Автор:
Chernetskiy
Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа:
ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО!
Злоумышленники могут пытаться похитить ваши данные с сайта
(например пароли, сообщения или номера банковских карт!)
Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте.
Инструкция по переезду на HTTPS
Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе.
PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже...
Далее, пошагово:
Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год.
Для начала никаких редиректов с http не настраиваем.
В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем.
Открываем файл robots.txt и прописываем директиву host с протоколом https
User-Agent: *
Disallow: /admin
...
Disallow: /ipotekaorder/
Host: https://you-site.ru
Sitemap: https://you-site.ru/sitemap.xml
Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки.
Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса).
Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить».
После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!).
Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации.
Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем).
Смотрим, чтобы в карте сайта .xml присутствовал только протокол https.
Добавляем карту в Вебмастер.Яндекса.
Добавляем все версии сайта в Google Search Console.
Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше).
Переносим все настройки (если такие имелись) с версии сайта http на https.
Инструмент изменения адресов не используем.
Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде).
В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их.
Совет: Если что-то не получается, стучимся к Диме