Нужно ли переходить на HTTPS

¹⁰³⁹

Доля сайтов, которые используют HTTPS — неуклонно растёт. Поисковые системы уже сейчас распределяют значимую часть трафика именно на сайты с поддержкой HTTPS, растёт и их присутствие в ТОП. Для Google статистика от MOZCAST фиксирует более 53% присутствия, для Яндекса по данным апометра выдачи «Пиксель Тулс» доля зависит от выборки запросов, но для конкурентных коммерческих фраз составляет более 37% в ТОП-10 и падает с глубиной.

Доля HTTPS в выдаче
Динамика доли присутствия HTTPS-результатов в выдаче по широкому пулу запросов в Google.

Доля HTTPS в Яндексе
Доля HTTPS-результатов в выдаче Яндекса по коммерческим частотным запросам в зависимости от глубины выдачи.

Переход на безопасный обмен данными с пользователями мощно стимулирует поисковая система Google и её «дочерний браузер» Chrome.

Напомним, что с 56 версии Google Chrome начал помечать страницы, которые собирают конфиденциальные данные и не используют HTTPS-протокол как «Небезопасные», тем самым — понизил конверсию на них (аналогичной политики придерживается и Firefox).

Доля HTTPS в выдаче
Пометка небезопасного сайта в браузере Google Chrome.

Если добавить сюда постоянно растущее число пользователей Chrome в рунете — более 58,5% на июнь 2017, то покупка и установка SSL-сертификата становится обязательным действием для поддержания должного уровня конверсии сайта, сохранения и умножения трафика.

ЧТО ТАКОЕ SSL И HTTPS?

Не стоит опасаться загадочных аббревиатур, в них нет ничего сложного:

SSL — протокол, который позволяет осуществлять безопасный обмен данными с пользователями в интернете и уберегать конфиденциальную информацию от перехвата. Для проверки безопасности соединения используются SSL-сертификаты, их основные задачи — шифрование данных и идентификация сайта.
HTTPS — расширение «обычного» HTTP, которое поддерживает шифрование и используется в целях повышения безопасности.

ЦЕНТРЫ СЕРТИФИКАЦИИ И ВИДЫ СЕРТИФИКАТОВ

Центр сертификации — специализированная организация, которая осуществляет выдачу цифровых сертификатов и проверку данных, перед и после его выдачи.

Различия SSL-сертификатов заключаются в проверке той информации, которая осуществляется центром, это:

Domain Validation сертификаты — позволяют удостоверить наличие прав на управление доменом. Посетитель, просмотрев данный тип сертификата, может убедиться, что он находится на том сайте/домене, адрес которого введен в браузерной строке (не было перенаправления его злоумышленниками на подложный сайт).
Organisation Validation сертификат — центр проверяет не только наличие прав на домен, но и существование организации / владельца, у которых есть эти права.

Посетитель, который находится на сайте с использованием сертификата данного типа может убедиться в корректности самого сайта и определить, кому принадлежит ресурс. Для установки сертификата данного типа — требуется дополнительно подтвердить идентификационные данные владельца.
Extended Validation сертификат — удостоверяет домен и владельца, но предоставляются центром только после расширенной проверки самой организации.

КАК ВЫБРАТЬ ТИП СЕРТИФИКАТА?

Выбор конечного типа сертификата зависит от самого проекта, который переходит на защищенный формат передачи данных — HTTPS. Типовые задачи:

Переход на HTTPS одного домена. Если сайт представляет компанию (юридическое лицо), то используется стандартный вариант — Organisation Validation сертификат. Если физическое лицо — Domain Validation, примеры: Thawte SSL123 (недорогой), Geotrust RapidSSL Wildcard.
Перевод на HTTPS для нескольких поддоменов одного сайта (региональные или тематические поддомены, дочерние проекты). Используется сертификат Wildcard, примеры: Geotrust RapidSSL Wildcard, Thawte SSLWildCard и другие.
Для списка доменов / группы проектов. Задачу решают сертификаты SAN, проверяются — список доменов и компания. Примеры: Geotrust True BusinessID SAN. Используется достаточно редко.
Для банка, финансовых учреждений, холдинга, сайта с биллингом. Чаще всего используются сертификаты с расширенной проверкой — Extended Validation, примеры: Thawte SSLWebServerEV, Symantec Secure Site EV.

Цена самого сертификата может варьироваться в зависимости от компании, где вы осуществляете его приобретение (как при покупке доменного имени). Стандартный срок действия — 1 год.

ПРАВИЛЬНЫЙ ПЕРЕВОД САЙТА НА HTTPS

После покупки SSL-сертификата и его установки — важно грамотно перевести сайт на HTTPS. Под правильным переводом подразумевается:

Настройка корректного отображения сайта для пользователей.
Правильная индексация поисковыми системами — одной версии (зеркала) и направление трафика на неё.
Сохранение/увеличение трафика из поиска и прочих источников.

Если сайт уже индексируется поисковыми системами и привлекает целевой трафик, то полный переход на HTTPS — не самая быстрая процедура. Во многом это «вина» Яндекса, который для смены главного зеркала должен полностью проиндексировать обе версии (HTTP и HTTPS), признать, что они являются копиями, обработать директиву «Host» в файле robots.txt и произвести смену главного зеркала (в апдейт базы данных робота-зеркальщика).

Важно! Для Яндекса перевод проекта на HTTPS равносилен смене главного домена (зеркала) и для сохранения объемов трафика — обязательно требуется предварительная подготовка. Полную последовательность действий можно найти в инструкции по ссылке.

Итак, для грамотного переезда на HTTPS, сохранения уровня трафика и роста конверсии требуется:

Купить и установить на сервер проверенный SSL-сертификат. Подойдёт любой крупный партнер. Самый сильный игрок на этом рынке — компания Symantec, которая владеет такими центрами сертификации как Thawte, Verisign и Geotrust.
Проверить, что все ссылки внутри домена ведут на страницы HTTPS-версии. В том числе: ссылки в XML-карте сайта, шаблонах, подключаемых стилях и прочие. Отдельно упомянем настройки, которые были произведены со «старой» версией, теперь все их надо перенести на HTTPS, скажем, файлы загруженные в Google Disavow Tool, ссылки на действующие XML-карты сайта в панелях.
Проверить, что весь подключаемый контент доступен именно по HTTPS. В частности, все подгружаемые аудио- и видеофайлы и скрипты должны указывать на защищенный протокол (Яндекс.Карты, YouTube и так далее).
Проверить визуально корректность отображения HTTPS-версии для пользователей.
Настроить в файле robots.txt указание нового основного зеркала (подробней — см. в статье по ссылке выше). Отдельно обратим внимание, что указание в директиве «Host» идёт вместе с протоколом: «Host: https://domain.ru/».
Добавить обе версии в панели вебмастера Яндекса и Google.
Дождаться смены главного зеркала Яндексом и оповещения об этом в панели вебмастера. После извещения — рекомендуется выждать ещё 2-3 обновления базы и проконтролировать, что поисковый трафик из Яндекса полностью переключился на HTTPS-версию (по данным Яндекс.Метрики / Google Analytics).
Настроить 301-редиректы со всех второстепенных вариантов написания на новое основное зеркало и проверить их отработку. Все редиректы должны быть в один шаг и все с кодом 301. Это важно.

Для полного контроля рекомендуется проверять корректность работы с помощью бесплатных сервисов, пример — SSL Checker. Часто, на уже работающих сайтах имеются ошибки в настройках или установке SSL-сертификата.

Проверка работы SSL
Работа сервиса SSL Checker, осуществляющего бесплатную проверку установки SSL-сертификата.

ПЛЮСЫ И МИНУСЫ ПЕРЕХОДА

Начнём с минусов, так как их практически нет, это:

Необходимость покупки самого сертификата. Цена у проверенных компаний — от 1 500 рублей в год. Более «продвинутые SSL» от 4 500—5 500 рублей в год. Сертификату требуется продление раз в год.
Настройка сайта для перевода на HTTPS.

А вот плюсов много:

Повышение безопасности при обмене данными с пользователем. Использование HTTPS позволяет защитить данные от перехвата злоумышленниками и третьими лицами.
Повышение уровня доверия у продвинутых пользователей. Конечно, опытные пользователи обращают внимание на наличие HTTPS при оплате счетов в интернете и передаче персональной информации.
Сохранение / повышение конверсии. Учитывая, что лидирующий в рунете браузер Google Chrome напрямую помечают страницы, которые собирают персональную информацию (пароли, данные оплаты и т.д.) как небезопасные — конверсия таких страниц неизбежно падает.
Наличие HTTPS как фактор ранжирования. Google — напрямую заявляет учёт наличия подписанного SSL-сертификата у сайта, как один из факторов ранжирования. В Яндексе наличие HTTPS-версии также учитывается с 2011 года в составе группы коммерческих факторов ранжирования, которые используются для упорядочивания выдачи по коммерческим запросам в Москве (вероятно, и прочих крупных регионах).
Дополнительные моменты: уточнение статистики переходов на домен с проектов с HTTPS.

ОСНОВНЫЕ ОШИБКИ ПРИ ПЕРЕХОДЕ

Многие владельцы сайтов допускают ошибки при переезде на HTTPS, приведём наиболее распространенные и опасные из них, чтобы можно было избежать их повторения:

Настройка 301-редиректа на версию с HTTPS без предварительной смены главного зеркала в Яндексе. Итог: потеря трафика из поисковой системы в срок до 1.5-2 месяцев.
Наличие «смешанного контента» на страницах, то есть, когда на HTTPS-версии ряд контента подгружается по HTTP (внешние скрипты и т.д.). Итог: данные страницы помечаются Google Chrome как небезопасные.
Не 301-ый код ответа сервера для перенаправления на HTTPS-версию (скажем — 302). Итог: проблемы с передачей накопленных факторов ранжирования в поисковых системах, просадка трафика.
Неверное оформление сертификата (имя домена в SSL не совпадает с тем, что указано в браузерной строке пользователя, неучёт поддоменов сайта при переводе). Итог: проблемы с посещением проекта.
Наличие абсолютных ссылок на «старую» HTTP-версию на самом сайте, в XML-карте сайта, прочих источниках, контролируемых владельцами. Итог: незначительные (как правило) проблемы с индексацией.
Просроченный SSL-сертификат (не забывайте продлять его, как и хостинг и домен). Итог: проблемы с посещением проекта.

Ошибки в SSL
Ошибка в работе SSL-сертификата и сложности посещения сайта у пользователей. Переход возможен только при проявлении «высокого уровня настойчивости».

ВЫВОДЫ

Перевод сайта на безопасный HTTPS-протокол является обязательной процедурой в 2017 году для всех коммерческих сайтов, проектов с формой авторизации и обратной связи.

Лидирующие показатели браузера Google Chrome в рунете и радикальная позиция о необходимости перехода на HTTPS — сильно ускоряют процесс и делают покупку SSL-сертификата обязательной и для всех остальных типов проектов. Более того, доля сайтов на HTTPS в ТОП-10 выдачи Яндекса существенно выше аналогичной в ТОП-100, что говорит о том, что авторитетные ресурсы уже перешли на защищенный протокол обмена.

Приведенные выше рекомендации позволят быстро выбрать наиболее подходящий сертификат, избежать критических ошибок при переносе сайта и смене главного зеркала.

Источник:

Возможно вас заинтересует

A/B-тест сайта с помощью эксперимента Google
Информационный сайт

особенности SEO-оптимизации
Google рассказал, что делать, если нужно временно закрыть сайт
Три кита идеального лендинга

Как грамотно объединить копирайтинг, дизайн и маркетинг
Что такое SILO структура сайта?

как с помощью этого улучшить наш сайт
Яндекс: избавиться от Баден-Бадена

можно только после полного отказа от SEO-текстов
Основные коммерческие факторы ранжирования в Яндексе
7 SEO-трендов 2018 года

К чему стоит готовиться владельцам сайтов, интернет-маркетологам и SEO-специалистам.
Мета тег description

Мета тег description предназначен для создания краткого описания страницы
Параметры URL для отслеживания в метрике.