Читать HTTPS для вашего сайта: без выделенного ip и покупки сертификата

В последнее время в новостном SEO-сегменте то и дело встречаются термины и словосочетания типа: "SSL", "HTTPS", "безопасное соединение", "цифровой сертификат" и т.д. В сообществах веб-мастеров участились дискуссии, чей сертификат лучше, где SSL-сертификаты дешевле и как перевести сайт на защищенный протокол https? Виновником ажиотажа является Google, уже несколько лет склоняющий вебмастеров к безопасному протоколу. Широко известны блокирующие окна в браузере Chrome, если с сертификатом сайта что-то не так...



И если веб-мастерам удавалось до сих избегать их, отказываясь от https протокола вообще, то теперь поисковый гигант пошел еще дальше: с 1 января 2017 года, с помощью того же браузера Chrome он намерен клеймить все сайты на небезопасном HTTP-протоколе как «небезопасные» соответствующей пометкой в поисковой строке браузера.



Совершенно ясно, что новых пользователей вашего сайта это будет отталкивать и сайт постепенно будет терять доверие. Не исключено также, что это не скажется на ранжировании вашего сайта, Google может впоследствии выводить соответствующие уведомления для пользователей и в поисковой выдаче. Важно знать, что Google сторонник "безопасности" и моду на нее среди сайтостроителей он продвигает уже несколько лет, поэтому целесообразно переводить свой сайт на https протокол уже сегодня, так как теоретически лишь на пометке в браузере этим дело не ограничится.

В конце концов, установка SSL сертификата для использования https - важный шаг к обеспечению безопасности Вашего сайта в Интернете.

Два слова о протоколе SSL

Протокол SSL (Secure Socket Layer) был разработан в 1996 году в компании Netscape и очень скоро стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Именно он интегрирован в большинство браузеров (посмотрите на пометку вначале адреса в браузере) и веб серверов и использует асимметричную криптосистему с открытым ключом.

Как работает защищенное SSL соединение?

Необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Сам цифровой сертификат - это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения. Обычно цифровой сертификат независимо подписывается и заверяется третьей стороной. В роли такой третьей стороны выступают центры сертификации. Эти центры сертификации продают SSL сертификаты разного рода надежности, защищенности, значимости и т.д.

Как узнать что web-cайт имеет SSL сертификат?

Главный признак того, что посещаемый Вами сайт имеет SSL сертификат и используется проверенное защищенное соединение, вы найдете в строке адреса в браузере:



Внимание следует обратить на значок в виде замочка. Замкнутый зеленый замок сигнализирует о том, что используется защищенное соединение по SSL протоколу (сайт работает по https c подписанным сертификатом третьей стороной).

HTTPS как головная боль вебмастера

Если вы начинающий или не универсальный программист, реализация замкнутого зеленого замка в строке браузера покажется Вам архисложной задачей. А именно, для реализации полноценного https протокола потребуется:

1. выделенный ip для вашего сайта (дополнительные регулярные расходы);
2. подписанный сертификат SSL (дополнительные регулярные расходы);
3. покупка и активация всего этого на вашем сайте;
4. настройка правильной работы сайта на новом https протоколе;
5. переезд сайта в поиске на новый адрес (http и https это то же что и с www и без www - два разных сайта);

Использование https на сайте также чревато некоторыми последствиями:

1. снижается быстродействие сайта (поскольку трафик между вашим сайтом и пользователем шифруется);
2. временное обнуление тИЦ, проседание позиций и частичная потеря трафика;
3. потеря всех социальных "лайков" для всех ваших страниц (поскольку изменился url);
4. недоразумения с некоторыми ссылочными биржами и рекламодателями, если вы торгуете ссылками и откручиваете рекламу;

Это в общих чертах все круги ада, но на самом деле упущено много всяких мелочей, с которыми вы будете постоянно сталкиваться при переезде на заветный зеленый замочек. Но поскольку процесс уже инициирован и вы в поисках ответа, как же все это сделать для своего сайта (чтобы не упасть в глазах Google с началом нового года), я попытаюсь вам доступно объяснить, как именно это делается и, что самое главное - ничего при этом не покупая.

Шаг 1. Бесплатный SSL сертификат

Наверняка вы уже расспрашивали у поддержки своего хостинга о возможности включения https протокола, в надежде, что это некая опция на вашем тарифном плане и один ваш тикет в поддержку расставит все точки над "i"

Все что может решить поддержка хостинга в Вашем случае, это предложить обязательный выделенный ip для Вашего сайта (на этом ip адресе будет только ваш сайт), адреса компаний, у которых Вы сможете купить SSL сертификат и помощь в его подключении (дело сводится к загрузке некоторых файлов на ваш хостинг). А между тем, всего этого можно не покупать и ограничится бесплатным SSL сертификатом! Но стоит ли экономить?

Варианты бесплатных SSL сертификатов есть разные, мы же рассмотрим пример с сервисом Cloudflare(сервис CDN). Для того чтобы получить и использовать бесплатный SSL сертификат, Вам потребуется регистрация в сервисе Cloudflare и смена NS значений у своего домена (весь трафик на Ваш сайт будет проходить через их сервера, где собственно и будет установлен Ваш сертификат).

Если в двух словах, то:

1.

2.

следуя подсказкам системы (на определенном этапе не забываем выбрать тариф Free);
3. Меняете текущие значения у регистратора своего домена на предложенные системой NS (например, fred.ns.cloudflare.com и molly.ns.cloudflare.com);
4. Нажимаем кнопочку "Crypto", в блоке SSL выбираем (если не установлено) - Flexible;



На этом активация бесплатного SSL сертификата для Вашего сайта закончена! Вы избавили себя от необходимости покупать выделенный ip для сайта и ежегодно оплачивать сам сертификат. Популярная в мире сеть доставки (и дистрибуции) контента под названием Cloudflare взяла на себя все обязанности по выдаче сертификата для вашего сайта, шифрованию трафика и т.д. С помощью этого же сервиса вы можете максимально ускорить работу своего сайта, безболезненно отбивать DDOS-атаки... но это уже тема для другой статьи.

Шаг 2. Переезд на https

Это самый сложный шаг, здесь будет много подводных камней, но дорогу осилит идущий.

После того, как ваш сайт полноценно заработает посредством сервиса Cloudflare (а смена NC домена может затянуться на сутки), попробуйте его открыть с новым, https протоколом:

Код:

https://ВашСайт.ру

Если ваш сайт открылся по этому адресу (на внешний "перекошенный" вид сайта можете не обращать внимания), то это признак того, что вы на правильном пути. Если открылся не ваш сайт, редирект и т.д. стоит вернутся к шагу №1.

Если Ваш сайт стал доступен по HTTPS (и зеленого замка в строке браузера вы не увидели), вам необходимо глобально на всем сайте (включая как файлы вашего сайта, так и вашу базу данных, где записаны ссылки) заменить все ссылки и адреса с http на https (применительно к ссылкам своего сайта и внешним подключениям). Это нужно сделать как для ссылок, так и для подгружаемых скриптов, стилей, картинок и т.д. И делать это нужно с осторожностью, автоматически "искать и заменить" http на https не получится, вы можете нарушить целостность скриптов и сайта в целом.

Используя "инструменты для разработчиков", которые встроены в ваш браузер, вы можете отслеживать и исправлять все незащищенные (http) подключения и исправлять их...

Это придется делать до тех пор, пока все красные извещения не исчезнут и в строке браузера вместо красного предупреждения не появится заветный зеленый замочек.

В зависимости от используемого вами движка и скриптов, на это может уйти много сил и времени, вплоть до того, что некоторые функции придется заменить (переписать), отказаться от некоторых плагинов, модулей и т.д.

Шаг 3. Переезд сайта на новый адрес

Если вы осилили шаг №2 и зеленый замочек появился у вас на всех страницах сайтах с приставкой https (проверить обязательно нужно все ключевые страницы), остается самый последний шаг - перенести версию вашего сайта с http на https.

Ваш сайт теперь открывается одинаково хорошо как на http и https? Поздравляю. Но это два разных сайта (два разных url) и вы должны сделать все необходимое для корректного переезда на новый основной сайт с https.

Редирект с http на https

Важный момент - редирект, все ваши ссылки должны редиректить на https. Обычно редирект прописывают в файл .htaccess. Универсального решения нет, все зависит от программного кода вашего сайта. Попробуйте один из перечисленных вариантов:

Код:

RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Protocol} !=https
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Или

Код:

RewriteCond %{HTTP_HOST} ^vashsite\.ru [NC]
RewriteCond %{HTTP:X-Forwarded-Proto} ^http$
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Или

Код:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Или

Код:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Каждый раз тестируйте работу сайта, проверяя на корректность редиректа, полноценную работу основных узлов сайта. Распространенная проблема - циклическая переадресация, браузер может отказать в открытии сайта с формулировкой "Сайт выполнил переадресацию слишком много раз".

Если ни один из вышеперечисленных кодов редиректа не помог, обратитесь к поддержке своего хостинга или к специалистам в этой сфере. Когда же на этом вопрос будет исчерпан, стоить еще раз перестраховаться - проверить ответ сервера. Сделать это можно в Яндекс.Вебмастере - Инструменты - Проверка ответа сервера.

Правильный ответ при тестировании ссылки с http:

Код:

Код статуса HTTP 301 Moved Permanently

Правильный ответ при тестировании ссылки с https:

Код:

Код статуса HTTP 200 OK

Директива Host с https

В файле robots.txt необходимо изменить директиву Host. Поскольку теперь Ваш сайт доступен только по защищенному каналу, мы должны записать это как:

Host: Вы должны Зарегистрироваться, чтобы увидеть ссылку

Пусть это не смущает Вас, так как в классическом варианте (с http), протокол не указывался, это выглядело как:

Host: site.ru

Для сомневающихся Вы должны Зарегистрироваться, чтобы увидеть ссылку .

Переезд сайта

И завершающий этап - сообщить роботам, что вы переехали. Для Google будет достаточно правильно настроенного редиректа, а в Яндексе есть специальный раздел в Вебмастере: Настройка индексирования - Переезд сайта:



Необходимо поставить галочку "Добавить HTTPS" и Сохранить. Начнется процесс переноса Вашего сайта на новый адрес, он может занять от двух недель, до нескольких месяцев. Будьте готовы к временному падению тИЦ, позиций и посещаемости.

В заключение

Я показал на пальцах основной процесс переезда сайта с незащищенного (http) на защищенное (https) соединение. При этом, Вам ничего не придется покупать дополнительно, разве что не сможете сами сделать корректный перенос и переезд сайта на https (если основное содержание статьи осталось для Вас туманным).

Поскольку полноценный переезд сайта на новый протокол может занять несколько месяцев, а Google обещает снисходительно относиться к таким сайтам начиная с наступлением 2017 года, переходить на защищенное соединение нужно уже прямо сейчас!