Как получить SSL-сертификат: переезжаем на криптографический протокол правильно

Редакция «Текстерры»

Переезд на SSL-сертификат далеко не всегда проходит быстро и безболезненно. Вы рискуете потерять долю трафика или даже получить технические ошибки, которые приведут к полной неработоспособности сайта. Рассказываю, как переехать на SSL-протокол правильно.

Что такое SSL

Здесь все просто. SSL – специальный протокол криптографического типа (проще говоря, с поддержкой шифрования передаваемых данных), обеспечивающий высокий уровень безопасности передачи данных от пользователя к сайту. Дополнительная безопасность передачи данных обеспечивается при помощи аутентификационных кодов, асимметричного криптографического протокола и задействования симметричного шифрования.

В последние несколько лет поисковые системы тонко намекают на то, что SSL-сертификат – обязательный атрибут для всех. Сайты, работающие с HTTP-протоколом, теперь считаются небезопасными и даже искусственно понижаются в выдаче. Об этом неоднократно говорили сотрудники Google, например – Джон Мюллер и Гэри Илш.

Пессимизация HTTP-сайтов осуществляется при помощи автоматических алгоритмов, когда поисковый бот получает информацию о том, что сайт не использует защищенный протокол. Сайтам, работающим по классическому HTTP, в ближайшее время придется явно несладко: некоторые браузеры уже отказываются загружать такие веб-ресурсы, выводя на экран предупреждение об опасности посещения таких сайтов. Не хотите терять пользователей? Тогда лучше уже сейчас приложить все усилия, чтобы переехать на защищенный HTTPS-протокол. Для этого понадобится установить на сайт SSL-сертификат и отработать все потенциальные ошибки.

Как получить SSL-сертификат

Чтобы начать переезд на защищенное соединение, необходимо приобрести так называемый SSL-сертификат. Свяжитесь со своим хостингом-провайдером – сегодня большинство из них предлагают сертификаты.

Можно также самостоятельно найти бесплатный сертификат или купить профессиональный вариант SSL.

Покупать необходимо такой SSL, который работает для всех страниц сайта, в том числе для второстепенных, а не только для главной. В противном случае пользователь, переходящий по страницам сайта, постоянно будет получать сообщения от браузера о том, что он открывает не защищенную страницу.

Сколько сертификатов покупать

Если у вас блог, небольшой интернет-магазин или даже полноценный портал, рассчитанный на крупную аудиторию, достаточно будет одного SSL-сертификата, но при условии, что корректно настроено перенаправление со всех зеркал на главное.

Помните, что, с точки зрения поискового бота, www.texterra.ru и http://texterra.ru – это разные сайты.

Главным зеркалом, если мы переезжаем на SSL-сертификат, нужно сделать https://texterra.ru.

Когда нужно покупать несколько сертификатов

Сайт может иметь несколько версий для разных регионов / стран / городов. На практике это выглядит следующим образом:

• russia.texterra.ru
• us.texterra.ru
• asia.texterra.ru

Если вышеуказанные субстраницы есть на вашем сайте, то необходимо выбирать WildCard – это сертификат открытого ключа, который предназначен для использования сразу с несколькими поддоменами, обычно – с поддоменами третьего уровня.

Некоторые сертификаты выдаются сразу на несколько доменов (например, такую возможно поддерживает LE он же Let's Encrypt).

Несколько сертификатов придется купить, если у компании более одной обновляемой версии сайта. В последнем случае лучше выбирать сертификаты типа SAN или мультидоменные SSL-сертификаты.

SAN-сертификат подтверждает домены по списку, который указывается в момент получения SSL-сертификата.

Мультидоменные SSL-сертификаты – это сертификаты, которые позволяют расширять число доменов при необходимости. Multi Domain SSL-сертификаты требуются серьезным компаниям, так как позволяют валидировать адреса домена и защитить несколько дополнительных доменных имен.

Какой SSL-cертификат выбрать для кириллического домена

Если у вашего сайта кириллический домен, (например, «текстерра.рф») то для переезда на HTTPS нужно выбирать SSL-сертификат, поддерживающий интернациональные доменные имена. Для этого обращайте внимание на пункт IDN. Без него сертификат нельзя будет установить на кириллический домен.

Какой сертификат выбрать физическому и юридическому лицу

Если сайт посвящен вашему хобби и не является коммерческим, а домен зарегистрирован на физическое лицо, вы можете установить абсолютно любой, даже платный сертификат.

Сайты коммерческих компаний, которые хотят повысить доверие в глазах Google и «Яндекса», должны использовать OV- или EV-сертификаты.

OV-сертификат получить могут только юридические лица после прохождения идентификациии.

ЕV-cертификат похож на OV-сертификат, но для получения EV-сертификата компании придется пройти расширенную валидацию (проверку всех сведений и данных). Сайты, получившие EV-сертификат, получают зеленую полосу чуть правее иконки замка, а также там выводится полное наименование компании и данные о ней.

OV-сертификат и ЕV-cертификат могут получить только официальные организации с историей. При этом сертифицирующий центр проверяет не только данные о компании на сайте, включая адрес и телефон, но и права на домен. Разница в стоимости этих SSL-подписей минимальная. Если компания крупная и планирует расширяться, лучше выбирать EV-сертификат.

Сотрудники Google говорят, что именно OV- или EV-сертификат гарантирует компаниям и другим коммерческим предприятиям приоритетные позиции в поисковой выдаче. Оба вида сертификатов стоят дороже, чем простые платные SSL-сертификаты.

• Сертификат типа OV – от 8 тыс. р. за год;
• сертификат типа EV – от 10 тыс. р. за год;
• сертификат типа Wildcard – от 18 тыс. р. за год.

Подготовка к переезду: что нужно сделать

Установка и внедрение SSL-сертификата с целью перехода на HTTS-версию сайта может негативно повлиять на входящий трафик. Переход на HTTPS технически является переездом на новый сайт. Просадки трафика в первые месяцы и даже дольше после такого перехода могут быть очень существенными. Все действия выполняйте на свой страх и риск.

Чтобы ускорить переезд и ничего не забыть, предлагаю придерживаться следующего чек-листа:

1. Проверяем все AMP-страницы сайта. Внутренние страницы обязательно должны соответствовать такому виду: /page/ или //texterra.ru/page/.
2. Проверяем остальные страницы сайта. Соблюдаем формат по типу: /page/ или //texterra.ru/page/.
3. Проверяем все ссылки (внешние и внутренние), которые есть на сайте. Они должны иметь вид: /page/ или //texterra.ru/page/.

Обратите внимание, что HTTP нужно будет заменить на HTTPS во всех ссылках на сайте, а именно:

• ссылки в sitemap;
• ссылки на карту сайта в robots;
• все внутренние страницы;
• CSS-стили;
• картинки;
• JS-библиотеки;
• все внутренние файлы.

Чтобы вручную не менять ссылки на всех страницах сайта, можно воспользоваться готовым решением для своей CMS. Например, для WordPress-сайта я использовал плагин HTTP / HTTPS Remover. Он автоматически заменчет HTTP во всех ссылках и базах данных на HTTPS. Еще один удобный плагин – Velvet Blues Update URLs.

Убедитесь, что во всех визуальных файлах, а также файлах типа CSS и JS, строка HTTP заменена на HTTPS. Везде должен быть именно относительный адрес страницы.

Относительные URL указываются с корня. Например: /page/

1. Визуальный контент, включая CSS и JavaScript-файлы, должны иметь вид: /image/image2.jpeg или //texterra.ru/image/image2.jpeg
2. Страницы вашего сайта должны иметь вид: /page/ или //texterra.ru/page/

Например: URL http://texterra.ru/script.js нужно заменить на относительную ссылку //texterra.ru/script.js. Таким образом мы просто удаляем упоминание протокола во всех встречающихся ссылках

Не забываем про счетчики «Яндекс.Метрики» и «Google Аналитики», а также – о кодах «Яндекс.Директ» и Google Adsense. Все перечисленное придется переустановить на HTTPS-сайт и снова подтвердить права на домен (не забываем, что http://texterra.ru и https://texterra.ru – это абсолютно разные домены для поиска).

Править ссылки придется также в кастомных шрифтах, которые используются на сайте.

Не забудьте заново сгенерировать sitemap-файл. Обратите внимание: работать должна не только карта сайта, но и все ссылки, находящиеся в ней.

Распаковываем и устанавливаем SSL-сертификат на сайт

Теперь нужно установить сертификат на свой сайт. Проще всего сделать это, воспользовавшись услугами хостера. Например, я пользуюсь хостингом Beget. Здесь установить SSL-сертификат можно так:

У вас другой хостинг? Получить пошаговый алгоритм установки SSL-сертификата для своего хостинга можно, написав соответствующее сообщение в поддержку. Регистраторы доменов также позволяют установить SSL-сертификат в два клика. Например, у REG.RU установка сертификата происходит следующим образом:

Для заказа бесплатного сертификата на REG.RU просто авторизируемся в ЛК и выбираем домен, на который нужно установить SSL. Затем кликаем на пункт «Заказать бесплатный SSL»:

Как настроить редиректы при переезде на HTTPS

После приобретения SSL-сертификата нужно будет настроить редиректы. Так все новые посетители, которые будут открывать прежнюю версию сайта, сразу попадут на новую. Настроить редирект можно при помощи административной панели хостинга или через редактирование htaccess-файла.

Установка редиректа на HTTPS через хостинг

• Открываем раздел «Сайты».
• Выбираем сайт, где нужно создать редирект.
• Выбираем пункт «Перенаправлять HTTP на HTTPS» (данный пункт может называться по-разному у разных хостеров, но смысл должен быть понятен).

Установка редиректа на HTTPS через редактирование htaccess-файла

Откройте файл .htaccess любым удобным способом и добавьте в него следующий код:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteCond %{HTTP:X-Forwarded-Proto} !https

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Выбираем главное зеркало

В используемой CMS открываем настройки сайта. Например, настройки сайта на WordPress выглядят так:

В разделе Адрес WordPress (URL) указываем протокол HTTPS. На CMS Joomla нужно открыть пункт «Система», затем выбрать «Общие настройки», в разделе «Сервер» отмечаем чекбокс «Включить SSL» и выбираем, для какого сайта.

Robots.txt

В файле robots меняем путь до карты сайта. Код дан для примера.

Allow: /upload/docs*.pdf

Allow: /upload/docs*.doc

Allow: /*/?PAGEN_5

Allow: /wordpress/templates/new_texterra.ru_mobile/

Sitemap: https://texterra.ru/sitemap.xml

Карта сайта

Во всех URL, которые находятся в файле sitemap, нужно заменить http:// на https://

«Яндекс.Вебмастер» и Search Console

После выполнения вышеуказанных действий приступаем к настройке сайта в инструментах вебмастера Google и «Яндекса». Сперва необходимо убедиться, что веб-ресурс одинаково открывается как по HTTP, так и по HTTPS-протоколу. Затем открываем веб-аналитику, которой пользуемся, и проверяем ее работоспособность.

Теперь нужно добавить HTTPS-версию сайта в Google Search Console. Открываем инструменты вебмастера и подтверждаем доменное имя, если права слетели. Если нет, ничего не делаем. Далее открываем «Яндекс.Вебмастер» и добавляем в раздел «Сайты» HTTPS-версию нашего веб-ресурса. При необходимости подтверждаем права на доменное имя.

Необходимо проверить и при необходимости исправить еще некоторые настройки. В «Яндекс.Вебмастер» проверяем, чтобы была указана HTTPS-версия сайта:

• турбо-страницы;
• важных страниц;
• избранных запросов;
• региональности;
• карты сайта (во всех ссылках на XML-файлы должен быть прописан HTTPS-протокол)

В Google Search Console проверяем:

• таргетинг по странам и языкам;
• карту сайта (во всех ссылках на XML-файлы должен быть прописан HTTPS-протокол);
• параметры URL;
• disawov links tools.

Меняем старый HTTP-адрес в «Google Мой Бизнес» на новый HTTPS. Аналогичные действия нужно сделать в «Яндекс.Справочнике», если данные о компании содержались в нем.

Если на сайте использовались канонические страницы (напомню, они задаются при помощи rel="canonical"), то во всех соответствующих ссылках нужно изменить HTTP нa HTTPS.

Если до переезда на HTTPS был настроен один или несколько 301-ых редиректов, то в ссылках страниц также нужно заменить HTTP на HTTPS.

Кстати, в «Яндекс.Вебмастере» есть специальная функция для ускорения переезда на HTTPS. Чтобы воспользоваться ею, необходимо открыть раздел «Индексирование» и выбрать пункт «Переезд сайта». В открывшемся окне необходимо указать домен и отметить чекбокс «Добавить HTTPS»:

Те, кто следит за еженедельными отчетами «Яндекс.Вебмастера», могут заметить, как на старой версии сайта регулярно снижается количество проиндексированных страниц, а на новой увеличивается.

Все готово! Теперь остается только ждать, пока поисковые роботы Google и «Яндекса» полностью просканируют сайт.

Тестируем HTTPS-версию сайта

Можно приступить к тестированию новой версии сайта. Первым делом необходимо открыть HTTPS-сайт из нескольких браузеров, а затем проверить работоспособность навигационных элементов сайта, плагинов, скриптов. Все должно работать корректно, как до переезда.

Если сертификат был установлен успешно, в «Яндекс.Вебмастер» появится соответствующий значок в разделе «Качество сайта»:

Послесловие

SSL-сертификат – незаменимый инструмент, который позволяет сделать обмен данными между пользователем и сайтом максимально безопасным. До недавнего времени SSL сертификат был нужен только для коммерческих сайтов. Сегодня ситуация кардинально изменилась, и теперь без поддержки HTTPS-протокола недалеко и до искусственной пессимизации.

Далеко не всегда установка SSL-сертификата приводит к успешному переходу на HTTPS-протокол. Чтобы сделать переезд максимально сглаженным, используйте все инструменты и советы, представленные в этом материале. Выбираете ту разновидность сертификата, которая больше всего подходит вашему сайту.

Если знаний и навыков для полноценного переезда не хватает, всегда лучше обратиться к профильному специалисту, который поможет создать сайт и завершить переход на HTTPS-протокол без ошибок.