Dążenie do bezpieczniejszej sieci jest dobrze znaną inicjatywą Google. Co jakiś czas Google znajduje nowy sposób, aby zachęcić właścicieli stron do bezpiecznego korzystania z HTTPS:

  • Deklarowanie HTTPS jako sygnału rankingowego (lekkiego, ale w przyszłości może tak nie być).
  • Zaczynając indeksować strony HTTPS w pierwszej kolejności.
  • Pokazanie, że przejście na HTTPS jeszcze nigdy nie było tak tanie i tak łatwe.
  • Oznaczanie wszystkich stron HTTP przenoszących wrażliwe dane jako "niezabezpieczone" w Chrome.

Podczas gdy Google daje ci kuksańca i stara się być tak pomocny, jak to tylko możliwe, tak wiele rzeczy może pójść źle podczas przełączania witryny z HTTP na HTTPS. Niedocenianie wyzwania może prowadzić do katastrofy.

Musisz zaplanować każdy krok i przetestować dokładnie na gładkie lądowanie. Ten post nauczy Cię najlepszych praktyk i wspólnych pułapek, które musisz znać, aby migracja HTTPS była bezstresowa.

Co to jest HTTPS?

HTTPS jest używany do komunikacji za pośrednictwem Hypertext Transfer Protocol (HTTP) z "S" w końcu, który oznacza "Secure". Przyjmując HTTPS, zapewniasz swoim użytkownikom trzy kluczowe warstwy ochrony:

  • Uwierzytelnianie zapobiega atakom "man-in-the-middle" i daje gwarancję, że komunikuje się z dokładnie tą stroną internetową, która była przeznaczona.
  • Szyfrowanie zapewnia prywatność poprzez zaszyfrowanie wymienianych danych. Gwarantuje to, że rozmowy nie będą podsłuchiwane, a informacje nie zostaną skradzione.
  • Integralność danych zapobiega niezauważalnej modyfikacji lub uszkodzeniu danych podczas transferu.

Dlaczego warto migrować do HTTPS?

Oprócz bezpieczeństwa jako głównego priorytetu, jest jeszcze kilka innych rzeczy do rozważenia:

  • Prywatne i bezpieczne doświadczenie online jest to, co użytkownicy oczekują podczas odwiedzania witryny, a zaufanie użytkownika jest naprawdę cennym aktywem dla firmy.
  • Niektóre niesamowite aktualizacje , takie jak HTTP/2 (które można naprawdę skorzystać, szybkość) są obsługiwane tylko przez HTTPS w niektórych przeglądarkach.
  • Wzrost rankingu może być dobrą zachętą, jak Google hints na wzmocnienie sygnału HTTPS w przyszłości.

W tym momencie możesz przejść od wątpliwości do planowania migracji. Musisz dobrze przemyślany plan, aby migracja HTTPs bezbolesne.

Zanim migrujesz do HTTPS

Crawling witryny i szkic planu

Warunki początkowe mogą być różne: możesz mieć 5-stronicową świeżą witrynę zbudowaną przy użyciu jednego CMS-a lub ogromny serwis z 10+ latami zmian za barkami i kilkoma niezależnymi jednostkami do migracji (dla naszego zespołu tak właśnie było). Tak czy inaczej, pierwszym krokiem, który należy wykonać jest dokładne przeczesanie witryny w całości. Pomoże Ci to ocenić obecny stan strony i zwizualizować jej strukturę.

W tym czasie rozważ wszystkie technologie i CMSy, które leżą u podstaw każdego obszaru Twojej strony i zrób listę wszystkich jednostek, do których trzeba podejść osobno. Dodatkowo, zrób listę wszystkich rzeczy, które mogą ulec uszkodzeniu podczas migracji (mogą to być bramki płatności, pliki do pobrania, zewnętrzne skrypty, API i inne). Zanim jeszcze zaczniesz, powinieneś zidentyfikować najbardziej narażone rzeczy, które należy sprawdzić w pierwszej kolejności po migracji.

Podczas gdy Google pracuje nad zmianami, nieuchronnie trafisz na pewne zawirowania w rankingu. Nie ma na to lekarstwa, ale też nie ma się czym martwić, bo wszystko powinno wkrótce wrócić do normy, jeśli wszystko zostało zrobione dobrze.

Jednak, aby móc dokładnie sprawdzić wpływ i upewnić się, że było to tylko krótkotrwałe wahanie, musisz mieć pod ręką historię sprzed migracji. Podczas planowania zmiany, upewnij się, aby sprawdzić rankingi codziennie przez około tydzień, aby uzyskać pełny obraz tego, gdzie Twoja strona normalnie stoi.

Aby uniknąć późniejszego googlowania "dlaczego moje rankingi spadły", możesz zrobić jeszcze jedną przydatną rzecz: sprawdź wszystkie słowa kluczowe, na które Twoja witryna jest w rankingu i pogrupuj strony rankingowe według obszarów witryny, do których należą. To pomoże Ci wyśledzić przyczynę w przypadku znacznego spadku w rankingach później, poprzez wykrycie kłopotliwego obszaru na pierwszy rzut oka.

Wybór właściwej opcji wdrożenia

Gdy masz już szkic swojej strony internetowej i podstawowy plan, możesz przejść do wyboru właściwej opcji wdrożenia.

  • Jeśli jesteś lwim sercem, możesz wdrożyć zmiany do środowiska produkcyjnego bezpośrednio. W ten sposób wszystkie zmiany będą dostępne dla użytkowników na raz, ale wszelkie przeoczone błędy pojawią się wraz z nim, na żywo.
  • Bardziej przemyślanym posunięciem jest wdrożenie zmian do środowiska deweloperskiego, a następnie, po jego przetestowaniu, na stronę produkcyjną.
  • Najdroższą i najbardziej czasochłonną opcją jest utworzenie środowiska etapowego, aby przetestować zmiany na w pełni funkcjonalnym "lustrze" witryny przed połączeniem jej z witryną produkcyjną.

Możesz wybrać każdą z tych opcji w zależności od złożoności i innych cech Twojej witryny, ale prawdopodobnie nie będziesz żałował wyboru ostatniej opcji, jeśli potencjalnych błędów, które mogą się pojawić, nie da się policzyć na palcach jednej ręki.

Najdroższą i najbardziej czasochłonną opcją jest utworzenie środowiska etapowego, aby przetestować zmiany na w pełni funkcjonalnym "lustrze" witryny przed połączeniem jej z witryną produkcyjną. Możesz wybrać każdą z tych opcji w zależności od złożoności i innych cech twojej witryny, ale prawdopodobnie nie pożałujesz wyboru tej ostatniej, jeśli potencjalnych błędów, które mogą się pojawić, nie da się policzyć na palcach jednej ręki.

Zdobycie certyfikatu HTTPs

Aby włączyć HTTPS dla swojej strony musisz zdobyć i skonfigurować wymagane certyfikaty SSL/TLS na swoim serwerze.

Zacznij od wyboru zaufanego dostawcy certyfikatów (najlepiej takiego, który oferuje wsparcie techniczne). Następnie, upewnij się, że wybrałeś odpowiedni poziom bezpieczeństwa: Google zaleca zakup certyfikatu z kluczem 2048-bitowym lub jego aktualizację w przypadku, gdy obecnie posiadasz certyfikat ze słabszym kluczem 1024-bitowym.

W zależności od tego, jak wygląda Twoja strona, zdecyduj się na certyfikat pojedynczy (dla jednej domeny), wielodomenowy (wiele znanych subdomen) lub wieloznaczny (wiele dynamicznych subdomen). Po otrzymaniu certyfikatu, upewnij się, że został on poprawnie wdrożony i skonfigurowany zgodnie z najlepszymi praktykami.

Zasady SEO i najlepsze praktyki przed wdrożeniem

Gdy certyfikat jest już wdrożony, skonfigurowany i przetestowany(a napewno działa świetnie), nadszedł czas na ustawienie przekierowań 301 na wersję HTTPS Twojej strony po stronie serwera, aby nikt (ani użytkownik, ani bot wyszukiwarki) nie wylądował na stronie HTTP od teraz. Po zakończeniu migracji, żadna ze stron lub zasobów nie powinna być dostępna w obu wersjach, ponieważ może to prowadzić do problemów z duplikacją treści i, ostatecznie, będzie wysyłać mylące sygnały do wyszukiwarek.

Po przekierowania są wdrożone, nie idzie lista rzeczy do sprawdzenia i naprawić odpowiednio.

Zapobieganie problemom z indeksowaniem i przeszukiwaniem

Chcesz, aby Google wiedziało, że migrujesz do HTTPs. Dlatego w następnej kolejności powinieneś:

  • Zrewidować swój robots.txt i upewnić się, że nie ograniczyłeś swoich stron HTTPS.
  • Sprawdź, czy na stronach HTTPS nie ma niepotrzebnych tagów noindex.

Gdy wszystko wydaje się być w porządku, sprawdź to dwukrotnie. W tym momencie, byłoby mądre, aby skanować witrynę z dowolnego narzędzia do audytu witryny, która pozwala na pełzanie w imieniu Googlebot, i spojrzeć na swojej stronie, jak jesteś Google.

Pozbycie się niepotrzebnych łańcuchów przekierowań

Twoja strona prawdopodobnie ma kilka przekierowań już; jak migrować i egzekwować HTTPS, niektóre mogą stać się niepotrzebne. Jeśli masz stronę www przekierowaną na nie-www, a teraz dodatkowo na https nie-www, możesz zobaczyć, które ogniwo łańcucha może zostać wyeliminowane, aby poprawić szybkość.

Wolne czasy ładowania spowodowane nadmiernymi przekierowaniami mogą spowodować, że użytkownicy opuszczą Twoją stronę i zaszkodzą Twoim rankingom, więc nie zaniedbuj tego kroku. Skoro już tam jesteś, możesz również sprawdzić, czy wszystkie przekierowania prowadzą do odpowiednich stron.

Znaczniki kanoniczne, alternatywne, hreflangi

Wprowadzające w błąd tagi to kolejne potencjalne źródło zamieszania dla Google. Dlatego należy zwrócić szczególną uwagę na znaczniki na stronach i upewnić się, że żaden z nich nie odwołuje się już do HTTP.

Po migracji, wszystkie znaczniki rel=canonical powinny wskazywać na właściwe adresy URL HTTPS. Jeśli Twoja strona używa znaczników rel=alternate lub hreflang, wszystkie te powinny być zadbane przed przejściem na stronę, too.

Fixing Mixed Content Problemy

Do tej pory masz już strony zmuszone do ładowania się po HTTPS.

Załóżmy jednak, że użytkownik odwiedza stronę HTTPS, która zawiera obraz, skrypt lub inny rodzaj treści, która jest pobierana przez HTTP. Początkowo strona miała być bezpieczna, ale każdy niezaszyfrowany zasób na niej obecny służy jako otwarte drzwi dla snifferów i napastników man-in-the-middle.

Tym właśnie jest mixed content. Oprócz tego, że powoduje ona nieatrakcyjne ostrzeżenie w przeglądarce, może w rzeczywistości sprawić, że ochrona stanie się bezwartościowa.

Powszechnie zawartość mieszaną dzieli się na pasywną i aktywną, w zależności od wpływu najgorszego scenariusza. W skrócie, obraz lub wideo(pasywne) mogą zostać podmienione lub po prostu załadować się zepsute; link, skrypt lub inne rodzaje aktywnej mieszanej zawartości mogą umożliwić atakującemu przechwycenie żądania i przepisanie zawartości lub kradzież wrażliwych danych użytkownika.

Aby być bezpiecznym i zdrowym, powinieneś zrewidować wszystkie wewnętrzne linki i wszystkie zasoby, na których opiera się Twoja strona, i upewnić się, że odwołują się one tylko do HTTPS. Każdy z poniższych zasobów powinien mieć albo bezwzględny URL HTTPS albo ścieżkę względną:

  • Wewnętrzne obrazy, filmy lub audycje
  • Czcionki internetowe
  • Iframes
  • Wewnętrzne pliki JS i CSS wewnątrz kodu HTML
  • Obrazy, czcionki i wszelkie inne wewnętrzne adresy URL wewnątrz plików JS i CSS
  • ZnacznikiOpen Graph
  • Wszelkie bezwzględne odwołania do adresów URL w danych strukturalnych używanych na stronie (jak również odwołania do Schema.org)
  • Wszelkie inne linki wewnętrzne

Poprawianie mieszanych treści na całej stronie może być bardzo pracochłonne. Ważne jest jednak, aby uzbroić się w cierpliwość i nie przeoczyć żadnej drobnej rzeczy, ponieważ absolutnie nie chciałbyś skończyć w scenariuszu, w którym operacja zakończyła się sukcesem, ale pacjent zmarł.

Liczniki mediów społecznościowych

Na niektórych z Twoich stron, prawdopodobnie masz już zaimplementowane przyciski udostępniania społecznościowego. Na nowo utworzonych stronach, będą one działać po prostu dobrze, ale może prawdopodobnie chcesz zachować dowód społeczny starsze strony zarobił w ich HTTP przeszłości.

Co należy pamiętać, że po migracji niektóre z liczników okaże się całkowicie HTTPS przyjazny podczas gdy inne mogą zresetować do zera. To może zmusić cię do albo szukać elegancki hack lub porzucić stare numery całkowicie.

Gotowość i stabilność

Przetestuj wszystko jeszcze raz dokładnie. Przeczołgaj witrynę od nowa ze wszystkimi stronami, zasobami i linkami, i upewnij się, że nic nie ucierpiało. Poszukaj stron lub zasobów, które mogły się przypadkowo zepsuć lub nadal ładują się przez HTTP, błędnych przekierowań, które prowadzą do adresów URL HTTP, lub po prostu niewłaściwych stron.

Wreszcie, być mądry wybierając czas, aby wdrożyć zmiany. Nie chcesz, aby to zrobić w pierwszym dniu rocznej sprzedaży lub piątek wieczorem. Gdy nowa strona idzie na żywo, powinieneś być gotowy do natychmiastowej reakcji na wszelkie błędy mogą wyskoczyć.

Najlepsze praktyki po wdrożeniu

Gratulacje, Twoja nowa strona HTTPS poszła na żywo z błyszczącym zielonym zamkiem na nim! Teraz nadszedł czas, aby przejść przez podstawową listę zapewnienia jakości:

  • Ponownie przeszukaj witrynę i upewnij się, że wszystkie strony i zasoby zwracają kod statusu 200 Successful i są obsługiwane przez HTTPS.
  • Wróć do listy kontrolnej podatności, która powstała podczas przygotowań. Przetestuj wszystkie z nich dokładnie.

Daj znać Google, że się przeniosłeś

Google postrzega migrację HTTPS jako przeniesienie witryny ze zmianą adresu URL. Więc teraz powinieneś dodać nową właściwość HTTPS do Google Search Console. HTTP i HTTPS są traktowane oddzielnie i nie dzielą się danymi.

Następnie wygeneruj nową, świeżą sitemapę zawierającą adresy URL HTTPS i prześlij ją do Google.

Na koniec, przenieś pozostałe ustawienia do nowej właściwości, takie jak lista parametrów URL i plik disavow.

Warto przeczytać