Google на протяжении нескольких лет проводит кампанию по поощрению сайтов, поддерживающих безопасное соединение. В середине 2014 года в блоге Google Webmasters было объявлено о положительном влиянии на поисковые позиции для сайтов, использующих HTTPS.

 

В середине 2016 года компания мотивирует владельцев сайтов радикальными методами: анонсировано, что с начала 2017 года Google Chrome будет помечать как «небезопасные» все http-сайты, передающие конфиденциальные данные пользователей.

Что такое SSL-сертификат и зачем он нужен

SSL — протокол безопасной передачи информации по Интернету.

SSL-сертификат — это цифровая подпись, которая выдается домену и необходима для безопасного обмена информацией в сети по протоколу HTTPS.

Почему это важно?

Незащищенное  HTTP-соединение подвержено риску изменения содержимого третьей стороной. Это может быть как безобидная вставка рекламы (что нередко встречается при подключении к открытым точкам доступа WiFi), так и подмена либо кража конфиденциальных данных.

Установка SSL-сертификата — гарантия того, что информация дойдет из точки А в точку Б (от сайта к клиенту) в неизменном виде.

Как подготовить сайт к переходу на HTTPS

Прежде чем переходить к активным действиям по получению и установке SSL-сертификата, проведите мониторинг внутренних ссылок сайта, откуда сайт загружает данные

Абсолютные внутренние ссылки на сайте example.com выглядят так:

При переходе на HTTPS следует избавиться от всех ссылок с протоколом HTTP, а значит, следует преобразовать внутренние ссылки в один из форматов:

Такие же действия следует предпринять, если сайт использует внешние площадки для загрузки скриптов JS-библиотек либо систем аналитики — Google Analytics, Яндекс.Метрика и др. Большинство общеизвестных систем успешно давно и успешно поддерживают HTTPS.

Как выбрать SSL-сертификат

Существует несколько разновидностей SSL-сертификатов, каждая из которых лучше подходит для определенных целей. Какую из них выбрать — зависит от ваших целей. Рассмотрим подробнее:

Самоподписанный сертификат

Сертификат, сгенерированный вами самостоятельно при помощи определенных утилит.

Преимущество — в отсутствии финансовых и временных затрат (не нужно обращаться к поставщикам услуг по оформлению SSL).

Главный недостаток — на самоподписанные сертификаты уж очень плохо реагируют браузеры. Большое красное окно с сообщением о ненадежности сертификата безопасности — совсем не то, что нужно показывать посетителям интернет-магазина либо поставщика услуг.

Предупреждение о ненадежности сертификата безопасности

 

Domain Validation

Это самый распространенный тип сертификатов, подтверждающий только одно доменное имя. Запрос сертификата Domain Validation не занимает много времени (иногда моментально) и не требует документов, но имеет несколько особенностей:

  • Выдача невозможна для некоторых типов доменных имен, например для домена, содержащего кириллические символы.
  • Отправка сертификата возможна только на почту, привязанную к вашему домену, и только на определенные адреса: admin@example.com, hostmaster@example.com и т.п.

Business/Organization Validation

Вид сертификата, который используется финансовыми учреждениями и интернет-банками. Чтобы получить его, необходимо предоставить документы, подтверждающие, что ваша организация — юридическое лицо.

Отличительная особенность от Domain Validation — в сертификате содержится информация о компании — владельце доменного имени.

Extended Validation

Это — следующий уровень сертификата Business Validation. Вдобавок к условиям предыдущего, имеет более высокую стоимость и более строгие условия получения.

Сайт, подписанный сертификатом Extended Validation, отображается в адресной строке с полным именем организации, его получившей:

Сайт Twitter подписан сертификатом Extended Validation

Существуют разновидности сертификатов, специфические для определенных технических требований, например:

  • WildCard SSL Serticifate — используется, если сайт содержит несколько поддоменов.
  • Multi Domain SSL Sertificate — если сертификат планируется использовать на нескольких различных доменах.

Присмотритесь внимательно к ценовой политике различных поставщиков SSL-сертификатов — возможно, несколько отдельных сертификатов на один домен обойдутся дешевле, чем WildCard или MultiDomain.

Установка SSL-сертификата

Когда файл сертификата получен, установить его можно на любой хостинг — сертификат привязан только к доменному имени (именам). Большинство популярных хостингов поддерживают установку SSL-сертификата на сервер прямо на панели администрирования. Если же хостинг не поддерживает установку SSL, единственным способом перейти на HTTPS будет смена хостинга.

Что делать дальше

После успешной установки выбранного сертификата ваш сайт будет загружаться по протоколу HTTPS. Для поисковых систем сайт по адресу http:// и https:// — это два разных адреса, и чтобы не потерять поисковую выдачу, нужно провести комплекс действий, схожий с действиями по переносу сайта на новый домен. Ниже — краткая выжимка по настройке после установки SSL:

  • В файле robots.txt в директиве Host прямо прописать протокол HTTPS в адресе:
    Host: https://example.com;
  • Установить редирект 301 в файле .htaccess по всем страницам сайта на HTTPS-адрес;
  • «Визуальная» проверка: пройдитесь по страницам сайта и убедитесь, что все работает так же, как раньше, а в адресной строке появился значок защищенного соединения.

После того, как вы убедились, что все работает, можно уведомить поисковые системы о смене адреса. В случае с Google, зайдите в Google Search Console и добавьте новый адрес сайта. Если для сайта были применены дополнительные настройки (загружен Sitemap.xml, работает Disavow Links Tools и проч.) — продублируйте их и для нового адреса.

Если вы нашли ошибку, выделите участок текста и нажмите Ctrl + Enter или , чтобы сообщить нам.