SSL сертификат и преминаване към HTTPS версия на сайта

SEO настройки при преминаване от HTTP към HTTPS протокол на сайта

В интернет има много публикации за преминаване на сайт към HTTPS протокол, но те са непълни или не вземат предвид SEO оптимизацията на сайта. Затова в Ganbox решихме да подготвим следната публикация, която смятаме че има какво да добави към процедурата за преминаване на сайт към HTTPS. Има и няколко ценни съвета, които едва ли ще намерите на друго място 😉

Какво е SSL протокол и HTTPS?

SSL е съкращение от Secure Socket Layer и представлява криптографски протокол за връзка клиент-сървър. Когато говорим за сайтове, това е връзка между уеб сървъра, където се намира уеб сайта и клиентския браузър, при която всички данни се предават по интернет в кодиран вид.
Едно от най-разпространените приложения на протокола е в уеб браузърите, при използването на HTTPS или Hypertext Transfer Protocol Secure.

Какво е TLS?

В протокола SSL са установени множество проблеми със сигурността, които са поправени в неговия наследник TLS (Transport Layer Security). Реално днес вече се ползва TLS вместо SSL, но терминът SSL сертификат се е наложил и се ползва и в двата случая. При ползване на сертификат, сайтът се отваря на интернет адрес, който започва с https:// вместо стандартното http://.

HTTP е незащитен протокол

Важно е да знаете, че ако сайтът се отваря през http:// всяко изпращане през уеб форма на данни като пароли и друга чувствителна информация, лесно може да бъде подслушана и прихваната в чист вид при предаването ù през интернет.

ЅЅL сертификатите осигуряват допълнително доверие към сайта и към бранда от страна на потребителите, особено когато въвеждат лична информация, като пароли, имейли, имена, ЕГН и т.н.

Силно препоръчително е да ползвате SSL, ако притежавате онлайн магазин или предлагате онлайн услуга, при която приемате онлайн плащания от клиенти.

Какво е новото при SSL сертификатите?

През януари 2017г. Google започна да изпраща имейли до акаунтите в Google Console на собствениците на сайтове с предупреждение, че от версия 56 на техния браузър Chrome, всеки сайт, който има логин форма и не ползва сертификат, ще бъде маркиран като незащитен с предупреждение в браузъра. Предвижда се това предупреждение да става все по-видимо и досадно за потребителя. Възможно е в един момент влизането в сайт без сертификат да бъде силно затруднено и дори невъзможно за някои потребители.

ВАЖНО! Към септември 2017г има проблем със сертификати издадени от Symantec, това са следните марки сертификати VeriSign, Equifax, GeoTrust и RapidSSL и Thawte. Ако сега избирате сертификат, по-добре изберете друга марка. Повече информация има в публикацията "Google спира поддръжката на SSL сертификати издаени от Symantec".

Как да избера SSL сертификат за сайта си?

Има няколко вида сертификати от безплатни до такива, които са по няколкостотин долара на година. Сертификатите можем да разделим основно на три вида:

1. Обикновени SSL сертификати.

Безплатни или бюджетни сертификати от тип Domain Validation. Обикновено важат само за един домейн (site.com) или за един поддомейн (sub.site.com). Важно е да се отбележи, че има сертификати, които са ограничени само до една единствена страница. Обикновено изискват само потвърждание на имейла и се активират до минути.

Ако използвате най-евтиния на RapidSSL може да го ползвате само за основния домейн site.com и не можете да го използвате за поддомейн. Ако имате мобилна версия, която е на поддомейн m.site.com, сертификатът няма да работи за тази версия на сайта.

Ако вашият сайт няма поддомейни, едно добро безплатно решение е сертификат Let’s Encrypt. Тези сертификати изтичат автоматично на всеки 3 месеца и трябва да се подновяват, чрез посещение на линк, който е изпратен на вашия имейл.

Ganbox Съвет: Най-бързо, най-лесно и безплатно решение за преминаване на сайта към HTTPS е чрез ползване на прокси сървър, като https://www.cloudflare.com

Променяте DNS-ите на домейна на сайта с техни DNS сървъри, правите онлайн настройки и вашият сайт магически получава SSL сертификат COMODO CA Limited, който се подновява автоматично от тях. Важно е да се отбележи, че HTTPS връзката е само от браузъра на посетителя до прокси сървъра на CloudFlare, докато връзката от прокси сървъра до вашия сайт е през  незащитен HTTP протокол. Разбира се има платен план, който е чрез пълно криптиране и доста екстри за допълнителна защита на сайта. За повече информация може да посетите сайта за интернет сигурност GanMax.com и да пратите запитване от страница Контакти.

2. Сертификати Wildcard SSL

Сертификати от тип Business/Organization Validation. Обикновено се издават за 2-3 работни дни и се правят проверки дали съществува такава фирма. Това са разширени сертификати, които важат освен за основния домейн и за всички поддомейни. Например: blog.site.com, shop.site.com и т.н. Подходящи са за бизнес сайтове, които ползват няколко поддомейна. Цената им е малко по-висока от стандартните, но може да ги ползвате за всички поддомейни на вашия домейн.

3. Сертификат от тип EV (Extended Validation)

Extended Validation SSL сертификат

Тези сертификати се издават само на юридически лица. Преминава се през процедура за проверка на фирмата от 7 до към 20 работни дни. Съществуването на фирмата ще бъде проверено по телефон и в локална директория, като Golden Pages (да не се бърка с Yellow Pages). Възможно е да поискат и да изпратите сканирани документи на фирмата.

Ето линк към изискванията за издаване на EV сертификат на GeoTrust - една от най-старите фирми за SSL сертификати.

Тези сертификати обикновено се ползват от банкови институции. Извършва се валидация по името на фирмата и тя се появява в зелено горе в лентата на браузъра пред URL адреса на сайта. Това допълнително изгражда доверие в потребителя и той е по-склонен да извърши покупка в сайта.

Изборът на сертификат зависи от целите на сайта. От SEO гледна точка, няма съществена разлика, кой тип ще изберете.

Ganbox съвет: Стандартно сертификатите се предлагат с ключ с 4096 криптиране, което води до по-голямо забавяне и до несъвместимост при някои устройства. Препоръчваме Ви, ако купувате сертификат, да изберете с 2048 битово криптиране.

 

Защо да прехвърля сайта си да използва HTTPS?

Ето няколко причини, които отговарят на въпроса “Трябва ли да прехвърля сайта си на HTTPS?”.

1. По-добра сигурност. Ако се логвате в сайта си ще бъде трудно паролата да бъде подслушана.

2. По-добро класиране в Google. (Виж следващия параграф).

3. По-висока скорост на сайта, ако се ползва HTTP/2 (SPDY).

Заб.1 Да не се ползва софтуер за пренасочване, като плъгини за WordPress.

Заб.2 Да се избягват прекалено дълги списъци за пренасочване в htaccess файла.

4. За правилно отчитане на реферал трафика в Google Analytics.

Ganbox съвет: Причината за това е, че ако има линкове от HTTPS сайтове към вашия HTTP сайт, то те не се отчитат от Analytics и това изкривява статистиката.

5. Авторитет на сайта и изгрждане на доверие в потребителите.

Не се показва индикатор за несигурен сайт в браузъра, който ще става все по-видим. Потребителите се доверяват много повече на сайтове, които ползват HTTPS.

.

Видеото от канала на Google Chrome Developers, в което се говори за ползите от преминаването към SSL сертификат:

Може ли да повлияе HTTPS на класирането в Google?

Да, дори Google потвърждават това, но трябва да се има предвид, че това е само един от над 200 сигнала, които влияят положително на оптимизацията. Сам по себе си този сигнал е много слаб и едва ли ще видите чувствителна разлика. Правени са вече доста експерименти. Някои оптимизатори твърдят, че има чувствително подобрение, но има и такива, които не усещат разлика.

Много е важно да се отбележи, че от SEO гледна точка, преминаването към HTTPS е една процедура, която съдържа няколко важни стъпки. Ако тази процедура не бъде изпълнена правилно е възможно да навредите на SEO оптимизацията на сайта си, включително сайтът ви напълно да изчезне от индекса на Google! Силно препоръчваме да се консултирате с опитен SEO експерт. Внимателно прочетете следващата точка и ако имате нужда от помощ, се свържете с нас от страница Контакти.

 

Процедура за преминаване към SSL сертификат

Как да преминете от HTTP към HTTPS протокол?

1. Подготовка за преминаване към HTTPS

1.1. Ако сте на споделен хостинг и сте избрали да купите сертификат, първо се уверете, че вашият уеб сървър поддържа SNI технология, която позволява на един IP адрес да има повече от един SSL сертификат. Ако това условие не е изпълнено, може да се наложи преместване на вашия хостинг акаунт на отделен IP адрес, който се заплаща допълнително и има годишна такса. Попитайте хостинг доставчика си.

1.2. Много добра идея е преди да започнете, да поставите под наблюдение позициите на ключовите думи на сайта си и да следите как ще се отрази преминаването към HTTPS. Може да направите това с нашия онлайн инструмент pos.ganbox.com за автоматично ежедневно измерване на позициите на ключови думи в Google. Така ще може да измерите дали сертификатът е повлиял положително или отрицателно на SEO на сайта ви.

1.3. Преди да започнете, ползвайте краулер подобен на Screaming Frog SEO Spider Tool за обхождане на сайта. Проверете дали страниците имат canonical тагове и при промяната дали ще бъдат правилно сменени. По подобен начин проверете дали вътрешните линкове, ще бъдат правилно променени с протокол "https://". Проверете къде се намират тези линкове - в текстовете на сайта (обикновено записани в база данни) или във файловете на сайта. Запишете местата, които ще трябва да се променят ръчно.

1.4. Планирайте си времето за миграция на сайта към HTTPS. Времето е основно разделено на две: време за издаване и инсталиране на самия сертификат и време за извършване на SEO настройки и наблюдение в последствие. Първото зависи от типа на сертификата, както написахме горе, и може да продължава от минути до около месец. Второто време, вече зависи от големината на сайта и качеството на кода. Също може да варира от часове до седмици и дори месеци. При огромни сайтове със стотици хиляди страници, се намесва и технологичното време за преиндексиране на всички страници на сайта в индекса на Google.

2. Процедура за преминаване към HTTPS протокол

♦ Купете SSL сертификат или изберетe безплатен. За да поръчате сертификат за вашия сайт от Superhоsting последвайте линка http://goo.gl/iXkOUM

♦ Инсталирайте сертификата. Хостинг компанията може да ви помогне с това, ако купите от тях сертификата. Друг вариант е да се обърнете към SEO оптимизатора на вашия сайт.

След инсталирането, вашият сайт ще се отваря на два различни адреса http:// и https://. Не трябва дълго да стои в това състояние поради SEO причини.

Ако след отварянето на сайта през https:// има страница, която дава предупреждение за  миксирано съдържание, това означава, че има в HTML кода на тази страница адреси, които се зареждат през "http://". Преди да правите пренасочване изпълнете следните точки:

1. Вътрешни връзки. Проверете всички вътрешни връзки между страниците на сайта си и дали те са променени да ползват новия протокол https. Не трябва да имате връзки към стария протокол, дори те да са направени да пренасочват към новия. Добра практика е да сканирате сайта си с платен инструмент, като Screaming Frog.

2. Търсене във всички файлове на сайта, дали се съдържа някъде твърдо зададен (hardcoded) низ “http://site.com”. Ако сайтът е програмиран правилно, трябва да няма такова място или да е само в една константа, което ще изисква промяна само на едно място.
Все пак в практиката често наблюдаваме хардкоднати низове с домейна в множество файлове, например в JavaScript файлове.

Ако сайтът извиква външни JavaScript библиотеки, като например jQuery, обикновено всяка от тях си има версия с https и трябва да се замени в кода.

3. Търсене в базата данни на сайта, дали се съдържа някъде твърдо зададен  низ като “https://ganbox.com”.

4. Специално внимание на robots.txt, защото може да съдържа адреси с "http://", които трябва да се променят.

Ganbox съвет: Никога не ползвайте абсолютни линкове, започващи с протокола "http://". Вместо това ползвайте в началото на линка само "//". Пример "//ganbox.com" вместо "https://ganbox.com".

 

♦ Направете 301 пpeнacoчвaнe в .htaccess нa вcичĸи стари cтpaници от НТТР ĸъм НТТРЅ.

Заб. Преди да направите тази стъпка, тряба да са изпълнени всичи предишни стъпки!
Тук най-често хората бъркат, защото сайтът вече има 4 различни версии на началната страница и това са:

http://site.com
http://www.site.com
https://site.com
https://www.site.com

Важното е трите версии да имат директно пренасочване към четвъртата версия, която е избрана за основна. Това обикновено се прави от опитен SEO оптимизатор.

В Ganbox често срещаме сайтове с верижни пренасочвания, които чувствително бавят сайта особено при мобилните устройства.

♦ МНОГО ВАЖНО: Проверете всички canonical тагове, защото те съдържат абсолютни URL адреси, които започват с "http://". Променете всички подобни тагове на всяка страница в сайта. Това обикновено се прави софтуерно от програмист.

♦ Добавя се в Google Search Console и новата версия на сайта https://site.com, както и версията https://www.site.com за всеки случай. Посочете на Google Console коя е предпочитаната от вас версия за индексиране. Ако сте имали геотаргетиране, направете тази настройка и в https версията.

♦ ВАЖНО: Променете всички адреси във вашия Google XML Sitemap! Обикновено се намира на адрес site.com/sitemap.xml (или компресиран файл sitemap.xml.gz) в него на всеки ред съдържащ "loc" трябва да се промени протокола от “http://” на “https://”.

Ganbox съвет: При някои сайтове този файл се създава динамично, но има кеш файл, който трябва да се изтрие.

След това добавете XML sitemap файла в Google Search Console във версията с "https://". За да ускорите преиндексирането (вж. картинката) влезте във "Fetch as Google" и натиснете бутон [Fetch] това ще добави началната страница "/" и след това се натиска бутон [Request indexing] на реда срещу "/". На следващата стъпка се избира втората опция "Crawl this URL and its direct links." и се натиска синия бутон [Go].

- Ако ползвате Yandex Webmaster Tools  се правят същите стъпки като в Google: добавя се нова версия на сайта и се изпраща XML sitemap картата.

- Ако ползвате  Bing Webmaster Tools не е нужно се добавя нова версия на сайта, само се изпраща повторно XML sitemap картата.

 

♦ Входящи линкове (backlinks).
Променете всички входящи линкове да сочат директно новите адреси. Πишете на сайтовете, които имат връзки към вашия с молба за промяна на URL адреса на линка. Ако има пренасочване е добре да се замени с директен линк. Може да започнете от социалните профили и бизнес страници във Facebook, Twitter, Google+, LinkedIn и т.н., както и други сайтове, до които имате достъп. Променете възможно повече входящи линкове, така че да не минават през пренасочване.

♦ ВАЖНО! Ако имате в Google Console добавен Disavow файл е много важно да бъде добавен и в новата версия на сайта.

♦ Добавете хедър Strict-Transport-Security с голяма продължителност. Вашият сайт връща този хедър и веднъж върнат за определен период от време, вашият браузър запомня това и след това директно ще търси https версията, дори да напшете http// отпред или само домейна в браузъра. Този хедър HTTP Strict Transport Security (HSTS) може да бъде много полезен за предотвратяване на определен вид атаки, като открадване на бисквитки и protocol downgrade атаки.

♦ Промяна в Google Analytics на протокола (прави се от потребител с права администратор) :

Property Settings - Default URL

View Settings - Website's URL

♦ Повторно свързване на Google Analytics профила и новата версия в Golgle Search Console.

♦ Промяна на URL адреса на сайта в Google My Business да започва с https.

♦ Прегледайте кампаниите си в Gооglе Аds (FB Ads, Bing Ads и др. рекламни мрежи), ако там има връзки към URL адреси c „httр://“ – променете ги;

- Ако ползвате CDN доставчик за сервиране на статичното съдържание (картинки, CSS, JS и др.), проверете настройките в техния сайт, за да се уверите, че ще сервират това съдържание през https.

- Ако ползвате Facebook App за сайта, ще трябва да промените адреса на сайта от https://developers.facebook.com/apps -> избира се App на сайта -> вляво Settings -> отдясно се променят Site URL и Mobile Site URL. Накрая "Save Changes".

- Ако ползвате YouTube Channel ще трябва да го свържете повторно с новата версия на Google Console, като влезете в YouTube dashboard и там избирате вашия Channel и после Advanced, после в полето Associated website, променете адреса да бъде с https и натиснете бутона [Add]. Ще трябва да потвърдите връзката, като влезете в Google Console.

 

3. Проверки и мониторинг след преминаване към HTTPS

♦ Може да тествате дали сертификата е инсталиран правилно и дали няма дупки в сигурността, като ползвате следния безплатен онлайн инструмент https://www.ssllabs.com/ssltest/analyze.html При този тест, трябва да получите оценка A (отличен) на всеки от редовете за проверка.

♦ В следващите няколко дни следете в Google Search Console как се индексира https версията за сметка на  http версията на сайта. В зависимост от големината на сайта, това може да продължи със седмици, защото реално Google изважда от индекса си всички вътрешни URL адреси и на тяхно място поставя новите адреси с https.

♦ Измерете промяната на видимостта на сайта и позициите на ключовите думи. Споделете с нас дали при вас е имало положителен или отрицателен ефект във Facebook групата Интернет маркетинг на адрес https://www.facebook.com/groups/bgmarketing/

 

Недостатъци на SSL сертификата

- Скоростта на сайта едва доловимо намалява заради времето нужно за криптиране и декриптиране на информацията. Това се отнася за всеки един URL, който се среща в страницата, включително изображения, CSS и JS. Колкото повече отделни елементи изграждат страницата, толкова по-доловимо е забавянето.

Всичко това обаче се компенсира от все по-масовото преминаване към протокол HTTP/2, който осигурява над 50% по-висока скорост в сравнение със стария HTTP/1.1. Няма да влизаме в мрежови подробности, но е важно да знаете, че ако искате да ползвате HTTP/2 е нужно да имате HTTPS поради съвместимост в браузърите – към този момент новият протокол се поддържа от повечето браузъри само през HTTPS. Накратко, ако ползвате HTTPS през HTTP/2 общата скорост на сайта ще бъде чувствително по-висока.

- Трябва да се подновява всяка година или да предплатите сертификата за повече от една година. Ако забравите да подновите сертификата става доста забавно, защото всеки посетител на сайта започва да вижда плашещо съобщение за непознат на браузъра сертификат. Безплатният сертификт Let’s Encrypt изтича през 3 месеца, при което получавате на имейл линк за подновяване. Необходимо е да посетите линка, за да бъде подновен сертификата. Повечето хостинг доставчици подновяват автоматично сертификата за вас. Ако е купен от хостиг доставчик, той също ще ви уведоми при изтичане на сертификата.

- Опасност за SEO оптимизацията на сайта при неправилно изпълнена процедура, водеща понякога до отпадане от Google.

- Нулират се всички Like и Tweet броячи в страниците на сайта, защото са на ниво URL адрес, а той реално е променен. Само брояча на бутона +1 на Google+ се запазва.

 

 

Съвети специално за WordPress сайтове преминали на HTTPS

От Настройки променяме двете полета:

WordPress Адрес (URL)

Адрес на сайта (URL)

Ganbox съвет: Ако ползвате Yoast плъгин, всички canonical тагове ще се обновят автоматично след горната промяна.

Ако влезете в сайта и получите съобщение:

The page isn’t redirecting properly

Трябва в базата данни на WordPress да се направят следните 4 SQL заявки (като смените домейна с вашия естествено):

UPDATE wp_options SET option_value = replace(option_value, 'http://ganmax.com',
'https://ganmax.com') WHERE option_name = 'home' OR option_name = 'siteurl';

UPDATE wp_posts SET guid = replace(guid, 'http://ganmax.com','https://ganmax.com');

UPDATE wp_posts SET post_content = replace(post_content, 'http://ganmax.com',
'https://ganmax.com');

UPDATE wp_postmeta SET meta_value = replace(meta_value,'http://ganmax.com','https://ganmax.com');

Също така във файла wp-config.php преди реда:
/* Моля, не редактирайте нищо по-долу! И весело блогване 🙂 */
добавяме следните редове:

/** SSL */
define('FORCE_SSL_ADMIN', true);
// in some setups HTTP_X_FORWARDED_PROTO might contain
// a comma-separated list e.g. http,https
// so check for https existence
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
$_SERVER['HTTPS']='on';

Може да се наложат още настройки на темата, например път до логото.

Също, ако има ползвани text джаджи съдържащи HTML код.

Някои WP плъгини и настройки след преминаване към HTTPS

Ganbox съвет:  Не ползвайте плъгин  Really simple ssl - ще ви създаде проблеми!

Ако вече ползвате някой от следните плъгини, ще са ви нужни допълнителни настройки описани долу:

XML Sitemap Генератор за WordPress 4.0.8 (или по-нов)

- проверка на Sitemap;
- изтриване на стар кеширан файл .xml или .xml.gz.

KK star rating – изтриване на иконките на звездичките и Save;

Google Analytics Settings – ново оторизиране.

От автора Георги Стефанов: публикацията може да бъде допълвана в бъдеще.

 

Прочетена:25702
1 - лоша2 - слаба3 - средна4 - добра5 - отлична (6 гласа, оценка: 5,00 от 5. Моля изберете оценка!)
Loading...
Георги Стефанов
Магистър по информатика, който се занимава с компютри от 1988 г., професионално с програмиране от 1998 г., а с уеб технологии от 2002 г. Има богат опит при оптимизиране на бизнес сайтове. Повече от 15 години развива успешно свои уеб проекти и работи с български и международни компании за постоянно подобряване на техните сайтове и увеличаване на онлайн продажбите. 

3 comments on “SSL сертификат и преминаване към HTTPS версия на сайта”

  1. Благодаря ти за хубавата статия, Георги. Аз лично бих избегнал стъпката с мониторинга на ключовите думи след миграцията - не за друго, а защото така или иначе не мога без сертификат.

  2. Здравей, Жоро!

    Какво ти е мнението за безплатни сертификати? Също така одобряваш ли използването им при онлайн магазини? По принцип знам, че let`s encrypt не трябва да се слага на комерсиални сайтове, но вече съм виждал не един и два подобни случая. Според теб какъв ефект ще има това?

  3. От гледна точка на SEO към момента няма разлика в използвания сертификат.

споделиха
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram