Преминаване от HTTP към HTTPS протокол

Въпреки многобройните ползи от преминаването към HTTPS много оптимизатори и собственици на сайтове все още не са го направили.

Защо да мигрирате към HTTPS?

В наръчника си за миграция на сайтове Google посочва няколко причини за това:

Данните, изпратени чрез HTTPS са защитени чрез Transport Layer Security протокол (TLS), който предвижда три основни защити:

1. Encryption. Шифроването на обменените данни между потребителя и уеб сайта ви опазва от подслушвачи. Това означава, че докато потребителят разглежда уеб сайт, никой не може да "прихване" разговорите му, да проследява дейността му по страниците или да краде съобщения.

2. Data integrity. Данните не могат да бъдат умишлено или другояче модифицирани или повредени по време на прехвърлянето, без това да бъде засечено.

3. Authentication. Доказва, че вашите потребители общуват с дадения сайт. Предпазва срещу атаки и изгражда потребителско доверие, което носи и други ползи за бизнеса.

Преминаването към HTTPS не позволява и промъкването на реклами в сайта Ви. (AT&T was injecting ads into their hotspots)

Прави ли HTTPS сайта Ви по-защитен?

Фактът, че HTTPS протоколът се счита за надежден, не прави сайта ви по-защитен. Той може все още да бъде уязвим към следното:

  • Downgrade атаки
  • SSL/TLS уязвимост
  • Heatbleed, Poodle, Logjam и др.
  • Атаки към сайта през сървъра или мрежата
  • Софтуерна уязвимост
  • Брутални силови атаки
  • DDOS атаки

 

Как да направим прехвърляне от HTTP към HTTPS

  1. Започнете натестов сървър. Важно е, защото Ви позволява да направите всичко правилно и да тествате без сривове в реално време.
  2. Обходете сайта си преди прехвърлянето, за да знаете текущото му състояние и да имате база за сравнение.
  3. Прочетете цялата документация за вашия сървър или CDN за HTTPS. Понякога се натъкваме на забавни, но прости решения на CDN проблеми.
  4. Получете сертификат за сигурност и го инсталирайте на сървъра. Той варира много в зависимост от Вашите хостинг среда и настройки на сървъра.
  5. Актуализирайте препратките в съдържанието на сайта (вътрешните линкове). Това обикновено се прави с търсене и заместване в базата данни. Ако използвате HTTPS или алтернативен път, трябва да актуализирате всички препратки към вътрешните връзки.
  6. Актуализирайте препратките в темплейта.Това може да бъде направено с Git или просто с Notepad, но ако искате да направите сигурни препратки към скриптове, изображения, връзки и други, може да използвате HTTPS или алтернативен път.
  7. Актуализация на каноникъл таговете (canonical tags). При прехвърлянето повечето CMS системи се грижат за това, но проверете отново - не винаги е така.
  8. Актуализация на hreflang тагове, в случай, че Вашият сайт използва такива или други тагове като OG тагове. Повечето CMS системи се грижат за това, но най-добър е QA.
  9. Актуализирайте всички плъгини/модули/добавки, за да се уверите, че нищо не прекъсва. Често се появяват проблеми с вътрешното търсене в сайта или с някои форми.
  10. Може да се наложи да промените CMS-специфичните настройки. При големи CMS системи това обикновено е добре документирано в наръчниците за прехвърляне.
  11. Обходете сайта, за да се уверите, че няма неработещи линкове. Можете да ползвате Screaming Frog reports.
  12. Уверете се, че всички външни скриптове поддържат HTTPS.
  13. Подсилете HTTPS с редиректи. Това зависи от сървъра и конфигурацията му, но е добре документирано за Apache, Nginx и IIS.
  14. Обновяване на стари редиректи на място (докато сте в сайта или директорията, вземете обратно загубените си връзки от пренасочвания, ненаправени през годините). Ако старателно пренасочите линковете – това, което най-често създава проблеми при миграция към HTTPS, няма да има спад в ранглистата или трафика на сайта Ви.
  15. Обновете картите на сайта, така че да използват HTTPS версии на URLs.
  16. Актуализирайте файла robots.txt, за да включите новата карта на сайта си.
  17. Активирайте HSTS. По този начин казвате на браузъра да използва винаги HTTPS, което елиминира проверка от страна на сървъра и помага за по-бързото зареждане на вашия сайт. На моменти това може да доведе до объркване и пренасочването да покаже грешка 307. Зад нея може да се крие грешка 301 или 302. Затова изчистете кеша на браузъра си, за да видите коя е точно грешката.
  18. Активирайте OCSP stapling. Това позволява на сървъра да провери дали сертификатът за сигурност на браузъра е отменен, с което ще избегнете евентуален download или препратка към органа за издаване на сертификат.
  19. Добавете HTTP/2 support.
  20. Добавете HTTPS версия на сайта си за всички версии на търсачката за инструменти за уеб администратори, които използват и зареждат нова карта на сайта с HTTPS. Това е важно при диагностициране на трафика, тъй като трафикът на HTTP профила спада и се пренасочва към профила на HTTPS. Когато пренасочвате от HTTP към HTTPS, не е нужно да правите промяна на Address инструмента.
  21. Актуализирайте файла за отказ (disavow file), ако имате такъв на HTTPS версията.
  22. Актуализирайте настройките за URL параметри, ако сте ги конфигурирали.
  23. Уверете се, че в Analytics платформата си сте актуализирали URL-а по подразбиране, ако се изисква такъв, за да гарантира правилното проследяване на HTTPS.
  24. Актуализирайте броя на споделянията (social share). Тук има много проблеми, тъй като някои от мрежите прехвърлят преброяванията през техните APIs, а други не. Има наръчници за това, ако се интересувате от запазване броя на вашите споделяния.
  25. Актуализирайте Вашите медийни, имейл или маркетингови кампании с HTTPS версията на URL адреса на сайта ви.
  26. Актуализирайте другите инструменти, които използвате като A/B testing software, heatmaps и keyword tracking, за да използват HTTPS версията на URL-а.
  27. Наблюдавайте всичко по време на миграцията към HTTPS, проверявайте втори и трети път, за да сте сигурни, че всичко върви гладко. Има много възможности за грешка и много налични решения за тях.

 

Често задаван въпрос е как да бъдат почистени входящите връзки. Това изисква много време и усилия. Ако го имате - направете го, но ако сте зает, това не е абсолютно необходимо. Важно е обаче да се актуализират връзките към всички профили, които контролирате, като например профилите Ви в социалните мрежи.

Проблеми при HTTPS миграции

Нещата, които могат да се объркат са следните:

  • Възпрепятстване на Google или търсачките да обхождат HTTP версията на сайта ви (обикновено се случва при липса на ъпдейт на тест сървъра, така че да допуска ботове);
  • Дублирано съдържание с двете версии (HTTPS и HTTP) на сайта ви
  • Различни версии на сайта на HTTP and HTTPS протокола.

 

Повечето от проблемите при HTTPS миграцията са в резултат от неправилно направени редиректи. Има дори случаи, в които сайтове променят цялата си структура или дизайн при миграцията към HTTPS.

Редиректите заслужават специално внимание

Редиректите си остават основен проблем при тези миграции. Не е достатъчно промяната да бъде направена на ниво регистър, в конфигурацията на сървъра или дори в a .htaccess файла.

Но този проблем винаги има решения. Проверете добре началната страница и подстраниците на сайта си. Проблемите по тях са различни, в зависимост от начина и мястото, където са записани правилата. Проверете добре status codes и hops, а не само дали водят към правилната страница.

Например:

Не помага, когато в  Apache’s documentation  не е включена грешка301 и Apache я отнася към 302. Кодът по-долу трябва да бъде ъпдейтван към R=301.

RewriteEngine On
# This will enable the Rewrite capabilities
RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
# This rule will redirect users from their original location, to the same location but using HTTPS.
# i.e.  http://www.example.com/foo/ to https://www.example.com/foo/
# The leading slash is made optional so that this will work either in httpd.conf
# or .htaccess context

 

Често след прехвърлянето тази грешка изчезва, но месеци по-късно, когато Google разбере какво се е случило и я коригира.

Доверявайте се, но проверявайте. Използвайте инструменти като Screaming Frog  и Ayima Redirect Path  за бърза проверка на стариURLs или действие с Excel при големи групи URLs и стари редиректи.

Източник searchengineland.com