Как перейти на HTTPS правильно: зачем, когда и как по шагам

В интернете используются разные протоколы передачи данных — они помогают передавать текст, файлы, почту и т. д.

В этой статье мы поговорим о двух протоколах — HTTP и HTTPS: расскажем о разнице в этих протоколах, а также зачем и как переводить сайт на HTTPS.

Что такое HTTP‑ и HTTPS‑протоколы

Чтобы понять, что такое HTTPS, сначала надо разобраться с HTTP.

HTTP (HyperText Transfer Protocol) — это протокол передачи данных в интернете. Он был создан для обмена гипертекстовыми (HTML) документами — такими, как веб‑страницы и изображения, — между сервером и браузером.

В адресной строке сайта, который использует HTTP, будет написано “http://”. Сейчас сайты практически не используют такой протокол.

HTTP не обеспечивает защиту данных: они передаются через него в открытом виде. Из‑за этого при передаче конфиденциальной информации — паролей, номеров кредитных карт — стоит использовать безопасный протокол HTTPS.

HTTPS (HyperText Transfer Protocol Secure) — более безопасное расширение HTTP; оно обеспечивает безопасность при передаче конфиденциальной информации.

Если сайт использует HTTPS, то адрес начинается с “https://” вместо “http://”.

HTTPS отличается от HTTP тем, что он шифрует данные, которые передаются между сервером и браузером, чтобы защитить их от злоумышленников. Это делается с помощью SSL‑сертификата, подробнее о котором мы расскажем ниже.

Типы SSL‑сертификатов для HTTPS

HTTPS шифрует данные с помощью особого SSL‑сертификата — его каждый сайт получает самостоятельно.

SSL‑сертификат (Secure Sockets Layer) — это цифровой сертификат, который подтверждает подлинность веб‑сайта и обеспечивает шифрование данных, передаваемых между сервером и браузером. SSL выдают центры сертификации (ЦС).

SSL‑сертификаты бывают разных типов в зависимости от того, какой уровень проверки подлинности сайта необходим. Основные типы SSL‑сертификатов включают в себя:

1. Доменное имя (Domain Validated, DV) — подтверждает только владение доменным именем, на которое выдан сертификат.

Подойдёт небольшим сайтам: лендингам, сайтам‑визиткам.

Как создать одностраничный сайт

2. Организационный (Organization Validated, OV) — проверяет подлинность владельца домена и информацию о компании, которая владеет доменом.

Подойдёт для крупных брендов, интернет‑магазинов, сайтов юридических компаний. Такой сертификат могут получить юрлица и ИП.

3. Расширенный (Extended Validation, EV) — обеспечивает наивысший уровень проверки подлинности веб‑сайта и компании, которая владеет доменом. Он также позволяет отображать зеленую строку в адресной строке браузера, что указывает на высокий уровень безопасности.

Подойдёт банкам, финансовым организациям. Для получения такого SSL нужно будет пройти проверку существования юрлица или ИП и принадлежности домена, свидетельства о регистрации и прочего.

Зачем переводить сайт на HTTPS

HTTPS гарантирует:

• подлинность сайта. По этому протоколу можно понять, что сайт не подделка, поскольку в HTTPS проверяется идентичность владельца сайта;

• целостность данных. Информация достигает адресата в полном виде — при HTTP передаваемые данные могут изменяться;

• конфиденциальность данных. HTTPS защищает коммуникации между двумя сторонами. Без HTTPS, например, владелец точки Wi‑Fi мог бы увидеть приватные данные, которые по нему передают пользователи.

Google, Яндекс и другие поисковые системы не просто отдают предпочтение сайтам, использующим HTTPS, но и могут наказывать те ресурсы, которые не используют защищенный протокол.

Google о безопасности интернета

Google о том, что HTTPS — сигнал для ранжирования

Инструменты для замены протокола

Вы можете использовать бесплатные сертификаты или купить платный SSL‑сертификат у поставщика услуг SSL. Рассмотрим оба варианта.

Бесплатные

Let's Encrypt позволяет любому сайту получить SSL‑сертификат.

Как это сделать:

1. Перейдите на сайт Let’s Encrypt, нажмите «Приступить».

2. Вас перекинет на бота, который помогает создать сертификат для перехода на HTTPS. Здесь можно ознакомиться, каких провайдеров бот поддерживает:

И получить инструкции по работе с ботом для своего ПО и ОС:

3. Выберите, на каком ПО и ОС работает ваш сайт:

4. Вы увидите инструкцию по получению SSL‑сертификата и перехода на HTTPS:

Платные

Купить платный сертификат проще, чем разбираться в инструкциях бесплатного. Например, у REG.RU есть три уровня сертификатов: DV, OV, EV. Все они продаются на год и стоят от 1 599 до 11 799 рублей.

После покупки сертификата его нужно активировать: обычно это делается через добавление TXT‑записи для домена. После активации сертификат нужно установить на хостинг, к которому привязан домен (или конструктор, если вы создавали сайт с его помощью).

Как активировать сертификат — REG.RU

Как перейти на HTTPS

Иногда переход с одного протокола на другой влечет снижение позиции сайта в выдаче на некоторое время. Если сейчас на вашем сайте высокая активность, лучше пока не переходить на новый протокол, а выбрать время, когда им пользуются менее активно.

Подготовить сайт

Вам нужно обновить все ссылки на сайте, чтобы они указывали на HTTPS вместо HTTP: речь и про внешние, и про внутренние ссылки, а также медиаконтент, ссылки в rel="canonical" и rel="alternate".

Чтобы они не указывали на какой‑то протокол, их можно перевести в относительный вид. Если раньше ссылка выглядела так:

http://example.ru/page1,

то теперь она должна выглядеть так:

//example.ru/page1

Также убедитесь, что сторонние сервисы, которые вы используете на сайте, например системы аналитики, используют HTTPS.

Всё это поможет избежать ошибок с индексацией в будущем.

Установить SSL‑сертификат

На каждый хостинг или конструктор сертификат будет устанавливаться по‑разному. Так это выглядит на REG.RU:

Как установить сертификат — REG.RU

На других хостингах кнопки и текст могут отличаться, но в целом суть одна: нужно зайти в личный кабинет хостинга своего сайта, найти раздел SSL, загрузить полученный сертификат в соответствующую форму.

Настроить постраничный редирект на HTTPS

Это означает, что любые запросы к вашему сайту будут перенаправляться на HTTPS. Чтобы перенаправлять весь трафик на HTTPS, нужно сделать такую запись в файле .htaccess (находится в корневой папке вашего сайта):

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ <a href="<a href=" <a=" ">https:="" site.ru="" <="" a>"="">https://site.ru/$1">https://site.ru/$1 [R=301,L]

Этой записью мы указали, что всем заходящим на сайт теперь нужно использовать 443‑й порт — как раз его и использует HTTPS.

Настроить сайт для поисковых систем

Все ссылки в robots.txt и sitemap.xml нужно поменять на те, которые начинаются с https://. В robots.txt в директиве host нужно прописать https://. Потом нужно добавить новые файлы robots.txt и sitemap.xml в Яндекс Вебмастер и Google Search Console.

В Вебмастере можно воспользоваться инструментом «Переезд сайта». Он позволяет переехать с одного домена на другой:

В результате ссылочный вес перенесётся с одного домена на другой.

Наш гайд по Вебмастеру: как добавить свой сайт, всё настроить и использовать

В GSC аналогичный инструмент находится на главной странице.

Также может потребоваться обновить ссылки на сайт в ваших соцсетях или на других сайтах — для этого нужно будет написать владельцам этих ресурсов.

Что запомнить

1. HTTPS — более безопасный и предпочтительный протокол, чем HTTP.

2. HTTPS работает с помощью SSL‑сертификата, который каждому сайту нужно получать самостоятельно.

3. SSL‑сертификат в основном бывает трёх видов: Domain Validated, Organisation Validated, Extended Validation.

4. Сертификат можно получить бесплатно или купить. Купить в Центре сертификации безопаснее и проще.

5. Перед тем как установить сертификат, нужно подготовить сайт к переходу с протокола на протокол: заменить все ссылки с абсолютных на относительные, отключить сторонние сервисы, не поддерживающие HTTPS.

6. Дальше нужно установить сертификат на хостинг. На разных хостингах и конструкторах процесс может немного различаться.

7. Дальше нужно настроить постраничный редирект с помощью записи в файле .htaccess.

8. После этого нужно оповестить о переезде поисковые системы, загрузив обновлённые файлы robots.txt и sitemap.xml. В обоих панелях веб‑мастера можно воспользоваться инструментами «Склейка», «Выбор главной страницы» или «Переезд сайта» — они помогают перенести ссылочный вес с одного домена на другой.

Что ещё почитать

Коды ошибок HTTP: полный список ошибок сервера

Как настроить редирект с URL с префиксом WWW на адрес без WWW

Как провести анализ ссылочной массы сайта: рекомендации и инструменты