1. HTTPS против HTTP: в чем разница?
2. Действительно ли мы находимся на пути к «HTTPS везде»?
3. Google настаивает на этом
4. Безопасные сертификаты легко получить ... и бесплатно
5. Chrome начнет подталкивать сайты к миграции
6. Темный трафик будет быстро увеличиваться для не-HTTPS сайтов
7. Даже правительство США идет ва-банк с HTTPS
8. Бизнес-кейс для перехода на HTTPS
9. HTTPS Migration Checklist
10. Важные заметки
11. Протокол Относительные URL
12. Цепные перенаправления
13. HSTS
14. Готовы ли вы перейти на HTTPS?

Когда дело доходит до прыжков в тренде, я думаю, что самое приятное место - это тот момент, когда вы получаете преимущества относительно раннего принятия, но уверенность, которая приходит от обучения от тех, кто был до вас. Это в значительной степени то, где мы находимся с тенденцией к переходу на мир только для HTTPS. В какой-то момент HTTPS может стать настолько стандартным, что это просто цена входного билета для ведения бизнеса в Интернете, но в краткосрочной перспективе я рассматриваю это как позитивную отличительную черту для вашего бренда, которая может даже дать вам немного дополнительного SEO-удовольствия.

Миграция всего вашего сайта с HTTP на HTTPS действительно не так сложна, когда дело доходит до него. Само перенаправление может быть таким же простым, как размещение пары строк кода. Но неправильное восприятие может серьезно повредить вашему поисковому трафику, и даже хорошо продуманный план может ударить несколько препятствий как это раскатывается. Переход на HTTPS определенно не является чем-то, что вы хотите сделать без тщательного планирования.

Готовы ли вы спустить триггер при перенаправлении своего сайта с HTTP на HTTPS, или вы просто обдумываете это и хотите понять, что с этим делать, это руководство станет ценным ресурсом.

HTTPS против HTTP: в чем разница?

HTTP - это протокол, используемый для общения в сети. HTTPS - это HTTP поверх TLS или безопасность транспортного уровня. Так что HTTPS - это тот же базовый протокол HTTP, но с безопасным, зашифрованным уровнем. TLS - это новейший безопасный протокол, который заменил SSL, поэтому вы все равно можете услышать, как многие люди ссылаются на SSL или уровень защищенных сокетов.

Когда сайт использует HTTPS, вы увидите его прямо в адресной строке вашего браузера. В дополнение к URI, начинающемуся с «https», вы часто видите значок замка и, возможно, даже цветную полосу (в зависимости от типа сертификата), указывающую, что ваше соединение защищено. Вот как выглядит HTTPS-соединение в Chrome, когда я захожу в PayPal:

Эта зеленая область со значком замка говорит о том, что сертификат сайта действителен, а его личность проверена доверенной третьей стороной. Если вы нажмете на нее, вы можете найти более подробную информацию в обзоре безопасности:

Действительно ли мы находимся на пути к «HTTPS везде»?

Многие люди думают, что HTTPS является избыточным для информационных сайтов, которые не обрабатывают транзакции или не передают конфиденциальные данные, а также могут добавить дополнительные затраты и техническую сложность, проблемы, которые трудно решить для малого бизнеса, в частности. Я думаю, что со временем эти проблемы будут смягчены, поскольку HTTPS станет более стандартным. Фактически, вот некоторые из основных причин, по которым, я думаю, мы увидим HTTPS практически везде в течение следующих нескольких лет.

Google настаивает на этом

Google призвал «HTTPS Everywhere» в Google I / O в конце июня 2014 года, всего за пару недель до объявления о том, что HTTPS будет использоваться в качестве сигнала ранжирования. В видео есть хорошая информация, если вы ее еще не видели, и гуглеры Пьер Фар и Илья Григорик четко изложили аргументы Google в пользу HTTPS:

Говоря о том, что HTTPS имеет отношение только к транзакционным сайтам или сайтам, которые иным образом передают конфиденциальные данные, Григорик, защитник команды разработчиков Chrome, делает следующее замечание: «в то время как в отдельности метаданные, которые вы можете собрать, кажутся доступными Глядя на эти незашифрованные сайты, можно сказать, что если вы на самом деле соберете все это вместе, это многое откроет о моих намерениях и может поставить под угрозу мою конфиденциальность ». Если у вас есть какие-либо сомнения относительно того, какую яркую картину можно нарисовать в вашей, казалось бы, безобидной сети активность, попробуйте проверить Google Dashboard а также Моя активность и убедитесь сами, как много это может рассказать о вашей жизни.

С момента объявления на Google I / O 2014 Google постоянно прибегает к стремлению перейти на «HTTPS Everywhere». Недавно я даже заметил, что Google зашел так далеко, что предоставить им доверие и ресурсы другим производителям продукции в попытке создать армию евангелистов HTTPS Everywhere. Толчок также был эффективным. Доктор Пит Мейерс из Moz предполагает, что Google «борется и выигрывает долгую войну» с более 30% из результатов поиска страницы-1 теперь, используя HTTPS.

Безопасные сертификаты легко получить ... и бесплатно

Давайте зашифруем является новым центром сертификации (CA), который предлагает бесплатные безопасные сертификаты. Они толкая для получения 100% HTTPS в интернете, и они добились довольно хороших результатов. С момента запуска в декабре 2015 года они выпустили более 5 миллионов сертификатов, во многом благодаря крупномасштабным развертываниям таких компаний, как WordPress.com, Akamai, Shopify, Dreamhost и Bitly. График ниже показывает их впечатляющий рост в первой половине 2016 года.

Chrome начнет подталкивать сайты к миграции

Будущие версии Chrome, скорее всего, привлекут внимание к незашифрованным веб-сайтам, поместив красный крестик над маленьким значком замка в адресной строке. Хотя об этом не было официального объявления от Google, сотрудника Google (который хотел остаться анонимным) сказал материнская плата что эта функция скоро станет стандартной в Chrome.

Это уже функция в Chrome, хотя она не установлена ​​по умолчанию. Если вы хотите посмотреть, как это выглядит сейчас, вы можете включить его сейчас, набрав «chrome: // flags» в браузере Chrome, перейдите к «пометить незащищенные как» и выберите «пометить незащищенные источники как это небезопасно ». У меня это работает в браузере, и я могу сказать вам, как бы мало это ни было, оно действительно бросается в глаза каждый раз, когда я захожу на небезопасный сайт. Если это станет значением по умолчанию, это окажет влияние.

Темный трафик будет быстро увеличиваться для не-HTTPS сайтов

Если сайт использует HTTPS и передает трафик на сайт, который не использует HTTPS, заголовок HTTP Referrer теряется (при условии, что сайт HTTPS не принял конкретные меры передать информацию), и сайт, который получает трафик, не знает, откуда этот трафик. Это называется Темный трафик и это становится все более серьезной проблемой для крупных издателей, в частности для тех, кто полагается на синдикацию контента для значительной части своего трафика. Для крупных издателей крайне важно определить источники этого Темного трафика. Настолько, что Хранитель, в частности, создал сложный внутренний аналитический инструмент позвоните Сироте, чтобы лучше связать темный трафик с известными источниками.

Чем больше сайтов переходят на HTTPS, тем темнее становятся данные реферера для сайтов без HTTPS, что создает эффект домино, который увеличивает импульс к сайтам с поддержкой HTTPS. Как ни странно, некоторые из наших издательских клиентов видят около 25-30% темного трафика, хотя в последнее время мы видим такие крупные сайты, как Yahoo а также LinkedIn принять меры, чтобы открыть свои данные реферера после перехода на HTTPS.

Даже правительство США идет ва-банк с HTTPS

Когда я думаю о федеральном правительстве США, не сразу приходят в голову такие термины, как «эффективность» и «ранний усыновитель». Но в июне 2015 года в Белом доме управление по управлению и бюджету приказал все правительственные учреждения должны подтвердить соответствие директиве HTTPS-Only Standard, требующей, чтобы все общедоступные федеральные веб-сайты и веб-службы предоставляли услуги только через безопасное соединение HTTPS к концу 2016 года. Они даже создали сайт обеспечить полную прозрачность их прогресса. На момент написания этой статьи, похоже, что около 45% правительственных веб-сайтов перешли на HTTPS-только, поэтому им предстоит еще долгий путь:

Веб-сайт Pulse обеспечивает прозрачность работы правительственных веб-сайтов США, придерживающихся директивы стандарта HTTPS-Only.

Тяжеловесы в частном секторе также серьезно относятся к тенденции HTTPS Everywhere. Мозилла это постепенный отказ от незащищенный HTTP, Apple толкая все разработчики приложений используют HTTPS, а растущий список компаний поддерживает такие инициативы, как Зашифровать все вещи , которые возникли из-за растущей обеспокоенности правительства массовым надзором.

Бизнес-кейс для перехода на HTTPS

Тенденции, которые поддерживаются правительством и некоторыми крупными влиятельными компаниями, интересны, но вы не можете принять меры по ресурсоемкой инициативе, не имея конкретных бизнес-причин для участия в конкурсе. Вот несколько основных причин, по которым вы должны рассмотреть возможность перехода на HTTPS:

1. Безопасность . Основная причина перехода на HTTPS - не дать злоумышленникам скомпрометировать конфиденциальную информацию или совершить другие вредоносные действия. HTTPS гарантирует, что серверы, участвующие в обмене данными, являются теми, кем они себя называют, так что это хорошая защита от человек посередине Например, атаки, вредоносное ПО для внедрения рекламы или код переадресации трафика.
2. Будьте хорошим веб-гражданином : опираясь на № 1, сделав свой собственный сайт более безопасным и удалив легкие цели для потенциальных хакеров, вы сделаете вредоносные действия менее прибыльными. Со временем это делает Интернет более безопасным для всех.
3. Конфиденциальность . Собирая воедино различные метаданные, сгенерированные веб-активностью вашего пользователя, хакеры (или, возможно, правительственные учреждения) могут разработать раскрывающий профиль поведения, намерений и привычек этих пользователей.
4. Повторное получение данных рефералов . По мере того, как все больше веб-сайтов переходят на HTTPS, данные о вашем переходе будут потеряны и по умолчанию будут считаться прямым трафиком. Переход на HTTPS позволит вам восстановить потерянные реферальные данные с сайтов, которые уже перешли на HTTPS.
5. Изображение бренда : если доверие является атрибутом, который вы хотите связать с вашим брендом, показ этой маленькой зеленой полосы в адресной строке, такой как PayPal, может быть важен. Например, если вы продаете услугу шифрования электронной почты, демонстрируя, что вы серьезно относитесь к безопасности своего веб-сайта, а также своих продуктов, это произведет лучшее впечатление на ваших нынешних и потенциальных клиентов.
6. Повышение рейтинга : обратите внимание, что это последний пункт, который я упоминаю. Честно говоря, я не вижу тонны данных ни из первых рук, ни из тематических исследований, которые бы свидетельствовали о значительном повышении рейтинга как прямой результат перехода на HTTPS. SearchMetrics сделал исследование это показало корреляцию между переходом на HTTPS и положительным увеличением рейтинга для 30 000 ключевых слов, которые они отслеживают, поэтому я считаю, что сигнал есть, хотя и легкий. Тем не менее, я также видел ряд случаев, когда сайты пострадали как минимум от временного попадания в органический поисковый трафик. Тем не менее, у Google есть возможность настроить этот конкретный сигнал ранжирования по мере роста популярности, и они довольно настойчиво заставляют владельцев сайтов вносить изменения. Итог: если вы переходите на HTTPS для повышения рейтинга, просто поймите, что выгода может быть не реализована сразу.

HTTPS Migration Checklist

Следующие шаги должны дать вам хорошее представление о масштабах, связанных с переводом вашего сайта на HTTPS, не говоря уже о некотором спокойствии, поскольку он использовался для планирования миграции HTTPS на некоторых крупных сайтах. Я основал общий план на полезный документ написано Крис Палмер от команды Google Chrome, с некоторыми дополнительными разделами и подробностями для обеспечения SEO-дружественной миграции. Вы также должны ссылаться на Google документация по перемещению сайта То же самое можно сказать и здесь.

1. Получить и установить сертификаты

☑ Купите 2048-битный безопасный сертификат TLS / SSL SHA-2 в Центре сертификации (CA)

☑ Создайте несколько документов, чтобы ЦС мог выдать подписанный сертификат

☑ Отправьте центру сертификации все, что им нужно (ваш открытый ключ и запрос на подпись сертификата)

Certificates Установите сертификаты на ваших серверах

2. Включите HTTPS на ваших серверах

☑ Настройте свой сервер для HTTPS. Проверять, выписываться эти советы по настройке для популярных серверов.

☑ Проверьте правильность функционирования с помощью внешнего инструмента тестирования. Вот хороший ,

☑ Установите напоминание, чтобы обновить ваш безопасный сертификат до истечения срока его действия.

3. Изменения кода и конфигурации

☑ Обновление контента сайта для запроса ресурсов https

☑ Обновите внутренние ссылки, чтобы они указывали на страницы https, или рассмотрите возможность сделать внутренние ссылки относительными

Protocol Используйте относительные URI протокола. Пример: <script src = ”// example.com/script.js> </ script> ( см. примечание ниже )

☑ Добавьте на каждую страницу самоссылающийся тег rel canonical, указывающий на ваши HTTPS URI

☑ Изменить все рекламные звонки для работы с HTTPS

☑ Обновите любые внутренние инструменты, такие как Optimizely или CrazyEgg, для работы с HTTPS.

☑ Обновление устаревших перенаправлений для устранения связанных перенаправлений ( см. примечание ниже )

☑ Обновите OpenGraph, Схему, Семантическую разметку и т. Д., Чтобы они указывали на HTTPS.

☑ Обновить кнопки социальных сетей, чтобы сохранить количество акций

4. Robots.txt, XML Sitemaps, консоль поиска и аналитика

☑ Создайте и подтвердите новое свойство для сайта HTTPS в Google Search Console

☑ Создайте новый файл XML-файла Sitemap, который указывает на ваши URL-адреса HTTPS, и загрузите его в новое свойство в консоли поиска.

☑ Создайте новый файл robots.txt для сайта HTTPS и скопируйте все существующие правила. Включите ссылку на файл Sitemap в новый файл HTTPS XML.

☑ Удалите все правила из файла HTTP robots.txt, кроме ссылки на карту сайта, и оставьте ее на месте. Это должно побудить ботов ползти и следовать всем перенаправлениям.

☑ Скопируйте любой существующий файл отключения и загрузите его в новое свойство HTTPS в консоли поиска.

☑ Если вы являетесь издателем Новостей Google и используете карту сайта XML с новостями, я рекомендую обновить существующую карту сайта с помощью URL-адресов HTTPS и уведомление команды новостей Google изменения.

Примечание. Не используйте функцию «Изменение адреса» в консоли поиска Google. Это используется для миграции на новые домены.

5. Перенаправить HTTP на HTTP

☑ Разверните код перенаправления

Перенаправить HTTP на HTTPS на IIS (7.x и выше)

Перенаправить HTTP на HTTPS на Apache

Перенаправить HTTP на HTTPS на Nginx

☑ Включите исключения из любых глобальных директив перенаправления для ваших существующих файлов robots.txt и XML sitemap.

6. Продолжение (после релиза)

☑ Используйте инструменты, такие как Проверка SSL , для сканирования вашего сайта на наличие небезопасного контента

☑ Проверьте перенаправления HTTPS и устаревшие перенаправления, чтобы убедиться, что они работают правильно. Проверьте наличие длинных цепочек перенаправления с помощью инструментов, которые фиксируют ответы заголовков (мне нравится Путь перенаправления Айима). Проверьте работоспособность перенаправления как с www, так и без www, с косой чертой и без нее и т. Д.

☑ Используйте инструмент «Получить как Google» и отправьте свою домашнюю страницу и другие ключевые страницы, чтобы ускорить процесс индексации. Я использую опцию «Сканировать этот URL и его прямые ссылки».

☑ Отслеживайте отчет о состоянии индекса в консоли поиска. Свойство HTTP должно в конечном итоге обнуляться, а HTTPS должен увеличиться. Сделайте еще один шаг, рассчитав показатели индексации каждого XML-файла сайта и отслеживая их с течением времени.

☑ Следите за отчетом об ошибках сканирования в консоли поиска и, при необходимости, устраняйте ошибки.

☑ Когда большинство новых (HTTPS) URL уже проиндексированы, удалите устаревшую ссылку на карту сайта из Robots.txt

☑ Обновите входящие ссылки, которые находятся под вашим контролем, чтобы они указывали на HTTPS (например, ссылки на ваш сайт из профилей в социальных сетях)

7. Включите Строгую Транспортную Безопасность (HSTS)

☑ Если вы абсолютно уверены, что весь сайт работает с HTTPS, используйте HSTS для повышения производительности, гарантируя, что браузер «запоминает» отправку всех запросов на ваш сайт на https в соответствии с установленной вами политикой. Имейте в виду, что это означает, что ваш сайт будет использовать только HTTPS, поэтому убедитесь, что он работает! ( см. примечание ниже )

Важные заметки

Подумайте о переезде в разделы

Нет никакой причины, по которой вы должны перенаправлять весь сайт на HTTPS одновременно. Для очень больших сайтов может быть целесообразно перенаправить определенные разделы вашего сайта и оценить влияние, прежде чем перенаправлять все страницы. Там будут небольшие различия в ваших правилах перенаправления, но, возможно, стоит потратить дополнительное время, чтобы понять, как будут влиять ваши поисковые рефералы.

Протокол Относительные URL

Я включил рекомендацию Google использовать URL-адреса, относящиеся к протоколу выше, и я понимаю, почему они рекомендуют это, но на самом деле у меня есть другая рекомендация для вас. Хотя относительные URL-адреса облегчают веб-разработку, значительно сокращая смешанный контент сообщения и значительно упрощают перевод вашего промежуточного сайта HTTPS в рабочий режим, это противоречит руководству, которое я давал в течение длительного времени, - использовать полные, абсолютные URL-адреса. Почему я рекомендую это? Потому что очень часто я сталкивался с ситуациями, когда проблема канонизации для заданного URL-адреса создает эффект домино для ссылок на соответствующей странице, поскольку относительные ссылки могут наследовать любые проблемы канонизации, появляющиеся в адресной строке.

Кроме того, Пол Ириш, разработчик внешнего интерфейса в команде Google Chrome, это сказать о протоколе относительных URL:

Теперь, когда SSL поощряется для всех и не имеет проблем с производительностью, этот метод теперь является анти-паттерном . Если нужный вам ресурс доступен по SSL, всегда используйте https: // asset.

Вам придется решить, какой подход лучше подходит для вашей ситуации, но я все еще чувствую, что есть веские аргументы в пользу использования полных, абсолютных URL-адресов на вашем сайте.

Цепные перенаправления

В идеальном мире все перенаправления будут иметь только один переход. Для сайтов с большим количеством устаревших перенаправлений это может оказаться невозможным. Я рекомендую сначала обработать HTTPS-перенаправление, поскольку это влияет на все URL-адреса. Затем оцените ваши старые 301 перенаправления. Обновите устаревшие перенаправления 301, чтобы они указывали непосредственно на цели HTTPS, если позволяют ресурсы. Перенаправления с наивысшим приоритетом - любые, которые могут привести к более чем 3 прыжкам, поскольку Google может прекратить следовать за ними. Оттуда я бы рассмотрел обновление устаревших перенаправлений, которые были добавлены совсем недавно.

И вот очень важный момент о реализации общих перенаправлений в HTTPS: если вы решите сохранить отдельные файлы robots.txt для версий вашего сайта с HTTP и HTTPS, или если вы собираетесь поддерживать старые файлы сайта XML, как описано в руководстве Вы должны принять это во внимание при создании правил перенаправления. Если вы перенаправите общий перенаправление с HTTP на HTTPS на уровне сервера или CDN, это также повлияет на ваши карты сайта robots.txt и XML, если вы не примете меры для их исключения. Вот хороший пример о том, как исключить эти файлы из глобального перенаправления через файл htaccess в Apache. Используйте тот же основной принцип, чтобы исключить эти файлы, используя другие методы перенаправления.

HSTS

HSTS может значительно улучшить производительность вашего сайта HTTPS, гарантируя, что браузеры всегда используют HTTPS для будущих посещений. Однако это может вызвать проблемы, если вам необходимо поддерживать регулярные HTTP-запросы. Как Мэтт Каттс чирикнул , если вы включите HSTS и «ваш веб-сайт не будет обслуживать только HTTPS, у вас будет плохое время». Кроме того, если у вас HSTS настроен на включение поддоменов, убедитесь, что ваши поддомены действительно используют безопасный сертификат или Chrome не позволит вам получить к ним доступ.

Готовы ли вы перейти на HTTPS?

Если у вас небольшой сайт WordPress, большинство из приведенных выше соображений, вероятно, излишни; Вы можете перенаправить весь сайт на HTTPS за считанные часы. Но если вы работаете с крупным веб-сайтом, который имеет решающее значение для миссии вашей организации, переход на HTTPS требует тщательного планирования и распределения ресурсов. Я надеюсь, что вышеизложенное дало вам представление о том, что входит в процесс миграции, и я надеюсь, что приведенный выше контрольный список миграции HTTPS окажется действенным и всеобъемлющим. Если у вас есть какие-либо вопросы по любому из пунктов, которые я включил, или вы чувствуете, что я пропустил важный шаг, пожалуйста, поделитесь в комментариях ниже.