Покрокова інструкція про переїзд з HTTP на HTTPS без втрати трафіку

Переїзд, чого б він не стосувався — справа напружена і відповідальна. Спочатку вас ламає — ви заперечуєте потребу в переїзді. Звичні стіни, паркування біля будинку, дивний сусід, погляд якого передбачає наявність ножа за спиною. А все-таки потрібно. Зміна обстанови повинна нести в собі потенціал, поліпшення поточного побуту. Адже дивно переїжджати з центру на околицю, шляхом розгубивши все.

Те ж саме відноситься і до переходу на захищений протокол (HTTPS).

1. Навіщо переносити сайт на захищений HTTPS-протокол

Відправна точка — прийняття: навіщо взагалі переїжджати на захищений протокол? Іноді, після численних ітерацій пояснень причин переїзду, так хочеться просто сказати — тому що, робіть! Але уявімо себе студентом, якому дуже хочеться вислужитися перед комісією (в нашому випадку — зібрати трафік), що б ми тоді сказали?

1. Наявність захищеного шифрування запобігає можливість перехоплення конфіденційної інформації, залишеної на сайті, для подальшого використання шахраями. А навіть якщо не шахраями, навіщо комусь копатися в чужій білизні? Тому наявність захищеного з’єднання так критично важливо для сайтів, що обробляють інформацію користувача — пошти, номери телефонів, банківські картки etc. Сайт з налаштованим HTTPS — це класичний приватний будинок в тихому районі Токіо, вікна якого не пропускають денне світло і допитливі носи.
2. Google любить HTTPS. Для нього захищене шифрування — донька маминої подруги, якій він з більшою ймовірністю запропонує квитки в VIP-ложу пошукової видачі.
3. У браузерному рядку, навпаки адреси домену, ще один замок віщає користувачам про безпеку передачі даних. Це вагомий плюс — людині подобається знати, що конфіденційна інформація не потрапить в треті руки.

2. Інструкція по переїзду на захищений HTTPS-протокол

2.1. Вибір SSL-сертификата

Вибір SSL-сертифіката, мабуть, єдиний етап, в ході якого не виникає головняк. У вашому розпорядженні SSL-сертифікати з будь-якими нотками післясмаку.

Давайте ж їх розглянемо:

• Самописний сертификат — генерується вами самостійно за допомогою окремих утиліт.
  Плюси: заощаджуємо гроші і час (зникає необхідність звертатися до постачальників послуг з оформлення SSL)
  Мінуси: самоподпісанний SSL-сертифікат не подобається браузерам, про що вони сповістять червоним світлом на прохід в Ла-Манш.
  Виглядає це так:
  
• Domain Validation — підтвердження, відповідно, проходить на рівні доменного імені.
  Плюси: підтвердження не займає багато часу, не потребує документів на відміну від касирки універсамчіка за рогом. Ціна на рік — від $ 15 до $ 30.
  Мінуси:
• облом для власників кириличних доменів — не спрацює;
• підтвердження приходить на пошту, прив’язану до домену, і тільки на певні адреси: admin@example.com, hostmaster@example.com etc.
• Organization Validation — підтвердження з домену та організації. Тобто у вас попросять, наприклад, свідоцтво про державну реєстрацію. Загалом, довести, що ви є юрособою. Особливість Domain Validation в тому, що в сертифікаті міститься інформація про компанію — власника доменного імені. Ціна на рік — від $ 60 до $ 700.

Плюси: сертифікат містить інформацію не тільки про домен, а й власника доменного імені, що є вагомим аргументом для довіри в очах користувача
Мінуси: потрібно задурити і надати інформацію, яка підтверджує ваше юридична особа.

• Extended Validation — відображається зеленим рядком з повним ім’ям організації,яка його отримала. Загалом, дорого-багато світу SSL-сертифікатів. Ціна на рік — від $ 150 до $ 1200.

Але для його отримання доведеться зовсім-зовсім запотіти — крім доменної перевірки, в хід підуть свідоцтво про державну реєстрацію, наявність в whois, дзвінки з перевірками (дихати і мовчати в трубку ніхто не буде, але зайва напруга).

Плюси: зелений рядок свідчить про серйозні наміри;
Мінуси: в порівнянні з попередніми сертифікатами гра стає дорожче і важче (проходження численних етапів верифікації).

1. Wildcard — SSL-сертифікат видається на всі піддомени певного домену (актуально для компаній, що мають представництва в регіонах)
2. З підтримкою IDN — як ми писали вище, не всі сертифікати підтримують кириличні домени. Тому, якщо у вас саме такий, потрібно шукати з підтримкою IDN.

Lets Encrypt — декілька слів про нього

Lets Encrypt — це безплатний автоматизований центр сертифікації. Валіден (підписаний дійсним root), що означає в очах пошуковика з ним все в порядку. Більш того, сам Google рекомендує його.

3.Підготовка сайту до переїзду (налаштування HTTPS-протоколу)

Отже, рішення про перехід з http на https взяли, навіть підгледіли собі SSL-сертифікат. Значить саме час братися за реалізацію переходу.

Що потрібно для успішного налаштування HTTPS:

1. Змінити абсолютні внутрішні посилання на відносні (або на https). Зверніть увагу що посилання в атрибутах canonical і hreflang завжди повинні бути абсолютними. Якщо цього не зробити, вам сайт буде пістрявити внутрішніми посиланнями з 301 кодом відповіді, а це недобре
2. Встановити SSL-сертифікат — майже всі хостинги дозволяють встановити SSL-сертифікат через панель управління

Виглядає налаштування HTTPS ось так:

Якщо виникнуть проблеми з переходом з http на https, напишіть в техпідтримку хостингу і вам підкажуть. Або зверніться до того самого приятеля, який, з одного боку, програміст — він теж знає, що до чого.
Важливо: Якщо ваш хостинг не передбачає установку SSL, то його доведеться змінити. Життя жорстоке.

Обов’язково, під час налаштування https, потрібно перевірити працездатність сайту на протоколі https як на настільних ПК, так і на мобільних пристроях. Оскільки дуже часто після підключення сертифіката з’являються проблеми з адміністративною панеллю або доступом на сайт з мобільних пристроїв.

Перевірити коректність впровадження SSL сертифікату можна за допомогою сервісу.

1. Налаштування 301-редиректів — після підключення SSL-сертифіката потрібно прописати посторінковий редірект з URL-адрес з http на https в файлі .htaccess.
   Приклад реалізації:
   
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://site.ua/$1 [R=301,L]


4. Дії після переїзду на HTTPS (перевірка коректності перенесення сайту на захищений протокол)

Ось вивірений, точно китайська церемоніальна чаша для випитого чаю, чек-лист дій після переїзду з http на https:

1. Ще раз перевіряємо коректність налаштування SSL сертифікату, використовуючи сервіс. Про всяк випадок.
2. Додаємо сайт з https протоколом в Search Console.
3. Виконуємо перевірку працездатності сайту на всіх типах пристроїв.
4. Виконуємо перевірку функціоналу сайту після переходу на HTTPS.
5. Перевіряємо відсутність внутрішніх посилань на незахищені документи.
6. Перевіряємо наявність 301 редіректу з усіх сторінок сайту на аналогічні сторінки з https.
7. Оновлюємо .xml карту сайту, щоб вона містила тільки сторінки з https.
8. Змінюємо посилання на карту сайту (вона ж теж була з http-протоколу) в файлі Robots.txt.

5. Приклад переходу c HTTP на HTTPS без втрати трафіку

Ми в Inweb повторюємо правила переїзду, що становлять предмет поточної статті, з самої колиски. І це дає свої плоди — так виглядає динаміка трафіку сайту, з правильно виконаним переїздом на захищений протокол.

6. Наостанок про переїзд с http на https

Переход с HTTP на HTTPSS — це як здача сесії: не хочеться, напружує, але все одно потрібно і важливо здати з першого разу без косяків (щоб не злетіти зі стипендії). Перш ніж налаштовувати SSL-сертифікат, переконайтеся, що виконано всі вимоги, описані в статті, а після переїзду скористайтеся чеклістом і перевірте ще раз.

Головне пам’ятати: перенесення сайту з HTTP на HTTPS — це дуже стильно і модно, майже як підкати джинсів і A$AP ROCKY на репіті. Сподіваємося, що наша стаття допоможе вам у здійсненні поставленої мети. Успіху і відносних посилань вашого сайту!