройка 301 редиректа с HTTP на HTTPS – настройте постоянный редирект всех запросов с HTTP-страниц на аналогичные HTTPS для обеспечения безопасности и сохранения накопленного ссылочного веса. На сервере Apache редирект может выглядеть так:

6. Обновление ссылок и ресурсов – убедитесь, что все ссылки и ресурсы на вашем сайте (изображения, скрипты, стили) загружаются через HTTPS.

Настройка сайта после перехода на HTTPS

Переход на защищенный протокол требует тщательной проверки и настройки сайта. Нужно удостовериться, что все работает корректно и нет проблем с индексацией или загрузкой контента. Рассмотрим ключевые шаги, которые необходимо выполнить после активации HTTPS.

Поиск ошибок и их исправление

После активации HTTPS важно проверить сайт на наличие ошибок и проблем, связанных с загрузкой контента и ссылками. Есть несколько основных шагов, которые следует выполнить:

1. Проверка работоспособности всех страниц и ссылок – убедитесь, что все страницы сайта доступны через HTTPS, а все внутренние ссылки обновлены на HTTPS. Для проверки можно использовать инструменты Screaming Frog или Ahrefs. Например, запустите сканирование сайта с помощью Screaming Frog, перейдите в раздел «Protocols» и проверьте, какой протокол имеют страницы. Также в разделе «Response Codes» удостоверьтесь в отсутствии ошибок 404 и других проблем.
2. Проверка загружаемого контента (изображения, скрипты, стили) – убедитесь, что все ресурсы (изображения, JavaScript, CSS) загружаются через HTTPS, чтобы избежать смешанного контента, который может стать причиной предупреждений в браузере. Для этого обновите все абсолютные URL-адреса с http:// на https:// или используйте относительные URL-адреса для ресурсов.
3. Применение инструмента SSL Labs – проверьте правильность настройки вашего сертификата и наличие уязвимостей. Перейдите на сайт SSL Labs SSL Test, введите URL сайта и запустите проверку. Анализируйте отчет для выявления проблем и получения рекомендаций.

Обновление информации в инструментах вебмастера

После перехода на HTTPS необходимо обновить информацию о продвигаемом ресурсе – сделать это можно, используя инструменты вебмастера, то есть Google Search Console и Яндекс Вебмастер. Это нужно, чтобы поисковики правильно индексировали новый протокол. 

Рассмотрим, как сделать это на примере Google Search Console: 

1. Нажмите «Add Property» и введите URL сайта с HTTPS.
2. Подтвердите владение сайтом, используя один из предложенных методов (файл HTML, метатег, Google Analytics и т. д.). Если вы уже подтвердили владение HTTP-версией сайта, используйте тот же метод подтверждения и для HTTPS-версии.

Также направьте на индексацию карту сайта:

1. Обновите все URL в файле sitemap.xml на HTTPS.
2. Загрузите обновленный файл карты в корневой каталог сайта.
3. Отправьте обновленную карту на индексацию через инструменты вебмастера.

Кроме того, нужно удостовериться, что файл robots.txt доступен по HTTPS и не запрещает роботам индексировать нужные вам страницы. 

Проверка индексации сайта

Переход на защищенный протокол может временно повлиять на индексацию сайта, поэтому важно убедиться, что все страницы правильно индексируются и не возникает никаких проблем с доступом к ним.

Проверка индексации в Google Search Console:

1. Перейдите в раздел «Coverage» (Покрытие).
2. Проверьте статус индексации страниц вашего сайта.
3. Убедитесь в отсутствии ошибок и предупреждений, связанных с индексацией. В случае обнаружения ошибок проанализируйте причины и примите меры для их исправления.

Проверка индексации в Яндекс Вебмастере:

1. Перейдите в раздел «Индексирование».
2. Проверьте статус индексации страниц сайта.
3. Убедитесь, что все страницы правильно индексируются с помощью функции «Проверка URL».

Мониторинг и поддержание производительности сайта

После перехода на HTTPS важно постоянно следить за производительностью сайта и решать возникающие проблемы. Рассмотрим основные методы и инструменты, которые могут быть полезны для решения этой задачи.

Отслеживание производительности

Мониторинг производительности сайта включает анализ различных метрик:

• Быстрота загрузки страниц.
• Отказы.
• Время на сайте. 

Использование аналитических инструментов помогает выявить проблемы и принимать меры для их устранения.

Google Analytics – предоставляет подробную информацию о поведении пользователей на вашем сайте, включая время загрузки страниц и показатели отказов. Чтобы мониторить показатели с его помощью:

1. Перейдите в раздел «Поведение» > «Скорость сайта» > «Обзор», чтобы увидеть метрики.
2. Анализируйте данные для выявления медленных страниц и их дальнейшей оптимизации.

Google Search Console – помогает отслеживать технические аспекты производительности сайта, такие как скорость индексации и наличие ошибок. Для этого:

1. Перейдите в раздел «Core Web Vitals» (Основные веб-метрики), чтобы увидеть показатели производительности страниц.
2. Анализируйте отчеты, чтобы выявить проблемы и исправить их.

Другие инструменты, например, GTmetrix, Pingdom и WebPageTest, также предоставляют детализированные отчеты о производительности сайта. Проведите тестирование сайта с их помощью для проработки различных факторов, влияющих на производительность.

Потенциальные проблемы и методы их решения

Переход на HTTPS может вызвать некоторые проблемы с производительностью сайта. Рассмотрим основные проблемы, связанные с переходом на защищенный протокол, и методы их решения.

1. Увеличение времени загрузки из-за шифрования данных – HTTPS использует SSL/TLS для шифрования данных, что может увеличить время загрузки страниц. Возможные методы решения:

• Оптимизация изображений – используйте сжатие изображений без потери качества с помощью таких инструментов, как TinyPNG.
• Минимизация CSS и JavaScript – устраните лишние пробелы и комментарии из CSS и JavaScript файлов с помощью инструментов UglifyJS или CSSNano.
• Использование кэширования – настройте кэширование браузера для часто используемых страниц, чтобы сократить время загрузки повторных визитов.

2. Контент разных типов – возникает, если страница загружается через HTTPS, но содержит ресурсы, загружаемые через HTTP. Это может вызвать предупреждения в браузере и снизить доверие пользователей. Решить проблему можно следующим образом:

• Обновите все ссылки на ресурсы с HTTP на HTTPS.
• Используйте относительные URL-адреса для внутренних ссылок и ресурсов. Например, изменение всех ссылок на изображения и скрипты с HTTP на HTTPS может устранить предупреждения о смешанном контенте в браузере.

3. Проблемы с индексацией и SEO – после перехода на HTTPS поисковики могут не включить в индекс часть страниц и контента. Чтобы избежать этой проблемы, попробуйте следующие меры:

• Замените все ссылки в карте сайта на HTTPS и отправьте его на индексацию с помощью инструментов вебмастера.
• Функция «Проверка URL» в консоли Google позволит проверить индексацию отдельных страниц.

Продвинутые настройки безопасности для HTTPS-сайтов

Продвинутые настройки безопасности помогают не только защитить сайт от различных угроз, но и улучшить его SEO-показатели. Рассмотрим, как реализовать политики HTTP Strict Transport Security (HSTS) и Content Security Policy (CSP), а также влияние этих настроек на безопасность и продвижение сайта.

HTTP Strict Transport Security (HSTS) 

Механизм позволяет сайтам сообщать браузерам, что они должны взаимодействовать с ними только через HTTPS. Такое решение предотвращает атаки и многие другие уязвимости, связанные с переходом на защищенный протокол. Браузеры автоматически переходят на HTTPS для всех запросов к вашему сайту.

Откройте конфигурационный файл веб-сервера (например, .htaccess для Apache или nginx.conf для Nginx) и добавьте такую строку:

Вариант для Apache:

Вариант для Nginx:

После перезагрузите сервер для применения изменений.

Content Security Policy (CSP)

Данный механизм помогает предотвратить атаки XSS (межсайтовый скриптинг) и другие уязвимости, определяя источники, с которых браузеру разрешено загружать ресурсы (скрипты, стили, изображения и т.д.). CSP позволяет контролировать, какие ресурсы могут загружаться и выполняться на вашем сайте. 

Для настройки откройте конфигурационный файл вашего веб-сервера и добавьте строку включения CSP.

Вариант для Apache:

Вариант для Nginx:

После чего также перезагрузите сервер.

Подытожим

Сегодня уже невозможно представить качественный ресурс, работающий на незащищенном протоколе. Правильная настройка HTTPS не только помогает защищать сайт и его посетителей, но также обеспечивает дополнительный буст при продвижении ресурса в поисковой выдаче, а проблемы, которые при этом могут возникнуть, легко предупредить, используя рекомендации из статьи.