Выпуск №256. 5 плюсов перехода на HTTPS — SSL-сертификаты, SEO, конверсия

Доля сайтов, которые используют HTTPS — неуклонно растёт. Поисковые системы уже сейчас распределяют большую часть трафика именно на сайты с поддержкой HTTPS, растёт и их присутствие в ТОП выдачи — более 52%.

Рис. 1. Динамика доли присутствия HTTPS-результатов в выдаче по широкому пулу запросов.

Переход на безопасный обмен данными с пользователями мощно стимулирует поисковая система Google и её «дочерний браузер» Chrome. Напомним, что с 56 версии Google Chrome начал помечать страницы, которые собирают конфиденциальные данные и не используют HTTPS-протокол как «Небезопасные», тем самым — понизил конверсию на них (аналогичной политики придерживается и Firefox).

Рис. 2. Пометка небезопасного сайта в браузере Google Chrome.

Если добавить сюда постоянно растущее число пользователей Chrome в рунете — более 58% на май 2017, то покупка и установка SSL-сертификата становится обязательным действием для поддержания должного уровня конверсии сайта, сохранения и умножения трафика.

Что такое SSL и HTTPS?

• SSL — протокол, который позволяет осуществлять безопасный обмен даннымис пользователями в интернете и уберегать конфиденциальную информацию от перехвата. Для проверки безопасности соединения используются SSL-сертификаты, их основные задачи — шифрование данных и идентификация сайта.
• HTTPS — расширение «обычного» HTTP, которое поддерживает шифрование и используется в целях повышения безопасности.

Центры сертификации и виды сертификатов

Центр сертификации — специализированная организация, которая осуществляет выдачу цифровых сертификатов и проверку данных, перед и после его выдачи.

Различия SSL-сертификатов заключаются в проверке той информации, которая осуществляется центром, это:

• Domain Validation сертификаты — позволяют удостоверить наличие прав на управление доменом. Посетитель, просмотрев данный тип сертификата, может убедиться, что он находится на том сайте/домене, адрес которого введен в браузерной строке (не было перенаправления его злоумышленниками на подложный сайт).
• Organisation Validation сертификат — центр проверяет не только наличие прав на домен, но и существование организации / владельца, у которых есть эти права. Посетитель, который находится на сайте с использованием сертификата данного типа может убедиться в корректности самого сайта и определить, кому принадлежит ресурс. Для установки сертификата данного типа — требуется дополнительно подтвердить идентификационные данные владельца.
• Extended Validation сертификат — удостоверяет домен и владельца, но предоставляются центром только после расширенной проверки самой организации.

Как выбрать тип сертификата?

Выбор конечного типа сертификата зависит от самого проекта, который переходит на защищенный формат передачи данных — HTTPS. Типовые задачи:

1. Переход на HTTPS одного домена. Если сайт представляет компанию (юридическое лицо), то используется стандартный вариант — Organisation Validation сертификат. Если физическое лицо — Domain Validation, примеры: Comodo PositiveSSL (недорогой), Thawte SSL123, Geotrust RapidSSL Wildcard.
2. Перевод на HTTPS для нескольких поддоменов одного сайта (региональные или тематические поддомены, дочерние проекты). Используется сертификат Wildcard, примеры: Geotrust RapidSSL Wildcard, Thawte SSLWildCard и другие.
3. Для списка доменов / группы проектов. Задачу решают сертификаты SAN, проверяются — список доменов и компания. Примеры: Geotrust True BusinessID SAN. Используется достаточно редко.
4. Для банка, финансовых учреждений, холдинга, сайта с биллингом. Чаще всего используются сертификаты с расширенной проверкой — Extended Validation, примеры: Thawte SSLWebServerEV, Symantec Secure Site EV.

Цена самого сертификата может варьироваться в зависимости от компании, где вы осуществляете его приобретение (как при покупке доменного имени). Стандартный срок действия — 1 год.

Правильный перевод сайта на HTTPS

После покупки SSL-сертификата и его установки — важно грамотно перевести сайт на HTTPS. Под правильным переводом подразумевается:

• Настройка корректного отображения сайта для пользователей.
• Правильная индексация поисковыми системами — одной версии (зеркала) и направление трафика на неё.
• Сохранение/увеличение трафика из поиска и прочих источников.

Если сайт уже индексируется поисковыми системами и привлекает целевой трафик, то полный переход на HTTPS — не самая быстрая процедура. Во многом это «вина» Яндекса, который для смены главного зеркала должен полностью проиндексировать обе версии (HTTP и HTTPS), признать, что они являются копиями, обработать директиву «Host» в файле robots.txt и произвести смену главного зеркала (в апдейт базы данных робота-зеркальщика).

Важно! Для Яндекса перевод проекта на HTTPS равносилен смене главного домена (зеркала) и для сохранения объемов трафика — обязательно требуется предварительная подготовка.

Итак, для грамотного переезда на HTTPS, сохранения уровня трафика и роста конверсии требуется:

• Купить и установить на сервер проверенный SSL-сертификат. Подойдёт любой крупный партнер. Самый сильный игрок на этом рынке — компании Comodo, а также Symantec, которая владеет такими центрами сертификации как Thawte, Verisign и Geotrust.
• Проверить, что все ссылки внутри домена ведут на страницы HTTPS-версии. В том числе: ссылки в XML-карте сайта, шаблонах, подключаемых стилях и прочие. Отдельно упомянем настройки, которые были произведены со «старой» версией, теперь все их надо перенести на HTTPS, скажем, файлы загруженные в Google Disavow Tool, ссылки на действующие XML-карты сайта в панелях.
• Проверить, что весь подключаемый контент доступен именно по HTTPS. В частности, все подгружаемые аудио- и видеофайлы и скрипты должны указывать на защищенный протокол (Яндекс.Карты, YouTube и так далее).
• Проверить визуально корректность отображения HTTPS-версии для пользователей.
• Настроить в файле robots.txt указание нового основного зеркала (подробней — см. в статье по ссылке выше). Отдельно обратим внимание, что указание в директиве «Host» идёт вместе с протоколом: «Host: https://domain.ru/».
• Добавить обе версии в панели вебмастера Яндекса и Google.
• Дождаться смены главного зеркала Яндексом и оповещения об этом в панели вебмастера. После извещения — рекомендуется выждать ещё 2-3 обновления базы и проконтролировать, что поисковый трафик из Яндекса полностью переключился на HTTPS-версию (по данным Яндекс.Метрики / Google Analytics).
• Настроить 301-редиректы со всех второстепенных вариантов написания на новое основное зеркало и проверить их отработку. Все редиректы должны быть в один шаг и все с кодом 301. Это важно.

Для удобства и проверки верного кода можно использовать инструмент «Сервис для массовой проверки ответа сервера» от Пиксель Тулс.

Рис. 3. Проверка корректности отработки 301-редиректов на основное зеркало. Выше — верная настройка с переадресацией со всех второстепенных зеркал.

Для полного контроля рекомендуется проверять корректность работы с помощью бесплатных сервисов, пример — SSL Checker. Часто, на уже работающих сайтах имеются ошибки в настройках или установке SSL-сертификата.

Рис. 4. Работа сервиса SSL Checker, осуществляющего бесплатную проверку установки SSL-сертификата.

Плюсы и минусы перехода

Начнём с минусов, так как их практически нет, это:

• Необходимость покупки самого сертификата. Цена у проверенных компаний — от 1 500 рублей в год. Более «продвинутые SSL» от 4 500—5 500 рублей в год. Сертификату требуется продление раз в год.
• Настройка сайта для перевода на HTTPS.

А вот плюсов много:

• Повышение безопасностипри обмене данными с пользователем. Использование HTTPS позволяет защитить данные от перехвата злоумышленниками и третьими лицами.
• Повышение уровня доверияу продвинутых пользователей. Конечно, опытные пользователи обращают внимание на наличие HTTPS при оплате счетов в интернете и передаче персональной информации.
• Сохранение / повышение конверсии. Учитывая, что лидирующий в Рунете браузер Google Chrome напрямую помечают страницы, которые собирают персональную информацию (пароли, данные оплаты и т.д.) как небезопасные — конверсия таких страниц неизбежно падает.
• Наличие HTTPS как фактор ранжирования. Google — напрямую заявляет учёт наличия подписанного SSL-сертификата у сайта, как один из факторов ранжирования. В Яндексе наличие HTTPS-версии также учитывается с 2011 года в составе группы коммерческих факторов ранжирования, которые используются для упорядочивания выдачи по коммерческим запросам в Москве (вероятно, и прочих крупных регионах).
• Дополнительные моменты: уточнение статистики переходов на домен с проектов с HTTPS.

Основные ошибки при переходе

Многие владельцы сайтов допускают ошибки при переезде на HTTPS, приведём наиболее распространенные и опасные из них, чтобы можно было избежать их повторения:

• Настройка 301-редиректа на версию с HTTPS без предварительной смены главного зеркала в Яндексе. Итог: потеря трафика из поисковой системы в срок до 1.5-2 месяцев.
• Наличие «смешанного контента»на страницах, то есть, когда на HTTPS-версии ряд контента подгружается по HTTP (внешние скрипты и т.д.). Итог: данные страницы помечаются Google Chrome как небезопасные.
• Не 301-ый код ответа серверадля перенаправления на HTTPS-версию (скажем — 302). Итог: проблемы с передачей накопленных факторов ранжирования в поисковых системах, просадка трафика.
• Неверное оформление сертификата(имя домена в SSL не совпадает с тем, что указано в браузерной строке пользователя, неучёт поддоменов сайта при переводе). Итог: проблемы с посещением проекта.
• Наличие абсолютных ссылок на «старую» HTTP-версиюна самом сайте, в XML-карте сайта, прочих источниках, контролируемых владельцами. Итог: незначительные (как правило) проблемы с индексацией.
• Просроченный SSL-сертификат (не забывайте продлять его, как и хостинг и домен). Итог: проблемы с посещением проекта.

Рис. 5. Ошибка в работе SSL-сертификата и сложности посещения сайта у пользователей. Переход возможет только при проявлении «высокого уровня настойчивости».

Выводы

Перевод сайта на безопасный HTTPS-протокол является обязательной процедурой в 2017 году для всех коммерческих сайтов, проектов с формой авторизации и обратной связи. ]

Лидирующие показатели браузера Google Chrome в рунете и радикальная позиция о необходимости перехода на HTTPS — сильно ускоряют процесс и делают покупку SSL-сертификата обязательной и для всех остальных типов проектов.

Подключение SSL-сертификата на конструкторе сайтов Setup.ru позволят избежать критических ошибок при переносе сайта и смене главного зеркала. Удачи в повышении безопасности проектов, роста трафика и конверсии!