Думаете над переводом своих сайтов на защищённое соединение? Лучший способ это сделать — пока на сайте небольшая посещаемость. В процессе переезда, даже если всё сделано правильно, Яндекс вполне может временно выбросить сайт из выдачи.
Допустим, по 40% посетителей приходят с крупнейших поисковиков. При ста хостах потери составят 40 посетителей, при тысяче — уже 400. Разница ощутима, верно?
Есть ли вообще польза от переезда на защищённое соединение? Давайте посмотрим на перспективы:
- Поисковые системы уведомили, что сайты, доступные по протоколу HTTPS, будут ранжироваться чуть выше.
- Протокол HTTP/2, разработанный на замену текущего HTTP/1.1, будет доступен только для защищённого соединения.
- Разработчики WordPress официально высказались о намерениях сделать часть функций доступными только при наличии SSL.
Прежде, чем поговорить о каждом пункте, давайте посмотрим, что это за звери такие — HTTPS и SSL.
SSL — защищённый протокол. Используется для обеспечения безопасной связи между клиентом (в нашем случае, браузером) и сервером. Суть заключается в использовании асимметричного шифрования. Вдаваться в детали не буду, поясню общий механизм. Информация шифруется открытым (доступным любому) ключом. Расшифровать её можно только с помощью закрытого ключа.
При соединении браузер и сервер обмениваются открытыми ключами. Далее, информация, отправляемая браузером, шифруется открытым ключом сервера, и может быть расшифрована только самим сервером с помощью закрытого ключа. Этот же процесс происходит и «в обратную сторону». Таким образом достигается безопасная передача данных. SSL сертификат как раз и содержит открытый ключ, а так же некоторую иную информацию.
HTTPS — защищённый протокол передачи гипертекста. По сути, этот тот же HTTP, обёрнутый в SSL.
1. Сайты на HTTPS ранжируются выше
Официальная позиция поисковиков. Сначала Гугл, а затем и Яндекс озвучили это. Знакомые SEO-специалисты подтвердили, что в некоторых нишах подобное имеет место. Возможно, в будущим данному фактору придадут больший вес, и сайты на HTTP улетят из ТОП-10.
2. Новый протокол передачи гипертекста
Хотя в описании нет ни слова об обязательном наличии защищённого соединения, производители браузеров решили, что оно — обязательно. Чем же HTTP/2 лучше протоколов, используемых сейчас? Улучшений много. Пожалуй, наиболее значимые:
- Можно использовать одно соединение с сервером, запрашивая необходимые данные и получая ответы*.
- Теперь сервер может отдать сразу пачку файлов, даже если клиент их не запросил явно*. В теории, браузер получит одним запросом всё необходимое.
- Возможность сжатия заголовков. HTTP — протокол, основанный на передаче текстовых заголовков, поэтому их передача производится «как есть». Если учесть, что куки могут занимать несколько килобайт, а мобильные браузеры любят передавать ещё ворох прочей информации, нововведение очень даже полезное.
* — Сейчас всё иначе: сервер отдаёт код HTML-страницы, после чего браузер начинает подгружать стили, скрипты, изображения и прочее.
Можно возразить, что это произойдёт не скоро, но — увы-увы для «возраженцев». Например, в Nginx есть модуль, предоставляющий возможность использовать HTTP/2 в режиме прокси. Иными словами, на сервера достаточно накатить обновление, всё остальное веб-сервер сделает самостоятельно.
3. WordPress ратует за SSL
Да, крупнейший блогодвижок всерьёз намеревается перевести пользователей на защищённое соединение и использование PHP 7.
Судя по новости, начиная с 2017 года разработчики начнут поощрять (вряд ли речь о деньгах, скорее всего, разместят информацию на своём сайте) хостинги, предоставляющие сертификаты. В дальнейшем, часть функциональности движка будет недоступна при использовании незащищённого соединения.
В качестве примера одной такой фичи указана аутентификация. Если это так, доступ в админку по HTTP предоставляться не будет.
Последствия переезда на HTTPS
Решились на переезд? Замечательно. Осталось узнать о возможных последствиях.
С полмесяца назад я сменил хостинг, а заодно перевёл сайт на HTTPS. Отзывов по переезду множество. Но основное, что останавливает — временная потеря посещаемости. Случилось это и в моём случае.
28 ноября Яндекс снизил число переходов более, чем в 2.5 раза. С 30 ноября переходы практически сошли на нет, но 3 декабря наметилась тенденция к восстановлению.
Как видим, 5 декабря по Яндексу всё вроде как восстановилось, но не в том же объёме, что было. Зато посетителей добавил Гугл. В итоге, посещаемость примерно осталось той же, что и до переезда. Период расколбаса продолжался где-то неделю.
Предостережения
Если ходите переезжать в декабре, немного данных по прошлому году.
Информация в выдаче Яндекса глобально меняется апдейтами — ручным запуском неких программ. В прошлый новогодний период они были: 24 и 31 декабря, 9 и 16 января. Это к тому, что моя неделя может растянуться в вашем случае на больший срок. Плюс, не забываем про значительное падение трафика на период новогодних каникул — просадка по партнёркам и так будет довольно значительная.
Считаю уместным перебираться на HTTPS либо со второй половины января, либо уже сейчас, чтобы до 10-12 декабря сделать всё от вас зависящее. Но вы, конечно, можете руководствоваться своими соображениями.
Ещё одно — если сайт имеет тИЦ, то с началом переклейки этот параметр будет обнулён. Для сайтов, торгующих ссылками, наличие «пузомерок» крайне важный момент.
ЗЫ: некоторые разработчики браузеров сообщили, что со следующего года сайты, работающие на HTTP, будут помечаться. Каким образом — вопрос открытый, быть может, небольшой иконкой в адресной строке, на которую мало кто обращает внимания.
днём интернета
шоколадкой для работы мозга
коробочкой ароматного чая для бодрости
продлением хостинга на +1 месяц
В общем, я перешел.
Оченно похоже все происходило с Яндексом и Гуглом. В целом, небольшое снижение по трафику все-таки осталось. Но трафик был невысок, терять было особо нечего.
Это как ветрянкой болеть. Лучше переболеть в детстве, чем в 30-40 лет. Это однозначно.
Кто еще перешел? Отзовитесь, расскажите свою историю.
Денис, приветствую!
Интересно просто, есть способ безболезненно переехать или нет. Просто у меня щадяще получилось, а люди отписывали, что и месяц, и больше было. Но из подтверждённых случаев всё были косяки переезда: то редиректы не настроили, то в панелях вебмастера https не указали. В общем-то, если делать сразу и правильно, то посещаемость должна восстановиться.
Господа, всем привет.
to pessimist.
Денис, мы с тобой как-то не совсем правильно на https перешли, вернее, скорее-всего не до конца. Я где-то слышал/читал, что одного технического перехода маловато, надо ещё и выполнить некоторую работу на самом ресурсе, а именно: пофиксить все активные внешние ссылки, ведущие на сайты, которые работают по НЕ защищённому протоколу — «мол, я не против разместить у себя твою ссылочку, но увы, ты не имеешь SSL-сертификата, так что извиняй» такая некая отмазка, на случай, почему были грохнуты все исходящие ссылки. Конечно, я могу ошибаться, но такая версия действительно имеет место быть. Итак, как же это проверяется? А проверяется всё это Гугл Хромом и только им. У него в адресной строке отображается статус соединения, возьмём к примеру ресурс ПроКухню.ру: статус — Не защищено. Возьмём ДДД-Мир и БегОтБед: статус — Защищено не полностью (!). Возьмём текущий сайт А-Панов, и вуа-ля: Надежный (соответствующий зелёненький знак закрытого замка против нашего серого знака восклицания), да, наши ресурсы работают по https протоколу, да, они проходят проверку SSL-сертификата, но… Что-то явно не то )) Посему вопрос назрел: Андрей, у тебя как со ссылками? А у тебя, Денис? Ну и у всех? Может я что-то не догоняю, хочется уже завершить этот «переход». Кстати, Андрей, Денис, у вас платные сертификаты? (если это не тайна, конечно).
С уважением, Алексей
PS. Хотя, судя по более развёрнутому описанию. пишет что-то про картинки. Ещё не гуглил…
Алексей, доброй ночи!
Ну да, все картинки, скрипты, стили, шрифты и т. п. должны подключаться по https. Иначе браузеры будут недовольны.
Исходящие на другие ссылки трогать не нужно, браузеру не важно, куда они ведут, хоть на ftp. А вот свои ссылочки неплохо пофиксить, чтобы везде ссылалось на https, но проще всё же абсолютные пути юзать, без указания домена.
Если на ДДД зайти по httpS, то сразу в глаза кидается лого /site_logo.gif, который грузится по http (возможно оттого, что ты вернул настройки на http?)
Если коротко: все ресурсы должны подгружаться по защищённому соединению. Это же касается стилей/скриптов/картинок/прочего, которые грузятся из стилей и скриптов. Такая вот рекурсия.
По тому, что я знаю, со ссылками у меня полный порядок. Главное, чтобы внутренние ссылки вели на тот же протокол (редирект не очень хорошо), а все ресурсы подгружались по защищённому соединению.
Сертификат бесплатный, Let`s Encrypt, автовыпускается хостером каждые 3 месяца.
Доброй ночи, Андрей
Спасибо за отклик, правда вопросов стало ещё больше
В этой теме я не особо силён, но чую, скоро придётся изучить.
Завтра на свежую (!) голову ещё вернусь к этому вопросу, сегодня уже спать рубит дико…
Алексей, тут может быть не столько сложно, сколько муторно: выцепить все незащищённые ресурсы и перевести их на правильные рельсы.
Ага, присматриваюсь фаербагом, у меня много где проскакивают эти самые неправильные рельсы ))
Алексей и Анди — приветы!
Мой Гугл-Хром говорит мне, что мой блог — «Надежный».
Мне думается, что вся фишка в настройках Браузера клиента, а не в сайте
Я, конечно, меньше всех вас в этом понимаю, но как объяснить, что у меня надежный, а у кого-то не совсем надежный?
А это мой блог
Опередил ))
Вполне вероятно, брузеру можно «приказать» считать ресурс надёжным… Но хз…
Алексей, как минимум «левый Денис» подключается по http)
Теперь он крут )) С зелёненьким замочком )
Алексей, так в чём же дело? И тебя зазеленим)
Спасибо большое )))
Алексей, не за что пока)
В хроме оказывается зелёный замок появляется если на странице порядок. Если не особо, то замка нет. Наверно обновиться пора, а то на старой версии сижу всё)
Денис, на главной твоя фота:
/wp-content/uploads/2012/02/2-200×300.jpg
подгружается по http, поэтому жёлтый замок. С остальным вродь порядок.
Ай — молодца!!! ПАсиба, Анди!!!
Поменял на главной абсолютный путь картинки на относительный — и замочек сразу позеленел!
Слушайте дядьку! Дядька знает, что говорит
Денис, поздравляю с позеленевшим сайтом!
Вооо )) Сразу видно, теперь полностью всё круто )
Такс, я тоже так хочу…
Андрей — мега крутой Человек! ))
Заметил на некоторых ресурсах не просто «Надёжный», а некое название ресурса, интересно, это они видимо платный сертификат какой-то юзают с хитрой идентификацией, или что-то в таком духе…
Оу, это гринбар. Несколько сотен стоит. Для получения нужна компания, ибо потребуются документы для подтверждения.
Несколько сотен бакинских или несколько сотен тысяч рублей? )
Алексей, типа вот
Денис, Андрей, привет )
Денис, на скрине у тебя не твой блог ;)) А данный сайт. Но верю, конечно. Интересно, а как ДДД-Мир показывается? Да, настройки браузера тоже дают о себе знать. проверить можно, скорее всего сбросом пользовательских настроек, а поскольку я не активный пользователь Гугл Хрома, то безболезненно это делаю и вижу результат, как и говорил выше. Сделал ещё раз — сравнил, картина та же. Денис, а почему ты от www не избавишься? Вроде уже пережиток… В общем, у себя буду смотреть что и как. Сертификат от хостера, бесплатный.
Мне не мешает www — Редиректы настроены, главным зеркалом Яша выбрал www — пусть себе, болтается…
А вот и твой форум на моем браузере Кажется на зелень замочка влияет фактор авторизации в админке
Денис, щёлкни плизз на адресной строке, там по умолчанию http-протокол скорее всего стартанул. т.к. я переадресацию в htaccess еще не делал. Если не трудно, допиши там «s», изменится ли результат?
И s вводил, и кэш чистил…
И новую вкладку создавал, чтобы в ней в рукопашную адрес ввести — все открывается….
Но зеленого замочка не увидел на форуме.
А зелёного я и не ждал, у тебя на скрине с вопросом, что вообще «Не защищено», а у меня, что «Защищено не полностью», но тоже с вопросом )
У Алексея по http подключается картинка /16_6.png — 16+
О, понял, спасибо Андрей, поправлю ))
И лого ещё…
Точно! И лого тоже, в 2-ух экземплярах в коде встречается.
Андрей, можешь глянуть, 16+ стала ли норм? Мозилки с фаербагом нету под рукой…
Всё осталось как было. Кэш?
Денис, в файрфоксе удобно сделано. Если замок зелёный — ок, жёлтый — не совсем ок)
Да, надо поставить…
Да не обязательно, только наглядность есть разве что, но кто на эти замки вообще смотрит?
Может, поисковики…?
А сейчас? Точно, я про кэш забыл…
Это им придётся тогда на сайт выдавшего ломиться, валидировать. Хотя может и делают, js говорят выполняют уже.
А лого?
16+ стало норм, ага? ))
Лого буду завтра править. сейчас надо работку одну сдать…
В любом случае, спасибо тебе огроменное, отчитаюсь по смены. Там ещё в шапке кнопки тоже на http идут…
Алексей, успехов!
Уррррррааа!!!! )))
Блин, а я всё усложнил только и в заблуждение людей ввёл, зато кое-что прояснилось )) Всем спасибо, кажется, я с вами в Надёжных ))
Всё, теперь можно держать карман шире, ждать. когда Гугл нагонит народу уйму )))
Оказалось, что всё изи!
Мои поздравления, Алексей.
Андрей, спасибо тебе огромное!
Кстати, в робот.тхт и htaccess ничего не прописывал, сделал переадресацию на хостинге, как думаешь, это правильно и ли лучше прописать или пофиг? Вроде работает, принудительно пытаюсь по http зайти, перекидывает на https
Завтра вебекомом займусь…
Алексей, пожалуйста.
Если перекидывает, значит ок.
А вот с роботсом поколдовать нужно. Host должен содержать домен с https://
Точняк! Верно говоришь жеж, еще +1 спасибо )
Поздравляю, Алексей! Вижу нового зелененького ДДД
Да, уж! Спасибо дядьке! Сколько же мне еще страниц нужно перелопатить… У меня плагин все смайлики прописал с http.
А еще перелинковка в старых статьях… В общем, работы много. Но теперь, зато известно где копать
А у меня в нём вообще так написано:
«Host: forum.dddmir.ru»
Спасибо, Денис, да… и мне предстоит поработать, тоже на ряде страниц УПС )
Алексей, по моему скромному мнению нужно httpS в роботс)
Так и сделал, ибо прислушиваюсь к твоему скромному мнению )
Андрей, приветствую.
Слышала, читала. Но вот думала, стоит ли всем или только тем, кто работает с клиентами. А есть конкретный мануал для «блондинок», как на этот самый https переходить? А то так-то я понимаю, что это через хостинг надо делать, но вообще не представляю, как потом это с сайтом связывать…
И вот что, ты так не пугай-то, что в админку не пустят… Это как-то слишком страшно звучит…
Светлана, доброй ночи!
По здравому разумению защищённый протокол нужен не всем. Но что делать, если крупные игроки активно склоняют? IE6 выдавили, хотя за ним мега-корпорация стояла, а уж рядовые юзеры как-нибудь подвинутся.
Чтобы перейти, для начала надо, дабы хостер настроил HTTPS. Некоторые хостеры это дело автоматизировали. В таком случае, сайт будет доступен по http[b]s[/b]://site и нужно кое-чего пошаманить. Инструкции приводил, но насколько они достаточны — судить не берусь. В любом случае, совета всегда спросить можно ;)
По поводу админки — это логическое заключение, основанное на словах разработчиков. Чтобы войти в админку, нужна предварительная аутентификация, а если она будет недоступна по незащищённому протоколу, то и в админку не войти.
В том-то и дело — если у меня на сайте в админку вхожу только я, какой смысл мне ставить защищенное соединение? Я чего-то не понимаю, видимо, в этой системе безопасности…
Пойду к своему хостеру изучать инфу… Вдруг чем порадуют…
Светлана, дело в самом протоколе. HTTP передаёт данные как есть. Достаточно перехватить трафик в любой точке, и доступ к закрытым данным считай получен.
HTTPS — это HTTP, который работает поверх SSL. Трафик-то перехватить можно, но чтобы расшифровать его, нужен закрытый ключ.
В общем, пока всё находится в стадии рассмотрения. Возможно, просто прозондировать решили)
Отличное дополнение к статье, в чём суть этих переходов и в чём отличие. Я пока решила не переходить, проконсультировавшись со спецом) А там поглядим…
А дальше может все хостеры будут SSL выдавать, а ВордПресс автоматически обновиться с этим учётом.
Вот и я решился наконец то сегодня перевестись на https. Правда дождался новогодних праздников когда позиции проседают почти на 80% по естественным причинам. Обычно к 10 числам января они выравняются.
Спасибо за наглядный график просадки по Яндексу. Теперь хоть более менее понятно сколько по времени проходит «расколбас» Яндекса в случае смены протокола.
Сергей, здравствуйте!
Скорее всего, тут немалую роль апдейты играют. На каникулах их, скорее всего, не запустят. Теоретически, есть шанс проскочить падение трафа — пока поисковая база обновляться не будет, робот успеет переиндексировать весь сайт. Но если угораздит вляпаться под занавес — тут уж ничего не попишешь
В любом случае, желаю успеха. И пусть всё пройдёт безболезненно.