Вордпресс, Сайты        24 января 2017        472         0

Как правильно перейти на HTTPS?

перейти-на-HTTPS

Если набрать в поисковой строке «новости SSL Google 2017», вы увидите ответы, которые очень расстраивают веб-мастеров и сео-специалистов. Если конкретнее, то ответ такой: «Google вводит санкции с января 2017 года на сайты, работающие без использования SSL протокола»

Совсем недавно, а точнее под новый 2017 год, Google начал рассылать в панели веб-мастеров Google Search Console предупреждения для сайтов, на которых есть поля ввода для данных банковских карт и паролей на незащищенных страницах «письма счастья».


google-https-ssl

Но это новость только для новичков. Ещё в августе 2014 в Google заявили о том, что безопасность пользователей является главным приоритетом для компании, поэтому все сайты, обеспечивающие надежную передачу данных, использующие протокол https, могут рассчитывать на дополнительный бонус при ранжировании.
Уже в декабре 2015 года компания Google объявила, что с начала 2016 года по умолчанию будут индексироваться HTTPS — версии страниц, если сайт доступен для индексации по обоим протоколам http и https и соответственно, второй будет в приоритете.
Google даже дает преимущество в ранжировании тем HTTPS — сайтам, которые неверно реализовали переход на безопасный протокол (с ошибками).
И, самая последняя новость на официальном блоге Google о том, что с января 2017 года браузер Chrome начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как сомнительные (небезопасные).
Google использует более 200 факторов ранжирования и наличие сертификата безопасности SSL – один из них, а теперь является перво-определяющим.
Поэтому, если раньше это были общие рекомендации, то сейчас это перешло в обязательную процедуру. Суть его в том, что надо перевести сайт на работу по защищенному протоколу HTTPS. «S» в конце — это сокращение от Secured (защищенный).

Учитывая то, что по статистике на начало 2017 года, в России поисковые сервисы Google и Яндекс используются пользователями в соотношении примерно 50/50%, то не сложно догадаться, что проигнорировав переход сайта на работу через безопасное соединение,- сайт рискует потерять половину посетителей!

HTTP — протокол — HTTPS, что за звери?

HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста») — протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов в формате «HTML». HTTP используется также в качестве «транспорта» для других протоколов прикладного уровня, таких как SOAP, XML-RPC, WebDAV. Аналогичными HTTP являются FTP и SMTP. Обмен сообщениями идёт по обыкновенной схеме «запрос-ответ». Для идентификации ресурсов HTTP использует глобальные URI. В отличие от многих других протоколов, HTTP не сохраняет своего состояния. Это означает отсутствие сохранения промежуточного состояния между парами «запрос-ответ».
______________

Что такое протокол HTTPS? Это расширение протокола HTTP, которое поддерживает шифрование передачи данных в интернете. То есть, данные которые передаются по https заключаются в криптографический протокол SSL. Как раз поэтому, при переходе на защищенное соединение, мы сталкиваемся с установкой SSL-сертификата, который и позволяет нам защитить передачу данных. Сам сертификат это набор сложных символов, код, без которого невозможно расшифровать данные.
Все это позволяет защитить данные в сети, такие как: номер банковской карты, пароль, логин и так далее,- технология https шифрует и защищает их от перехвата мошенниками. Более подробно о https можно прочесть на блоге Яндекса.
______________
Для начала, нужно понимать, что когда вы заходите на любой сайт, ваш браузер начинает обмениваться данными с тем сервером (хостингом), на котором расположен этот сайт. Например, чаще всего мы заходим в почту или социальные сети, и когда вводим логин и пароль — эти данные отправляются на сервер, где они будут сверяться с данными вашей учетной записи в базе данных, и уже система сервера либо даст вам доступ либо скажет – неправильный логин или пароль.

Если удаленный сайт работает по протоколу HTTP, то данные между вашим браузером и сайтом будут ходить по сети в открытом виде, как вы их вводите на клавиатуре.

Проблема в том, что практически любой человек с помощью специальных программ может перехватить данные с вашего интернет-канала, у провайдера или на промежуточном узле. Особенно, если вы используете Wi-Fi в публичном месте. И узнав эти данные, злоумышленник может зайти с ними на тот сайт в ваш аккаунт или личный кабинет, то есть взломать его.

В особой степени это касается сайтов платежных систем, банков, провайдеров и т.д., к которым будут применяться особые санкции и наложения фильтров по всему миру.

Когда браузер анализирует SSL — сертификат сайта, срок его действия и в своей базе он определяется, как выданный надежным источником,- то браузер и сервер начинают обмениваться данными в зашифрованном виде по протоколу https. В этот момент в строке браузера вы увидите зеленый замок или зеленую полоску в зависимости от браузера (Google Chrome, Яндекс, Opera, Firefox, Амиго и другие).

Допустим, Вы владелец сайта, но его делал кто-то другой на заказ и Вы хотите

Проверить сайт на правильность установки SSL-сертификата?

пройдите на сайт сервисом sslshopper|com и нажимаете кнопку Ssl-Checker. При правильной установке будут зеленые галочки, выглядит это так:


Что делать, если сертификата нет?

-Для этого нужно понимать, какой именно Вам подходит.

Виды SSL сертификатов:

Подготовить сайт к переходу с минимальными потерями времени, поискового трафика и избежать проблем поможет Вам понимание, что именно нужно Вашему сайту.
Давайте рассмотрим основные виды сертификатов, не вдаваясь во все тонкости. Тип сертификата зависит от типа подтверждения, проверки и не только..

1. С проверкой домена (DV или Domain Validated).

Доступен физическим лицам и компаниям. Cертификат с проверкой домена подтверждает лишь тот факт, что доменное имя действительно принадлежит Вам. Защищает информацию, но не дает гарантии, что владельцу сайта можно доверять. Требуется подтверждение по электронной почте, находящейся на домене либо на которую зарегистрирован домен. Стоит дешево — самый дешевый COMODO POSITIVESSL стоит 470 руб. в год (ссылка), либо может выдаваться бесплатно у хостинга, процедура обычно занимает несколько минут.

Данный тип сертификатов подходит как для физических лиц (в том числе и индивидуальных предпринимателей), так и для юридических (компаний, государственных учреждений, организаций). Для его выпуска не нужно предоставлять документы.

2. С проверкой организации (Organization Validated [OV].

Такой сертификат доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям. Проводится проверка документов и существования ИП или юридического лица, а также принадлежность домена. Стоит намного дороже, самый дешевый THAWTE SSL WEB SERVER стоит 4 247 Руб. в год руб. в год (ссылка), выдача занимает 1-3 дня, даёт глубокое шифрование и гарантию на 500.000$.

Такой сертификат подойдет интернет-магазинам, сайтам услуг, порталам,- связанными с обработкой и хранением персональной информации.

3. С расширенной проверкой организации (Extended Validation SSL [EV].

Скорее всего, Вы уже обращали внимание на этого «зверя» у сайтов крупных организаций, в строке браузера:

Дает заметную зеленую строку с названием организации. Таким сайтам можно доверять больше, так как компания точно существует,- проводится проверка документов, ее владельцев и домен точно принадлежит ей. Проверка занимает до 10 дней (если нет проблем с документами). Сертификат самый дорогой. А самый дешевый из них GEOTRUST TRUE BUSINESSID WITH EV стоит 10 447 Руб. в год (ссылка). Гарантия: 1.500.000$.
Используют: банки, платежные системы, крупные сервисы, страховые компании.

Дополнительные особенности сертификатов, о которых необходимо знать:
— Обычный сертификат (на один поддомен). Подойдет для большинства сайтов, стандартный вариант.
— Wildcard (для нескольких субдоменов одного домена). Необходим, если у вашего сайта есть субдомены. Например, site.ru, shop.site.ru, forum.site.ru. Может быть как с проверкой домена, так и проверкой организации. Стоит дороже, чем обычный.
— С поддержкой IDN (для кириллических доменов сайт.рф , сайт.рус).
— Мульти-доменный сертификат. Необходим в том случае, если у Вашей организации несколько разных доменов.

Основные поставщики сертификатов:

Как сгенерировать сертификат Let’s Encrypt на хостинге?

Есть ещё один способ перевести свой сайт на протокол https, и он, кстати,- бесплатный. Есть ограничение по сроку — выдается такой на 90 дней, после чего, его нужно продлять вручную. На данный момент — это самый популярный, простой, бесплатный способ. И так, если у Вас есть доступ к своему хостингу (все данные высылаются на почту сразу после покупки хостинга) — логин и пароль, доступ по FTP/SSH, находим и устанавливаем агент-коннектор «Putty».

После чего, вводим свои данные,- логинимся по SSH и попадаем в консоль. После этого, всё, что Вам нужно — это вводить свои данные корректно. В первый раз это может показаться сложно, но это только в первый раз. Да, если к Вашему домену уже привязан какой-то сертификат, например самоподписанный, то во вкладке www домены нужно выбрать и привязать к Вашему домену другой любой сертификат, т.к. важно создать новый с таким-же названием, как домен.

Благодаря некоторым нашим участникам, эта процедура стала максимально простой. Вам потребуется только копировать нижеуказанные подсвеченные строки, переходить в агент «Putty» и нажимать правой кнопкой мыши для вставки + Enter.

Установка сертификата обычно занимает 5-10 минут.

1. Создадим директорию ~/private:

mkdir ~/private

2. Переходим в директорию ~/private:

cd ~/private/

3. Качаем архив со скриптом letsencrypt:

wget https://codeload.github.com/lukas2511/letsencrypt.sh/zip/master -O dehydrated-master.zip

4. Распаковываем архив:

unzip dehydrated-master.zip

5. Переходим в директорию со скриптом:

cd dehydrated-master/

6. Заносим в окружение переменную DOMAIN:

где domain.tld, домен для которого мы будем генерировать сертификат

export DOMAIN=»domain.tld»

7. Генерируем служебные директории:

mkdir -p ~/private/certs
mkdir -p ~/www/$DOMAIN/.well-known/acme-challenge

8. Создаем симлинк:

rm -f $HOME/private/dehydrated-master/.acme-challenges; ln -s $HOME/www/$DOMAIN/.well-known/acme-challenge $HOME/private/dehydrated-master/.acme-challenges

9. Создаём файл config с содержимым WELLKNOWN=»${BASEDIR}/.acme-challenges»

echo ‘WELLKNOWN=»${BASEDIR}/.acme-challenges»‘ > ~/private/dehydrated-master/config

Перед генерацией сертификата, рекомендуем временно переименовать файл .htaccess вашего сайта, после генерации нужно вернуть старое название:

10. Сгенерировать сертификат:

./dehydrated —register —accept-terms
./dehydrated -c -o $HOME/private/certs/ -d $DOMAIN  -d www.$DOMAIN

Если все сделано правильно, скрипт должен дойти до:

+ Done!

В директории ~/private/certs/$DOMAIN создадутся необходимые файлы:

~/private/certs/$DOMAIN/fullchain.pem
~/private/certs/$DOMAIN/privkey.pem

Заходим в панель управления ISPmanager в раздел «SSL сертификаты». Нажимаем «Создать» и выбираем «существующий». Вносим данные из файлов в соответствующие поля:

~/private/certs/$DOMAIN/privkey.pem — для поля «Приватный ключ»
~/private/certs/$DOMAIN/cert.pem — для поля «Сертификат»
~/private/certs/$DOMAIN/chain.pem — для поля «Цепочка сертификатов»

11. Переходим в раздел «WWW-домены», кликаем дважды на нужный домен и включаем галочку «SSL», выбираем созданный недавно сертификат и сохраняем изменения.

Для обновления сертификата необходимо:

1. Переходим в директорию со скриптом:

cd ~/private/dehydrated-master/

2. Заносим в окружение переменную DOMAIN:

export DOMAIN=»domain.tld»

где domain.tld, домен для которого мы будем генерировать сертификат

3. Генерируем сертификат:

./dehydrated -c -o $HOME/private/certs/ -d $DOMAIN  -d www.$DOMAIN

Обновляем сертификат в панели ISPmanager.
Обновление сертификата можно произвести не ранее, чем за 30 дней до окончания срока действия сертификата.

Как перевести работающий сайт на Вордпрессе на Https?

Не буду лить воду, есть конкретные действия, которые уже неоднократно применялись и они работают:

1. Делаем бэкап (резервное копирование) базы данных и своего сайта на всякий случай

2. Приобретаем или устанавливаем свой сертификат SSL

3. Редактируем 2е записи в админ.панели сайта — Настройки — Общие:

— Адрес WordPress (URL): http — https

— Адрес сайта (URL): http — https
После этого пройдёт сброс и перезаход в админ.панель.

4. Редактируем файл robots.txt — меняем запись «host» http на https

5.Редактируем .htaccess, если это потребуется. Необходимо сделать запрос на Ваш хостинг — у всех это по-разному.

6. Устанавливаем два плагина
1). WordPress Force HTTPS
2). Better Search Replace — меняем http на https. Можно и без него, но придется вручную.

7. Заходим в админ.панели в инструменты — плагин Better Search Replace, ставим в 1ю строку http, во 2ю https, выделяем все таблицы БД и делаем замену.

После этого, не забудьте сделать переезд сайта в Яндекс Вебмастере. Это может занять 1-2 недели с временной потерей трафика и ТИЦ, так что — не пугайтесь. Добавьте новый сайт, но теперь уже с hhtps, подтвердите на него права, перейдите на старый домен и нажмите «переезд сайта» в меню «Индексирование». Перед этим, еще раз напомню, что в файле robots.txt должна быть надпись hosts с https.

Есть, также, ещё один способ бесплатно на год установить SSL-сертификат, но он не для широких масс. Обращайтесь через контакты.

С наилучшими пожеланиями,
Евгений Литвиненко.

P.S. Подписывайтесь на рассылку и получайте самые новые статьи =>

Понравилась статья — поделитесь ею с друзьями, нажав на кнопку соц.сети ниже.

  Метки: , ,

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

ПОДПИШИТЕСЬ
НА НОВОСТИ

Ваше имя
Ваш email:

email рассылки СПАМ ЗАПРЕЩЁН

email рассылки


Регистрация в Stepium

error: Копирование запрещено!