Introducing Ahrefs Webmaster Tools. Free SEO audits, backlink, and keyword data. Learn more →

Enjoyed the Read?

Don’t miss our next article!

Что такое HTTPS? Всё что вам нужно об этом знать

Michal Pecánek
Михал – специалист по SEO, ставший экспертом широкого профиля в области маркетинга. Он говорит по-китайски, любит японскую кухню и бельгийское пиво. Объединение совершенно невообразимых вещей также является одним из направлений его маркетинговой деятельности.
    HyperText Transfer Protocol Secure (HTTPS) — это зашифрованная версия протокола HTTP, который используется для передачи данных во Всемирной сети.

    HTTPS защищает соединение между браузером и сервером от перехвата и взлома злоумышленниками. Это обеспечивает конфиденциальность, целостность и возможность аутентификации для подавляющего большинства современного WWW-трафика.

    https lock ahrefs

    В этой статье вы узнаете про:

    Давайте я сначала упрощу и проиллюстрирую схему соединения между клиентом (браузером) и сервером, когда между ними есть злоумышленник.

    Как видите, злоумышленники могут перехватить чувствительные данные (такие как логин или платёжные данные) или внедрить вредоносный код в запрашиваемые ресурсы.

    С ненадёжным маршрутизатором или провайдером сетевые атаки могут происходить где угодно. Поэтому любая публичная точка доступа WiFi может подвергаться атакам. К счастью, похоже что основная масса людей всё больше об этом узнают (растущая популярность VPN сервисов).

    Впрочем, обеспечивать безопасное соединение должно быть задачей вебмастеров.

    Вот тут и появляется HTTPS.

    HTTPS шифрует запросы и ответы HTTP таким образом, что потенциальный злоумышленник видит только случайные символы вместо платёжных данных, например.

    Чтобы понять как работает HTTPS, представьте что отправляете ценности в неразрушаемом ящике, закрытом на замок с неизвестной комбинацией, которую знают только отправитель и получатель. Даже если злоумышленники и смогут заполучить ящик, они не смогут попасть внутрь.

    Когда устанавливается HTTPS соединение, то происходит много событий. В основном, для безопасных соединений HTTPS используется TLS (Transfer Layer Security) шифрование.

    Единственный способ включить HTTPS для сайта это получить TLS сертификат и установить его на сервере. Вы можете встречать его под названием SSL или SSL/TLS сертификат. Но не волнуйтесь — это всё одно и то же.

    TLS сертификаты выпускает Центр сертификации (CA). Роль Центра заключается в том чтобы выступать в качестве третьей доверенной стороны между клиентом и сервером. На самом деле, кто угодно может выпускать TSL сертификаты, но браузеры поддерживают только те, которые выпущены Центром сертификации.

    Проверить TSL сертификат и его Центр сертификации можно, нажав на иконку с замком в адресной строке браузера.

    1 tls issued to

    Чтобы подробнее узнать о сертификате, нужно просто на него кликнуть. Важная часть здесь это строка “Issued to:” (“Кому выдан”). Дальше мы подробнее рассмотрим разные типы стандартов валидации для TLS сертификатов, которые и отличают платные сертификаты от бесплатных.

    DV, OV и EV: Что это такое и какой выбрать?

    Бесплатные TLS сертификаты, которые вы можете получить покупая хостинг или CDN, только подтверждают домен (DV). Они подтверждают, что владелец сертификата контролирует данный домен. Такого сертификата будет достаточно для блогов и сайтов, которые не работают с чувствительной информацией. Но для остальных это не самый лучший вариант.

    Сайты, которые используют TLS сертификаты типа DV будут отображаться как безопасные, но вы не увидите на них строки “Кому выдан:” при нажатии на иконку замка.

    2 tls dv

    Самый распространённый DV TLS сертификат выдаётся некоммерческим Центром сертификации под названием Let’s Encrypt. Большинство компаний, которые предлагают бесплатные сертификаты, пользуются ими.

    С DV сертификатами можно работать. В конце концов, это единственный тип TLS сертификата, который можно массово выпускать автоматически. Но HTTPS работает ровно настолько, насколько хорош сертификат, который используется на сервере.

    Если на вашем сайте проводится авторизация пользователей или платежи, то стоит потратиться на TLS сертификат, который предлагает подтверждение организации (OV) или расширенную валидацию (EV). Они отличаются между собой способами верификации, но EV более требователен.

    Если вы хотите купить какой-то один сертификат, я советую сразу брать EV TLS. Это самый надёжный тип сертификата и он не сильно дороже чем OV.

    Сертификаты wildcard и SAN TLS

    Теперь оставим стандарты валидации и перейдём к следующей категории TLS сертификатов.

    Wildcard и SAN сертификаты используются для обеспечения безопасности нескольким (под)доменам одновременно. Если вы купили обычный EV TLS сертификат для example.com, вам понадобится отдельный сертификат для blog.example.com.

    Сертификаты wildcard распространяются на неограниченное количество поддоменов (example.com, blog.example.com, docs.example.com). У сертификатов SAN тоже есть возможность добавлять защиту для других доменов (example.com, blog.example.com, different.org).

    Эти типы совмещаются с сертификатами валидации, поэтому среди предложений Центров сертификации может быть множество таких комбинаций. Также они помогут вам пройти процесс валидации.

    Почти все преимущества HTTPS влияют на SEO:

    • Это незначительный фактор ранжирования
    • Улучшенная безопасности и приватность
    • Сохраняет данные о переходах
    • Позволяет использовать современные протоколы и улучшает безопасность и скорость сайта.

    Незначительный фактор ранжирования

    Google сообщил о том, что HTTPS является фактором ранжирования ещё в 2014‑м году. Но он имеет небольшое значение и заметно влияет только при условии, что все остальные факторы примерно равны.

    Это вклад Google в более быстрое распространение технологии HTTPS по всему миру.

    Улучшенная безопасность и приватность

    Мы об этом уже говорили. Но как это влияет на SEO?

    Когда вы попадаете на сайт с незащищённым соединением, то видите что-то вроде этого:

    3 not secure browser

    Выглядит не очень надёжно, правда? Я знаю что у меня профессиональная деформация, но я часто обращаю на такое внимание и если я вижу такое уведомление, то у меня сразу складывается плохое впечатление о сайте.

    Я считаю, что переезд на HTTPS может дольше удержать посетителей на сайте и уменьшить отказы и возвраты в поисковую выдачу. Влияние этих факторов на ранжирование официально не подтверждено, но даже несмотря на SEO будет полезно, если посетители будут задерживаться на сайте дольше.

    Сохраняет данные о переходах

    Если вы ещё не перевели сайт на HTTPS и вы используете такие сервисы аналитики как Google Аналитика, у меня для вас плохие новости: для переходов с HTTP страниц на HTTPS страницы данные не передаются.

    А поскольку большинство сайтов в интернете сегодня работают на HTTPS, реферальный трафик (переходы с других сайтов) в аналитике будут обозначены как прямые заходы.

    Один из недостатков такой аналитики будет сильное искажение данных. Другое — вы не сможете увидеть лучшие источники реферального трафика. А это упущенные возможности для линкбилдинга.

    Примечание.
     Если вам интересно узнать о распространённых ошибка при работе с Google Аналитикой, посмотрите этот пост.

    Позволяет использовать современные протоколы и улучшает безопасность и скорость сайта

    На бумаге HTTPS медленее чем HTTP из-за дополнительных функций, связанных с безопасностью. Но HTTPS это стартовая точка для использования последних технологий в сфере безопасности и производительности.

    Другими словами, помимо безопасности HTTPS позволит вам улучшить показатели скорости сайта, используя такие протоколы как TLS 1.3 и HTTP/2. И помимо улучшенного пользовательского опыта, Google учитывает скорость сайта как один из факторов ранжирования:

    Всё зависит от вашего конкретного случая.

    1. Вы запускаете новый сайт

    Вы выиграли приз. Используйте HTTPS с самого начала и вам больше никогда не придётся переживать о HTTP и ошибках, связанных с переездом.

    Всё что вам нужно сделать, это выбрать хорошего хостинг-провайдера, который поддерживает последние версии HTTP и LTS протоколов и поможет вам всё настроить. Когда вы всё сделаете, настройте HSTS.

    2. У вас уже есть сайт на HTTPS

    Факт того, что вы читаете эту статью подсказывает мне, что у вас не всё настроено правильно. Чтобы проверить самые распространённые ошибки, переходите к следующему разделу.

    3. Ваш сайт всё ещё работает на HTTP

    Чтобы всё приготовить и сделать, понадобится какое-то время. Сложность перехода зависит от:

    • Размер и структура сайта
    • Ваша CMS
    • Хостинг/провайдер CDN
    • Ваши технические способности

    Я уверен, что владельцы небольших сайтов, которые работают на популярных CMS и хорошем хостинге, могут справиться сами. Но при этом стоит учитывать множество факторов.

    Я советую проверить документацию по вашим CMS/серверу/хостингу/CDN и в соответствии с ней работать дальше. Но осторожно. Вам предстоит выполнить довольно много шагов, поэтому стоит создать и следовать чеклисту по миграции сайта.

    Если всё это звучит слишком сложно, наймите профессионала. Так вы сэкономите время и нервы, а также убережёте себя от дальнейших ошибок.

    Даже если вы вычеркнули все пункты из списка по миграции на HTTPS, вы всё-равно можете сталкиваться с некоторыми проблемами.

    В 2016‑м году мы проанализировали 10 тысяч доменов на различные HTTPS ошибки и вот что мы обнаружили:

    • 90.9% доменов не до конца внедрили HTTPS
    • HTTPS работал неправильно на 65.39% доменов
    • 23.01% доменов использовали временные 302 редиректы вместо постоянных  301

    И хотя с того времени многое изменилось и улучшилось, я советую проверить свой сайт на предмет пяти самых распространённых ошибок при миграции на HTTPS. Это не займёт много времени и большинство ошибок легко исправить.

    Ошибка 1: Остались ошибки HTTP

    Прежде всего нужно убедиться, что все страницы на сайте работают на HTTPS.

    Найти остатки HTTP можно, просканировав сайт. Если вы следовали чеклисту по миграции сайта на HTTPS, то это не будет вам в новинку. Только убедитесь что у краулера есть все необходимые источники URL, чтобы не упустить никакие страницы.

    Если вы используете инструмент Аудит Сайта в Ahrefs, советую настроить его следующим образом:

    sa crawl setup

    После сканирования, откройте отчёт, перейдите в Page Explorer и примените следующий фильтр:

    4 http pages site audit

    Выгрузите список URL адресов на HTTP и настройте правильный редирект.

    СОВЕТ

    Краулер не сможет найти страницы, на которые нет ссылок и которые не перечислены в карте сайта. Часто такое может случиться с лендингами для платной рекламы. Чтобы их найти, выгрузите все страницы из рекламного менеджера в Google Ads или FB Бизнес.

    Дальше убедитесь, что страницы-сироты правильно перенесены. И не забудьте обновить их в панели кампании.

    Ошибка 2: HTTPS страницы с контентом на HTTP

    Такая ошибка появляется, когда HTML файл загружен с использованием HTTPS, а файлы CSS, JavaScript или картинки не обновились на HTTPS.

    5 https with http content site audit

    Если эта ошибка присутствует на вашем сайте, вы увидите её в обзоре сканирования и отчёте по внутренним страницам. Все ошибки и уведомления в Аудите Сайта содержат описание ошибки и советы по её устранению.

    Ошибка 3: Внутренние ссылки не переведены на HTTPS

    Оставив внутренние ссылки на HTTP, вы создадите ненужные редиректы. Это лучше чем загрузка страницы по HTTP, но мы уже проходили эту ошибку. Эти ссылки легко найти и исправить.

    Эти ошибки можно найти в отчёте Ссылки в Аудите сайта:

    6 internal links to http site audit

    Just rewrite the URLs to https:// and you’re done. This is only applicable if you’ve already made sure that no HTTP pages are left using the advice under mistake #1.

    Ошибка 4: Теги не переведены на HTTPS

    Есть два типа тегов, которые могут использоваться на сайте и в которых нужно обновить URL: теги canonical и open graph.

    Теги canonical сообщают Google о том, какую страницу из всех одинаковых или похожих страниц вы считаете наиболее авторитетной. Направляя его на версию страницы на HTTP вы посылаете Google плохой сигнал, который скорее всего будет проигнорирован.

    Если вы используете теги Open Graph для оптимизации постов для социальных сетей, то Facebook требует указывать теги URL. Они должны быть те же, что и в canonical.

    Для поиска страниц с canonical или OG тегами, которые используют HTTP, настройте фильтр в Page Explorer:

    7 canonical open graph https

    Всё что вам остаётся сделать это переписать их на https://.

    Ошибка 5: Битые редиректы

    С редиректами не всё так просто. Много что может сломаться. Могут появиться битые редиректы, цепочки редиректов и зацикленные редиректы.

    К счастью, с Аудитом Сайтов эти ошибки легко найти. Просто проверьте отчёт Редиректы (Redirects) и пройдите по всем ошибкам.

    8 failed redirects

    Когда вы нажмёте на кнопку “View affected URLs” (Посмотреть все URL), то увидите похожий отчёт, но более детальный:

    9 redirect chains

    Самое крутое здесь то, что вы видите все страницы с ошибками. Те, которые средиректили, которые попали в цепочку редиректов и те, на которые совершается редирект.

    Нужно сделать две вещи.

    Сначала разделите редиректы:

    https://blog.example.com/123/ -> 301 redirect -> https://example.com/blog/987/

    Так вы убедитесь, что все ссылки, которые указывают на https://blog.example.com/123/ и https://example.com/blog/123/ будут перенаправляться только один раз. Для внешних ссылок это нормально. Писать вебмастерам по поводу каждой ссылки было бы слишком затратно.

    Но для внутренних ссылок можно постараться.

    Нужно стремиться к как можно меньшему количеству редиректов. Вот здесь и понадобится колонка с количеством входящих ссылок.

    Входящие ссылки это URL адреса, которые ссылаются на URL, который попал в цепочку редиректов. Эти ссылки нужно поменять так, чтобы они направляли на страницы, которые возвращают код ответа 200. Если нажмёте на цифру с количеством входящих ссылок, то увидите их все:

    10 inlinks site audit

    Пример отчёта по входящих ссылкам в Аудите Сайта в Ahrefs. Здесь вам нужно будет перейти на каждую страницу и поменять ссылки с https://blog.example.com/123/ на https://example.com/blog/987/.

    Далее, конечно же, нужно проверить входящие ссылки на страницы, которые попали внутрь цепочки редиректов. Но эта задача не так важна, потому что мы уже сломали цепочку. При следующем сканировании эти страницы будут помечены как обычные 301 редиректы.

    Заключение

    Надеюсь, что вместе мы сможем сделать Всемирную сеть быстрее и безопаснее.

    Согласно w3techs.com, 59.4% сайтов в их опросе используют HTTPS по умолчанию. Для сравнения, Google сообщает, что около 88–99% времени проведённого в браузерах Chrome проведено на сайтах с HTTPS.

    Из этих данных я делаю вывод, что большинство популярных сайтов с большим количеством трафика уже перешли на HTTPS. Если вам интересно, откуда такая большая разница между этими двумя цифрами, то я бы отнёс её к китайским сайтам, которые не вошли в отчёт Google.

    В сфере поддержки TLS всё ещё далеко от идеала. Как мы узнали из данной статьи, настройка HTTPS не заканчивается после переезда. Всем будет полезно следить за трендами в области работы с производительностью и безопасностью.

    У вас остались вопросы или комментарии? Напишите мне в Твиттер.

    Перевел Дмитрий Попов, владелец Affilimarketer.com