Переход webonlife на https

https

Прежде чем читать статью посмотрите на адресную строку вашего браузера. Видите зелёный замОк. О нём сегодня и поговорим. Значок в адресной строке говорит о том что WebOnLife использует защищённый протокол https.

  1. Проблемы при переходе на https
  2. Редирект
  3. Как искать не безопасное содержимое
  4. Сообщить поисковикам
  5. Внутренние ссылки. Менять или нет?

Я бы мог вам соврать что сделал это беспокоясь о вашей безопасности но не буду. Я не банк и не интернет магазин поэтому для вас нет разницы по какому протоколу заходить. У меня в этом деле свой интерес. Вот три причины по которым вам тоже стоит задуматься о получении сертификата.

  1. Наличие сертификата в скором времени станет фактором ранжирования.
  2. Браузеры будут сообщать пользователю о http сайте как о не безопасном.
  3. Никто не подменит рекламу и соответственно не уведёт деньги.

О сертификатах я слышал раньше но не считал нужным ставить на свой сайт. О том что https может быть полезен для контентного сайта я узнал на одном из пятничных SEO вебинаров Сергея Кокшарова. Запись можете посмотреть здесь https://devaka.ru/webinars/perekhod-na-https-osobennosti-problemy-i-ikh-reshenie. На вебинаре Сергей достаточно подробно всё рассказал. Далее небольшой отчёт как переезд на https проходил для WebOnLife.

Проблемы при переходе на https

Прежде всего будьте готовы, что сразу после установки сертификата ни один браузер не признаёт ваш сайт защищённым. Главная проблема при переходе на защищённый протокол - подгружаемое содержимое. Всегда найдётся что-нибудь подгружаемое по http. На WebOnLife основной головняк был с картинками. Так сложилось что для статей и других типов материалов, где нужно вставлять картинки в текст, я добавляют два поля с изображениями. Первое поле содержит одно изображение, которое идёт в тизер. Второе поле скрытое и картинки оттуда вставляются в текст с помощью модуля insert. С первым полем всё просто. Его и трогать не нужно. В зависимости от того на какую версию сайта (http/https) зашёл посетитель с таким протоколом ему будет отдаваться картинка. Поскольку Google рекомендует делать адреса относительными можете отметить это в настройках поля. В любом случае на безопасность это не повлияет. Со вторым полем сложнее. Здесь нужно в настройках отключать абсолютные пути но это сработает только в новых постах. Для всех старых придётся либо лезть в базу данных и как-то это всё отлавливать или редактировать в ручную. Я не силён в обращении с базами данных поэтому всё делал в ручную. На статью уходило две три минуты. Кто не умеет работать головой работает руками.

Ещё одна заморочка с картинками - colorbox. Модуль добавляет к картинке ссылку на полную версию изображения, которое открывается поверх страницы. Модуль в ссылке указывает абсолютный урл. Большой проблемы нет даже если модуль будет вставлять ссылку на не защищённый протокол. Но если вы всё-таки решите в точности следовать указаниям Гугла и сделать все ссылки внутри домена относительными можно сделать следующее. Ищите в папке с модулем colorbox или insert файл colorbox-insert-image.tpl.php. Копируете его в папку с темой. Вместо

<?php print $path; ?>

Нужно вставить

<?php print preg_replace('/[a-z]{4,5}:\/\/[a-z]*\.[a-z]{2,3}/', '', $path);?>

Здесь главное не ошибиться с темой. Файл нужно копировать в папку темы которая работает на странице добавления/редактирования контента.

Редирект на HTTPS

Чтобы посетители всегда получали защищенную версию сайта нужно настроить редирект. В .htaccess после

RewriteEngine On

Вставляем код для редиректа

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Как искать не безопасные элементы.

Для поиска содержимого подгружаемого по http вам нужен браузер и больше ничего. В Firefox нужно зайти на сайт по https. Открыть инструменты разработчика (Ctrl+shift+k) или клик правой кнопкой в любом месте страницы и выбирать инспектировать элемент. Переходим на вкладку сеть → безопасность. Обновляем страницу и видим что нужно поправить.

Firefox инструменты разработчика

Такое может проделывать не только огнелис. Во всех браузерах есть инструменты веб разработчика. Могут отличаться названия вкладок и хоткеи. В Хроме и Опере инструменты открываются по (Ctrl+shift+I), а ошибки нужно смотреть на вкладке Network →Other.

Также для проверки сайта на наличие незащищённого содержимого можно воспользоваться сервисом SSL Check. К сожалению сервис показывает не всё поэтому лучше проверять браузером

Сообщить поисковикам

Что касается поисковиков. Тут я всё сделал по рекомендациям Devaka. В Гугловском вебмастере я добавил новый сайт и через 3 - 4 дня в поиск пробилась версия с https. У Яндекса в панели вебмастера сообщил о переезде 23 декабря. Пока ничего не изменилось. Будем ждать.

Сама по себе ссылка с http не вредит. Браузер по прежнему будет считать сайт защищённым, а пользователь будет переправлен на https страницу. Есть три причины по которым стоит заморочиться с внутренними ссылками. Во первых не будет лишних редиректов. Во вторых при переносе сайта ссылки останутся рабочими. В третьих относительные URL рекомендует Google.

Вам всё равно придётся менять адреса картинок. Почему бы заодно не отловить абсолютные внутренние ссылки. И не забудьте про ссылки из меню.

Последний вопрос - где брать сертификаты. Предложений достаточно. Можно найти что-нибудь не очень дорогое. Рублей за 300 - 400 в год. Я взял халявный на startssl.com

UPD1: Яша признал https версию основоной приблизительно через два месяца. Может где-то и я зафэйлил поставив сразу редирект, но это не отменяет того факта что Google прочюхал что к чему за 3 дня.

UPD2: Ох уж эта халява. Только что обнаружил что огнелис не пускает на родной сайт ругаясь нечеловеческим языком на сертификат. У startssl какие-то изменения раньше выдавался один сертификат на домены с www и без а теперь вроде как разные нужны, хотя другой сайт со старым сертификатом живёт нормально. Что интересно на сертификат ругается только Firefox. Вобщем не расслабляемся.

Тоже планирую перевести сайт на https... Правда несколько позже. Знаю, что преимущество будет именно за этим протоколом. Только вот получается, что для ПС это вроде как переезд на новый домен? Печально, если так...
Спасибо за ссылку на сервис, где можно взять халявный сертификат, даже не знал, что бывают бесплатные...

Скорее не переезд а смена основного зеркала.

Недавно заметил в поиске стали отображаться звёздочки(рейтинг статьи) при том что schema у меня уже достаточно давно. Возможно из-за https.

Бесплатные сертификаты есть на letsencrypt но там много заморочек. Идея в том чтобы вебмастер сам генерил себе сертификат.

Добавлено пользователемГалинаon пн, 02/01/2016 - 00:02

Тоже читала про заявления Гугла о https, даже некоторое графики смотрела. С коммерческими проектами все понятно, результат виден, что касается блогов, то тут все расплывчато, но, думаю, что в целом ситуация та же (масштабы только иные).
Короче) сама задумалась о переходе на этот протокол (но это пока на стадии планов, сначала с хостингом разобраться нужно).

Интересно, в насколько скором будущем придётся иметь https... Это что, 90% всех сайтов, должны будут переехать на него, для улучшения своих поисковых свойств...
Капец, постоянно что-то меняется.

То что это случится факт а вот когда точных данных нет. Затронет это 100% всех сайтов. Дело не только в факторах ранжирования. Браузеры грозятся большими буквами писать пользователю о потенциальной опасности посещения сайта на http. Не думаю что пользователь будет вникать в тонкости а просто побежит туда где тихо и спокойно.

Добавлено пользователемNI4KAon ср, 02/17/2016 - 08:35

А с какой целью под каждым комментарием указывается ip-адрес автора? Раньше на блогах такого не встречала. Новая мода в блогосфере? )))

О те на, что называется: не было печали...
Теперь еще над этим переездом нужно будет заморочиться. Хотя у меня заморочек на ближайшие пол года столько, что пожалуй отложу переезд пока в долгий ящик.
Спасибо за статью, полезно будет при переезде вернуться к ней и посмотреть нюансы. Добавил в закладки вместе с вебинаром деваки

Я искрене надеюсь что в скором времени простой сертификат будет входить в любой тарифный план каждого хостера. Выдача сертификата с верификацией домена не требует сверх усилий со стороны хостера и будет приятным бонусом, а с учётом повальной сертификации, определяющим фактором при выборе хостинг провайдера.

Добавлено пользователемНадеждаon пн, 04/11/2016 - 18:38

Олег, не могла попасть на твой сайт, пока в поле комментатора "сайт" не убрала букву "s"... Открывался какой-то странный поиск. Что это значит?

Это значит мне нужно заполнять поле сайт без протокола. Всё равно стоит редирект на https.

Было такое помоему на блоге Александра Каратаева. Линк с комментов на https версию вёл в неизвестном направлении.

Кстати, до сих пор многие государственные порталы и веб-реестры (приходится с такими работать) не имеют сертификата. Даже хостеры не все его имеют... Видимо не так близок тотальный переход на https... С другой стороны, что-то не верится, что http отомрёт совсем... Что то здесь не так. Не лоббирование ли это торговли сертификатами?

Не думаю. Сейчас достаточно вариантов разжиться халявой. Активно за сертификаты выступает LetsEncrypt предоставляя инструменты для самостоятельного генерирования сертификатов на своём сервере. Список компаний учавствующих в проекте впечатляет.

Ну а всё-же, html куда денется? Останется ведь по-любому...
Просто при всех плюсах сертификации очень не хочется заново объясняться с Google, а особенно с Яндекс...

Я вообще в последнее время прихожу к выводу, что Яндекс, считающий себя непогрешимым, довольно далёк в реальной работе своих алгоритмов от собственных-же утверждений. Google мне многим не нравится, но какие-то вещи реализованы тут очень даже достойно. Тот же переезд на другой домен, например. У Google всё просто донельзя и интерфейс соответствующий очень лёгок. Я Яндекс так замудрил, что сам два-три месяца разбирался в моём случае с переездом. Ладно хоть вообще разобрался. И на том спасибо. А про разные фильтры вообще молчу. Это как огонь артиллерии по площадям, кто попал, тот и пропал из выдачи, а индивидуально к конкретному сайту вразумительного подхода нет. Достаточно почитать комменты на блоге Яндекса, где его разрабы публикуют свои новшества. Там нецензурной лексики от вебмастеров больше, чем яндексовского текста...

Эт точно. У меня при переезде яндекс главным зеркалом "определил" служебный домен. И только после нормально определил. Прикол в том что каждое такое переклеивание занимает пару апов те самые 2-3 месяца. No comments

Технические моменты - самое трудное для меня в блоговедении. Потому, как и многие из комментирующих, отложу в долгий ящик - когда прижмёт. За это время, глядишь, еще что-нибудь изменится, и делать будем нечто другое. :)