Миграция HTTP на HTTPS: полное руководство без стресса

1. Что такое HTTPS?
2. Зачем переходить на HTTPS?
3. Прежде чем перейти на HTTPS
4. Проверка рейтинга
5. Выбор правильного варианта развертывания
6. Получение сертификата HTTP
7. SEO соображения и лучшие практики перед развертыванием
8. Предотвращение проблем сканирования и индексации
9. Избавление от ненужных цепочек перенаправления
10. Канонические, альтернативные, Hreflangs
11. Исправление проблем со смешанным контентом
12. Счетчики социальных сетей
13. Готовимся и устойчивы
14. Лучшие практики после развертывания
15. Пусть Google знает, что вы переехали
16. Нижняя линия

Переход к более безопасной сети - это хорошо известная инициатива Google. Время от времени Google находит новый способ побудить владельцев веб-сайтов обеспечить безопасность путем:

Хотя Google подталкивает вас и старается быть максимально полезным, при переключении сайта с HTTP на HTTPS может пойти не так много дел. Недооценка проблемы может привести к катастрофе.

Вы должны планировать каждый шаг и тщательно проверять правильность приземления. Этот пост научит вас лучшим практикам и распространенным подводным камням, которые вам необходимо знать для миграции HTTPS без стресса.

Что такое HTTPS?

HTTPS используется для связи по протоколу передачи гипертекста (HTTP) с буквой «S» в конце, обозначающей «Безопасный». Принимая HTTPS, вы предоставляете своим пользователям три ключевых уровня защиты:

• Аутентификация предотвращает атаки типа «человек посередине» и обеспечивает гарантию того, что вы общаетесь с конкретным веб-сайтом, который был задуман.
• Шифрование обеспечивает конфиденциальность путем шифрования обмениваемых данных. Это гарантирует, что разговоры не будут прослушиваться и информация не будет украдена.
• Целостность данных предотвращает незаметное изменение или повреждение данных во время передачи.

Зачем переходить на HTTPS?

Помимо безопасности как ключевого приоритета, есть еще несколько вещей, которые следует учитывать:

• Частный и безопасный опыт в Интернете - это то, что пользователи ожидают при посещении вашего сайта, а доверие пользователей является действительно ценным активом для бизнеса.
• Некоторые удивительные обновления, такие как HTTP / 2 (которые вы можете извлечь из скорости), поддерживаются только через HTTPS в некоторых браузерах.
• Повышение рейтинга может быть хорошим стимулом, так как Google намекает на усиление сигнала HTTPS в будущем.

На этом этапе вы можете перейти от сомнений к планированию миграции. Вам нужен хорошо продуманный план, чтобы сделать миграцию HTTP безболезненной.

Прежде чем перейти на HTTPS

Сканирование сайта и составление плана

Начальные условия могут различаться: у вас может быть новый 5-страничный веб-сайт, созданный с одной CMS, или огромный веб-сайт с 10+ годами изменений за плечами и несколькими независимыми подразделениями для миграции (для нашей команды это было так). В любом случае, первый шаг - тщательно сканировать ваш сайт в полном объеме. Это поможет вам оценить текущее состояние сайта и визуализировать его структуру.

При этом учитывайте все технологии или CMS, лежащие в основе каждой области вашего веб-сайта, и составьте список всех подразделений, к которым необходимо подходить отдельно. Кроме того, составьте список всех вещей, которые могут сломаться при переносе (это могут быть платежные шлюзы, загружаемые файлы, внешние скрипты, API и другие). Прежде чем начать, вы должны определить наиболее уязвимые объекты для проверки, в первую очередь после миграции.

Проверка рейтинга

Пока Google работает над изменениями, вы неизбежно столкнетесь с некоторой турбулентностью рейтинга. Нет никакого лекарства от этого, но не о чем беспокоиться, так как все должно вернуться в норму в ближайшее время, если все сделано правильно.

Тем не менее, чтобы иметь возможность тщательно проверить воздействие и убедиться, что оно было кратковременным, необходимо иметь некоторую предыграционную историю под рукой. Планируя переход, обязательно проверяйте рейтинг ежедневно в течение недели, чтобы получить полное представление о том, где обычно находится ваш сайт.

Чтобы не гуглить « почему мои рейтинги упали » позже, вы можете сделать еще одну полезную вещь: проверьте все ключевые слова, по которым ваш сайт ранжирует, и сгруппируйте страницы рейтинга по тем областям сайта, которым они принадлежат. Это поможет вам отследить причину в случае какого-либо существенного снижения рейтинга впоследствии, обнаружив проблемную область с первого взгляда.

Выбор правильного варианта развертывания

Как только у вас есть черновой вариант вашего веб-сайта и основной план, вы можете перейти к выбору правильного варианта развертывания.

• Если вы нерешительный человек, вы можете напрямую внедрить изменения в производственную среду. Таким образом, все изменения будут доступны пользователям сразу, но любые пропущенные ошибки будут появляться вместе с ними.
• Более обдуманным шагом является развертывание изменений в среде разработки, а затем, после того как вы перепроверете их, на производственном веб-сайте.
• Самым дорогим и трудоемким вариантом является настройка промежуточной среды для проверки изменений на полнофункциональном «зеркале» вашего веб-сайта перед его объединением с рабочим веб-сайтом.

Вы можете выбрать любой из вариантов в зависимости от сложности и других особенностей вашего сайта, но вы, вероятно, не пожалеете, выбрав последний вариант, если потенциальные ошибки, которые могут появиться, не могут быть подсчитаны на пальцах одной руки.

Самым дорогим и трудоемким вариантом является настройка промежуточной среды для проверки изменений на полнофункциональном «зеркале» вашего веб-сайта перед его объединением с рабочим веб-сайтом. Вы можете выбрать любой из вариантов в зависимости от сложности и других особенностей вашего сайта, но вы, вероятно, не пожалеете, выбрав последний, если потенциальные ошибки, которые могут появиться, не могут быть подсчитаны на пальцах одной руки.

Получение сертификата HTTP

Чтобы включить HTTPS для вашего сайта, вам нужно получить и настроить необходимые сертификаты SSL / TLS на вашем сервере.

Начните с выбора надежного поставщика сертификатов (в идеале тот, который предлагает техническую поддержку). Затем убедитесь, что вы выбрали правильный уровень безопасности: Google рекомендует получить сертификат с 2048-битным ключом или обновить его, если на данный момент у вас есть сертификат с более слабым 1024-битным ключом.

В зависимости от вашего веб-сайта, выберите один (для одного домена), несколько доменов (несколько хорошо известных поддоменов) или групповой сертификат (много динамических поддоменов). Как только вы получите сертификат, убедитесь, что разверните его правильно и настройте, следуя рекомендациям ,

SEO соображения и лучшие практики перед развертыванием

После того, как сертификат развернут, настроен и протестирован ( и, безусловно , работает отлично ), пришло время настроить перенаправления на стороне сервера 301 на HTTPS-версию вашего веб-сайта, чтобы никто (пользователь или бот поисковой системы) не мог попасть на HTTP-страница отныне. После завершения миграции ни одна из страниц или ресурсов не должна быть доступна в обеих версиях, так как это может привести к проблемам с дублированием контента и, в конечном итоге, приведет к сбивающим с толку сигналам для поисковых систем.

После того, как перенаправления осуществлены, идет список вещей, чтобы проверить и исправить соответственно.

Предотвращение проблем сканирования и индексации

Вы хотите, чтобы Google знал, что вы переходите на HTTP. Итак, следующий вы должны:

• Пересмотрите свой robots.txt и убедитесь, что вы не ограничивали свои HTTPS-страницы.
• Проверьте HTTPS-страницы на наличие каких-либо ненужных тегов noindex.

Как только все, кажется, в порядке, проверьте это дважды. На этом этапе было бы разумно сканировать ваш сайт с помощью любого инструмента аудита сайта, который позволяет сканировать от имени робота Google и просматривать ваш сайт, как будто вы Google.

Избавление от ненужных цепочек перенаправления

Ваш веб-сайт, вероятно, уже имеет кучу перенаправлений; по мере миграции и применения HTTPS некоторые из них могут стать ненужными. Если у вас есть страница www, перенаправленная на не-www, а теперь, кроме того, на https не-www, вы можете увидеть, какое звено цепочки может быть удалено для повышения скорости.

Медленное время загрузки из-за чрезмерного перенаправления может привести к тому, что пользователи покинут ваш сайт и повредит вашему рейтингу, поэтому не пренебрегайте этим шагом. Пока вы там, вы также можете проверить, все ли перенаправления ведут на соответствующие страницы.

Канонические, альтернативные, Hreflangs

Вводящие в заблуждение теги являются более потенциальным источником путаницы для Google. Поэтому вы должны быть особенно внимательны с тегами на своих страницах и убедиться, что никто больше не ссылается на HTTP.

После миграции все теги rel = canonical должны указывать на правильные URL-адреса HTTPS. Если на вашем веб-сайте используются теги rel = alternate или hreflang , обо всем этом также следует позаботиться, прежде чем начать работу .

Исправление проблем со смешанным контентом

К настоящему времени у вас есть страницы, загруженные через HTTPS.

Однако предположим, что пользователь посещает страницу HTTPS, на которой есть изображение, сценарий или любой другой вид контента, который извлекается через HTTP. Первоначально предполагалось, что страница является безопасной, но любой незашифрованный ресурс, присутствующий на ней, служит открытой дверью для снифферов и злоумышленников.

Вот что такое смешанный контент. Помимо создания непривлекательного предупреждения в браузере, он может фактически сделать защиту бесполезной.

Как правило, смешанный контент делится на пассивный и активный, в зависимости от воздействия сценария наихудшего случая. В двух словах, изображение или видео ( пассивное ) можно поменять местами или просто сломать; ссылка, сценарий или другие виды активного смешанного содержимого могут позволить злоумышленнику перехватить запрос и перезаписать содержимое или украсть конфиденциальные пользовательские данные.

Чтобы быть в целости и сохранности, вы должны пересмотреть все внутренние ссылки и все ресурсы, на которые опирается ваш веб-сайт, и убедиться, что они ссылаются только на HTTPS. Каждый из следующих ресурсов должен иметь либо абсолютный URL-адрес HTTPS, либо относительный путь:

• Внутренние изображения, видео или аудио
• Веб-шрифты
• Iframes
• Внутренние файлы JS и CSS внутри кода HTML
• Изображения, шрифты и любые другие внутренние URL-адреса внутри файлов JS и CSS
• Открытые графические теги
• Любые ссылки на абсолютные URL-адреса в структурированных данных, используемые на веб-сайте (а также ссылки на Schema.org)
• Любые другие внутренние ссылки

Исправление смешанного контента по всему сайту может быть большой работой. Тем не менее, крайне важно набраться терпения и не упускать из виду какую-то крошечную вещь, поскольку вы совершенно не хотели бы оказаться в ситуации, когда операция прошла успешно, но пациент умер.

Счетчики социальных сетей

На некоторых ваших страницах у вас, вероятно, реализованы кнопки обмена в социальных сетях. На вновь созданных страницах они будут работать просто отлично, но вы, возможно, захотите сохранить социальное доказательство того, что ваши старые страницы заработали в прошлом HTTP.

Следует помнить, что после миграции некоторые счетчики окажутся полностью дружественными к HTTPS, а другие могут обнуляться. Это может заставить вас либо искать элегантный взлом, либо вообще отказаться от старых цифр.

Готовимся и устойчивы

Проверьте все тщательно снова. Просканируйте веб-сайт заново со всеми страницами, ресурсами и ссылками и убедитесь, что ничто не пострадало. Ищите любые страницы или ресурсы, которые могли случайно сломаться или по-прежнему загружаться по HTTP, на наличие ошибочных перенаправлений, которые приводят к URL-адресам HTTP, или просто неправильных страниц.

Наконец, будьте мудры, выбирая время для развертывания изменений. Вы не хотите делать это в первый день вашей ежегодной распродажи или в пятницу вечером. Как только ваш новый сайт заработает, вы должны быть готовы немедленно реагировать на любые ошибки, которые могут появиться.

Лучшие практики после развертывания

Поздравляем, ваш новый HTTPS-сайт заработал с блестящим зеленым замком! Теперь пришло время ознакомиться с основным списком обеспечения качества:

• Повторно просмотрите веб-сайт и убедитесь, что все страницы и ресурсы возвращают 200 успешных кодов состояния и обслуживаются по HTTPS.
• Вернитесь к контрольному списку уязвимостей, сформированному во время подготовки. Проверьте их все внимательно.

Пусть Google знает, что вы переехали

Google рассматривает миграцию HTTPS как перемещение сайта с изменением URL. Итак, теперь вам нужно добавить новое свойство HTTPS в вашу консоль поиска Google. HTTP и HTTPS обрабатываются отдельно и не передают данные.

Затем создайте новую новую карту сайта с URL-адресами HTTPS и отправьте ее в Google.

Наконец, перенесите другие параметры в новое свойство, такие как список параметров URL и файл отключения.

Нижняя линия

Если вы будете следовать этому руководству, вы сможете пометить все эти важные задачи как «выполненные», избегая распространенных ошибок.

Прежде чем перейти к долгожданной части шампанского, просто дайте немного позаботиться. Продолжайте тестирование.

Следите за ошибками и исправляйте их немедленно. Внимательно следите за изменениями, чтобы убедиться, что процесс индексации идет хорошо и трафик / рейтинг возвращаются к норме.

Вы не должны ожидать какого-либо ощутимого повышения рейтинга за счет переключения; тем не менее, если вы пройдете через миграцию без драмы, без ущерба для рейтинга и без резкого падения трафика, вы уже станете чемпионом.

Итак, удачи, и пусть кривая трафика будет стабильной!

Больше на HTTPS:

Кредиты изображений

Избранные изображения и фотографии в постах 1 и 2: DepositPhotos

Изображение 3 в посте автора.