Переход webonlife на https

Прежде чем читать статью посмотрите на адресную строку вашего браузера. Видите зелёный замОк. О нём сегодня и поговорим. Значок в адресной строке говорит о том что WebOnLife использует защищённый протокол https.

1. Проблемы при переходе на https
2. Редирект
3. Как искать не безопасное содержимое
4. Сообщить поисковикам
5. Внутренние ссылки. Менять или нет?

Я бы мог вам соврать что сделал это беспокоясь о вашей безопасности но не буду. Я не банк и не интернет магазин поэтому для вас нет разницы по какому протоколу заходить. У меня в этом деле свой интерес. Вот три причины по которым вам тоже стоит задуматься о получении сертификата.

1. Наличие сертификата в скором времени станет фактором ранжирования.
2. Браузеры будут сообщать пользователю о http сайте как о не безопасном.
3. Никто не подменит рекламу и соответственно не уведёт деньги.

О сертификатах я слышал раньше но не считал нужным ставить на свой сайт. О том что https может быть полезен для контентного сайта я узнал на одном из пятничных SEO вебинаров Сергея Кокшарова. Запись можете посмотреть здесь https://devaka.ru/webinars/perekhod-na-https-osobennosti-problemy-i-ikh-reshenie. На вебинаре Сергей достаточно подробно всё рассказал. Далее небольшой отчёт как переезд на https проходил для WebOnLife.

Проблемы при переходе на https

Прежде всего будьте готовы, что сразу после установки сертификата ни один браузер не признаёт ваш сайт защищённым. Главная проблема при переходе на защищённый протокол - подгружаемое содержимое. Всегда найдётся что-нибудь подгружаемое по http. На WebOnLife основной головняк был с картинками. Так сложилось что для статей и других типов материалов, где нужно вставлять картинки в текст, я добавляют два поля с изображениями. Первое поле содержит одно изображение, которое идёт в тизер. Второе поле скрытое и картинки оттуда вставляются в текст с помощью модуля insert. С первым полем всё просто. Его и трогать не нужно. В зависимости от того на какую версию сайта (http/https) зашёл посетитель с таким протоколом ему будет отдаваться картинка. Поскольку Google рекомендует делать адреса относительными можете отметить это в настройках поля. В любом случае на безопасность это не повлияет. Со вторым полем сложнее. Здесь нужно в настройках отключать абсолютные пути но это сработает только в новых постах. Для всех старых придётся либо лезть в базу данных и как-то это всё отлавливать или редактировать в ручную. Я не силён в обращении с базами данных поэтому всё делал в ручную. На статью уходило две три минуты. Кто не умеет работать головой работает руками.

Ещё одна заморочка с картинками - colorbox. Модуль добавляет к картинке ссылку на полную версию изображения, которое открывается поверх страницы. Модуль в ссылке указывает абсолютный урл. Большой проблемы нет даже если модуль будет вставлять ссылку на не защищённый протокол. Но если вы всё-таки решите в точности следовать указаниям Гугла и сделать все ссылки внутри домена относительными можно сделать следующее. Ищите в папке с модулем colorbox или insert файл colorbox-insert-image.tpl.php. Копируете его в папку с темой. Вместо

<?php print $path; ?>

Нужно вставить

<?php print preg_replace('/[a-z]{4,5}:\/\/[a-z]*\.[a-z]{2,3}/', '', $path);?>

Здесь главное не ошибиться с темой. Файл нужно копировать в папку темы которая работает на странице добавления/редактирования контента.

Редирект на HTTPS

Чтобы посетители всегда получали защищенную версию сайта нужно настроить редирект. В .htaccess после

RewriteEngine On

Вставляем код для редиректа

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Как искать не безопасные элементы.

Для поиска содержимого подгружаемого по http вам нужен браузер и больше ничего. В Firefox нужно зайти на сайт по https. Открыть инструменты разработчика (Ctrl+shift+k) или клик правой кнопкой в любом месте страницы и выбирать инспектировать элемент. Переходим на вкладку сеть → безопасность. Обновляем страницу и видим что нужно поправить.

Такое может проделывать не только огнелис. Во всех браузерах есть инструменты веб разработчика. Могут отличаться названия вкладок и хоткеи. В Хроме и Опере инструменты открываются по (Ctrl+shift+I), а ошибки нужно смотреть на вкладке Network →Other.

Также для проверки сайта на наличие незащищённого содержимого можно воспользоваться сервисом SSL Check. К сожалению сервис показывает не всё поэтому лучше проверять браузером

Сообщить поисковикам

Что касается поисковиков. Тут я всё сделал по рекомендациям Devaka. В Гугловском вебмастере я добавил новый сайт и через 3 - 4 дня в поиск пробилась версия с https. У Яндекса в панели вебмастера сообщил о переезде 23 декабря. Пока ничего не изменилось. Будем ждать.

Что делать с внутренними ссылками?

Сама по себе ссылка с http не вредит. Браузер по прежнему будет считать сайт защищённым, а пользователь будет переправлен на https страницу. Есть три причины по которым стоит заморочиться с внутренними ссылками. Во первых не будет лишних редиректов. Во вторых при переносе сайта ссылки останутся рабочими. В третьих относительные URL рекомендует Google.

Вам всё равно придётся менять адреса картинок. Почему бы заодно не отловить абсолютные внутренние ссылки. И не забудьте про ссылки из меню.

Последний вопрос - где брать сертификаты. Предложений достаточно. Можно найти что-нибудь не очень дорогое. Рублей за 300 - 400 в год. Я взял халявный на startssl.com

UPD1: Яша признал https версию основоной приблизительно через два месяца. Может где-то и я зафэйлил поставив сразу редирект, но это не отменяет того факта что Google прочюхал что к чему за 3 дня.

UPD2: Ох уж эта халява. Только что обнаружил что огнелис не пускает на родной сайт ругаясь нечеловеческим языком на сертификат. У startssl какие-то изменения раньше выдавался один сертификат на домены с www и без а теперь вроде как разные нужны, хотя другой сайт со старым сертификатом живёт нормально. Что интересно на сертификат ругается только Firefox. Вобщем не расслабляемся.