Как подключить SSL и перевести сайт на HTTPS

До 2014 года протокол HTTPS на сайтах встречался редко. Сегодня же это обязательный элемент сайта, влияющий как на ранжирование в поисковых системах, так и на доверие пользователей. В этой статье поговорим о протоколе HTTPS и расскажем, чем отличается HTTP от HTTPS и как перейти на сайт с HTTPS.

• Что такое HTTPS и чем он отличается от HTTP
• Зачем переводить сайт на HTTPS
• Как перевести сайт на HTTPS

Что такое HTTPS и чем он отличается от HTTP

Для начала давайте разберемся, зачем нужны протоколы передачи данных и в чем разница между HTTP и HTTPS.

Любой вбитый в поисковую строку запрос проходит путь от пользователя к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP (Hypertext Transfer Protocol).

Но у HTTP есть один недостаток — он не шифрует данные. Это означает, что злоумышленники смогут в любой момент перехватить реквизиты банковских карт, номера телефонов, email-адреса и другую личную информацию пользователей.

Чтобы уберечь эти данные от хакеров, был внедрен протокол HTTPS — это HyperText Transfer Protocol Secure, в переводе «защищенный протокол». В этом случае передача данных осуществляется по такому же принципу, что и в HTTP, но с криптографическим шифрованием, о чем говорит дополнительная буква «S».

Работает HTTPS протокол благодаря SSL/TLS-сертификату — это цифровая подпись сайта, подтверждающая подлинность ресурса.

С SSL-сертификатом в схеме «клиент → сервер → клиент», появляется дополнительный шаг. Разница в том, что перед установкой защищенного соединения, браузер запрашивает SSL и обращается к центру сертификации, чтобы проверить легальность цифрового документа. Если он действителен, то браузер и сервер начинают доверять друг другу и договариваются о разовом обмене информацией. Это происходит каждый раз и абсолютно с любым сайтом.

Зачем переводить сайт на HTTPS

Здесь можно выделить несколько причин.

1. Безопасность. Как вы уже поняли, основная цель использования протокола HTTPS – защита персональных данных. Но отметим, что использование SSL-сертификата — не лекарство от всех бед. Учтите, что злоумышленники могут перехватить данные до момента передачи их на сервер, если компьютер или устройство клиента было заражено. Но всё же использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
2. Доверие клиентов. Пользователи просто привыкли, что на сайтах крупных компаний можно увидеть надпись «защищено» или замок в адресной строке. Кроме того, посетитель страницы может кликнуть на иконку замка и узнать:

• доменное имя, на которое оформлен SSL-сертификат;
• юридическое лицо, которое владеет сертификатом;
• физическое местонахождение его владельца (город, страна);
• срок действия сертификата;
• реквизиты компании-поставщика SSL.

3. SEO-продвижение. Поддержка HTTPS-протокола — один из факторов ранжирования для многих поисковых систем. Об этом не раз писали Google и Яндекс. Если хотите активно заниматься продвижением в поисковиках, установка SSL-сертификата на сайт добавит вам несколько SEO-очков для сайта.
4. Дополнительные инструменты. Некоторые сервисы, например, Яндекс.Деньги, голосовой помощник Google Chrome или Google AdWords, можно подключить только к сайтам с сертификатом безопасности.
5. Закон. Существует федеральный закон №152 «О персональных данных». Согласно нему, если на вашем сайте собирается минимальная информация о клиентах (ФИО, email и др.), то он становится оператором персональных данных. Согласно закону, такие сайты должны соблюдать множество правил по защите данных своих клиентов, и переход на HTTPS — одно из них.

Теперь поговорим том, как перейти на защищенное соединение и настроить редирект с HTTP на HTTPS.

Как перевести сайт на HTTPS

Переезд сайта на другой протокол выполняется за несколько шагов.

• Шаг 1. Выберите нужный тип SSL-сертификата
• Шаг 2. Активируйте сертификат
• Шаг 3. Установите SSL
• Шаг 4. Измените внутренние ссылки на относительные
  • Плагин Search Regex
  • Плагин Easy HTTPS Redirection
• Шаг 5. Настройте редирект на HTTPS
• Шаг 6. Оповестите поисковые системы о смене протокола
  • Для настройки в Яндекс.Вебмастере
  • Для настройки в Search Console
• Шаг 7. Проверяем правильность установки SSL-сертификата

1. Выберите нужный тип SSL-сертификата

Для начала определитесь с типом SSL, который подойдет вашему сайту.
Сертификаты подразделяются по типу проверки данных:

• DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
• OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
• EV (Extended Validation) — это решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

• WildCard — защищает соединение с доменом и всеми его поддоменами.
• SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Выбор сертификата безопасности зависит от ваших потребностей. Для начала подумайте, какое количество поддоменов нужно защитить и какая степень проверки требуется для вашей компании. От этого и будет зависеть тип SSL.

2. Активируйте сертификат

После покупки сертификат появится в списке услуг в личном кабинете.
Как же включить SSL:

• Если вы выбрали базовый сертификат (DV), делать что-то дополнительно не придется, потому что SSL активируется автоматически в течение 2-3 часов после покупки.
• Если вы приобрели OV и EV-сертификаты, подходящие только для юридических лиц, подождите от 3 до 7 дней. Процесс занимает большее количество времени, потому что Центр сертификации обязан проверить сведения о вашей организации или запросить их, если чего-то не хватает. Всё потому, что в случае с OV и EV компания подтверждает факт существования и все официальные каналы связи с ней, а ее владельцы — свои полномочия.

3. Установите SSL

Когда вы получили на контактный email данные об активации SSL, можно переходить к установке сертификата.

Если вы приобрели сертификат не в SpaceWeb:

1. Откройте Панель управления.
2. Перейдите в SSL и нажмите Установить.
3. Далее в открывшемся списке выберите нужный IP-адрес, на который хотите установить сертификат.
4. Вставьте скопированный файл сертификата (подписанный публичный ключ) в первое поле, а приватный ключ — во второе.
5. Если сертификат подписан не напрямую, укажите файл с сертификатами промежуточных центров сертификации в последнем поле.

Если вы приобрели сертификат в SpaceWeb:

1. Откройте Панель управления.
2. После активации сертификата, перейдите в раздел SSL.
3. Привяжите его к IP-адресу, к которому привязан нужный домен.

Подробнее об установке SSL-сертификата читайте в этой статье.

4. Измените внутренние ссылки на относительные

Внимание! Перед настройкой внутренних ссылок обязательно сделайте резервную копию.

Внутренние ссылки — страницы, с помощью которых вы перенаправляете пользователя на другие страницы вашего сайта. Например, https://sweb.ru/ — это основная ссылка, а https://sweb.ru/example/ — внутренняя.

После подключения SSL-сертификата внутри сайта могут остаться ссылки на внутренние страницы и файлы, например, картинки или стили шрифтов, которые продолжают работать по HTTP. Если не поправить внутренние ссылки, поисковые системы продолжат считать ваш сайт небезопасным.

Чтобы избежать потери трафика, измените ссылки на относительные — это ссылки, которые не содержат протокола и адреса сайта. Вместо них браузер подставляет адрес и протокол сайта, на котором находится пользователь. Например, https://sweb.ru/example/ — абсолютная ссылка (т.е. полный URL страницы), а /example/ — относительная.

Если вы используете WordPress, то изменить поправить ссылки можно с помощью плагинов, например, Search Regex и Easy HTTPS Redirection.

Плагин Search Regex:

1. Скачайте и установите плагин.
2. Перейдите в рубрику Инструменты ― Search Regex.
3. Для замены ссылок в строке поиска (Search) напишите старый URL с http://. В строку замены (Replace) введите новый URL с https://.
4. Чтобы проверить файлы сайта, в строке Source выберите нужные виды файлов.
5. Нажмите на Search.
6. Готово.

Плагин Easy HTTPS Redirection:

1. Скачайте и установите плагин.
2. Перейдите в раздел настроек и выберите HTTPS Redirection.
3. Поставьте галочку рядом с Enable automatic redirection to the «HTTPS».
4. В графе «Apply HTTPS redirection on» выберите The whole domain.
5. Поставьте галочку напротив Force resources to use HTTPS URL.
6. Готово.

Как только все файлы сайта будут работать по протоколу HTTPS, переходите к следующему шагу.

5. Настройте редирект на HTTPS

Важно перенаправить все версии страниц с HTTP и HTTPS с помощью редиректа. Чтобы «связка» двух адресов работала правильно, используйте 301-й (постоянный) редирект. Он сообщает поисковым роботам, что страница перемещена на новый адрес, а старый сайт с HTTP можно перестать индексировать.

О том, как настроить редирект на HTTPS через .htaccess, читайте в этой инструкции.

6. Оповестите поисковые системы о смене протокола

В этом шаге нужно будет работать со сторонними инструментами, такими как  Яндекс.Вебмастер или Google Search Console. Процедура перехода на HTTPS может занять от 2 до 4 недель. Если это критично для клиентов вашего бизнеса, выберите подходящее время.

Для настройки в Яндекс.Вебмастере:

1. Авторизуйтесь в Яндекс.Вебмастере.
2. Нажмите на плюс и добавьте новую версию сайта с HTTPS.

3. Если до этого вы использовали Яндекс.Вебмастер, подтвердите права на данный адрес любым предложенным способом. Нажмите Проверить:
4. После этого начните переезд сайта на HTTPS. Для этого перейдите в старое зеркало сайта. В разделе «Индексирование» ― «Переезд сайта» поставьте галочку Добавить HTTPS. Нажмите Сохранить.

Если вы подписаны на email-рассылку, Яндекс отправит письмо о том, что склейка зеркал сайта прошла успешно.

Для настройки в Search Console:

1. Авторизуйтесь в Google-аккаунте и добавьте ваш новый адрес с HTTPS.

7. Если до этого вы использовали инструмент, подтвердите право собственности на домен, добавив в их зону TXT-запись. Нажмите Подтвердить.
8. Добавьте новую карту сайта.
9. Если у вас есть отклоненные ссылки в Disavow Tool, то загрузите их заново.

7. Проверяем правильность установки SSL-сертификата

Ошибки или проблемы могут всплыть в течение первых нескольких дней после смены протокола. Чтобы быстрее проверить сертификат, узнать и исправить все эти неприятные моменты, нужно:

1. Ввести новый адрес с HTTPS в поисковой строке. Если страница загружается, а в адресной строке появился замочек, значит, сайт стал доступен по HTTPS.
2. Воспользоваться специальными сервисами, например, sslshopper или globalsign.ssllabs. Если результат после проверки окажется положительным, значит, переезд сайта на HTTPS сделан правильно.

Готово! Вы разобрались, что такое HTTPS, в чем отличие HTTP от HTTPS, и узнали, как настроить переадресацию и перенести сайт на HTTPS.