Работа с SSL – сертификатами:

примеры из практики перевода существующих

сайтов на работу по защищённому протоколу

ЗадачаПеревести сайт rehau-portal.ru на работу по

защищенному протоколу HTTPS.

Почему это важно для сайта?1. С начала 2017-го года браузер Google Chrome будет помечать некоторые сайты без HTTPS как небезопасные и понижать в выдаче поисковых систем.

2. Все сайты, обеспечивающие надежную передачу данных (другими словами, использующие протокол https), могут рассчитывать на дополнительный бонус при ранжировании.

Что такое HTTPS?

HTTPS (от англ. HyperText Transfer Protocol Secure) - расширение http-протокола, поддерживающее шифрование данных и обеспечивающее их защиту от прослушивания и изменений.

Зачем нужен https – протокол ?

1.обеспечивает безопасность обмена информацией между сайтом и

устройством пользователя

2.повышает доверие к сайту и поддерживает его репутацию в глазах

посетителей

3.число сайтов, которые работают по незащищённому http-протоколу

сокращается. HTTPS – становится основным стандартом.

4.В ближайшее HTTPS будет включен в список ранжирующих факторов при

поисковой выдаче Яндекса и Google

Как это работает?Для обеспечения HTTPS используется сертификат, который состоит из открытого и приватного ключа. Первый используется клиентом, другой сервером для шифрования и дешифрования запросов.

Также для повышения безопасности передачи данных используются другие средства защиты, например, идентфикационный номер сессии, параметры шифрования, алгоритм сжатия данных и др.

Типы SSL-сертификатовCертификаты различаются по их происхождению. Здесь всего два варианта.

1.Самоподписанные сертификаты (Self-Signed) — такой сертификат можно сгенерировать самому. Большинство браузеров при заходе на сайт с таким сертификатом не смогут определить этот сертификат как подлинный, поскольку центр сертификации не указан и/или не известен браузеру. 2.Доверительные (Trusted) — такие сертификаты выдаются специальными центрами сертификации. Эти сертификаты официально признаны во всем мире и всегда распознаются веб-браузерами пользователей. Помимо этого, каждый сертификат от центра подкреплен гарантией, представляющей из себя денежную компенсацию в случае его взлома. 

Самые известные центры сертификации: Comodo, Symantec, RapidSSL, GlobalSign, AlphaSSL

SSL-сертификаты - уровниСертификаты отличаются по уровню проверки.

SSL-сертификат – количество защищаемых

доменов1. SSL-сертификат для одного домена — защищает один домен (на

поддомены кроме www его действие не распространяется).2. Мультидоменный SSL-сертификат — защита нескольких доменных

имен одним сертификатом. 3. SSL-сертификат Wildcard — защищает домен и все его поддомены.

Удобно, когда у вас на сайте есть много поддоменов, которые также должны работать по HTTPS. Может быть как с проверкой домена, так и проверкой организации. Также вы можете встретить такие сертификаты, у которых есть дополнительные возможности:

4. SSL-сертификат с опцией IDN — сертификат, поддерживающий национальные домены (например .рф, .рус и т.д.).

Процесс покупки/получения

сертификатаШаг 1: переходим на страницу заказа SSL-сертификатов: https://www.reg.ru/ssl-certificate/

Шаг 2: выбираем тип сертификата, который нам нужен.

Процесс покупки/получения

сертификатаШаг 3: Генерируем CSR-запрос на сертификат. CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

Важно! Файл ключа, который у вас получится при генерации CSR-запроса, нужно обязательно сохранить, он вам еще понадобится.

Процесс покупки/получения

сертификатаШаг 4: заполняем анкетные данные сертификата (на англ. языке), оплачиваем услугу любым удобным способом.Шаг 5: подтверждаем владение доменом. Для этого вам понадобится email-ящик в зоне вашего домена. Туда будет отправлено письмо, в котором надо кликнуть по ссылке или скопировать код, который нужно ввести на странице центра сертификации.

Важно! это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата.

Процесс покупки/получения

сертификата

Письмо подтверждения выглядит следующим образом:

При необходимости можно повторить отправку письма подтверждения SSL сертификата:

Процесс покупки/получения

сертификата

Процесс покупки/получения

сертификатаШаг 6: дожидаемся выпуска сертификата и скачиваем его с сайта сертификационного центра или сайта партнёра.Шаг 7: устанавливаем сертификат на хостинг, где размещается сайт, используя файл(ы) сертификата и файл-ключа, который вы получили на Шаге 3.

Предварительная подготовка сайта к переходу на HTTPS

1. Изменяем все ссылки на страницы сайта (и элементы страниц), для которые устанавливается защищенное соединение.

2. Весь контент сайта должен также подгружаться по протоколу https, в том числе внешние модули, фото и скрипты. Если этого не сделать, то браузер будет считать, что на странице есть небезопасный контент и не покажет зеленого значка в строке браузера, даже при том, что страница будет загружена по https.

Самая распространенная ошибка – размещение на сайте, который работает по https: не только защищенного, но и обычного содержания. В таких случаях один или несколько элементов (обычно изображения, скрипты, файлы Flash или CSS) загружаются на странице https: с использованием незащищенного внешнего URL, начинающегося с http://. Список незащищенных элементов на страницах со смешанным содержанием можно найти в консоли JavaScript (в некоторых браузерах она может называться отладчиком JavaScript) , либо в инструментах разработчика браузера.

Подготовка сайта к переходу на

HTTPS3. Убеждаемся, что на сайте все ссылки ведут на страницы, доступные по защищенному протоколу либо имеют относительный протокол.

4. Проверяем и исправляем все ссылки, в том числе на графику, внешние скрипты: виджеты, консультанты и прочие внешние сервисы (интеграция с AmoCRM и API Яндекс.Карты).

Переход сайта на HTTPS4. Убедитесь, что SSL-сертификат настроен корректно. Сделать

подробный анализ конфигурации SSL можно с помощью этого сервиса: https://www.ssllabs.com/ssltest/analyze.html

Вот так будет выглядеть результат, если все хорошо:

Переход сайта на HTTPS5. Проверяем версию сайта с https – она должна быть доступна и работать без ошибок. При этом версия с http также должна быть доступна. Файл robots.txt должен быть одинаков для обеих версий.

Важно! Ранее рекомендовалось использование параллельно двух файлов robots.txt и временное закрытие https-версии сайта от индексации Google на время переклейки в Яндекс. Сейчас это не требуется. Был протестирован и утверждён вариант без закрытия от индексации в Google. Это обусловлено тем, Google при доступности обеих версий сайта по умолчанию начинает показывать https-версию в выдаче, а Яндекс только – после переиндексации.

В robotsюtxt должна содержаться строчка:Host: https://www.адрес-сайта.ru/Эта строчка означает, что главным зеркалом является https-версия сайта.

Переход сайта на HTTPS6. Добавляем сайт в Вебмастер Яндекса обе версии сайта: http и https. Указываем в Вебмастере Яндекса в разделе «Настройка индексирования – Переезд сайта» предпочтительный протокол.

Переход сайта на HTTPS7. Добавляем сайт в Google Search Console с протоколом https и подтверждаем права.

В декабре 2015 года Google объявил, что с этого момента по умолчанию будет индексироваться HTTPS-версия страницы, если сайт доступен для индексации по обоим протоколам: http и https.

Google понимает, что http и https это разные протоколы одного и того же сайта.

Если Google обнаружит работающий протокол https, то он по мере переиндексации контента будет заменять http на https даже без перенаправления и добавления https-версии в Google Search Console.

Переход сайта на HTTPS8. Ждем переиндексации сайта в Яндексе. Это произойдет, когда версии

страниц сайта с https зайдут в индекс, а версии страниц сайта с http выпадут из индекса.

Переклейка начинается примерно через 2-3 недели. Повлиять на скорость переклейки, к сожалению, никак нельзя, это - автоматический процесс.

После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»:

Переход сайта на HTTPSТакже можно увидеть, что https-версия стала отбражаться в Яндекс.Вебмастере как основная:

Неглавное зеркало начнет выпадать из индекса Яндекса:

А главное зеркало начнет попадать в индекс Яндекса:

Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего необходимо настроить 301 редирект со страниц которые переехали на https протокол.

Переход на HTTPS9. После того как сайты склеились, настраиваем постраничный 301 редирект со страниц сайта с http на страницы с https (кроме файла robots.txt).

Делать это до того, как сайты будут признаны зеркалами, нежелательно, поскольку в этом случае страницы с редиректами будут исключаться из поиска согласно правилам Яндекса по обработке перенаправлений.

На время склейки зеркал необходимо оставить сайт доступным для робота по обоим адресам.

Для перенаправления c http:// на https:// в .htaccess можно воспользоваться 3-мя способами• ручная корректировка файла htacces;•настройка редиректов через панель управления хостингом;•написание программного скрипта настройки редиректов.

РезультатОписанный алгоритм перехода на https , протестирован при переезде нескольких сайтов с хорошей историей и позволяет минимизировать потери трафика и позиций сайта в результатах поиска.

Вместе с тем служба поддержки Яндекса отвечает, что гарантировать 100% сохранение позиций сайта при склейке его зеркал они не могут.

РезультатНа время переклейки сайта, как правило, наблюдается временное небольшое ухудшение позиций в результатах поиска и в Яндекс, и в Google. Но позиции в течение 1-2-х месяцев полностью восстанавливаются.Алгоритм действий, указанный выше, подтвержден Яндексом.

Итоги. Что нужно помнить.1. Базовый алгоритм перевода сайта на https:, который используем при переездах,

доступен по ссылке https://seo.artox-media.ru/wiki/pereezd-na-https.html.

2. Следуем описанному процессу выбора сертификата и его приобретения.

3. Не забываем удостовериться в работоспособности и наличии доступов к почтовому ящику, на который высылается письмо с ссылкой на подтверждение выпуска сертификата.

4. Помним о том, что после создания версии сайта с https, она должна быть доступна наряду с версией с http. Причем в robots.txt должна быть прописана строчка, указывающая на то, что главным зеркалом является https-версия сайта.

5. После того как сайты склеятся, уже настраивается постраничный 301 редирект со страниц сайта с http на страницы с https.

6. Если домен https был признан зеркалом домена http до переклейки (а именно https-версия была признана неглавным зеркалом – такое бывает, но редко), то в этом случае необходимо сначала расклеить зеркала. После расклейки указываем главным зеркалом https-версию.

Спасибо за внимание!