HTTP vs HTTPS. Как перейти на HTTPS без последствий?


Сейчас в интернете идет много споров, использовать ли протокол HTTPS или нет. В августе прошлого года Google заявил, что будет учитывать поддержку протокола HTTPS как фактор ранжирования. Несмотря на это, все же появились явные противники перехода на протокол HTTPS, считающие, что Яндекс не полностью готов к корректной индексации данного типа страниц.

Однако зарубежные специалисты считают, что использование защищенного соединения уже сейчас является инвестиционным вложением в будущее компании, так как со временем поисковые системы придут к улучшению поддержки сайтов с HTTPS. Давайте разберемся, кто прав, и стоит ли уже сегодня переходить на защищенный протокол HTTPS.

Что такое HTTPS?

Любое действие в интернете — это обмен данными, при котором каждый раз ваш компьютер делает запрос к необходимому серверу и получает от него ответ. Стандартно такой обмен данными происходит по протоколу HTTP, основной недостаток которого — незащищенность передаваемых данных, что абсолютно не приемлемо, например, когда речь идет о передаче паролей, данных кредитных карт и другой персональной или конфиденциальной информации.

По сути, HTTPS —это расширение протокола HTTP, поддерживающее шифрование, что обеспечивает безопасность передачи данных.

Плюсы и минусы HTTPS

Так почему же мнения специалистов разделились? Дело в том, что использование протокола HTTPS имеет как свои плюсы, так и минусы.

К отрицательным моментам использования HTTPS можно причислить:

  • ежегодно оплачиваемый сертификат, стоимостью примерно от $20 в год;
  • снижение скорости работы сервера, так как часть его ресурсов будет уходить на шифрование передаваемых данных.

К положительным:

  • защиту от хакерских атак, основанных на прослушивании сетевого соединения;
  • увеличение уровня доверия пользователей;
  • потенциальное положительное влияние на ранжирование страниц сайта в поисковых системах за счет учета наличия защищенного соединения как фактора ранжирования, а также положительного влияния на поведенческие факторы ранжирования.

Корректный перевод сайта с HTTP на HTTPS

Проблема, с которой вы можете столкнуться при переходе на HTTPS — это временная потеря позиций в поиске и проседание трафика. Поисковые системы считают сайты http://site.ru/ и https://site.ru/ зеркалами (то есть сайтами, которые являются полными или частичными копиями), поэтому важно организовать корректный переезд на новый протокол, придерживаясь следующих рекомендаций:

  1. Для сайта http://site.ru/ в Яндекс.Вебмастере в разделе «Настройка индексирования» в пункте «Главное зеркало» установите главным зеркалом https://site.ru/.
  2. Настройте постраничный 301-й редирект со страниц с протоколом HTTP на страницы с протоколом HTTPS.
  3. Обновите XML-карту сайта — замените в ссылках протокол HTTP на HTTPS. Обновите ссылку на карту сайта в файле robots.txt, например:
    Sitemap:https://site.ru/sitemap.xml
  4. При использовании в HTML-коде абсолютных ссылок необходимо указать в них протокол HTTPS вместо HTTP.
  5. При использовании тегов <link rel=”canonical”> или <base> ссылки в них также необходимо обновить на HTTPS.

Использование HSTS

При использовании защищенного соединения сервер затрачивает больше времени на передачу данных. Поэтому рекомендуем использовать веб-сервер, поддерживающий механизм HSTS (заранее убедитесь, что он включен), что позволит ускорить обработку запросов сервером. В этом случае браузер будет запрашивать страницы через протокол HTTPS, даже если пользователь введет http://site.ru/ в адресной строке.

В файл .htaccess добавляем следующие строки:

    <IfModule mod_headers.c>
    # this domain should only be contacted in HTTPS for the next 6 months
    Header add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
    </IfModule>

Основные ошибки

Ниже описаны проблемы, которые могут возникнуть при использовании протокола HTTPS, и их необходимо заранее исключить:

Описание проблемы Действие
Просроченные сертификаты. Вовремя обновляйте сертификаты.
В сертификате неправильно указан основной хост. Проверьте, на какое имя хоста зарегистрирован сертификат.
Не поддерживается указание имени сервера (SNI, Server name indication). Ваш веб-сервер должен поддерживать SNI. SNI поддерживают все современные браузеры. Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес.
Старые версии библиотек. Старые версии OpenSSL уязвимы. Используйте последние версии библиотек TLS.
Совмещение защищенных и незащищенных элементов. Размещайте на страницах HTTPS только защищенное содержание.
Разное содержание на страницах HTTP и HTTPS. Содержание на страницах HTTP и HTTPS должно быть идентичным.

В заключение

Вернемся к вопросу: стоит ли переходить на HTTPS, чтобы улучшить свои позиции в поиске? Мы не видим необходимости переходить на HTTPS исключительно в целях улучшения SEO-факторов и продвижения сайта. Но если у вас есть потребность в использовании защищенного соединения, например, при передаче персональных данных ваших пользователей, то использование HTTPS — единственный верный способ защитить их от злоумышленников.

* Материал обновлен в соответствии с изменениями от 20 марта 2018 года. Яндекс сообщил об отказе от директивы HOST при определении главного зеркала сайта в поиске. Это связано с намерением разработчиков упростить процесс смены зеркал при переезде на новый домен или переходе на защищенный протокол HTTPS. Теперь на всех не главных зеркалах необходимо установить 301-й постраничный редирект, который будет указывать на основной продвигаемый хост сайта.

4 комментария
5/5 (100%) 3 голос(ов)
5 3
Просмотров: 6799

Комментарии


 
Борис 24 мая в 15:27
Здравствуйте! Огромное спасибо за статью. В свое время сайт на протоколе http продвинуть без sitemap.xml и без robots.txt. Сейчас при переходе с http на https можно ли обойтись без их создания? Заранее спасибо за ответ!
Имя*
E-Mail (не публикуется)
Комментарий*
Имя*
E-Mail (не публикуется)
Комментарий*
 
iSEO 29 мая в 16:50
Борис, для эффективного продвижения сайта на протоколе http или https важно создавать и постоянно актуализировать файлы robots.txt и sitemap.xml, поэтому советуем ими не пренебрегать.
Имя*
E-Mail (не публикуется)
Комментарий*
Имя*
E-Mail (не публикуется)
Комментарий*
 
Роман 09 апреля в 12:47
Подскажите как выудить страницы которые еще подгружаются через протоколо http Что бы удалить в ручную, а то никак замок не закрывается.
Имя*
E-Mail (не публикуется)
Комментарий*
Имя*
E-Mail (не публикуется)
Комментарий*
 
iSEO 09 апреля в 12:43
Роман, вы можете воспользоваться программой Screaming Frog SEO Spider для поиска страниц с разными протоколами. Она позволит определить, в коде каких страниц размещены ссылки на неосновной хост.
Имя*
E-Mail (не публикуется)
Комментарий*
Имя*
E-Mail (не публикуется)
Комментарий*
 

Оставить комментарий


Имя*
E-Mail (не публикуется)
Комментарий*