Чтобы полностью защитить сайт, вам предстоит два важных действия – покупка и подключение ssl-сертификата, а потом полный перевод сайта на https. Важно внимательно следовать инструкциям и ничего не пропустить. Вот почему установки сертификата недостаточно: когда вы устанавливаете сертификат, все страницы вашего сайта будут одновременно доступны по ссылкам, начинающимся с http, и по ссылкам, начинающимся с https; если не изменить эту ситуацию, часть пользователей продолжит взаимодействовать с сайтом по незащищенному каналу; вы уже платите за сертификат, а пользователи все еще видят сайт как ненадежный. Поэтому нужно правильно перевести сайт с http на https. Корректный путь – купить ssl сертификат – установить – перевести сайт на новый протокол – протестировать его. Покупка и установка ssl-сертификата Если вы уже интересовались, как сделать сайт защищенным, то знаете, что есть выбор из множества вариантов – дорогих, бюджетных, с более или менее сложной проверкой. Для установки сертификата нужно сгенерировать CSR-запрос или запрос на подпись сертификата. Заполнять его следует очень внимательно, так как опечатка может затруднить проверку или вовсе не позволить вам ее пройти. Важно, чтобы в результате покупки у вас были: файл сертификата с расширением .crt; ключи, открытый и закрытый. Также вы должны получить промежуточные сертификаты или цепочку сертификатов, отдельный файл с расширением .ca-bundle. Зачастую при установке сертификата они подтягиваются из репозитория автоматически. Если у вас есть эти файлы, все готово к установке. Далее просто следуйте инструкциям для своей панели управления. Установка ssl-сертификата может выглядеть по-разному в зависимости от того, какая панель используется. Если возникают вопросы, лучше сразу обращаться в техподдержку. После установки сертификата воспользуйтесь одним из онлайн-чекеров, например, Comodo SSL Analyzer, SSL Checker, SSL shopper, чтобы проверить, корректно ли он работает. Также имеет смысл зайти на свой сайт по ссылке, начинающейся на https, и посмотреть, как его “воспринимает” браузер. Вы должны увидеть, что сайт помечен как защищенный. Дальнейшая настройка Теперь важно полностью перевести сайт на новый протокол. Важно закрыть возможность посещать его по ссылкам с http, чтобы при этом все страницы отображались корректно. Потребуется настройка редиректов с http на https – это так называемые постоянные 301 редиректы. Чтобы перенаправить трафик на новые страницы при помощи редиректа, вносят изменения в файл .htaccess. Туда добавляется строка или несколько строк кода. Если у вас нет опыта, обратитесь в техподдержку или базу знаний провайдера. После настройки редиректов, даже если пользователь вводит адрес одной из страниц сайта с http, он будет перенаправлен на защищенную страницу https. Теперь снова нужно проверить, все ли работает корректно. Убедитесь, что у вас нет множественных редиректов, поскольку они уменьшают скорость загрузки сайта, а могут и вовсе не позволить пользователю посетить ту или иную страницу. Множественные перенаправления отрицательно влияют на поисковую индексацию: если у одной страницы их больше, чем 3-5, то поисковые роботы не будут корректно отображать ее. Для проверки на такие редиректы можно воспользоваться одним из онлайн-сервисов. Например, varvy.com, redirectdetective.com. Проверьте, нет ли смешанного контента – картинок, видео, каких-либо элементов, которые все еще передаются по протоколу http. Страница, на которой они есть, будет отображаться как незащищенная. В браузерах есть возможность посмотреть, какой именно элемент передается неверно, нужно только воспользоваться инструкцией конкретно для вашего. В распространенном Chrome, например, нужно нажать клавишу F12, выбрать вкладку “Безопасность” на панели справа и затем перезагрузить страницу. Можно также использовать онлайн-сервисы, например, ttps://www.whynopadlock.com/. Найдя такую картинку или видео, поменяйте протокол ее передачи с http на https. Отдельно нужно обновить скрипты и библиотеки, работающие на сайте. Как правило, речь идет о популярных виджетах или кнопках, которые помогают взаимодействовать с пользователями либо встраивать контент со сторонних ресурсов. Если у вас есть виджеты того же Youtube, соцсетей и так далее, их тоже нужно переключить на новый протокол. Обычно у таких сайтов есть защищенная версия, поэтому нужно просто заменить в скрипте ссылку с http на https. Работа с поисковыми системами В итоге работы должны быть доступны только ссылки https. После этого нужно поработать с индексацией в поисковых системах. Для этого вносят изменения в sitemap.xml либо вообще генерируют этот файл заново. В последнем случае следует указать новую ссылку на него в robots.txt. В панели Google Analytics адрес с https вносится заново. Владелец должен подтвердить права на него и затем указать адрес с https как URL по умолчанию и основное зеркало сайта. Хотя при переходе на новый протокол были настроены редиректы для всех страниц, лучше поменять ссылки на сайт в соцсетях и везде, где они размещались для получения входящего трафика. Если сайт рекламируется, то в рекламе тоже следует разместить новые линки. Далее останется только мониторить трафик на новой и старой версиях сайта. Постепенно все посетители должны начать приходить по обновленным ссылкам.
