Перейти на сайт

Водители, пытающиеся оформить электронное ОСАГО (будь то Росгосстрах или любая другая компания), часто после заполнения и проверки всех полей получают вот такую ошибку и предложение “Перейти на сайт замещающего страховщика”:

Формулировки могут быть разными, но суть одна – вам сообщают о наличии некой “угрозы наступления рисков бесперебойности функционирования сайта” и предлагают перейти на сайт “замещающего страховщика”. Что это такое? Почему? И что делать?

Что такое замещающий страховщик?

Все члены Российского Союза Автостраховщиков (РСА, в эту организацию входят все компании, имеющие лицензию на ОСАГО в России) поделили между собой автомобили. Просто по номеру ПТС, то есть каждому автомобилю в зависимости от последних цифр ПТС приписана некая компания.

Географический признак не учитывается, т.е. вашему номеру может быть назначен страховщик из другого региона, впрочем все страховые обязаны иметь представителя в каждом регионе РФ – свой собственный филиал или партнера из числа других страховых компаний. Распределение учитывает долю рынка – это значит, что больше всего машин приписано Росгосстраху (как лидеру рынка ОСАГО), а небольшие компании получают меньше автомобилей.


Эта система была придумана для использования в продажах “единого агента” в токсичных регионах в 2016 году, но к 2017 году перекочевала в область электронного ОСАГО.

Почему и как это происходит?

Потому что страховые компании не хотят страховать некоторые регионы, некоторых водителей, некоторые машины. Поэтому был введен такой принцип солидарности – каждый получает по чуть-чуть “плохих” клиентов.

В сфере е-ОСАГО это происходит следующим образом. По закону, если страховая компания не хочет не может застраховать клиента из-за технических проблем (но кто проверит – технические это проблемы, или сайт автоматически определил, что вы – нежеланный клиент), то она обязана перенаправить клиента замещающей страховой компании, определенному по номеру ПТС. Отсюда и такая странная формулировка про “риск нарушения бесперебойности”, это цитата из закона.

И вот уже эта замещающая страховая компания должна вас застраховать. Для неё предусмотрены штрафы за то, что она это не сделает.

Читайте также: ЦБ признал существование фильтров у сайтов страховых компаний.


Что делать?

Во-первых, если вы все-таки горите желанием застраховаться у той компании, на сайт которой вы изначально зашли, то надо попытаться поменять некоторые данные. Например, убрать водителей с плохим Кбм, поставить “неограниченное число водителей” (мультидрайв). Возможно, таким образом, вы выйдите из под фильтра и система пропустит вас к покупке.

Но лучше все-таки пытаться оформить е-полис ОСАГО через интернет-сайт замещающего страховщика. Повторюсь, там шансы выше, так как за это уже положены штрафы от ЦБ. Но тоже гарантий никто не даст, конечно. Тем не менее, замещающий страховщик уже не сможет “отфутболить” вас на основании технических проблем, поэтому имеет смысл пытаться. Тем более, что во многих страховых компания можно загружать сканы документов, если какие-то данные не совпадают с базой АИС РСА, эти сканы вручную проверит сотрудник страховой и внесет изменения в базу.

Многие бояться страховаться, так как замещающим страховщиком им назначают малоизвестную компанию из другого региона, без офисов в их городе. Это не приятно, но закон об ОСАГО это предусмотрел. Повторюсь, каждая страховая компания обязана иметь представителя по ОСАГО во всех субъектах федерации. В случае небольших региональных компаний эту роль в основном играют крупные страховщики вроде Росгосстраха, Ингосстраха, АльфаСтрахования и т. д. То есть при страховом случае вам надо будет обращаться в их филиал.

Подробнее узнать кто является представителем в вашем городе можно по горячей линии замещающего страховщика или на сайте. Для примера, вот список представителей страховой компании Московия в каждом регионе: http://www.skmoskovia.ru/files/images/Representative_on_01.07.2016.pdf Хотя сама Московия имеет офисы только в Центральной части России.

P. S. Замещающий страховщик на сайте РСА


В июне 2017 года РСА анонсировал нововведение. Чтобы гарантировать покупку е-ОСАГО у замещающей компании, планировалось с июля 2017 года перенаправлять клиента не на её сайт, а на сайт РСА. И там бы клиент уже оформлял полис, выписанный от лица замещающей компании. Однако на практике в июле 2017 это ещё не работает.

Добавлено: 25 июля РСА запустил систему е-Гарант.

Также в большинстве случаев (есть исключения) не работает функция “Перейти с передачей данных”. Это значит, что скорее всего вам придётся заново вбивать все номера паспортов, ПТС, прав и т. п. на новом сайте.

osagoonline.info

Каким сайтам нужно переходить на протокол HTTPS?

Если отвечать коротко, то — всем. Это связано с тем, что уже с начала 2017-го года браузер Google Chrome будет помечать некоторые сайты без HTTPS как небезопасные и понижать в выдаче поисковых систем.

А вообще все идет к тому, что в будущем сайтов без HTTPS вообще не останется. HTTPS для сайта — это что-то вроде паспорта для человека в реальной жизни. Также как в жизни мы не будем заключать договор с человеком без паспорта, также и браузеры не будут взаимодействовать с сайтом без возможности шифрования передаваемых данных.

Как перевести свой сайт на HTTPS?


Чтобы перевести ваш сайт на работу по протоколу HTTPS вам понадобится так называемый SSL-сертификат. 

Давайте разберемся, какие бывают сертификаты и чем они между собой отличаются.

Первое, что вам надо знать — сертификаты различаются по их происхождению. Здесь всего два варианта.

1. Самоподписанные сертификаты (Self-Signed).

Мне понравилось, как об этом виде сертификатов написано на сайте sslcertificate: «Самоподписанный (самозаверенный) сертификат вы можете и выпустить, и подписать самостоятельно. Но он обладает низкой степенью доверия и надежности, как и паспорт, который вы нарисуете и выдадите сами себе.»

Как вы поняли, такой сертификат можно сгенерировать самому, но проблема в том, что ему не будут доверять. Большинство браузеров при заходе на сайт с таким сертификатом не смогут определить этот сертификат как подлинный, поскольку центр сертификации не указан и/или не известен браузеру.

Подпись такого сертификата можно проверить, только используя публичный ключ, часть которого находится в самом сертификате. Т.е. сертификат подтверждается, публичным ключом, который является частью самого сертификата (сертификат подтверждает сам себя). Именно по этой причине браузеры не доверяют таким сертификатам.


Как результат — пользователь при заходе на такой сайт будет видеть предупреждение о том, что сертификат не удалось проверить, поэтому с этого сайта лучше поскорее уйти. 

Многие посетители, увидев такое, просто закроют вкладку браузера с этим сайтом. Такие сертификаты в основном используются для служебных целей и внутреннего использования, а вот для публичных сайтов и тем более для сайтов, которые продают услуги, такие сертификаты противопоказаны. Так что мы даже не будем рассматривать этот вариант.

2. Доверительные (Trusted) — такие сертификаты выдаются специальными центрами сертификации.

Центр сертификации — компания, которая занимается предоставлением SSL-сертификатов. Особенность этих центров заключается в том, что они выдают сертификаты, которые официально признаны во всем мире и всегда распознаются веб-браузерами пользователей. Это происходит через систему корневых сертификатов, которые установлены в браузерах. 

Заходя на сайт, защищенный сертификатом известного центра сертификации, посетитель чувствует себя гораздо уверенней и не сомневается в безопасности своих данных. Помимо этого, каждый сертификат от центра подкреплен гарантией, представляющей из себя денежную компенсацию в случае его взлома. Самые известные центры сертификации: Comodo, Symantec (поглотил известные центры VeriSign, Thawte, Geotrust), RapidSSL, GlobalSign, AlphaSSL.


Все, что будет написано далее, относится именно к доверенным сертификатам от сертификационных центров.

Теперь давайте разбираться с типами таких сертификатов.

Сертификаты отличаются по уровню проверки.

1. SSL-сертификат с проверкой домена (Domain Validated или DV). Доступен физлицам и компаниям.

Cертификат с проверкой домена подтверждает лишь тот факт, что доменное имя действительно принадлежит вам.
Данный тип сертификатов подходит как для физических лиц (в том числе и индивидуальных предпринимателей), так и для юридических (компаний, государственных учреждений, организаций). Для его выпуска не нужно предоставлять документы, что значительно упрощает процесс получения.

Обычно, чтобы получить такой сертификат в центре сертификации или у его партнера, достаточно подтвердить владение доменом. Для подтверждения домена владельцу отправляется письмо с ссылкой на E-mail ящик в домене сайта либо на E-mail, указанный в WHOIS домена. Клик по ссылке подтверждает владение доменом.

Такой SSL-сертификат зашифровывает передаваемую на сайт информацию, но не дает гарантии, что этой организации или частному лицу можно доверять. Этот тип сертификата самый дешевый (от 470 руб в год), а в некоторых случаях сертификат этого типа можно получить даже бесплатно (об этом дальше).
Выдается такой сертификат за считанные минуты. Такой сертификат отлично подойдет для обычных сайтов (блог, новостной или развлекательный портал, сайт визитка и т.д.)


2. SSL-сертификат с проверкой организации (Organization Validated или OV). Доступен только компаниям.

В данном случае сертификационный центр проводит более существенную проверку.
Она включает проверку регистрационных документов компании или индивидуального предпринимателя в государственных и коммерческих базах данных, а также проверку их законного владения доменом.

После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в запросе, и принадлежит ли ей указанный домен.

Такие сертификаты выдаются в срок от одного до трех дней. Стоимость здесь уже выше (от 2620 руб/год).

Этот тип сертификатов хорошо подходит для интернет-магазинов, страховых компаний и других проектов, связанных с обработкой и хранением персональных данных.

Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.

3. SSL-сертификат с расширенной проверкой (Extended Validation или EV). Доступен только компаниям.

Это самые дорогие сертификаты, и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе на сайт, где установлен такой сертификат, в адресной строке многих браузеров посетитель видит зеленую строку, в которой будет указано название организации, получившей сертификат.

Вот как это выглядит при заходе на сайт банка Тинькофф в браузере Opera:


Перейти на сайт

Такие сертификаты обладают наибольшим уровнем доверия среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.

SSL-cертификаты с расширенной проверкой (EV) выпускаются, только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен, плюс центр сертификации выполняет тщательную проверку самой организации. Процесс выпуска сертификатов EV стандартизирован и должен строго соответствовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата.

Расширенная проверка занимает от 3 дней до 9 дней. 

Это самый дорогой тип сертификата (от 10 447 руб/год).

Этот сертификат подходит для платежных систем, сайтов банков и других проектов, связанных с работой с важной, в том числе финансовой, информацией.

Сертификаты отличаются по количеству доменов, на которые распространяется их действие.

SSL-сертификат для одного домена — защищает один домен (на поддомены кроме www его действие не распространяется).


Мультидоменный SSL-сертификат — защита до 100 доменных имен одним сертификатом. При покупке обычно в цену уже включена защита трех доменов, остальные просто докупаются. 

SSL-сертификат Wildcard — защищает домен и все его поддомены. Удобно, когда у вас на сайте есть много поддоменов, которые также должны работать по HTTPS.

Также вы можете встретить такие сертификаты, у которых есть дополнительные возможности:

SSL-сертификат с опцией IDN — сертификат, поддерживающий национальные домены (например .рф, .рус и т.д.).

SSL-сертификат с технологией SGC — этот вид сертификатов уходит в прошлое. Он позволяет посетителям со старыми браузерами использовать современное 128- и 256-битное шифрование, которое изначально ими не поддерживается. Сейчас все меньше пользователей использует устаревшие версии браузеров, которые поддерживали слабое шифрование, поэтому необходимость использования SSL-сертификатов
с SGC сегодня сводится к нулю, в связи с чем такие центры сертификации как Comodo и Thawte уже прекратили выпуск этих SSL-сертификатов. Хотя, при желании, их еще можно найти.

Есть и другие виды сертификатов (Code Signing сертификат, сертификат электронной почты (S/Mime) и другие), но к сайтам они отношения не имеют.

Теперь, обладая этими знаниями, вы легко сможете ориентироваться в типах сертификатов. Вот пример того, как это выглядит на сайте firstssl.ru


Перейти на сайт

Как определить какой сертификат подходит для вашего сайта?

Здесь все просто.

Шаг 1. Определяемся с типом сертификата по уровню проверки.

Если у вас просто блог, новостной или развлекательный портал, сайт визитка и т.д. выбираем обычный самый дешевый либо вообще бесплатный SSL-сертификат с проверкой домена (Domain Validated или DV).

Если ваш сайт связан с приемом заказов или вы собираете и храните личные данные пользователей, то лучше выбрать SSL-сертификат с проверкой организации (Organization Validated или OV).

Если же у вас что-то типа платежной системы, банка или страховой компании и пользователи передают вам очень ценные данные (например, данные кредитных карт), то лучше выбрать SSL-сертификат с расширенной проверкой (Extended Validation или EV)

Шаг 2. Определяемся с типом сертификата по количеству доменов/поддоменов.

Если вам надо защитить только один домен, то значит вам нужен SSL-сертификат того типа, что вы выбрали на первом шаге для одного домена. 

Если вам надо защитить один домен и все его поддомены, то значит вам нужен SSL-сертификат того типа, что вы выбрали на первом шаге с опцией Wildcard. Либо несколько одиночных сертификатов (для каждого поддомена свой).

Если вам надо защитить одним сертификатом несколько ваших доменов, то значит вам нужен SSL-сертификат того типа, что вы выбрали на первом шаге с опцией MULTI-DOMAIN. 

Итак, допустим вы определились, что вам нужен SSL-сертификат с проверкой домена (Domain Validated или DV) для одного домена, что дальше?

Как и где заказывать сертификат?

Чтобы ответить на этот вопрос вам надо понять, чем отличаются между собой разные центры сертификации.

Центров сертификации существует достаточно много, вот перечень самых популярных:

Symantec (также в его состав входят такие центры как Verisign, Thawte и Geotrust), Comodo, Trustwave, RapidSSL, GlobalSign, AlphaSSL.

Самый крупный игрок на рынке SSL сертификатов — это Symantec, который владеет тремя крупными центрами сертификации: Thawte, Verisign и Geotrust.

Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневого сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра. Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены во всех современных браузерах.

Во всех вышеуказанных центрах сертификации SSL-сертификат можно получить, только заплатив за него определенную сумму. Причем покупать сертификат напрямую у центров сертификации невыгодно, так как цена для конечных пользователей у них существенно выше, чем для партнеров. Выгоднее всего покупать такие сертификаты через партнеров. Партнеры закупают сертификаты оптом и имеют специальные цены, что позволяет продавать сертификаты намного дешевле, чем напрямую в центре сертификации.

Примеры партнеров, у которых можно купить сертификаты дешевле, чем если брать напрямую:

firstssl.ru, sslcertificate.ru, ssl.com.ua

Кроме этого,  партнерами центров сертификации являются хостинг-провайдеры и регистраторы доменов. Поэтому часто вы можете купить SSL-сертификат через них. 

Можно ли получить SSL-сертификат бесплатно? 

Да, такая возможность есть, но здесь есть несколько ограничений.

Во-первых, бесплатно можно получить только самый простой вариант сертификата (с проверкой домена DV) без опций Wildcard или Multi-domain.

Во-вторых, такой сертификат будет от центра сертификации второго эшелона (в целом в этом нет ничего плохого, т.к. все современные браузеры отлично распознают их сертификаты).

В-третьих, процесс получения и установки таких сертификатов не всегда прост и понятен обычному владельцу сайта.

Два лидирующих бесплатных центра сертификации:

https://www.startssl.com  (на данный момент, все сертификаты выпущенные этим центром после 21.10.16 не поддерживаются новыми версиями браузеров Google Chrome и Mozilla Firefox. Лучше пока не использовать этот центр сертификации.)

https://letsencrypt.org

В целом их вполне можно использовать, особенно для не самых важных ваших проектов. Ниже вы найдете видеоуроки по получению сертификатов в этих центрах. Для основных ваших проектов я рекомендую брать самые дешевые SSL-сертификаты от топовых центров сертификации.

Как выглядит процесс покупки/получения сертификата?

Рассмотрим процесс на примере самого простого сертификата с проверкой домена (DV).

Шаг 1. Регистрируемся на сайте центра сертификации или на сайте партнера.

Шаг 2. Выбираем тип сертификата, который нам нужен. Например, сертификат для одного домена с минимальной проверкой (DV).

Шаг 3. Генерируем CSR-запрос на сертификат. CSR (Certificate Signing Request) — это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ. Обычно CSR генерируется в процессе заказа SSL-сертификата.

Файл ключа, который у вас получится при генерации CSR-запроса, нужно обязательно сохранить, он вам еще понадобится.

Шаг 4. Оплачиваем сертификат (если вы выбрали платный вариант).

Шаг 5. Подтверждаем владение доменом. Для этого вам понадобится email-ящик в зоне вашего домена. Туда будет отправлено письмо, в котором надо кликнуть по ссылке или скопировать код, который нужно ввести на странице центра сертификации.

Шаг 6. Дожидаемся выпуска сертификата и скачиваем его. 

Шаг 7. Устанавливаете сертификат на сайт, используя файл(ы) сертификата и фаил-ключа, который у вас получился на третьем шаге. Если ваш сайт расположен на обычном хостинге, то лучше предварительно написать в сапорт и уточнить, как правильно установить сертификат. Если у вас свой сервер, то просто передайте все файлы администратору, он сам за 5 минут все установит.

Если SSL-сертификаты можно приобрести/получить через вашего хостера, то процесс обычно сильно упрощается. Обычно прямо в панели управления хостинга можно для выбранного домена заказать сертификат, который после получения будет автоматически установлен. 

А чтобы вам было проще во всем этом разобраться, я записал для вас несколько видеоуроков о том, как получать/покупать SSL-сертификаты. Я рассмотрел три случая.

1. Получение бесплатного SSL-сертификата в центре сертификации StartCom своими силами.

(на данный момент, все сертификаты выпущенные этим центром после 21.10.16 не поддерживаются новыми версиями браузеров Google Chrome и Mozilla Firefox. Лучше пока не использовать этот центр сертификации.)

Это видео на YouTube

Это видео на YouTube

Это видео на YouTube

2. Покупка SSL-сертификата за 470 рублей от топ-центра сертификации Comodo у партнера FirstSSL.

Из этого видео вы узнаете как купить сертификат Comodo PositiveSSL через партнера FirstSSL. Рекомендую этот вариант для важных проектов т.к. здесь вы получаете сертификат от одного из самых надежных центров сертификации.

Comodo Positive SSL сертификат является одним из наиболее доступных по цене и эффективных SSL-сертификатов, доступных сегодня. Выпуск сертификата Positive SSL занимает от 3-х минут.  Positive SSL-сертификаты обеспечивают надежную защиту всем операциям, которые совершают ваши клиенты, что обеспечивает им уверенность в том, что их конфиденциальная информация шифруется и не попадет в руки злоумышленников.

Это видео на YouTube

3. Получение бесплатного SSL-сертификата в Lets Encrypt через хостера (в данном случае это Beget)

Это видео на YouTube

Если же вы еще не купили домен, а только собираетесь это сделать, рекомендую вам изучить этот материал:

Бесплатный SSL-сертификат от Reg.ru

 

Бесплатный SSL-сертификат на 1 год от REG.RU

evgeniypopov.com

Если вы решили использовать защищенный протокол на страницах своего сайта, вы молодец. Используя HTTPS-соединение, вы заботитесь о конфиденциальности данных своих пользователей. Быть ответственным владельцем сервиса и стоять горой за безопасный Интернет стало гораздо проще после появления бесплатных SSL-сертификатов, не требующих дополнительной настройки, однако приложить некоторые усилия для перевода сайта с HTTP на HTTPS все же придется.

Полноценная настройка сайта для работы с протоколом HTTPS обычно сводится к замене протокола в прямых ссылках, присутствующих в коде сайта и его базе данных. Это могут быть как внутренние ссылки, указывающие на страницы сайта, так и ссылки, указывающие на внешние ресурсы. На сайте могут быть использованы изображения или скрипты, размещаемые на сторонних сайтах. К примеру, используемая на сайте библиотека jQuery может подгружаться извне, а не находиться в одном из его каталогов, при этом в ссылке на библиотеку будет явным образом указан протокол HTTP.

Итак, вы решили перевести сайт на работу с защищенным протоколом и установили SSL-сертификат. Теперь нужно настроить на сайте перенаправление запросов пользователей на защищенную версию сайта. Для этого в корневой директории сайта создадим файл .htaccess, если он не был создан ранее, и добавим в начало файла следующее правило:

RewriteEngine on  RewriteCond %{HTTP:X-Forwarded-Proto} !https  RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]  

После настройки перенаправления перейдем на сайт. Если часть размещаемого на странице контента по-прежнему подгружается по незащищенному протоколу, в браузере рядом с адресной строкой (в примере мы использовали браузер Mozilla Firefox) появится вот такой значок:

Перейти на сайт

 

при клике на значок отобразится сообщение о незащищенном соединении.

Перейти на сайт

 

Сейчас следует выяснить, какие именно ссылки на сайте все еще используют протокол HTTP. Для этого нажмем на стрелочку в уведомлении, выберем «Подробнее», а затем в открывшемся новом окне Информации о странице перейдем во вкладку «Мультимедиа».

Перейти на сайт

Перейти на сайт

 

Определив имена файлов или доменов, ссылающихся на сторонние ресурсы по незащищенному протоколу HTTP, найдем их, используя функцию поиска по базе данных или поиска по файлам в файловом менеджере Панели управления, и отредактируем.

Для выявления ссылок, использующих незащищенный протокол, также можно применить  «Инструменты разработчика» в браузере.  Для этого нужно нажать клавишу F12 на клавиатуре и перейти во вкладку «Консоль» открывшегося окна (или в меню «Инструменты» →«Веб-разработка» → «Веб-консоль»), в которой содержится сообщение о загрузке смешанного содержимого на сайте (Mixed Content) с соответствующими указателями.

Перейти на сайт

 

Пара слов о ссылках:

Адрес ссылки может быть абсолютным или относительным. Адреса абсолютных ссылок обычно содержат имя сайта и начинаются с указания протокола (http:// или https://). Для относительных ссылок точкой отсчета является не имя сайта, а место, где находится страница, на которой нужно разместить ссылку на другую страницу или файл.

абсолютная:      https://example.ru/news/2016/

относительная:   /news/2016/

Похожим образом ссылки могут быть относительными от протокола:

абсолютная:     https://example.ru/news/2016/

относительная:   //example.ru/news/

Лучше использовать ссылки, исключающие название протокола. В этом случае они всегда будут указывать на те страницы, которые пользователь открывает в браузере при работе с сайтом.

Например:

<script src="http://ajax.googleapis.com/ajax/libs/jquery/3.1.1/jquery.min.js"></script>

рекомендуется заменить на

<script src="//ajax.googleapis.com/ajax/libs/jquery/3.1.1/jquery.min.js"></script>

Это решение использовать не удастся, если ресурс, на который мы ссылаемся, не поддерживает работу с протоколом HTTPS. В таком случае мы рекомендуем сохранить контент, подгружаемый со сторонних ресурсов, в одном из каталогов сайта, изменив ссылку на него соответствующим образом. Предположим, на одной из страниц сайта используется изображение с сайта domain.com, не поддерживающего работу с протоколом HTTPS. Вставка изображения на странице вашего сайта осуществляется следующим образом:

<img src="http://domain.com/libraries/photos/background.png">

В таком случае нужно скачать изображение и сохранить его, к примеру, в директорию images/ вашего сайта, а затем заменить заданную через атрибут src=«» ссылку на изображение :

<img src="//images/background.png">

 

Поиск в базе данных

Для поиска абсолютных ссылок в базе данных сайта воспользуемся доступным в Панели управления инструментом PhpMyAdmin («Базы данных» -> «Войти в PhpMyAdmin»).  В PhpMyAdmin выберем базу данных нужного сайта и нажмем на кнопку «Поиск».

Перейти на сайт

В качестве значения для поиска следует выбрать имя файла или домен, обращение к которому происходит по протоколу HTTP — эти данные, как мы уже рассказали в самом начале статьи, можно получить в списке, представленном во вкладке «Мультимедиа» окна Информации о странице.

 

s-sd.ru

Что такое https?

https — это защищенный протокол передачи. От обычного http он отличается шифрованием всех передаваемых данных, что позволяет обезопасить обмен между сайтом и пользователем.

Если вдаваться в техническую часть, то работает он за счет криптографических протоколов SSL и TLS. Данные  протоколы имеют трехуровневую защиту, которая позволяет исключить перехват, перенаправление и изменение данных.

Кому нужен защищенный протокол?

Изначально защищенный протокол создавался для безопасной передачи данных о платежах и конфиденциальной информации. То есть, был необходим Интернет-магазинам, хост-провайдерам, Интернет-банкингу, а также всем тем, кто проводил финансовые операции. Со временем поисковые системы выяснили, что сайты на https обычно более качественные и безопасные для пользователей. Так защищенный протокол стал одним из факторов ранжирования.

Google открыто заявляет, что сайты с https ранжируются выше, чем прочие равные на http. Яндекс утверждает, что относится к данному протоколу нейтрально, однако практика показывает, что ресурсы с https все же выходят в ТОП охотнее.

Сегодня защищенный протокол передачи данных желательно иметь каждому. Совсем недавно появилась бесплатная версия сертификата (SSL Let’s Encrypt), поэтому переход теперь не стоит ни копейки.

Подготавливаем сайт к переезду

Прежде чем приобрести у хост-провайдера сертификат, необходимо подготовить сайт. Без этих работ переход может стоить Вам львиной доли органического трафика или работоспособности сайта. В обязательном порядке нужно:

  • Сделать все ссылки внутри сайта относительными;

    Все ссылки на сайте должны быть относительными. Грубо говоря, не иметь конкретного домена и протокола. К примеру: https://dh-agency.ru/regionalnoe-prodvijenie/ — это абсолютная ссылка, а вот /regionalnoe-prodvijenie/ — уже относительная. Внутри сайта обе ссылки будут вести на одну и ту же страницу.

    Если оставить абсолютные ссылки, то пользователь каждый раз будет переходить на незащищенный протокол http://.
    Это так же касается медиа материала, такого как видеоролики и изображения. Убедитесь, что весь он доступен по относительным адресам.

  • Исправить ссылки на все внешние скрипты;

    Убедитесь, что все внешние скрипты так же поддерживают https. Если Вы не уверены, возможно прописать ссылки без протокола, как указано на принт-скрине ниже.

    Ссылки для скриптов

    Желательно, что бы все сайты, с которых что-то подгружается, так же имели защищенное соединение.

  • Настроить виджеты, плагины и компоненты;

    Многие виджеты, плагины и компоненты используют для работы внешние ресурсы. Проверьте, что бы в настройках стояла галочка «Использовать SSL».

    https для виджитов

    В противном случае, на странице где используется данный виджет (модуль, компонент и т.д.) в адресной строке будет https://, но не будет сообщения о защищенном соединении.

    Защищенное соединение в строке браузера

  • Поменять адрес в настройках Вашей CMS;

    Если вы используете Joomla!, Opencart, WordPress, MODx, Bitrix или другую популярную систему управления, то в настройках всегда есть поле с главным адресом сайта. В WordPress это выглядит следующим образом:

    Адрес сайта в настройках WordPress

Переходим на https

Для начала нужно выбрать и заказать сертификат SSL. Сделать это можно у хост-провайдера. Их существуют несколько видов:

  • SSL Let’s Encrypt — бесплатный сертификат, который выдается каждому желающему. Для этого достаточно только подать заявку на его создание в панели управления хост-провайдера.

    Сертификат SSL lets encrypt

    На данный момент у нас именно такой сертификат.

  • Esential SSL — сертификат подтверждающий только право владения доменом. Выдается очень быстро и стоит дешево. Срок действия 1 год. Можно оформить как на юридическое, так и на физическое лицо.

  • Instant SSL — сертификат подтверждающий право владения доменом, а так же личность владельца (регистрационные данные компании). Срок действия 1 год.

  • SGC SSL-сертификат — схож с предыдущим сертификатом, за одним исключением. Он поддерживает 40-битные расширения. Срок действия 1 год.

  • Обычный Wildcard — Выдается на домен и все его поддомены, поэтому стоит довольно дорого.

  • EV (Extended Validation) сертификат — сертификат с расширенной проверкой. Время регистрации в 2-3 раза дольше обычного. Доступен только юридическим лицам.

  • EV Wildcard и EV SGC — аналогично описанным выше сертификатам, но с расширенной проверкой.

Какой из перечисленных выбрать — зависит от целей и потребностей. Скажем только, что сертификатам с расширенной проверкой, поисковики (как и люди) доверяют больше.

Прописываем редирект в .htaccess

Сразу после того, как сертификат будет выдан и сайт станет доступен по https, необходимо прописать 301 редирект в файле .htaccess. Файл этот можно найти в корневом каталоге Вашего сайта. Некоторые файловые менеджеры по умолчанию не показывают документы начинающиеся с точки, поэтому поройтесь в настройках.

Нужно это для того, чтобы пользователь при переходе на http сразу перенаправлялся на https.

Следующие строки, которые нужно прописать в файле, справедливы практически для всех серверов.

RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

Меняем host в robots.txt

Не забудьте поменять Host и ссылку на Sitemap.xml в файле robots.txt.

Смена протокола в robots.txt

Стоит сказать, что если у вас обычное соединение http, то писать его в host не нужно. (пишите просто домен)

Меняем адреса в sitemap.xml

Адреса в карте сайта так же нужно обновить. Это позволит избежать лишних редиректов при обращении робота.

Смена протокола в Sitemap

Добавляем https в Webmaster

В Вебмастере в разделе «Индексирование» есть пункт «Переезд сайта«. Необходимо поставить галочку напротив «Добавить HTTPS«.

Переезд сайта на новый протокол в Вебмастере

После этого, Вы увидите подобное сообщение, которое означает, что Яндекс уведомлен о переезде.

Смена протокола в поиске Яндекса

Добавляем новый Webmaster

Кроме всего перечисленного, что бы получать корректную информацию, нам придется добавить в Вебмастер сайт с https. То есть, по итогам должно получиться 2 сайта. Один с http, другой с https. После обновления сайты будут связаны.

Адрес со старым протоколом можно не удалять, так как в нем будет информация о внешних ссылках именно на http.

Проверяем, все ли верно

Для проверки перейдите на свой сайт и пробегитесь по страницам. В адресной строке браузера у Вас должен появится замочек и протокол https.

Замочек в адресной строке браузера

Если в некоторых разделах нету замочка, но есть https, это означает, что на странице присутствует незащищенная передача данных. Это может быть следствием работы виджета или скрипта.

Перейдите на сайт по ссылке с http. При корректной работе Вы сразу должны  быть перенаправлены на защищенный протокол. (В следствии работы 301 редиректа)

В долгосрочной перспективе сайты в Yandex Webmaster должны быть склеены. В результате Вы увидите следующую картину.

Склейка сайтов с https

Кроме этого, в разделе «Индексация» пункт меню «Переезд сайта» должен смениться на «Расклейка зеркал«.

dh-agency.ru

Зачем нужно использовать https и что имеется ввиду под безопасностью?

Если говорить кратко, то протокол https позволяет отправлять запросы на сервер с нашего сайта в зашифрованном виде, гарантируя при этом, что эти самые данные не будут перехвачены хакерами. Элементарный пример передаваемых данных — это авторизация на сайте (или регистрация). В процессе авторизации мы отправляем запрос на сервер, который содержит логин и пароль. Так вот, если отправлять эти данные по небезопасному соединению, то они легко могут быть перехвачены, что в результате может привести к взлому сайта. Работу протокола https обеспечивают SSL сертификаты. Они бывают разных видов, про виды сертификатов читайте ниже.

Весь процесс я решил разделить на шаги и выполнять их как раз именно в такой последовательности. Также ниже я дам рекомендации по переходу для популярных cms Joomla и WordPress. У каждого есть свои особенности.

Приобретение сертификата

Для начала необходимо приобрести SSL сертификат, чтобы ваш сайт был доступен по обоим протоколам — http и https.  Давайте сначала внесем некоторые ясности в виды SSL сертификатов.

Виды сертификатов

Простые сертификаты

Такие сертификаты выдаются на один или несколько доменов и подходят как физическим, так и юридическим лицам. Как правило, на выпуск таких сертификатов не уходит много времени, может быть выпущен даже в течении 5 минут. Чтобы получить такой сертификат необходима только проверка принадлежности к домену того, кто его запрашивает.

Wildcard SSL

Wildcard SSL — прекрасно подойдет сайтам с наличием поддоменов. В данном случае достаточно выпустить один сертификат, который будет работать на всех поддоменах и позволит сэкономить деньги на покупку отдельных сертификатов.

Мультидоменные SSL сертификаты

Мультидоменный SSL сертификат — сертификат, который может поддерживать сразу несколько доменов. Также, как и Wildcard позволит сэкономить денежку. Так что имейте ввиду, если у вашей компании или проекта имеется несколько доменных имен, то выбирайте именно мультидоменный сертификат.

EV (Extended Validation) сертификаты

EV (Extended Validation) — расширенная проверка компании. Данный вид сертификата могут позволить себе купить только крупные компании. Для его получения необходимо предоставить всю подробную информацию о компании — название организации, реквизиты, наличие о государственной регистрации, реальные звонки для утверждения полученных данных и многое другое. Да, получение такого вида сертификата дело хлопотное, но поверьте оно того стоит. Более того, рядом с адресной строкой в браузере будет отображаться название компании. Вот как это выглядит на примере сайта Сбербанка.

Отображение SSL сертификата в Сбербанк

Смотрится круто и повышает доверие потенциального клиента. Поэтому, владельцам крупных компаний рекомендуется выпуск именно EV сертификатов.

Сертификаты с поддержкой IDN

Не все сертификаты поддерживают кириллические домены. Если у вас домен кириллицей в зоне РФ, то вам следует приобрести сертификат с поддержкой IDN.

Подробнее про виды сертификатов и их стоимости вы можете почитать в интернете. Здесь же я привел лишь некоторые, чтобы вы имели понятие, что сертификаты SSL бывают разные.

Получение сертификата

Сегодня приобрести сертификат SSL для сайта можно абсолютно бесплатно. Уже давно Google заявил о том, что пора уже переходить всем на безопасный прокол https и что предпочтение в ранжировании будет отдаваться сайтам именно с защищенным соединением. Кстати, это еще одна причина по которой я перешел на https. В общем, в связи с этим всем в свет появился проект под названием Let’s Encrypt. В первую очередь данный проект рассчитан на доступность приобретения SSL сертификата, а также облегчить жизнь рядовым веб-разработчикам с установкой сертификатов (генерация приватных ключей и прочее). И что самое главное — сертификаты, выдаваемые Let’s Encrypt, абсолютно бесплатные. Лично на моем блоге стоит именно такой сертификат.

Я получил сертификат SSL от Let’s Encrypt в панели управления beget.ru. Если вы пользуетесь данным хостингом, то получить его будет проще простого. Заходите в панель управления Бегет, далее переходите в раздел «Домены» и в списке доменов щелкаете по иконке SSL.

Получение SSL сертификата в Бегет

Иконка рядом с доменом говорит о том, что сертификат уже установлен. Попав в раздел SSL, открываем вкладку «Бесплатный SSL сертификат«. Если у вас имеются поддомены на выбранном домене, то лучше сразу выберите и их тоже, т.к. если этого не сделать сразу, то в дальнейшем придется перевыпускать сертификат.

Выбор бесплатного сертификата в Бегет

Настройка сайта

Загружаемые ресурсы

Для перевода сайта на HTTPS необходимо выполнить некоторые настройки на сайте, касается это загружаемых ресурсов. Что подразумевается под ресурсами, это — скрипты, стили, картинки, аудио, видео, т.е. все те ресурсы, которые загружаются браузером с вашего сайта через протокол http. Существуют относительные и абсолютные адреса. Чем они отличаются?

Относительный адрес:

/image.jpg

Относительный адрес вне зависимости от протокола:

//sitename.ru/image.jpg

Абсолютный адрес:

http://sitename.ru/image.jpg

В абсолютном адресе указывается доменное имя сайта с протоколом. Так вот, при переходе на https необходимо применять относительные адреса вне зависимости от протокола, т.е. отсекая сам протокол. При таком подходе ресурсы будут загружаться по такому же протоколу, что и ваш и не важно на http он или на https. Единственное условие — если вы загружаете ресурсы с внешних сайтов (например, с CDN), то данные сайты должны быть доступны по https, иначе от них придется отказаться.

Например, загрузка библиотеки jQuery с CDN с поддержкой https будет следующей:

<script src="//code.jquery.com/jquery-1.12.4.min.js"></script>

Также, как вариант вы можете просто указать все абсолютные ссылки с протоколом https (так например сделано в WordPress).

Тег <base />

Обратите внимание, если вы на сайте используете тег <base> с адресом сайта, то обязательно проследите, чтобы адрес был указан с протоколом https. Например, <base href=»https://zaurmag.ru» />. Данный тег не является обязательным, но все же, если в вашей cms он используется, то потрудитесь его исправить в случае чего. Находится он в самом начале секции <head>. Если получится так, что вы все ссылки изменили на относительные вне зависимости от протокола (//sitename.ru), а в теге <base> содержится адрес с http, то все ваши относительные ссылки будут считаться относительными в зависимости от протокола http. В результате в консоле браузера вы получите кучу ошибок, а на сайте поплывет дизайн.

Тег rel=»canonical»

Если у вас на сайте используется тег rel=»canonical», то проследите за тем, чтобы канонический адрес страницы в данном теге был абсолютным с указанием протокола https. Иначе, если будет http он будет работать только во вред.

301 редирект с http на https

Чтобы не потерять трафик нам необходимо сделать так, что когда пользователь заходит на сайт по протоколу http его бы автоматически перекидывало на https. Склейка зеркал и переиндексация сайта в поисковиках дело долгое (Гугл правда быстро реагирует, вот с Яндексом придется ждать), поэтому 301 редирект может это дело ускорить и не дать потерять трафик. Для этого в файл .htaccess нужно добавить всего две строчки:

RewriteCond %{SERVER_PORT} !^443$   RewriteRule ^(.*)$ https://sitename.ru/$1 [R=301,L]

Этих двух строк должно хватить. Если же у вас будут проблемы с редиректом, то можете попробовать альтернативный код.

RewriteEngine On # Если этой строки нет выше  RewriteCond %{HTTP:X-Forwarded-Protocol} !=https  RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

А вот еще один код редиректа. Бывало такое у меня, что выше два кода не работали. Помог только этот.

RewriteEngine On  RewriteCond %{HTTPS} off  RewriteCond %{HTTP:X-Forwarded-Proto} !https  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Если и это не поможет, то вам надо будет обратиться в службу поддержки хостинга, они должны помочь с этим вопросом.

Еще советую добавить код, который будет перекидывать по 301 редиректу на www или на без www, в зависимости от того, какой домен вы выбрали основным.

## редирект с без www на www:  RewriteCond %{HTTP_HOST} ^sitename.ru$ [NC]  RewriteRule ^(.*)$ https://www.sitename/$1 [R=301,L] ## редирект c www на без www:  RewriteCond %{HTTP_HOST} ^www.sitename.ru$ [NC]  RewriteRule ^(.*)$ https://sitename.ru/$1 [R=301,L]

Файл robots.txt

В robots.txt нам обязательно следует указать главное зеркало с протоколом https. Также указать ссылку на карту сайта так с протоколом https. Вот как я сделал на своем блоге:

Host: https://zaurmag.ru  Sitemap: https://zaurmag.ru/sitemap.xml

Переезд сайта в панели вебмастеров Яндекс и Гугл

После вышеперечисленных действий нам необходимо сообщить поисковикам, что сайт переехал на новый протокол https. Как известно адрес с http и с https это абсолютно два разных адреса в глазах поисковиков.

Яндекс вебмастер

Для переезда сайта в Яндекс заходим в панель Яндекс Вебмастер по адресу https://webmaster.yandex.ru. Выбираем свой сайт и в разделе «Настройка индексирования» вводим свой домен и отмечаем чек-бокс «Добавить HTTPS«, сохраняем.

Переезд сайта в яндекс вебмастер

Далее переходим в раздел «Настройка индексирования» -> «Файлы Sitemap» и добавляем адрес карты сайта с протоколом https. Данный адрес, если помните мы указывали и в файле robots.txt.

Добавляем адрес sitemap в панели Яндекс вебмастер

Центр вебмастеров Гугл

С Яндексом разобрались, теперь давайте перейдем к Google. Идем в центр вебмастеров Гугл — https://www.google.com/webmasters и добавляем все версии (зеркала) сайта. Всего их должно быть 4. Например, для моего блога я добавил:

http://zaurmag.ru   https://zaurmag.ru   http://www.zaurmag.ru   https://www.zaurmag.ru

Версии одного сайта в вебмастере гугл

Далее выбираем основное зеркало с https естественно, только с www или без www. Для своего сайта я выбрал без www — https://zaurmag.ru. Открываем сайт и в настройках сайта (кликаем по шестеренке справа) указываем основной домен. Вот на примере моего блога.

Основное зеркало сайта zaurmag.ru в вебмастере гугл

Далее указываем адрес карты сайта. Для этого идем в «Сканирование» -> «Файлы Sitemap» и добавляем адрес карты сайта, щелкнув по красной кнопочке справа. Кстати, пока писал статью обнаружил, что я не добавил карту сайта для основного домена сайта zaurmag.ru.  ?

Карта сайт в Гугл вебмастер

Ну вот, на этом все. Если вы сделали все правильно, то в браузере рядом с адресной строкой у вас должен появиться зеленый замочек. Хотелось бы отметить, что если хотя бы один ресурс будет загружаться по незащищенному протоколу, то зеленого замочка вы не увидете, будет серый восклицательный знак. Отследить загрузку всех ресурсов вы можете в консоли браузера.

Зеленый замочек https

Также хотелось бы сказать, что процесс переиндексации в Гугл занимает не так много времени, примерно 2 недели хватит, а может и меньше. Вот в Яндекс по сложнее с этим, я и не удивлен. Яндекс всегда был тугой в этом плане. В первое время у вас обнулится ТИЦ, если он у вас был и в первый же апдейт ТИЦа должен будет вернуться. Это я написал, чтобы вы не пугались. Ну а далее в Яндекс Вебмастер вы обнаружите следующую картину…

Сайт zaurmag.ru в вебмастере Яндекс

Прошло довольно приличное время после перехода на https и как видите по скрину еще не все страницы перешли на https. Что сказать, так устроен отечественный поисковик.

Парус слов про Яндекс Метрику. Если у вас был установлен код яндекс метирки, то в панели метирики вам придется добавить сайт заново с протоколом https.

Переход на HTTPS в Joomla

Обновлено — 15.12.2016

В последних версиях Joomla с переходом на https не должно возникнуть проблем. В файл .htaccess не обязательно добавлять директивы редиректов, движок сам перекинет с http на https. Для этого необходимо просто включить опцию в общих настройках Joomla — «Сервер» -> «Включить SSL» -> «Весь сайт».

Переключение на https в глобальных настройках Joomla

Ошибка при переходе на Https в Joomla

Один раз у меня было такое, что мне пришлось немного потрудиться, на одном из клиентских сайтов переход на https прошел не так гладко. Браузер ругался на относительные адреса загружаемых ресурсов, хотя адреса были указаны относительными вне зависимости от протокола. Проблема была в теге <base />. Давайте расскажу по порядку.

Помимо тех настроек сайта, что были указаны выше нам необходимо открыть файл configuration.php и в поле live_site вписать абсолютный адрес с проколом https.

public $live_site = 'https://sitename.ru';

По идее после этой настройки в теге <base /> адрес сайта должен быть указан с протоколом https. Но нет, он был указан с протоколом http, от того и пошли все ошибки. Поискал решение проблемы в интернете, конкретно на форуме joomlaforum.ru и нашел решение. Необходимо было сделать некоторый хак ядра, правда уверяли, что после обновления данные изменения не затрутся. Открываем файл —  /libraries/joomla/document/renderer/html/head.php и заменяем (77 строка)

$buffer .= $tab . '<base href="' . $base . '" />' . $lnEnd;

на

$buffer .= $tab . '<base href="' . Juri::base() . '" />' . $lnEnd;

Пока я эту проблему так и не решил. Не понимаю почему так происходит — версия движка последняя.

После этих действий все пришло в норму. Также в общих настройках Joomla, включил SSL. Ее включение привело к неработоспособности сайта.  Если вдруг вы выбрали опцию «Весь сайт» и сайт перестал работать, то вам необходимо открыть файл configuration.php по Ftp,  найти $force_ssl и установить значение на 0.

public $force_ssl = '0';

После этого сайт заработает.

Переход на HTTPS в WordPress

В принципе для перехода на https в WordPress никаких дополнительных действий, помимо вышеперечисленных делать не нужно. Единственное нужно поменять адрес сайта на https в общих настройках WordPress. Но эту настройку необходимо сделать только после приобретения SSL сертификата, когда ваш домен будет доступен по протоколу https, иначе в админку вы не сможете попасть.

Настройка адреса в настройках WordPress

Также, желательно сделать бэкап сайта на всякий случай. Просто дело в том, что в WordPress все адреса хранятся в базе данных в абсолютном виде. После изменения настройки сайта все адреса должны поменяться и в базе данных. Поэтому на случай, если пойдет что-то не так сделайте бэкап.

На этом и завершу. Всем спасибо за внимание. Не стесняемся, задаем вопросы в комментариях.

zaurmag.ru

Зачем переводить сайт на https и нужно ли это делать сейчас?

Вебмастера негодуют — например, «Зачем переезжать на защищенный протокол чисто информационному проекту?». Отчасти они правы. Изначально наличие у ресурса SSL должно было защитить пользователей от краж личной конфиденциальной информации (банковские карты, платежные данные и т. д.). Какие же важные данные отправляет посетитель информационнику?

Сейчас же https стал протоколом по-умолчанию для всех сайтов. Если вы задумали новый проект, то сразу устанавливайте на него сертификат SSL. Но нужно ли старые ресурсы переводить на него, сломя голову и игнорируя всякие рекомендации? Конечно же, нет.

Переезд, безусловно, необходим:

  • популярные браузеры выделяют ресурсы на http как незащищенные или небезопасные. В будущем подобные уведомления могут быть заметнее — этот момент будет отталкивать посетителей.
  • Отсутствие у проекта https будет означать некоторый минус в ранжировании (защищенный протокол вряд ли будет давать бонус, так как на него перейдет большинство сайтов).
  • Забота о пользователях, развитие в ногу со временем, зеленый замочек и все такое :smile:.

Иными словами, перенести сайт на https рано или поздно придется. Другое дело, что процесс переноса должен быть обдуман и корректно составлен. Благо и поисковые системы положительно смотрят в эту сторону. Придерживайтесь нескольких основных правил при переходе:

  1. Переводите не в сезон. Проанализируйте посещаемость сайта за последние несколько лет (1 год тоже подойдет) и отметьте в календаре месяц с самым низким трафиком.
  2. Составьте пошаговый план по времени (когда/что сделать).
  3. Заранее найдите квалифицированных специалистов, которые помогут с техническими моментами.

Следование 3-м пунктам существенно снизит потенциальный риск. Скорее всего, перенос состоится без потерь.

На всякий случай предостережение. Ни Яндекс, ни Google не гарантируют сохранение позиций и посещаемости при и после перехода на https. Не гарантирую этого и я. Вся информация в статье — мой личный опыт, который может и не повториться на ваших проектах. Это необходимо понимать.

Примеры графиков посещаемости после переноса

Я дождался пока ажиотаж вокруг темы уляжется, и Яндекс относительно нее повернется лицом к вебмастерам. С прошлого года постепенно начал переводить сайты. Вот несколько графиков (перенос был перед новым годом ноябрь-декабрь).

график №1

№2

№3

Краткосрочные временные просадки трафика возможны (даже больше по части Гугла, так как инструкция основана в первую очередь на Яндекс), но обычно быстро проходят. На графиках снижение трафика в Новый год — оно не считается :smile:.

Шаг 1. Подготовка сайта

Сначала небольшое уточнение. Я не буду касаться вопроса установки SSL-сертификата на сайт. Здесь нет универсального способа:

  • На каком хостинге находится ресурс (выделенный или виртуальный)?
  • Помогает ли служба поддержки в переезде или нет?
  • Какое программное обеспечение стоит на сервере (debian, unix и т. д.)?
  • Какая панель управления (cPanel, ISPmanager и т. п.)?
  • Хотите использовать платный сертификат или бесплатный от Let’s Encrypt?

Ответы на эти вопросы могут существенно поменять метод установки. Поэтому нюансы узнавайте у своего хостера. Дополнительно используются разные CMS: wordpress, bitrix. modX и т. д. Технические моменты, которые будут описаны далее, на разных движках также могут реализовываться по-разному (всех не опишешь). Поэтому мой пост по части сохранения трафика и позиций из поисковых систем. В качестве примера приводится популярный вордпресс.

Все работы по подготовке очень желательно внедрить как можно за более короткий срок. Нельзя что-то сделать в один день, а продолжить через неделю.

1.0. Бэкап файлов и базы данных

При любых серьезных изменениях сайта рекомендую делать резервное копирование. Нельзя на 100% предугадать, как пойдут дела, а бэкап поможет вернуть все как было. Не игнорируйте данный пункт.

1.1. Редактирование URL в общих настройках WordPress

Необходимо зайти в общие настройки и изменить главный wordpress-URL (http://domen.ru/wp-admin/options-general.php).

общие настройки - изменение URL сайта

1.2. Изменение абсолютных ссылок на относительные

Абсолютная ссылка:

Правильный переезд сайта на https без потери посещаемости: большой мануал по шагам

Относительная:

/perehod-na-https/

Относительная без указания протокола:

Правильный переезд сайта на https без потери посещаемости: большой мануал по шагам

Последний вариант нам и нужен. Браузер сам определит, какой протокол отображать. Как же указать относительный путь без протокола?

1.2.1. Изменяем внутренние линки

Менять необходимо с помощью скрипта по типу Search Replace DB (также затрагиваются виджеты, плагины и все-все-все). Просто поменять в phpMyAdmin будет некорректно (если хотите, погуглите информацию на сей счет :smile:). Как я понял, программа только для WordPress. Под остальные CMS уверен, есть аналоги.

Осторожно! Скачиваем утилиту и загружаем на хостинг в папку, которую нельзя подобрать (например, dm23aqz)! При заходе в папку скрипт уже имеет доступ к вашей базе данных.

Остается в первое поле добавить домен с http, а во второе — домен с двумя слешами перед ним.

изменение внутренних ссылок на относительные без указания протокола

После нажатия на «live run» и подтверждения, скрипт начнет работу. Затраченное время прямо пропорционально размеру вашей БД. После выводится отчет об измененных таблицах и проведенных заменах. Проверьте, корректно ли отработала утилита (откройте любой пост и в html-коде посмотрите, какие там внутренние ссылки).

Рекомендация! Если во время переноса (имею в виду весь период) вы продолжаете наполнять сайт, то не забывайте внутренние линки проверять на наличие https.

Важно! После замены обязательно удалите папку со скриптом.

P.S. Если у вас на сайте (непосредственно в постах и/или в комментариях) есть урловые ссылки вида http://domen.ru, http://domen.ru/post/23/, то они заменятся на не совсем красивые //domen.ru, //domen.ru/post/23/ (например, у меня так получилось). Если такие есть, то http://domen.ru нужно заменить не на //domen.ru, а на https://domen.ru.

замена в БД

P.P.S. Если у вас главное зеркало с www, то указывайте его (http://www.domen.ru -> https://www.domen.ru).

1.2.1.1. Файлы темы и плагинов

Если вы когда-то добавляли URL домена в файлы своего шаблона или редактировали плагины, то ссылку необходимо заменить и там. Для этого я использую старый-добрый Total Commander. Скачиваю на компьютер в отдельную папку тему и плагины и делаю поиск («Команды» -> «Поиск по файлам») по ней с запросом «http://domen.ru».

поиск файлов в Total Commander

Программа выдает список файлов, где такая конструкция встречается. Прохожусь по всем (можно прямо из утилиты нажать правой кнопкой мыши и открыть в используемом редакторе) и меняю URL на относительный без протокола. Не забывайте измененные документы загружать обратно на хостинг :smile:.

Возможно, есть какой-то другой более продвинутый вариант реализации. Если знаете, напишите в комментариях ;-).

1.2.2. Ссылки на внешние скрипты и изображения

Необходимо поменять и все линки на подключаемые скрипты и картинки (просто текстовые ссылки, которые ведут на сторонние ресурсы из некоторых постов можно оставить как есть). Для этого открываем код страницы (для начала можно использовать главную), нажимаем ctrl+F5 и вбиваем «http://».

поиск линков с http

Так как бОльшую часть абсолютных ссылок мы уже заменили, здесь будут показываться только подключаемые скрипты, счетчики, библиотеки, шрифты, изображения. В основном они будут встречаться в шапке (header.php вашей темы или аналоги) и футере (footer.php). Заменяем, как и везде, на относительный вариант без указания протокола. Таким же образом проверяем другие типы записей: категория (category), пост (post), страница (page) и т. д.

Если непосредственно в постах вы баловались вставками изображений и/или разных дополнений, которые подключаются через сторонние сайты, то необходимо поискать конструкцию «http://» внутри статей wordpress (при условии, что вы не баловались обычными внешними текстовыми линками). Пользуемся внутренним поиском по записям.

http в записях

Редактируем статьи, изменяя ссылки на относительные.

1.3. Изменение пути до sitemap.xml в robots.txt

В файле robots.txt необходимо изменить путь до карты сайта.

Sitemap: https://domen.ru/sitemap.xml

Шаг 2. Проверка «все ли правильно сделал?»

Поздравляю! Если все сделали правильно, то основная часть работы позади :smile:. Необходимо внимательно проверить основные моменты.

Если на сайте используется плагин кэширования, то необходимо очистить кэш. Иначе при проверке могут отдаваться старые данные с http.

1) Проверка корректности настройки SSL-сертификата и сервера.

Точно не уверен, но возможно эту проверку можно проходить и перед первым шагом. Переходим на страницу теста SSL — https://www.ssllabs.com/ssltest/ . Рейтинг должен быть не ниже «A».

настройка сервера с SSL-сертификатом - рейтинг А

Если ниже, то обращайтесь к хостеру, либо донастраивайте сервер самостоятельно. Обычно в случае с виртуальным хостингом проблем меньше, с VPS — больше.

2) rel=»canonical» и карта сайта (sitemap.xml).

Необходимо проверить, чтобы rel=»canonical» на https-страницах ссылались на защищенную версию. Тоже самое и про sitemap.xml. Желательно, чтобы на http-версии карта сайта содержала URL с http (но как показывает практика не обязательно).

3) Xenu, Screaming Frog SEO Spider, Majento Siteanalyzer или аналоги.

Не лишним будет проверить одной из данных программ весь сайт с https. Задача — выявить, отдает ли ресурс страницы с http. После проверки проводим сортировку по URL и смотрим, не вылезли ли старые линки. Таким образом, было выявлено, что некоторые документы отдавались в закэшированном виде (пришлось очищать кэш).

Если находятся подобные страницы, то переходим на них и смотрим в html-код в поисках конструкций с «http://».

4) Проверка в разных браузерах.

Достаточно проверить в 2-3 браузерах: Google Chrome (обязательно), Яндекс.Браузер, Mozilla Firefox, Opera) по 1 странице каждого типа: главная, категория, статья и т. д. Везде должны быть зеленые замочки или альтернативные уведомления.

"зеленые замки" в разных браузерах

Шаг 3. Добавление https-версии в Яндекс.Вебмастер и Google Search Console

После того как мы все настроили и проверили, необходимо добавить версию сайта с https в Яндекс.Вебмастер и Google Search Console. Кроме добавления sitemap сначала ничего делать не нужно — остальное (например, регистр доменного имени, Disavow Tool, измененные параметры и другие настройки консолей можно задать немного позднее).

Самое главное — зайти в http-версию ресурса в Яндекс.Вебмастере и в разделе «Переезд сайта» сделать заказ, отметив галочку «Добавить HTTPS».

Раздел "Переезд сайта" в Яндекс.Вебмастере

Данная функция поможет ускорить склеивание зеркал. После заказа переезда должно появиться уведомление примерно со следующим содержанием:

«Ваша заявка была успешно принята. В скором времени вместо домена http://domen.ru/ в поисковой выдаче будет участвовать домен https://domen.ru».

Обычно недели через 2 происходит склейка зеркал (скорость зависит от объема ресурса). Об этом вы получите уведомление в Яндекс.Вебмастере (советую подписаться на e-mail уведомления). После склейки неглавное зеркало (в нашем случае http) «спустится» под главное.

зеркала в Я.вебмастере

 

На данном этапе у меня был такой сюрприз (на старом сайте на html и с ресурсом, который покупался «с рук») — https-версия является неглавным зеркалом https://WWW.domen.ru/.

зеркало с www

В таком случае необходимо добавить все зеркала и склеить с HTTPS и БЕЗ WWW. У одного проекта получилась следующая картина :smile:.

3 зеркала у одного ресурса

У некоторых вебмастеров при переходе на https автоматически не перенеслись регионы, которые были заданы в Яндекс.Справочнике. Проверьте данный момент и убедитесь, что он в порядке.

Шаг 4. 301-редирект

Ура! Настал момент, когда можно ставить 301-редирект. В принципе его можно ставить и на третьем шаге. Это не принципиально, потому что эти пункты можно сделать одновременно.

Редирект обычно настраивается в файле .htacess. Создавать нужно классический постраничный 301-редирект. Переезд можно считать завершившимся. В среднем на него уходит 1 месяц.

Надеюсь, что, как минимум, он не повредит посещаемости, а, как максимум, увеличит ее ;-). Теперь исписанный и не раз отредактированный лист А4 можно заменить на удобную онлайн-шпаргалку :smile:.

моя шпаргалка на листе А4

7 часто задаваемых вопросов

1. Почему ты сам не переводишь блог sosnovskij.ru и форум masterwebs.ru на https?

Это как раз пример того, когда лучше 7 раз отмерить и 1 раз отрезать. На моем сервере необходимо сначала обновить ПО, а уже потом совершить корректный переезд по описанному плану. На masterwebs.ru там вообще форум с огромным количеством функционала. Надеюсь, что также получится без проблем.

Обновление: переезд был осуществлен. Sosnovskij.ru — без изменений посещаемости. Masterwebs.ru — с хорошей просадкой поискового трафика (опасения подтвердились), но через несколько недель посещаемость вернулась.

2. Могу ли я потерять посещаемость после внедрения данной инструкции? Или будет рост?

С высокой долей вероятности можно говорить о сохранении посещаемости (если делать все правильно), либо о небольшой просадке. Рост возможен, но маловероятен. На 100% же не будут знать даже представители поисковых систем (нейронные сети, матрикснет т.п.).

 

3. Зачем добавлять площадку в Google Search Console раньше редиректа?

Когда только развивалась практика переносов на защищенный протокол, то https-ресурсы закрывали от индексации гугла, но тот их все равно находил и выводил в поиске в приоритете. Поэтому скрывать от него новую версию смысла нет. Наоборот, лучше открыто «заявить» об этом :smile:.

4. После перехода на https упали позиции. Что делать?

Скорее всего, вы изначально что-то сделали неправильно. Универсального совета, к сожалению, здесь нет — нужно разбираться детальнее.

5. Нужно ли оставлять неглавные зеркала в консолях поисковых систем?

Да, http-версии лучше оставить. Вам от этого хуже не будет, а поисковикам будет больше информации для корректной склейки в дальнейшем.

 

6. Нужно ли менять внешние ссылки на https?

В идеале да, но данное мероприятие не всегда целесообразно. Если есть возможность изменить URL на ТОПовых площадках (таких обычно не много), то сделайте это. Хотя ПС их сами переклеивают.

7. Я хочу перейти на ЧПУ и одновременно добавить SSL. Правильно или делать по порядку?

Сотрудники гугла рекомендуют подобный перенос оформлять постепенно: например, сначала на ЧПУ, а потом на https.

Фух, все :smile:! Как всегда ваши вопросы, отзывы и пожелания дополняют материал, поднимают настроение и дают вдохновение на следующие полезные статьи ;-).

sosnovskij.ru


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Adblock
detector