Перенос сайта на HTTPS

Перенос сайта на HTTPS, проводится непосредственно через привязку SSL-сертификата к конкретному домену на хостинге.

Настройка включает прописывание правильных редиректов (301) для корректной и безболезненной переиндексации сайта. Для Рунета дополнительно проводим настройки в Яндекс.Вебмастере (рекомендуется).

Что такое HTTPS и зачем поисковые системы начинают это требовать

Вкратце, без умных слов – HTTPS, это протокол, по которому исходящая и входящая информация проходит шифрование. Причём, работает это непосредственно от браузера пользователя до самого сервера, где находится сайт.

Почему HTTPS важен и что он даёт

Дело в том, что в настоящее время, в принципе, как и 10 лет назад, интернет технически не сильно изменился. Конечно, он стал быстрее, мощнее, появилось сотни новых функций, ресурсов и возможностей. Но сама информация как передавалась, так и передаётся теми же протоколами передачи данных, то есть на этом этапе мало что подверглось модификации. Изменились возможности, но не принципы (в общих чертах, без тонкостей).

Так вот, вся информация, которая передаётся от браузера пользователя до сайта может быть перехвачена. Если она передаётся без шифрования, то перехваченные данные можно разделить и выделить из них необходимый контент, включая логины и пароли (явки и адреса…).

Как максимально обезопасить себя от такой напасти? Я не буду тут расписывать о поддержке безопасности на вашем компьютере (рекомендовать установку антивируса и использования проверенных программ, приобретённых/загруженных с официальных сайтов и т.д.), наверное, это банально. Рассмотрим непосредственно вопрос по передаче данных через браузер.

Так вот, будь это интернет магазин или любой другой сайт\ресурс, если вы используете форму обратной связи, форму регистрации\авторизации, ваши данные отправляются на сервер. Данные могут проходить от 2-х до 30-х серверов (провайдеров) по дороге, пока не попадут на сервер, на котором находится искомый сайт. Технически эти данные могут быть перехвачены в любой точке по пути их следования. Несмотря на то, что данные действия противозаконны – они допустимы. Выходит, что Хакер, сидящий в сотне и тысяче километров от вас может получить ваши логины, пароли, пересылаемые сообщения... По крайней мере, нешифрованные данные очень легко вытащить из общего потока.

Что делать, чтобы обезопасить себя (своего клиента – если вы владелец сайта или сервиса) – перевести сайт на протокол HTTPS, с шифрованием всего входящего и исходящего трафика. При передаче данных по протоколу HTTPS, все они шифруются стойким алгоритмом и становятся практически бесполезные при перехвате. Хотя сам перехват данных остаётся возможным (но это другая история, будет описана в статье – «Как обезопасить себя и свои данные от перехвата»).

Почему надо что-то настраивать дополнительно?

Дело в том что, при переводе сайта на HTTPS для поисковых систем у сайта меняется URL адрес. То есть для Google и Яндекс (как и для других ПС) сайт https://nalitek.ru отличается от http://nalitek.ru. Поэтому крайне важно настроить правильные редиректы, чтобы ПС провели переиндексацию всего сайта с максимальным сохранением позиций в поисковой выдаче. Дополнительно (возможно) потребуется вручную исправить некоторые ссылки в самом контенте сайта (что бывает очень часто и много...).

Так же стоит учитывать что для работы сайта часто используются внешние скрипты, которые подгружаются по внешним ссылкам, URL адрес (добавка к адресу https) данных скриптов так же нужно править.

Плюс  — на внутренних страницах сайта так же могут присутствовать как внешние, так и внутренние ссылки, которые так же нужно будет исправить.

Что мы имеем при переводе сайта на HTTPS (для владельцев сайтов)

Все данные, которые поступают через формы (обратная связь, авторизация, регистрация, запрос поддержки, опросные листы и так далее) все они шифруются и передаются в зашифрованном виде. Это обезопасит ваших пользователей от кражи важной информации, повысит к вам доверие. А с начала 2019 года Google официально признала, что сайты с HTTPS будут ранжироваться выше, чем те же ресурсы, на которых трафик идёт в незашифрованном виде.

• Зашита данных пользователя;
• Повышенное доверие пользователя (клиента) к сайту;
• Приоритетное ранжирование в Google (Яндекс помалкивает, не офиширует это, но всё же тоже предпочитает сайты с HTTPS);
• Красивый значок шифрования (посредственная выгода) и доверие от самого браузера (приятная выгода).

Для перевода сайта на протокол HTTPS требуется выпуск SSL-сертификата. Есть два варианта сертификатов:

• SSL бесплатный от Let’s Encrypt;
• SSL платный (выдаётся на 1 год), цены начинаются от 2 300 рублей (в зависимости от продавца и сертификата, стоимость может доходить до 45 000 рублей).

Какой сертификат выбрать

Коммерческий у вас сайт или авторский блог – не имеет значение, сам сертификат предполагает создание шифрованного трафика, а он получается, как при использовании коммерческих сертификатов, так и бесплатных.

Бесплатный сертификат SSL – разве это не подвох? Нет, сертификаты от Let’s Encrypt полноценные, они предполагают шифрование на высоком уровне (256 bit) и технически несильно отличаются от платных аналогов. Сам проект Let’s Encrypt начал работать с 2015 и создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). То есть это полноценный сертификат, только в бесплатном варианте.

• Коммерческие сертификаты выпускаются раз в год, то есть ежегодно данный сертификат нужно будет продлевать, оплачивая новый год (сертификат при этом перевыпускают).
• Сертификат от Let’s Encrypt – бесплатный, не требует оплаты, перевыпускается автоматически каждые 3 месяца. Как правило если Let’s Encrypt установлен посредством хостера, то перевыпуск производится в автоматическом режиме. Если сертификат устанавливался вручную, потребуется каждые три месяца его перевыпускать и привязывать заново. Как правило, данный сертификат перевыпускается автоматически на том хостинге, где его создавали (при условии автоматического создания данного сертификата).
• Поисковые системы НЕ делают никакого предпочтения по факту сертификата -  коммерческий/бесплатный!

Не все хостеры предлагают привязку сертификата от Let’s Encrypt. Но тенденция меняется, и сейчас почти каждый второй хостер позволяет установить сертификат от Let’s Encrypt на домен.

Сертификат выдаётся непосредственно на домен и привязывается к сайту на хостинге. При переносе сайта на другой хостинг, потребуется перевыпуск сертификата на новом месте и его подключение.

Мы производим установку и  платных, и бесплатных SSL сертификатов. Стоимость наших услуг не включает приобретение сертификата SSL. Сертификат приобретается непосредственно клиентом (если выбран коммерческий вариант SSL), согласно прайсу.