Нужно ли переходить на HTTPS и важно ли это для SEO?

Доля сайтов, которые используют HTTPS — неуклонно растёт. Поисковые системы уже сейчас распределяют значимую часть трафика именно на сайты с поддержкой HTTPS, растёт и их присутствие в ТОП. Для Google.ru аналитика от «Пиксель Тулс» фиксирует более 73% присутствия, для Яндекса по данным апометра выдачи доля зависит от выборки запросов, но для конкурентных коммерческих фраз составляет более 76% в ТОП-10 и падает с глубиной.

Рис. 1. Динамика доли присутствия HTTPS-результатов в выдаче по широкому пулу запросов в Google.

Рис. 2. Доля HTTPS-результатов в выдаче Яндекса по коммерческим частотным запросам в зависимости от глубины выдачи, данные получены в апометре «Пиксель Тулс».

Переход на безопасный обмен данными с пользователями мощно стимулирует поисковая система Google и её «дочерний браузер» Chrome. Напомним, что с 56 версии Google Chrome начал помечать страницы, которые собирают конфиденциальные данные и не используют HTTPS-протокол как «Небезопасные», тем самым — понизил конверсию на них (аналогичной политики придерживается и Firefox).

Рис. 3. Пометка небезопасного сайта в браузере Google Chrome.

Если добавить сюда постоянно растущее число пользователей Chrome в рунете — более 54% на ноябрь 2018, то покупка и установка SSL-сертификата становится обязательным действием для поддержания должного уровня конверсии сайта, сохранения и умножения трафика.

Что такое SSL и HTTPS?

Не стоит опасаться загадочных аббревиатур, в них нет ничего сложного:

• SSL — протокол, который позволяет осуществлять безопасный обмен данными с пользователями в интернете и уберегать конфиденциальную информацию от перехвата. Для проверки безопасности соединения используются SSL-сертификаты, их основные задачи — шифрование данных и идентификация сайта.

• HTTPS — расширение «обычного» HTTP, которое поддерживает шифрование и используется в целях повышения безопасности.

Центры сертификации и виды сертификатов

Центр сертификации — специализированная организация, которая осуществляет выдачу цифровых сертификатов и проверку данных, перед и после его выдачи.

Различия SSL-сертификатов заключаются в проверке той информации, которая осуществляется центром, это:

• Domain Validation сертификаты — позволяют удостоверить наличие прав на управление доменом. Посетитель, просмотрев данный тип сертификата, может убедиться, что он находится на том сайте/домене, адрес которого введен в браузерной строке (не было перенаправления его злоумышленниками на подложный сайт).

• Organisation Validation сертификат — центр проверяет не только наличие прав на домен, но и существование организации / владельца, у которых есть эти права.

  Посетитель, который находится на сайте с использованием сертификата данного типа может убедиться в корректности самого сайта и определить, кому принадлежит ресурс. Для установки сертификата данного типа — требуется дополнительно подтвердить идентификационные данные владельца.

• Extended Validation сертификат — удостоверяет домен и владельца, но предоставляются центром только после расширенной проверки самой организации.

Как выбрать тип сертификата?

Выбор конечного типа сертификата зависит от самого проекта, который переходит на защищенный формат передачи данных — HTTPS. Типовые задачи:

1. Переход на HTTPS одного домена. Если сайт представляет компанию (юридическое лицо), то используется стандартный вариант — Organisation Validation сертификат. Если физическое лицо — Domain Validation, примеры: Thawte SSL123 (недорогой), Geotrust RapidSSL Wildcard.

2. Перевод на HTTPS для нескольких поддоменов одного сайта (региональные или тематические поддомены, дочерние проекты). Используется сертификат Wildcard, примеры: Geotrust RapidSSL Wildcard, Thawte SSLWildCard и другие.

3. Для списка доменов / группы проектов. Задачу решают сертификаты SAN, проверяются — список доменов и компания. Примеры: Geotrust True BusinessID SAN. Используется достаточно редко.

4. Для банка, финансовых учреждений, холдинга, сайта с биллингом. Чаще всего используются сертификаты с расширенной проверкой — Extended Validation, примеры: Thawte SSLWebServerEV, Symantec Secure Site EV.

Цена самого сертификата может варьироваться в зависимости от компании, где вы осуществляете его приобретение (как при покупке доменного имени). Стандартный срок действия — 1 год.

Правильный перевод сайта на HTTPS

После покупки SSL-сертификата и его установки — важно грамотно перевести сайт на HTTPS. Под правильным переводом подразумевается:

• Настройка корректного отображения сайта для пользователей.

• Правильная индексация поисковыми системами — одной версии (зеркала) и направление трафика на неё.

• Сохранение/увеличение трафика из поиска и прочих источников.

Если сайт уже индексируется поисковыми системами и привлекает целевой трафик, то полный переход на HTTPS затребует время на смену главного зеркала сайта.

Итак, для грамотного переезда на HTTPS, сохранения уровня трафика и роста конверсии требуется:

• Купить и установить на сервер проверенный SSL-сертификат. Подойдёт любой крупный партнер. Самый сильный игрок на этом рынке — компания Symantec, которая владеет такими центрами сертификации как Thawte, Verisign и Geotrust.

• Проверить, что все ссылки внутри домена ведут на страницы HTTPS-версии. В том числе: ссылки в XML-карте сайта, шаблонах, подключаемых стилях и прочие. Отдельно упомянем настройки, которые были произведены со «старой» версией, теперь все их надо перенести на HTTPS, скажем, файлы загруженные в Google Disavow Tool, ссылки на действующие XML-карты сайта в панелях.

• Проверить, что весь подключаемый контент доступен именно по HTTPS. В частности, все подгружаемые аудио- и видеофайлы и скрипты должны указывать на защищенный протокол (Яндекс.Карты, YouTube и так далее).

• Проверить визуально корректность отображения HTTPS-версии для пользователей.

• Добавить обе версии в панели вебмастера Яндекса и Google.

• Настроить в панелях вабмастеров переезд на версию с HTTPS и проконтролировать, что поисковый трафик из Яндекса полностью переключился на HTTPS-версию (по данным Яндекс.Метрики / Google Analytics).

• Настроить 301-редиректы со всех второстепенных вариантов написания на новое основное зеркало и проверить их отработку. Все редиректы должны быть в один шаг и все с кодом 301. Это важно.

Для удобства и проверки верного кода можно использовать инструмент «Сервис для массовой проверки ответа сервера» от Пиксель Тулс.

Рис. 4. Проверка корректности отработки 301-редиректов на основное зеркало. Верная настройка с переадресацией со всех второстепенных зеркал в один шаг.

Для полного контроля рекомендуется проверять корректность работы с помощью бесплатных сервисов, пример — SSL Checker. Часто, на уже работающих сайтах имеются ошибки в настройках или установке SSL-сертификата.

Рис. 5. Работа сервиса SSL Checker, осуществляющего бесплатную проверку установки SSL-сертификата.

Плюсы и минусы перехода

Начнём с минусов, так как их практически нет, это:

• Необходимость покупки самого сертификата. Цена у проверенных компаний — от 1 500 рублей в год. Более «продвинутые SSL» от 4 500—5 500 рублей в год. Сертификату требуется продление раз в год.

• Настройка сайта для перевода на HTTPS.

А вот плюсов много:

1. Повышение безопасности при обмене данными с пользователем. Использование HTTPS позволяет защитить данные от перехвата злоумышленниками и третьими лицами.

2. Повышение уровня доверия у продвинутых пользователей. Конечно, опытные пользователи обращают внимание на наличие HTTPS при оплате счетов в интернете и передаче персональной информации.

3. Сохранение / повышение конверсии. Учитывая, что лидирующий в рунете браузер Google Chrome напрямую помечают страницы, которые собирают персональную информацию (пароли, данные оплаты и т.д.) как небезопасные — конверсия таких страниц неизбежно падает.

4. Наличие HTTPS как фактор ранжирования. Google — напрямую заявляет учёт наличия подписанного SSL-сертификата у сайта, как один из факторов ранжирования. В Яндексе наличие HTTPS-версии также учитывается с 2011 года в составе группы коммерческих факторов ранжирования, которые используются для упорядочивания выдачи по коммерческим запросам в Москве (вероятно, и прочих крупных регионах).

5. Дополнительные моменты: уточнение статистики переходов на домен с проектов с HTTPS.

Основные ошибки при переходе

Многие владельцы сайтов допускают ошибки при переезде на HTTPS, приведём наиболее распространенные и опасные из них, чтобы можно было избежать их повторения:

• Настройка 301-редиректа на версию с HTTPS без предварительной смены главного зеркала в Яндексе. Итог: потеря трафика из поисковой системы в срок до 1.5-2 месяцев.

• Наличие «смешанного контента» на страницах, то есть, когда на HTTPS-версии ряд контента подгружается по HTTP (внешние скрипты и т.д.). Итог: данные страницы помечаются Google Chrome как небезопасные.

• Не 301-ый код ответа сервера для перенаправления на HTTPS-версию (скажем — 302). Итог: проблемы с передачей накопленных факторов ранжирования в поисковых системах, просадка трафика.

• Неверное оформление сертификата (имя домена в SSL не совпадает с тем, что указано в браузерной строке пользователя, неучёт поддоменов сайта при переводе). Итог: проблемы с посещением проекта.

• Наличие абсолютных ссылок на «старую» HTTP-версию на самом сайте, в XML-карте сайта, прочих источниках, контролируемых владельцами. Итог: незначительные (как правило) проблемы с индексацией.

• Просроченный SSL-сертификат (не забывайте продлять его, как и хостинг и домен). Итог: проблемы с посещением проекта.

Рис. 6.Ошибка в работе SSL-сертификата и сложности посещения сайта у пользователей. Переход возможен только при проявлении «высокого уровня настойчивости».

Выводы

Перевод сайта на безопасный HTTPS-протокол является обязательной процедурой начиная с 2017 года (тем более, в 2018 и 2019 годах) для всех коммерческих сайтов, проектов с формой авторизации и обратной связи.

Лидирующие показатели браузера Google Chrome в рунете и радикальная позиция о необходимости перехода на HTTPS — сильно ускоряют процесс и делают покупку SSL-сертификата обязательной и для всех остальных типов проектов. Более того, доля сайтов на HTTPS в ТОП-10 выдачи Яндекса существенно выше аналогичной в ТОП-100, что говорит о том, что авторитетные ресурсы уже перешли на защищенный протокол обмена.

Приведенные выше рекомендации позволят быстро выбрать наиболее подходящий сертификат, избежать критических ошибок при переносе сайта и смене главного зеркала. Удачи в самостоятельном повышении безопасности проектов, роста трафика и конверсии!

Автор

Дмитрий Севальнев