Как перевести сайт на https: инструкция и примеры



Здравствуйте, дорогие читатели блога. Сегодня расскажу о таком понятие как безопасный сайт и зачем использовать специальные протокола защиты и шифрования данных.

Современный интернет переполнен информацией об оптимизации контента для поисковых систем. Довольно часто можно встретиться с утверждениями, что для улучшения позиций необходимо перейти на защищенное соединение. У администратора блога возникает логичный вопрос, а зачем и как переводить сайт на https. Разберемся по порядку.

Как перевести сайт на https: инструкция и примеры

Что такое защищенный протокол

Для общения между компьютерами в глобальной сети используется HTTP протокол. В нем пересылаются специальные заголовки, через них запрашиваются все необходимые сведения о страницы (наличие cookie, предпочтительный язык, местное время и т. п.). В том числе него отсылаются ценные конфиденциальные данные (пароли, логины, номера карт и т. д.).

Ранее для перехвата информации было достаточно применять методы MITM и фишинга. Злоумышленник создавал поддельный веб-ресурс, из-за этого пользователь отправлял конфиденциальные сведения напрямую к хакеру. Чтобы защититься от фишинга был придуман метод проверки подлинности сервера и дополнительное шифрование всех соединений.

Чтобы это осуществить начали использовать цифровые SSL сертификаты. Своего рода это паспорт или удостоверение личности для электронного продукта. В них указываются сведения о домене, чтобы каждый пользователь при сомнениях смог просмотреть, кому он доверяет свою конфиденциальность. В зашифрованном режиме клиент перед отправкой заголовков сначала проверяет подлинность сервера по его удостоверяющему документу (напоминает проверку паспорта у гражданина страны). Благодаря этому злоумышленник не может получить важные сведения от клиента MITM атакой. Защищенное соединение стали называть https.

Удачная проверка выглядит следующим образом.

Как перевести сайт на https: инструкция и примеры

Google объявила, что с 31 января 2017 года все веб-сайты без шифрования данных будут блокироваться. Chrome 5.6 не будет передавать заголовки серверу, если на нем отсутствуют дополнительные защитные меры. Эти новшества со временем появятся и на всех других браузерах.

Как перевести сайт на https

Весь процесс миграции на шифрованное соединение можно разделить на следующие этапы:

  • Получение CRS кода, приватного ключа и .crs файла.
  • Настройка серверной составляющей.
  • Сообщение об изменениях для поисковых систем.
  • Корректировка гиперссылок.
  • Включение переадресации.

Весь процесс занимает можно выполнить за 1 сутки. Наиболее длительными оказываются 1 и 4 пункты. Если веб-ресурс работает без CMS, то некоторое время затрачивается на 3 этапе.

Используйте шифрованный протокол в:

  • онлайн-банках;
  • интернет-магазинах;
  • социальных сетях;
  • почтовых сервисах;
  • биржах загрузок приложений.

Похитителей чаще всего интересуют номера платежные карт, логинов и паролей соц. сетей (Вк, Facebook и т. п.), личные фотографии и переписки, базы данных. Кроме того некоторые распространяют вирусы путем подделывания оригинальных бирж загрузок игр и программ. Банки и другие организации, в которых пользователи вводят личную платежную информацию, обязаны обеспечить конфиденциальность своих клиентам. Если этого не делать, то компания быстро потеряет доверие клиентов.

Получение SSL сертификата

Наиболее важным во всем процессе является сертификат для сайта https. От его качества зависит надежность соединения и доверие браузера при подключении.  Используют 3 разновидности подтверждающего документа:

  • DV – указывается только доменное имя.
  • OV – домен и организация.
  • EV – все сведения о владельце сервиса (для юридических лиц).

Для блогов и небольших порталов будет достаточно DV, для магазинов и соц. сетей использует OV. Банкам,  известным магазинам выдают EV. В последнем варианте требуется предоставление официальных документов юридического лица, награждением полной проверки является зеленый замочек в браузере.

1 (2)

Чем надежнее SSL, тем дороже он стоит. Бесплатный вариант можно получить на startcomca. все остальные ресурсы закрылись или не функционируют должным образом.

Официальными центрами сертификации являются:

  • Symantec;
  • Godaddy;
  • Comodo;
  • GlobalSign;
  • Thawte;
  • Trustwave;
  • GeoTrust.

На просторах интернета можно встретить множество ресурсов, которые предлагают SSL от данных сервисов. Можете воспользоваться их услугами, но сначала проверьте отзывы о них.

Чтобы получить документ подлинности требуется ввести доменное имя, код страны, название организации и другую информацию. Она используется только в качестве текста для зашифрования и выставляется публично.

1 (1)

Если проект  находится на платном хостинге типа reg.ru, beget, shneider-host и т. п., то при покупке услуг пользователю бесплатно предоставляется DV удостоверение. При желании его можно заменить на OV или EV за отдельную плату.

Серверная настройка

После выдачи удостоверения необходимо активировать его на хостинге. В примере для управления хостингом используется cPanel и хостинг shneider-host. У других поставщиков услуг настройки могут несколько отличаться, но в остальном все принципы будут одинаковы.

От владельца веб-сайта потребуются следующие сведения:

  • сертификат домена или его код;
  • CSR запрос к SSL документу;
  • закрытый ключ шифрования (выдается вместе с CSR).

Все эти три файла получают во время прохождения верификации из прошлого раздела статьи. Что же, переводим сайт на https. Сначала установим полученное ранее удостоверение на сервере:

  • Найдите раздел добавления SSL в панели управления.

1 (3)

  • Далее от пользователя потребуется ввести запрашиваемую информацию (CSR, файл сертификата, секретный код). После этих действий нужно дождаться пока обновится сервер.

1 (4)

  • После окончания настроек подождите около часа и можете проверить работоспособность https. Перед адресом своего веб-ресурса введите данный протокол и просмотрите, работает ли защищенное соединение.

1 (5)

Если после проверки все заработало, то можете продолжать настройку. Иначе перепроверьте правильность выполнения предыдущих действий. Зачастую пользователи вводят некорректный CSR запрос и ключ от него. Будьте внимательны.

В случае установки неверного сертификата браузер выделит следующую ошибку безопасности.

1 (6)

На большинстве современных хостингов типа Reg.ru, Beget, shneider-host и т. п. уже имеется встроенный мастер настройки SSL и администратору нужно ввести запрашиваемую информацию (название области, почта и т. п.). Как выбрать хостера я писал в статье лучший хостинг для сайта в России, который проверен мной лично.

У большинства платных хостингов SSL сертификат выдается сразу после подтверждения покупки услуг. Он обеспечивает базовый уровень безопасности, но браузер и поисковики ему уже доверяют больше. Наиболее сложную часть в вопросе, как перевести сайт на https, уже рассмотрели.

Теперь веб-сайт функционирует в зашифрованном режиме. Однако это не все действия. Осталось провести внутреннюю оптимизацию и сообщить серверу Apache, чтобы он автоматически перебрасывал посетителей в зашифрованный режим.

Настройка в яндекс вебмастер

Чтобы не потерять текущую индексацию нужно сообщить поисковику об изменениях. Для этого редактируйте файл Robots.txt, он находится в корневой папке проекта (используется поисковыми ботами для индексации). В нем измените http на https.

Теперь изменяем настройки в панели яндекс вебмастера. Зайдите в нее и добавьте новый веб-сайт, в URL укажите защищенный протокол.

1 (11)

Нужно еще настроить зеркало. Перейдите в раздел «настройки индексации -> переезд сайта». Здесь выберите иконку с «добавить HTTPS» и сохраните результат. После этого поисковик будет воспринимать все старые статьи в качестве новых и по ним обновлять свои ресурсы.

Изменение внутренних ссылок



Переезд сайта на https заключается не только в получении эксклюзивного .crt файла. Чтобы обезопасить ресурс от проникновений также потребуется изменить все внутренние гиперссылки на блоге с абсолютных на относительные.

Все гиперссылки типа http://site.ru/something.html заменить на //site.ru/something.html. Подобное придется проделать не только на всех статьях, а также и в программном коде. Если этого не сделать, то потом возникнут проблемы с индексацией внутренних страниц.

Если администратор пользуется CMS типа WordPress, Joomla и т. п. то для замены URL он может использовать плагин «easy HTTPS Redirection» или «http/https remover».

1 (7)

После установки плагина нужно его активировать, после этого все URL исправятся автоматически. Чтобы это проверить откройте любую статью, в ней должна измениться основная ссылка, вместо протокола будет стоять //

1 (8)

В будущем эти действия понадобится проделывать при добавлении фотографий и других сведений. Следите, чтобы в начале гиперссылки располагался https или //. Если сайт работает на своем ПО, то внутренняя оптимизация выполняется вручную.

В качестве дополнения в код каждой странице добавьте HTML тэг, вместо многоточия вписывайте ссылку нужного ресурса.

<link rel=”canonical” href=”https://…”/>

Автоматическая переадресация

Ресурс уже способен работать с зашифрованным протоколом, но нужно сообщить серверу, чтобы он автоматически заменял все обычные запросы от клиента на шифрованные. Для этого в .htaccess файл необходимо вписать строки:

RewriteCond %{HTTP:X-Forwarded-Proto} !https

RewriteCond %{HTTPS} off

RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

Их нужно записать сразу же за RewriteEngine On. Эти инструкции сработают для Apache сервера, для Ngnix потребуется другой код. Уточните у системного администратора.

Современные веб-ресурсы в большинстве располагаются на платных хостингах типа beget. На них в панели управления есть раздел «перенаправление». Он позволяет настроить .htaccess самостоятельно, но при этом не нужно лезть в код.

1 (9)

В полях ввода необходимо ввести сначала старую версию протокола, а потом новую.

С: http://site.ru

На: https://site.ru

1 (10)

Нововведения начнут работать после перезапуска сервера. Как правило, это происходит в течение 24 часов. Переезд окончен, в первое время несколько уменьшится посещаемость, так как происходит переиндексация, но спустя 10-30 дней все стабилизируется.

Не забываем подписаться на рассылку блога и поделиться данной статьей в социальных сетях.

С наилучшими пожеланиями, Галиулин Руслан.

Рейтинг
( Пока оценок нет )
Руслан Галиулин/ автор статьи
Если вы решили чему-то научиться и познать что-то новое в сфере заработка в интернете и построении бизнеса, то вы на правильном пути, и мой блог — Вам в помощь.
Понравилась статья? Поделиться с друзьями:
FIRELINKS.RU
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: