Яндекс вебмастер https

Уже несколько лет поисковые системы готовят нас к обязательному переходу на безопасный протокол https. В августе 2014 года поисковая система Google официально объявила, что использование протокола https — один из факторов ранжирования сайтов. А в сентябре 2016 года на Google Security Blog было заявлено, что браузер Chrome с 2018 года будет помечать сайты на http как небезопасные.

На сегодняшний день большинство пользователей волнует главный вопрос: как корректно переехать на https с минимальными потерями поискового трафика и чтобы не упали позиции.

1. Установка SSL сертификата
2. Настройка редиректа в файле .htaccess
3. Правки в robots.txt
4. Переезд сайта в панели вебмастера
5. Правки в sitemap.xml

Важно! Если не уверены в правильности своих действий, то не делайте переезд сайта на https в сезон продаж. Выбирайте период, когда посещаемость вашего ресурса минимальна. Оценить периоды сезонности можно с помощью систем аналитики Яндекс.Метрика или Google.Analytics. Если данные системы на сайт не установлены либо накоплено недостаточно статистики, то можно воспользоваться инструментом Яндекс.Вордстат https://wordstat.yandex.ru/

Если хотите получить больше информации о сезонности, то можете прочитать статью на нашем блоге — Как проверить сезонность ключевых запросов

Рис.1 Сезоннность запросов в Яндекс.Вордстат

1. Установка SSL сертификата

Первым делом необходимо приобрести сертификат у специально уполномоченной организации — Центра сертификации. Другой вариант — купить SSL у своего хостинг-провайдера. Практически каждый из них предоставляет данную услугу. Здесь же обратитесь в техническую поддержку для установки SSL сертификата, таким образом можно избежать ошибок при самостоятельной установке.

SSL сертификат можно считать активным и установленным, как только вы сможете зайти на свой сайт через https:// Если сертификат установлен неправильно, то запустите тестирование на предмет ошибок в специальном сервисе — https://www.ssllabs.com/ssltest/

Также, если Ваш сайт добавлен в Google Search Console, то при некорректной работе SSL сертификата может придти уведомление — Сертификат SSL/TLS не содержит доменное имя.

Рис.2 Уведомление от Google о проблеме в работе SSL

Чаще всего встречается ошибка — нарушение порядка сертификатов (Chain issues — Incorrect order, Contains anchor). Центр сертификации выдает не просто сертификат, а цепочку сертификатов.

У каждого центра есть свой корневой сертификат, самые популярные уже «вшиты» в браузеры — это относится в том числе к Comodo, GeoTrust, Thawte и VeriSign. Сам по себе сертификат на ваш домен не будет считаться доверенным в браузере. Поэтому его нужно связать с корневым сертификатом с помощью одного или нескольких промежуточных. Таким образом, правильная цепочка сертификатов выглядит следующим образом:

Cертификат домена — Промежуточный — Корневой

2. Настройка редиректа в файле .htaccess

Далее необходимо настроить редирект всех страниц сайта с http на https. Например в панели управления хостингом ISPManager 5 это можно сделать в пару кликов. В остальных случаях придется выполнить редирект вручную через файл .htaccess

Вариант 1:

RewriteEngine On  RewriteCond %{SERVER_PORT} !^443$  RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Вариант 2:

RewriteEngine On  RewriteCond %{HTTPS} =off  RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

3. Правки в robots.txt

В марте 2018 года Яндекс отменил директиву host, заменив её на 301 редирект. Поэтому жить стало проще и теперь мы смело удаляем эту строчку из нашего robots.txt Единственное, что нам надо поменять — это путь на https к файлу sitemap.xml

4. Переезд сайта в панели вебмастера

В Яндекс.Вебмастер добавляем сайт с https. А для сайта с http в разделе «Настройка индексирования — Переезд сайта» необходимо установить отметку «Добавить HTTPS»

В Google Search Console добавляем сайт с https. Никаких дополнительных настроек делать не нужно.

Рис.3 Переезд сайта на HTTPS в Яндекс.Вебмастере

5. Правки в sitemap.xml

Проверьте чтобы адреса ссылок в файле sitemap.xml начинались с https. Актуально для сайтов на которых карта сайта генерируется ручным способом.

В заключении

Остается только дождаться, когда главное зеркало сайта станет определено в соответсвии с заданными настройками для поисковых систем. В среднем на это уйдёт 2-3 недели, но вы можете быть уверены, что не потеряете позиции. По данной инструкции мы перевели более десятка сайтов без потери трафика.

seo-it-in.ru

Быстрый переход
Мой кабинетЛичные сообщенияПодпискиКто на форумеПоиск по форумуГлавная страница форума Поисковые системы etc    Яндекс        Апдейты        Сервисы Яндекса    Google    Mail.ru, Rambler и другие    Другие поисковики    Каталоги сайтов        ODP — Открытый каталог    Агрегаторы и доски объявлений Практика оптимизации
ass="fjdpth1">    Ссылочные и пользовательские факторы    Поисковые технологии    Doorways, Hallways, Metatags&Cloaking… Реклама сайтов    Поисковая и контекстная реклама        Яндекс.Директ        Google Adwords    Тизерная и баннерная реклама    Общие вопросы рекламы Монетизация сайтов    Партнерские программы в Интернете    Контекстная реклама
on value="48" class="fjdpth1">    Веб-строительство    Статистика сайта и веб-аналитика    Доменные имена    Администрирование серверов    Хостинг    Безопасность    Usability и удержание посетителей    Копирайтинг Общение профессионалов    Social media маркетинг    Семинары и конференции    Интернет-магазины и электронная коммерция    Телефония и к.

ции    Экономика    Правовые вопросы Биржа оптимизатора ($)    Финансовые объявления    Работа на постоянной основе    Продажа цифровых товаров        Сайты — покупка, продажа        Соцсети: страницы, группы, приложения        Сайты без доменов        Трафик, тизерная и баннерная реклама        Продажа, оценка, регистрация доменов
и услуги для вебмастера ($)    Оптимизация, продвижение и аудит    Ведение рекламных кампаний    Услуги в области SMM    Программирование    Администрирование серверов и сайтов    Прокси, ВПН, анонимайзеры, IP    Платное обучение, вебинары    Регистрация в каталогах    Копирайтинг, переводы    Дизайн    Usability: консультации и аудит    Изготовлен.

Встречи и сходки    Hardware&Software    Политика, экономика, управление, общество    Духовная пища    Спорт    Путешествия    Барахолка Прочие    О сайте и форуме    Самое разное

searchengines.guru

Зачем нужно использовать https и что имеется ввиду под безопасностью?

Если говорить кратко, то протокол https позволяет отправлять запросы на сервер с нашего сайта в зашифрованном виде, гарантируя при этом, что эти самые данные не будут перехвачены хакерами.

ементарный пример передаваемых данных – это авторизация на сайте (или регистрация). В процессе авторизации мы отправляем запрос на сервер, который содержит логин и пароль. Так вот, если отправлять эти данные по небезопасному соединению, то они легко могут быть перехвачены, что в результате может привести к взлому сайта. Работу протокола https обеспечивают SSL сертификаты. Они бывают разных видов, про виды сертификатов читайте ниже.

Весь процесс я решил разделить на шаги и выполнять их как раз именно в такой последовательности. Также ниже я дам рекомендации по переходу для популярных cms Joomla и WordPress. У каждого есть свои особенности.

Приобретение сертификата

Для начала необходимо приобрести SSL сертификат, чтобы ваш сайт был доступен по обоим протоколам – http и https.  Давайте сначала внесем некоторые ясности в виды SSL сертификатов.

Виды сертификатов

Простые сертификаты

Такие сертификаты выдаются на один или несколько доменов и подходят как физическим, так и юридическим лицам. Как правило, на выпуск таких сертификатов не уходит много времени, может быть выпущен даже в течении 5 минут. Чтобы получить такой сертификат необходима только проверка принадлежности к домену того, кто его запрашивает.

Wildcard SSL

Wildcard SSL – прекрасно подойдет сайтам с наличием поддоменов. В данном случае достаточно выпустить один сертификат, который будет работать на всех поддоменах и позволит сэкономить деньги на покупку отдельных сертификатов.

Мультидоменные SSL сертификаты

Мультидоменный SSL сертификат – сертификат, который может поддерживать сразу несколько доменов. Также, как и Wildcard позволит сэкономить денежку. Так что имейте ввиду, если у вашей компании или проекта имеется несколько доменных имен, то выбирайте именно мультидоменный сертификат.

EV (Extended Validation) сертификаты

EV (Extended Validation) – расширенная проверка компании. Данный вид сертификата могут позволить себе купить только крупные компании. Для его получения необходимо предоставить всю подробную информацию о компании – название организации, реквизиты, наличие о государственной регистрации, реальные звонки для утверждения полученных данных и многое другое. Да, получение такого вида сертификата дело хлопотное, но поверьте оно того стоит. Более того, рядом с адресной строкой в браузере будет отображаться название компании. Вот как это выглядит на примере сайта Сбербанка.

Смотрится круто и повышает доверие потенциального клиента. Поэтому, владельцам крупных компаний рекомендуется выпуск именно EV сертификатов.

Сертификаты с поддержкой IDN

Не все сертификаты поддерживают кириллические домены. Если у вас домен кириллицей в зоне РФ, то вам следует приобрести сертификат с поддержкой IDN.

Подробнее про виды сертификатов и их стоимости вы можете почитать в интернете. Здесь же я привел лишь некоторые, чтобы вы имели понятие, что сертификаты SSL бывают разные.

Получение сертификата

Сегодня приобрести сертификат SSL для сайта можно абсолютно бесплатно. Уже давно Google заявил о том, что пора уже переходить всем на безопасный прокол https и что предпочтение в ранжировании будет отдаваться сайтам именно с защищенным соединением. Кстати, это еще одна причина по которой я перешел на https. В общем, в связи с этим всем в свет появился проект под названием Let’s Encrypt. В первую очередь данный проект рассчитан на доступность приобретения SSL сертификата, а также облегчить жизнь рядовым веб-разработчикам с установкой сертификатов (генерация приватных ключей и прочее). И что самое главное – сертификаты, выдаваемые Let’s Encrypt, абсолютно бесплатные. Лично на моем блоге стоит именно такой сертификат.

Я получил сертификат SSL от Let’s Encrypt в панели управления beget.ru. Если вы пользуетесь данным хостингом, то получить его будет проще простого. Заходите в панель управления Бегет, далее переходите в раздел “Домены” и в списке доменов щелкаете по иконке SSL.

Иконка рядом с доменом говорит о том, что сертификат уже установлен. Попав в раздел SSL, открываем вкладку “Бесплатный SSL сертификат“. Если у вас имеются поддомены на выбранном домене, то лучше сразу выберите и их тоже, т.к. если этого не сделать сразу, то в дальнейшем придется перевыпускать сертификат.

Настройка сайта

Загружаемые ресурсы

Для перевода сайта на HTTPS необходимо выполнить некоторые настройки на сайте, касается это загружаемых ресурсов. Что подразумевается под ресурсами, это – скрипты, стили, картинки, аудио, видео, т.е. все те ресурсы, которые загружаются браузером с вашего сайта через протокол http. Существуют относительные и абсолютные адреса. Чем они отличаются?

Относительный адрес:

/image.jpg

Относительный адрес вне зависимости от протокола:

//sitename.ru/image.jpg

Абсолютный адрес:

http://sitename.ru/image.jpg

В абсолютном адресе указывается доменное имя сайта с протоколом. Так вот, при переходе на https необходимо применять относительные адреса вне зависимости от протокола, т.е. отсекая сам протокол. При таком подходе ресурсы будут загружаться по такому же протоколу, что и ваш и не важно на http он или на https. Единственное условие – если вы загружаете ресурсы с внешних сайтов (например, с CDN), то данные сайты должны быть доступны по https, иначе от них придется отказаться.

Например, загрузка библиотеки jQuery с CDN с поддержкой https будет следующей:

<script src="//code.jquery.com/jquery-1.12.4.min.js"></script>

Также, как вариант вы можете просто указать все абсолютные ссылки с протоколом https (так например сделано в WordPress).

Тег <base />

Обратите внимание, если вы на сайте используете тег <base> с адресом сайта, то обязательно проследите, чтобы адрес был указан с протоколом https. Например, <base href=”https://zaurmag.ru” />. Данный тег не является обязательным, но все же, если в вашей cms он используется, то потрудитесь его исправить в случае чего. Находится он в самом начале секции <head>. Если получится так, что вы все ссылки изменили на относительные вне зависимости от протокола (//sitename.ru), а в теге <base> содержится адрес с http, то все ваши относительные ссылки будут считаться относительными в зависимости от протокола http. В результате в консоле браузера вы получите кучу ошибок, а на сайте поплывет дизайн.

Тег rel=”canonical”

Если у вас на сайте используется тег rel=”canonical”, то проследите за тем, чтобы канонический адрес страницы в данном теге был абсолютным с указанием протокола https. Иначе, если будет http он будет работать только во вред.

301 редирект с http на https

Чтобы не потерять трафик нам необходимо сделать так, что когда пользователь заходит на сайт по протоколу http его бы автоматически перекидывало на https. Склейка зеркал и переиндексация сайта в поисковиках дело долгое (Гугл правда быстро реагирует, вот с Яндексом придется ждать), поэтому 301 редирект может это дело ускорить и не дать потерять трафик. Для этого в файл .htaccess нужно добавить всего две строчки:

RewriteCond %{SERVER_PORT} !^443$   RewriteRule ^(.*)$ https://sitename.ru/$1 [R=301,L]

Этих двух строк должно хватить. Если же у вас будут проблемы с редиректом, то можете попробовать альтернативный код.

RewriteEngine On # Если этой строки нет выше  RewriteCond %{HTTP:X-Forwarded-Protocol} !=https  RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

А вот еще один код редиректа. Бывало такое у меня, что выше два кода не работали. Помог только этот.

RewriteEngine On  RewriteCond %{HTTPS} off  RewriteCond %{HTTP:X-Forwarded-Proto} !https  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Если и это не поможет, то вам надо будет обратиться в службу поддержки хостинга, они должны помочь с этим вопросом.

Еще советую добавить код, который будет перекидывать по 301 редиректу на www или на без www, в зависимости от того, какой домен вы выбрали основным.

## редирект с без www на www:  RewriteCond %{HTTP_HOST} ^sitename.ru$ [NC]  RewriteRule ^(.*)$ https://www.sitename/$1 [R=301,L] ## редирект c www на без www:  RewriteCond %{HTTP_HOST} ^www.sitename.ru$ [NC]  RewriteRule ^(.*)$ https://sitename.ru/$1 [R=301,L]

Файл robots.txt

В robots.txt нам обязательно следует указать главное зеркало с протоколом https. Также указать ссылку на карту сайта так с протоколом https. Вот как я сделал на своем блоге:

Host: https://zaurmag.ru  Sitemap: https://zaurmag.ru/sitemap.xml

Переезд сайта в панели вебмастеров Яндекс и Гугл

После вышеперечисленных действий нам необходимо сообщить поисковикам, что сайт переехал на новый протокол https. Как известно адрес с http и с https это абсолютно два разных адреса в глазах поисковиков.

Яндекс вебмастер

Для переезда сайта в Яндекс заходим в панель Яндекс Вебмастер по адресу https://webmaster.yandex.ru. Выбираем свой сайт и в разделе “Настройка индексирования” вводим свой домен и отмечаем чек-бокс “Добавить HTTPS“, сохраняем.

Далее переходим в раздел “Настройка индексирования” -> “Файлы Sitemap” и добавляем адрес карты сайта с протоколом https. Данный адрес, если помните мы указывали и в файле robots.txt.

Центр вебмастеров Гугл

С Яндексом разобрались, теперь давайте перейдем к Google. Идем в центр вебмастеров Гугл – https://www.google.com/webmasters и добавляем все версии (зеркала) сайта. Всего их должно быть 4. Например, для моего блога я добавил:

http://zaurmag.ru   https://zaurmag.ru   http://www.zaurmag.ru   https://www.zaurmag.ru

Далее выбираем основное зеркало с https естественно, только с www или без www. Для своего сайта я выбрал без www – https://zaurmag.ru. Открываем сайт и в настройках сайта (кликаем по шестеренке справа) указываем основной домен. Вот на примере моего блога.

Далее указываем адрес карты сайта. Для этого идем в “Сканирование” -> “Файлы Sitemap” и добавляем адрес карты сайта, щелкнув по красной кнопочке справа. Кстати, пока писал статью обнаружил, что я не добавил карту сайта для основного домена сайта zaurmag.ru.  ?

Ну вот, на этом все. Если вы сделали все правильно, то в браузере рядом с адресной строкой у вас должен появиться зеленый замочек. Хотелось бы отметить, что если хотя бы один ресурс будет загружаться по незащищенному протоколу, то зеленого замочка вы не увидете, будет серый восклицательный знак. Отследить загрузку всех ресурсов вы можете в консоли браузера.

Также хотелось бы сказать, что процесс переиндексации в Гугл занимает не так много времени, примерно 2 недели хватит, а может и меньше. Вот в Яндекс по сложнее с этим, я и не удивлен. Яндекс всегда был тугой в этом плане. В первое время у вас обнулится ТИЦ, если он у вас был и в первый же апдейт ТИЦа должен будет вернуться. Это я написал, чтобы вы не пугались. Ну а далее в Яндекс Вебмастер вы обнаружите следующую картину…

Прошло довольно приличное время после перехода на https и как видите по скрину еще не все страницы перешли на https. Что сказать, так устроен отечественный поисковик.

Парус слов про Яндекс Метрику. Если у вас был установлен код яндекс метирки, то в панели метирики вам придется добавить сайт заново с протоколом https.

Переход на HTTPS в Joomla

Обновлено — 15.12.2016

В последних версиях Joomla с переходом на https не должно возникнуть проблем. В файл .htaccess не обязательно добавлять директивы редиректов, движок сам перекинет с http на https. Для этого необходимо просто включить опцию в общих настройках Joomla – “Сервер” -> “Включить SSL” -> “Весь сайт”.

Ошибка при переходе на Https в Joomla

Один раз у меня было такое, что мне пришлось немного потрудиться, на одном из клиентских сайтов переход на https прошел не так гладко. Браузер ругался на относительные адреса загружаемых ресурсов, хотя адреса были указаны относительными вне зависимости от протокола. Проблема была в теге <base />. Давайте расскажу по порядку.

Помимо тех настроек сайта, что были указаны выше нам необходимо открыть файл configuration.php и в поле live_site вписать абсолютный адрес с проколом https.

public $live_site = 'https://sitename.ru';

По идее после этой настройки в теге <base /> адрес сайта должен быть указан с протоколом https. Но нет, он был указан с протоколом http, от того и пошли все ошибки. Поискал решение проблемы в интернете, конкретно на форуме joomlaforum.ru и нашел решение. Необходимо было сделать некоторый хак ядра, правда уверяли, что после обновления данные изменения не затрутся. Открываем файл –  /libraries/joomla/document/renderer/html/head.php и заменяем (77 строка)

$buffer .= $tab . '<base href="' . $base . '" />' . $lnEnd;

на

$buffer .= $tab . '<base href="' . Juri::base() . '" />' . $lnEnd;

Пока я эту проблему так и не решил. Не понимаю почему так происходит – версия движка последняя.

После этих действий все пришло в норму. Также в общих настройках Joomla, включил SSL. Ее включение привело к неработоспособности сайта.  Если вдруг вы выбрали опцию “Весь сайт” и сайт перестал работать, то вам необходимо открыть файл configuration.php по Ftp,  найти $force_ssl и установить значение на 0.

public $force_ssl = '0';

После этого сайт заработает.

Переход на HTTPS в WordPress

В принципе для перехода на https в WordPress никаких дополнительных действий, помимо вышеперечисленных делать не нужно. Единственное нужно поменять адрес сайта на https в общих настройках WordPress. Но эту настройку необходимо сделать только после приобретения SSL сертификата, когда ваш домен будет доступен по протоколу https, иначе в админку вы не сможете попасть.

Также, желательно сделать бэкап сайта на всякий случай. Просто дело в том, что в WordPress все адреса хранятся в базе данных в абсолютном виде. После изменения настройки сайта все адреса должны поменяться и в базе данных. Поэтому на случай, если пойдет что-то не так сделайте бэкап.

На этом и завершу. Всем спасибо за внимание. Не стесняемся, задаем вопросы в комментариях.

zaurmag.ru

Необходимость переезда на защищенный протокол

HTTPS – это, по сути, расширение протокола HTTP,  которое поддерживает шифрование данных. В случае использования сайтом защищенного протокола, все данные при передаче шифруются, поэтому злоумышленникам гораздо сложнее их перехватить и использовать в своих целях.

Защита передачи конфиденциальных данных между сайтом и пользователем (пароли, данные банковских карт, личная информация) и является самой важной причиной для переезда на HTTPS.

Второй причиной можно назвать наличие уведомлений о защищенности соединения в браузерах, которые показываются пользователю и могут значительно влиять на трафик сайта:

Третья причина, по которой стоит переходить на защищенное соединение – это доверие к сайту со стороны пользователей.

Ну, и если вы планируете отправлять своим пользователям push-уведомления (о появлении нового товара, об акциях, новостях или скидках), обязательно стоит перейти на HTTPS-протокол, так как данная возможность доступна только HTTPS-сайтам.

Причин для осуществления перехода на защищенный протокол гораздо больше. Например, некоторые поисковые системы используют наличие HTTPS в качестве одного из факторов ранжирования (Google).

Возможные проблемы при переходе на HTTPS

1. Недоступность сайта или его контента для посетителей (иногда, переходя на сайт по защищенному протоколу, пользователи могут видеть предупреждение о том, что сертификат отсутствует, или наличествуют какие-то другие ошибки).
2. Изменение позиций в поиске
3. Сокращение трафика из выдачи
4. Потеря необходимых настроек индексирования

Для того чтобы минимизировать потери, нужно работать с таким понятием, как зеркало сайта.

Зеркала и переезд на HTTPS

Зеркала сайта  – это два адреса одного и того же сайта. В нашем случае это:

По сути, это два разных сайта, которые индексируются отдельно друг от друга. Объединение старого и нового адреса в группу зеркал позволяет передать накопленные показатели старого адреса новому и избежать рисков, связанных с переходом на защищенное соединение.

NB: Невозможно корректно переехать на HTTPS только разделом сайта

Подготовка сайта к переезду

Подготовку сайта к смене протокола можно разделить на три этапа:

1. Установка сертификата
2. Работа над содержимым
3. Добавление в поиск

1. Получение и установка сертификата. Сама по себе процедура получения сертификата достаточно проста. Вебмастеру нужно отправить формализированный запрос в специальную организацию, которая и пришлет нужный сертификат для дальнейшего использования:

В качестве такой организации может выступать хостинг-провайдер, либо специальный центр сертификации, предоставляющий свои услуги на платной основе. Также сейчас в интернете есть множество компаний, предоставляющих подобные услуги бесплатно, например:

• letsencrypt.org
• startcomca.com
• wosign.com
• …

После получения сертификата, придерживаемся следующего алгоритма действий:

1. Устанавливаем на сайт в панели администрирования хостера (в 95% случаев это можно сделать прямо в панели администрирования сайта)
2. Проверяем отсутствие редиректа на HTTP-версии (это очень важно, так как многие хостеры автоматически включают перенаправление со старой версии на новую, в результате чего сайт по старому адресу становится недоступным для индексирующих роботов и для посетителей)

Сделать это можно при помощи специального инструмента в Яндекс.Вебмастере:

3. Проверяем корректность SLL-сертификата

• во всех браузерах
• на сайте ssllabs.com

Во втором случае, если сертификат некорректный, сайту присваивается низкий рейтинг и появляется большое количество предупреждений и рекомендаций, над которыми стоит поработать:

Если же сертификат корректен, результаты проверки будут выглядеть так:

После проверки сертификата можно непосредственно приступать к работе с содержимым сайта.

2. Переводим содержимое сайта на HTTPS. Для начала нужно сделать внутренние ссылки относительными.

Сделать это можно различными способами. При использовании стандартных CMS, есть большое количество плагинов, позволяющих сделать адреса ссылок относительными в несколько кликов.

Также переводим на HTTPS:

• Ссылки на изображения и видео
• Контент партнеров
• Scripts
• Canonical

Ну и конечно же, стоит проверить те страницы, ради которых и замышлялся переезд, а именно – страницы авторизации и оплаты.

Если не осуществить перевод всего содержимого сайта на HTTPS и не провести проверку, то пользователи могут видеть в своих браузерах различные предупреждения о наличии на сайте смешанного содержимого:

Файл со списком страниц для индексирования Sitemap, также должен содержать информацию о том, что на сайте есть страницы по защищенному протоколу.

Для этого нужно:

1. Создать отдельный файл для HTTPS
2. Сообщить роботу о наличии этого файла с помощью Яндекс.Вебмастера ( и сам сайт на HTTPS также добавить в Вебмастер)

На этом подготовку сайта к переезду можно считать завершенной и сообщить об этом поиску.

Сообщаем поиску о переезде на HTTPS

1. Указать роботу на адрес главного зеркала с помощью директивы Host в robots.txt:

2. Используем инструмент «Переезд сайта» (по адресу текущего главного зеркала):

Индексирующий робот проверит корректность перевода сайта на защищенный протокол (обычно это происходит в течение 2-3 часов, но может занять и больше времени – до 3 дней), и если не допущено никаких ошибок, то в скором времени в результатах поиска появится нужная HTTPS-версия сайта.

HTTPS-версия сайта будет признана главным зеркалом сайта, о чем вебмастер получит специальное уведомление. Это значит, что все показатели HTTP-версии начинают учитываться  для HTTPS: (входящие ссылки, оригинальные тексты, ТИЦ и т.д.)

В общей сложности переезд сайта на защищенный протокол занимает около двух недель.

www.searchengines.ru

25 Октября 2016 | 18725 | 3

Все больше и больше растет ажиотаж вокруг темы переезда сайта на https. Чем же это обусловлено?

В июле 2018 года абсолютно все http страницы будут отмечены как «не защищенные». Но уже сегодня можно посмотреть, как будет выглядеть http сайт для посетителей, просто откройте его в режиме инкогнито (Ctrl+Shift+N).

HTTPS (от англ. HyperText Transfer Protocol Secure) — расширение http-протокола, поддерживающее шифрование данных и обеспечивающий их защиту от прослушивания и изменений.

Зачем он нужен:

• обеспечение безопасности при обмене информацией между сайтом и устройством пользователя
• повышение доверия к сайту и поддержания репутации
• число http-сайтов сокращается
• HTTPS будет включен в список ранжирующих факторов

В августе 2014 Google заявляет о том, безопасность пользователей является главным приоритетом для компании, и поэтому все сайты, обеспечивающие надежную передачу данных (другими словами, использующие протокол https), могут рассчитывать на дополнительный бонус при ранжировании. В заявлении было сказано, что тестовое нововведение затронет порядка 1% поисковых запросов и в будущем планируется увеличение этого процента. Основная цель – дать время вебмастерам и простимулировать их к переходу на безопасный протокол.

Стоит заметить, что пока заметного преимущества при ранжировании наличие защищенного протокола не дает. Однако, Google использует более 200 факторов ранжирования и мы точно знаем, что наличие защищенного протокола – один из них.

В декабре 2015 года Google объявляет, что с этого момента по умолчанию будет индексироваться HTTPS-версия страницы, если сайт доступен для индексации по обоим протоколам: http и https.

В январе 2016 года Google сообщает, что дает преимущество в ранжировании даже тем HTTPS-сайтам, которые неверно реализовали переход на безопасный протокол.

И, самая свежая на данный момент публикация от 8.09.2016 на официальном блоге Google о том, что с января 2017 года браузер Chrome 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные (небезопасные). Пока что под это нововведение попадают страницы, где требуется ввод пароля или данных банковской карты, но со временем все сайты, использующие протокол http, будут помечаться как небезопасные.

27 декабря 2016 Google на своей странице в Google+ еще раз напомнил, что с конца января 2017 года с версии Chrome 56, браузер Chrome начнет помечать HTTP-сайты, где требуется ввод пароля или данных кредитной карты, как небезопасные.

В это же время Google начал рассылать в Google Search Console предупреждения для сайтов, на которых есть поля ввода для данных банковских карт и паролей на незащищенных страницах. Примеры таких страниц также прилагаются. Для русскоязычных сайтов уведомления приходят тоже на английском языке.

Уже сейчас вы можете протестировать свой сайт, установив версию Google Chrome для разработчиков, ту самую 56 версию. Скачать ее можно здесь: https://www.google.ru/chrome/browser/canary.html.

После этого откройте в этом браузере свой сайт, нажмите F12, чтобы открыть инструменты разработчика, после чего перейдите на вкладку Console. Там вы увидите, будет ли для вашего сайта выводиться предупреждение в браузере с конца января.

Что касается поисковой системы Яндекс, здесь пока нет особой шумихи — поисковая система лучших позиций не обещает, однако компания показывает на собственном примере надежность своих сервисов, переводя их на https-протокол. Однако, мы считаем, что появление такого фактора ранжирования в Яндекс – лишь вопрос времени.

Что делать сейчас?

Так кому же стоит уже перевести сайт на https, волноваться и думать о риске потери трафика и позиций по запросам?

Критически важно переходить на новый протокол тем сайтам, где есть какая-либо информация, которую могут перехватить (платежные данные, данные доступа к личному аккаунту. В первую очередь, это банки, интернет-магазины, тикет-офисы и онлайн-сервисы – для них переход в списке обязательных рекомендаций.

Однако и обычные сайты должны двигаться в сторону безопасного шифрования, поэтому мы подготовили подробную инструкцию о том, как правильно перевести сайт на https.

Инструкция по переводу сайта на https

Перевод сайта на защищенный протокол в перспективе придется осуществить всем сайтам. К этому будут подталкивать как поисковые системы, так и браузеры. Поэтому, пока вы разбираетесь в теме и выбираете SSL-сертификат, пора подготовить сайт к переходу. Ниже вы найдете несколько полезных блоков информации:

1. Виды сертификатов (краткая информация)
2. Как подготовить сайт к переходу
3. Алгоритм перехода на https, который позволит минимизировать потери поискового трафика и избежать ряда «подводных камней»

Виды SSL-сертификатов

Кратко рассмотрим основные виды сертификатов, не вдаваясь в технические подробности. Тип сертификата зависит от типа проверки.

С проверкой домена (DV или Domain Validated).
Доступен физическим лицам и компаниям. Защищает информацию, но не дает гарантии, что владельцу сайта можно доверять. Требуется подтверждение по электронной почте, находящейся на домене либо на которую зарегистрирован домен. Стоит дешево (либо может выдаваться бесплатно), выдается за несколько минут.

Кому подойдет: сайту-визитке, личному блогу.

С проверкой организации (Organization Validated или OV).
Такой сертификат доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям. Проводится проверка документов и существования ИП или юридического лица, а также принадлежность домена. Стоит дороже, выдача занимает 1-3 дня.

Такой сертификат подойдет интернет-магазинам, сайтам услуг, порталам.

С расширенной проверкой организации (Extended Validation SSL (EV SSL)).
Дает заметную зеленую строку с названием организации. Таким сайтам можно доверять больше, так как компания точно существует (проводится тщательная проверка) и домен точно принадлежит ей. Проверка занимает 3-9 дней (если нет заминок с документами). Сертификат самый дорогой.

Кто использует: банки, платежные системы, крупные сервисы.

Дополнительные особенности сертификатов, о которых стоит знать:

• Обычный сертификат (на один поддомен). Подойдет для большинства сайтов, стандартный вариант.
• Wildcard (для нескольких субдоменов одного домена). Необходим, если у вашего сайта есть субдомены. Например, site.ru, spb.site.ru, auto.site.ru, m.site.ru (если у вас мобильная версия на субдомене) и пр. Может быть как с проверкой домена, так и проверкой организации. Стоит дороже, чем обычный.
• С поддержкой IDN (для кириллических доменов). Для доменов на кириллице (cайт.рф, сайт.бел и пр.)
• Мультидоменный сертификат. Необходим в том случае, если у вашей организации несколько разных доменов (site.ru, site2.ru, moisait.ru и пр.).

Вот основные поставщики сертификатов:

Как правило, купить сертификат можно сроком 1-3 года. Проще всего будет обратиться за сертификатом к хостеру (либо в центр сертификации). Каждый хостер, идущий в ногу со временем, продает сертификаты и может помочь с процессом их установки.

Решить вопросы с переходом на https на разных этапах могут следующие люди и организации:

ВОПРОС	К КОМУ ОБРАЩАТЬСЯ
Какой сертификат выбрать?	Хостер/центр сертификации, технический специалист/программист
Покупка сертификата	Хостер (если он продает сертификаты), центр сертификации
Установка сертификата	Хостер, технический специалист/программист
Доработка сайта	Программист
Контроль выполнения рекомендация, необходимых для минимизации риска потери трафика	SEO-специалист, интернет-маркетолог

Важно! Обязательно следите за сроками окончания сертификата. Его необходимо будет продлевать, как домен и хостинг.

Как подготовить сайт к переходу на https

Описание алгоритма перехода на защищенный протокол содержит достаточно много технических моментов и специальных терминов. Если вы владелец сайта, то передайте ссылку на эту инструкцию своему техническому специалисту или программисту.

Пока вы решаете вопросы с сертификатом, сайт уже можно начинать готовить к переходу на https. Даже если это будет через полгода-год. Дело в том, что нужно убедиться, что на сайте все ссылки ведут на страницы, доступные по защищенному протоколу либо имеют относительный протокол.

Все ссылки на вашем сайте должны иметь следующий вид:

• Внутренние ссылки — относительные. Например, для перехода на страницу на вашем же сайте site.ru, использовать <a href=»/chastnym_licam/ «> предпочтительнее, чем <a href=» https://www.site.by/chastnym_licam/ «>. Если вы уже переходите на https, можно делать ссылки доступными по протоколу https.
• Внешние ссылки – доступны по https либо используется относительный протокол. Например, не http://www.youtube.com/, а https://www.youtube.com/ — защищенный протокол или //www.youtube.com/ — относительный протокол. Относительный протокол очень удобно использовать, если вы не знаете, доступен ли сайт по защищенному протоколу. В таком случае браузер сам выберет с каким протоколом открыть этот сайт.

Пример ссылки с относительным протоколом:

Важно! Необходимо исправить все ссылки, в том числе на изображения, файлы, видео, внешние скрипты (виджеты, консультанты и прочие внешние сервисы). Чтобы не делать это вручную на многих страницах, можно попросить программиста исправить протокол http:// на относительный в базе данных сразу для всех ссылок.

Далее мы подразумеваем, что вы уже приобрели сертификат и описываем последовательность действий, необходимую для корректного перехода сайта.

Алгоритм перехода на https:

1. Убедитесь, что SSL-сертификат настроен корректно. Сделать подробный анализ конфигурации SSL можно с помощью этого сервиса:

Вот так будет выглядеть результат, если все хорошо:

и так, если есть проблема:

В данном случае есть проблемы с настройкой сертификата и сайт не открывается в браузере Firefox.

Обязательно протестируйте настройку SSL и проверьте как отображается сайт в разных браузерах, в том числе на мобильных устройствах: отдельно проверьте сайт с iPhone и Android.



Если есть критичные проблемы, обратитесь к техническим специалистам, которые настраивали вам сертификат.

2. Создаем версию сайта с https – она должна быть доступна и работать без ошибок. При этом версия с http также должна быть доступна. Файл robots.txt должен быть одинаков для обеих версий. Составить файл может SEO-специалист.

Важно! Ранее в инструкции предполагалось использование двух robots.txt и временное закрытие https-версии от Google на время переклейки в Яндекс. Сейчас это не требуется, мы протестировали вариант без закрытия от Google и обновили инструкцию. Google при доступности обеих версий по умолчанию начинает показывать https-версию в выдаче, в Яндекс – после переклейки.

В robots должна содержаться строчка:

Host: https://site.ru/

Эта строчка означает, что главным зеркалом является https-версия сайта.

Пример robots.txt (обратите внимание (!), что содержимое файла у вас будет свое, это пример для иллюстрации принципа переклейки):

User-agent: *
Disallow: /*?
# Тут ваши текущие директивы
Host: https://site.ru/
Sitemap: https://site.ru/sitemap.xml

3. Также обязательно проверяем для https-версии:
• Протокол в rel=”canonical” (используется для указания на каноническую версию страницы)
• Протокол в rel=”alternate” (используется для указания на страницы других языковых версий либо на мобильную версию сайта)
• Протокол ссылок в sitemap.xml

Для https-версии ссылки в них должны быть доступны по https, а не http.

4. Добавляем сайт в Вебмастер Яндекса обе версии сайта: http и https. Указываем в Вебмастере Яндекса в разделе «Настройка индексирования – Переезд сайта» предпочтительный протокол.



Если домен https был признан зеркалом до переклейки

Если домены http и https были признаны зеркалами ранее (а именно https-версия была признана неглавным зеркалом – такое бывает, но редко), то на данном этапе необходимо сначала расклеить зеркала. Обычно, если https-версия была ранее поклеена на http-версию, это выглядит вот так в Вебмастере Яндекса:



Расклеиваем зеркала, а после расклейки указываем главным зеркалом https-версию. Для этого в Вебмастере заходим в раздел «Переезд сайта» для https-версии и под предложением отклеить сайт нажимаем «Применить».



После этого увидите следующее сообщение:



https://yandex.ru/support/webmaster-troubleshooting/mirrors/change-protocol.xml



Стрелкой указана ссылка на этой странице, по которой можно написать в техподдержку Яндекс при наличии проблем.

Яндекс подтверждает, что в случае, когда https-версия является неглавным зеркалом, это верный порядок действий.



5. Добавляем сайт в Google Search Console с протоколом https и подтверждаем права. Google понимает, что http и https это разные протоколы одного и того же сайта. Если Google обнаружит работающий протокол https, то он по мере переиндексации контента будет заменять http на https даже без перенаправления и добавления https-версии в Google Search Console.

   https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html

6. При переходе на https-версию в Google обязательно добавляем файл Disavow для канонической версии сайта (источник), если он был составлен ранее.
7. Ждем склейки в Яндексе. Это произойдет, когда версии страниц сайта с https зайдут в индекс, а версии страниц сайта с http выпадут из индекса. Переклейка начинается примерно через 2-3 недели. Повлиять на скорость переклейки мы, к сожалению, никак не можем, это — автоматический процесс.

После начала переклейки вы увидите в Вебмастере Яндекса следующее уведомление в разделе «Уведомления»:



А также увидите, что https-версия стала отбражаться в Яндекс.Вебмастере как основная:



Неглавное зеркало начнет выпадать из индекса Яндекса



А главное зеркало начнет попадать в индекс Яндекса:

Моментально у большого сайта все страницы не переиндексируются, поэтому рекомендуем подождать, пока 90-100% страниц сайта переиндексируются в Яндекс, после чего настроить 301 редирект.

Важно! При переклейке сайта на другое зеркало обнуляется ТИЦ. Он вернется после следующего обновления ТИЦ, которое происходит примерно раз в месяц. (Источник). Не стоит волноваться: никаких последствий для сайта это не имеет, ТИЦ не учитывается при ранжировании сайта в поиске Яндекса.

Цитата справки Яндекса: «тИЦ как средство определения авторитетности ресурсов призван обеспечить релевантность расположения ресурсов в рубриках каталога Яндекса.» (Источник)



8. После того как сайты склеились, настраиваем постраничный 301 редирект со страниц сайта с http на страницы с https (кроме файла robots.txt). Делать это до того, как сайты будут признаны зеркалами, нежелательно, поскольку в этом случае страницы с редиректами будут исключаться из поиска согласно правилам Яндекса по обработке перенаправлений. На время склейки зеркал необходимо оставить сайт доступным для робота по обоим адресам.

Для перенаправления c http:// на https:// в .htaccess добавляем (может работать не во всех случаях, тогда обращаемся к хостеру или программисту):

RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://site.ru/$1 [R=301,L]

Альтернативный вариант:

RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L]

9. После переклейки необходимо убедиться, что в Яндекс присвоен корректный регион. Дело в том, что на текущий момент сайту может быть присвоено несколько регионов через Яндекс.Справочник, но в Справочнике пока еще нельзя указать ссылку на сайт с протоколом https. Соответственно, могут быть проблемы с присвоением регионов, если это сделано через Яндекс.Справочник. В таком случае нужно обязательно писать в техподдержку Яндекса.

Вот подтверждение от службы поддержки Яндекса. Надеемся, скоро это действие перестанет быть необходимым.

Счетчики шеров и лайков

Еще один важный момент для сайтов, на которых используются счетчики «лайков» — эти данные, к сожалению, будут потеряны. Если до перехода у вас были такие цифры по шерам вашей статьи:

то после перехода счетчики будут выглядеть вот так:

Такая проблема возникает из-за того, что подобные счетчики лайков отображают статистику для конкретного адреса. Так как у страницы меняется протокол, адрес страницы меняется и у новой страницы нет подобной статистики.

Facebook уже решил эту проблему, будем надеяться, что остальные соцсети также подтянутся.

Резюме

Описанный алгоритм перехода на https позволит минимизировать потери трафика. Вместе с тем служба поддержки Яндекса отвечает, что гарантировать сохранение позиций сайта при склейке его зеркал они не могут.

На время переклейки сайта, как правило, временные просадки позиций неизбежны и в Яндекс, и в Гугл. Алгоритм действий, указанный выше, подтвержден Яндексом.

Проблема с реферальным трафиком

Важно! Если пользователь осуществляет переход с сайта на HTTPS на сайт без HTTPS (например, с вашего сайта, на сайт компании, купившей на вашем сайте баннер), то по умолчанию HTTP заголовок referer не передается, если не указано иное правило. Поведение логичное, ведь вы покидаете защищенную зону и отправляетесь в зону риска.

Это означает, что ваш сайт как источник трафика Google Analytics или Яндекс.Метрика определить не сможет и отнесет весь этот трафик к прямому. Поэтому, если вы продаете на сайте баннеры или размещаете информацию о компаниях и их сайтах и вашим клиентам важно отслеживать трафик с вашего сайта.

Чтобы с этим не было проблем, на HTTPS-сайте необходимо добавить на страницах до закрывающего тега </head> мета-тег:

<meta name=»referrer» content=»[директива]»>,

где [директива] — одна из тактик поведения из следующего списка:
none — не передавать;
origin — передавать протокол и домен;
none-when-downgrade — не передавать при переходе с HTTPS-сайта на HTTP-сайт;
unsafe-url — всегда передавать;

Оптимальным вариантом будет следующий:
<meta name=»referrer» content=»origin»>

Проверка смешанного содержимого

После перехода на https, тем не менее, в браузере может не появиться значок защищенного соединения, а отображаться один из следующих значков в Google Chrome

А в сведениях о подключении может быть одно из следующих изображений

Подробнее о статусах в справке Google.

Это значит, что на странице загружается смешанный контент и небезопасное содержимое. Например, какой-то скрипт или изображение все еще загружаются по незащищенному протоколу http. Необходимо, чтобы все внутренние и внешние ссылки имели протокол https:// либо относительный //. Это же касается и внешних ссылок.

Справка Google для технических специалистов.

Чтобы найти смешанный контент, воспользуйтесь инструментами разработчика, которые вызываются в Google Chrome (Ctrl+Shift+I). Воспользуйтесь вкладкой Security, где будут ссылки на просмотр загрузки незащищенного контента в консоли. Для просмотра полной информации в консоли потребуется перезагрузка страницы.

На примере мы видим, что на странице загружается изображение с другого сайта по незащищенному протоколу http. Такую проверку необходимо провести для всех страниц. Это можно сделать SEO-специалист, например, с помощью программы ScreamingFrog SEO Spider. Либо вы можете самостоятельно походить по страницам сайта и посмотреть, везде ли отображается значок защищенного соединения. Примеры страниц, где соединение не защищено, нужно отправить техническому специалисту, который переводит сайт на защищенный протокол.

Анализ ссылочной массы после переклейки

Обратите внимание, что при анализе ссылочной массы вам будет необходимо выгружать ссылки из Вебмастера Яндекса для каждого зеркала, так как в Вебмастере выгружаются ссылки только для того зеркала, для которого вы их выгружаете. Например, для данного сайта нужно будет выгрузить ссылки для трех зеркал, чтобы увидеть всю ссылочную массу сайта:

seo.artox-media.ru