Инструкция по переходу на HTTPS

[Chernetskiy 469]

Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа:

ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО!

Злоумышленники могут пытаться похитить ваши данные с сайта

(например пароли, сообщения или номера банковских карт!)

Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте.

Инструкция по переезду на HTTPS

Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе.

PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже...

Далее, пошагово:

1. Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год.  
2. Для начала никаких редиректов с http не настраиваем.
3. В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем.
4. Открываем файл robots.txt и прописываем директиву host с протоколом https 

   User-Agent: * 
   
   Disallow: /admin
   ...
   Disallow: /ipotekaorder/
   Host: https://you-site.ru
   
   Sitemap: https://you-site.ru/sitemap.xml

   Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки.

5. Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса).
6. Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить».
7. После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!).
8. Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации.
9. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем).
10. Смотрим, чтобы в карте сайта .xml присутствовал только протокол https.
11. Добавляем карту в Вебмастер.Яндекса.
12. Добавляем все версии сайта в Google Search Console.
13. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше).
14. Переносим все настройки (если такие имелись) с версии сайта http на https.
15. Инструмент изменения адресов не используем.
16. Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде).

В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их.

 

Совет: Если что-то не получается, стучимся к Диме  

[Chernetskiy 469]

Забыл добавить, что не лишним будет купить для своего домена выделенный ip-адрес, поскольку на том адресе который вам по умолчанию предоставляет хостинг-провайдер, как правило уже сидит сотня других доменов... Узнать это не сложно, например введите ip-адрес вашего домена здесь. Быстро узнать ip вашего сайта можно здесь.

[DoobBY 9]

Подскажите, в чём может быть проблема может быть, пропала карта =( Просто пустое место.

doob.by

sitemap - сам сгенерируется? 

[TopRaN 235]

11 минуту назад, DoobBY сказал:

Подскажите, в чём может быть проблема может быть, пропала карта =( Просто пустое место.

Зашел на ваш сайт - карта на месте http://joxi.ru/a2X3ZeBs1w7YKm

[DoobBY 9]

Только что, TopRaN сказал:

Зашел на ваш сайт - карта на месте http://joxi.ru/a2X3ZeBs1w7YKm

Основная работает, а в объектах не работает

[TopRaN 235]

Только что, DoobBY сказал:

Основная работает, а в объектах не работает

работает http://joxi.ru/1A5zx97InDZXbr

P.s. И больше не пишите свой вопрос не относящийся к названию в топике. Пользователям тяжело будет найти нужный ответ. Либо найдите соответствующую тему, либо создайте новую.

[Chernetskiy 469]

3 часа назад, DoobBY сказал:

Подскажите, в чём может быть проблема может быть, пропала карта =( Просто пустое место.

doob.by

sitemap - сам сгенерируется? 

Да. Если физический файл сайтмапа существует, его надо удалить. Он автоматически генерируется по запросу поисковика..

[Дмитрий Кондин 690]

В 13.12.2016 в 19:42, DoobBY сказал:

Подскажите, в чём может быть проблема может быть, пропала карта =( Просто пустое место.

doob.by

sitemap - сам сгенерируется? 

Вам еще нужно включить опцию работать через https в настройках, чтобы в сайтмапе урлы были с https.

И лучше всегда пробовать открыть сначала ваш_сайт/sitemap.xml для проверки.

[Chernetskiy 469]

Обратил внимание на доступность сайта по http и https после перехода на https. В первом случае браузер говорит, что всё ненадежно и т.п., бегите с этого сайта  . Прописал в .htaccess редирект только на https, для хостинга на reg.ru помогло это:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Но может помочь и этот вариант:

RewriteEngine On
RewriteCond %{HTTPS} =on 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L]

К стати, сейчас на сайте Comodo купить сертификат дешевле, чем у провайдера хостинга. У них Positive SSL Certificates стоит от 538 руб. и защищает домен сразу в вариантах с www и без www. Есть и бесплатные сертификаты на 90 дней - полноценные пробники для жадных.  И еще заглянул на 1Cloud, там еще дешевле - от 396 руб., а если на 3 года, то 990 руб., практически аналогичное предложение на fozzy, а чтобы покупка была еще дешевле, можно при покупке  ввести код #1psbonus и получить 10% скидки.

Если у вас на хостинге несколько доменов, которые требуется защитить, то подойдет Comodo PositiveSSL Multi-Domain сертификат, ценник - от 1936 руб в год, уже включено 2 домена, за доп.плату можно расширить до 248 доменов (количество выбирается при заказе).

И уж если пошел разговор про сертификаты и Comodo, то лучше сертификат заказывать одновременно в Comodo (или другом сервисе) и на своем хостинге, чтобы не возникло проблем с установкой (уже сталкивался, когда установился сертификат в старой системе шифрования SHA-1, а нужна SHA-2). 

Имейте ввиду, что при заказе сертификата потребуется указать почтовый ящик типа admin@ваш_сайт.ru или схожий вариант, привязанный к названию вашего сайта. Почтовые ящики типа @mail.ru и прочие не связанные с вашим сайтом не подойдут. Это надо для подтверждения владения доменом при выдаче сертификата.

Собственно к заказу сертификата:

Сначала заказываем сертификат на своем хостинге, до момента помещения заказа в корзину, собственно нужны коды (ключи) при заказе сертификата - код запроса и файлы private.key и request.csr, которые генерируются при заказе. Мы их копируем себе на комп. Больше этот заказ не нужен, если вы его разместили в корзину, можно его удалить.

После этого, на сайте Comodo заказываем свой сертификат и используем вышеуказанные данные (файлы). В качестве домена указываем название своего сайта без www и вторым доменом с www (если спросят), всё равно в цену включено. После оплаты получаем на почту письмо с подтверждением почтового ящика, в котором подтверждаем присланный код. За ним следом получаем письмо с комплектом из нескольких сертификатов - ваш сертификат, корневой сертификат и 2 промежуточных сертификата. Ключи и сертификаты оставьте хранить на будущее, вдруг придется сменить хостинг и переустановить сертификат.

Далее переходим в ЛК своего хостинга и добавляем сертификат на хостинг. Надо в форму загрузить из полученных свой сертификат, корневой и промежуточный. У меня подошел с названием COMODORSADomainValidationSecureServerCA , второй промежуточный не требуется и не подходит. Через чес-два ваш сертификат будет установлен, его можно будет увидеть на хостинге в разделе Сертификаты SSL и в настройках домена - запись (название сертификата) с указанием порта, например - 443, по которому происходит защищенный доступ на ваш сайт.

[TopRaN 235]

Чуть позже напишу решение для виндовых серваков.

[Chernetskiy 469]

7 минут назад, TopRaN сказал:

Чуть позже напишу решение для виндовых серваков.

А на них кто-то работает?

Тогда надо добавить в файл web.config на хостинге следующие строки, в зависимости от ситуации:

ВНИМАНИЕ! Это для серверов на Windows!

редирект для основного домена и всех поддоменов

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="Redirect to https" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

редирект только для основного домена, без поддоменов

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="Redirect to https" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                        <add input="{HTTP_HOST}" pattern="^domain\.ru" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" redirectType="Permanent" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

[Chernetskiy 469]

На заметку разработчикам. Может пригодится для последующих доработок CMS....

Перешел на https, установлен сертификат Comodo. Открываю главную сайта в Хроме, возле адреса сайта пишется, что сайт "Надежный". При клике на этот Надежный, под надписью "Защищенное соединение кликаем на "Подробнее" и видим что именно защищено - всё в порядке, далее переходим в Console и видим ошибки и предупреждения:

1. realty-centrum.com/:94 A Parser-blocking, cross-origin script, https://secure.comodo.com/trustlogo/javascript/trustlogo.js, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ (index):94
jquery.js:6 
2. Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.
send @ jquery.js:6
combine.xml?modules=5b5e.D4U414Y4X72734$76474_4.-a5H$Q-p-b5I46494W43429B449F9S7Z7,-k7-794Z8l37359E3…:1 
3. Uncaught TypeError: e.get(...).split is not a function
    at h._Yb (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:588709)
    at f._Pd (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:264275)
    at fire (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:263776)
    at p (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:162354)
util.js:211 
4. Google Maps API warning: NoApiKeys https://developers.google.com/maps/documentation/javascript/error-messages#no-api-keys
TA.j @ util.js:211
util.js:211 
5. Google Maps API warning: SensorNotRequired https://developers.google.com/maps/documentation/javascript/error-messages#sensor-not-required
TA.j @ util.js:211

1. Это эначок верификации Comodo - внизу футера, что-то лопочит про блокировку парсинга, не пойму о чем речь, в крайнем случае выкину его.

2. ?

3. Что с Яндекс картой не так?

4 и 5 - Про карту Гугл... Она у меня провсеместно отключена, может лишний код откуда еще выкинуть?

Что скажете?

................................................

И в продолжение... Админка - Обновление жалуется на смешанный контент - картинка "Загрузите на Google Play" для мобильного приложения имеет ссылку http:// а надо-бы https:// 

И там-же про Гугл-карту (при чем она здесь?)...

1. Mixed Content: The page at 'https://realty-centrum.com/admin/?action=sitebill' was loaded over HTTPS, but requested an insecure image 'http://www.sitebill.ru/storage/img/android.png'. This content should also be served over HTTPS.
js?key=AIzaSyDte5TtVXyoORU1BDSqVtnZjXHDt9afq20:34 
2. Google Maps API error: RefererNotAllowedMapError https://developers.google.com/maps/documentation/javascript/error-messages#referer-not-allowed-map-error
Your site URL to be authorized: https://realty-centrum.com/admin/?action=sitebill

 

[Chernetskiy 469]

На заметку разработчикам. Может пригодится для последующих доработок CMS....

Перешел на https, установлен сертификат Comodo. Открываю главную сайта в Хроме, возле адреса сайта пишется, что сайт "Надежный". При клике на этот Надежный, под надписью "Защищенное соединение кликаем на "Подробнее" и видим что именно защищено - всё в порядке, далее переходим в Console и видим ошибки и предупреждения:

1. realty-centrum.com/:94 A Parser-blocking, cross-origin script, https://secure.comodo.com/trustlogo/javascript/trustlogo.js, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ (index):94
jquery.js:6 
2. Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.
send @ jquery.js:6
combine.xml?modules=5b5e.D4U414Y4X72734$76474_4.-a5H$Q-p-b5I46494W43429B449F9S7Z7,-k7-794Z8l37359E3…:1 
3. Uncaught TypeError: e.get(...).split is not a function
    at h._Yb (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:588709)
    at f._Pd (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:264275)
    at fire (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:263776)
    at p (https://api-maps.yandex.ru/2.0.44/release/combine.xml?modules=5b5e.D4U414Y4…133d1$2r0w142P1r031.1g2p1I9x-m8k8d7Q-i6(&jsonp_prefix=ymaps2_0_44:1:162354)
util.js:211 
4. Google Maps API warning: NoApiKeys https://developers.google.com/maps/documentation/javascript/error-messages#no-api-keys
TA.j @ util.js:211
util.js:211 
5. Google Maps API warning: SensorNotRequired https://developers.google.com/maps/documentation/javascript/error-messages#sensor-not-required
TA.j @ util.js:211

1. Это эначок верификации Comodo - внизу футера, что-то лопочит про блокировку парсинга, не пойму о чем речь, в крайнем случае выкину его.

2. ?

3. Что с Яндекс картой не так?

4 и 5 - Про карту Гугл... Она у меня провсеместно отключена, может лишний код откуда еще выкинуть?

Что скажете?

................................................

И в продолжение... Админка - Обновление жалуется на смешанный контент - картинка "Загрузите на Google Play" для мобильного приложения имеет ссылку http:// а надо-бы https:// 

И там-же про Гугл-карту (при чем она здесь?)...

1. Mixed Content: The page at 'https://realty-centrum.com/admin/?action=sitebill' was loaded over HTTPS, but requested an insecure image 'http://www.sitebill.ru/storage/img/android.png'. This content should also be served over HTTPS.
js?key=AIzaSyDte5TtVXyoORU1BDSqVtnZjXHDt9afq20:34 
2. Google Maps API error: RefererNotAllowedMapError https://developers.google.com/maps/documentation/javascript/error-messages#referer-not-allowed-map-error
Your site URL to be authorized: https://realty-centrum.com/admin/?action=sitebill

 

[Дмитрий Кондин 690]

По фронту - видимо что-то у яндекс карт или гугл карт не все по https

По админке, поправим адрес картинки на https

[Helenblondi 29]

подскажите пожалуйста возможен ли переход сайта на https за исключением одной страницы?

[demon-82 3]

Активация аккаунта по email при регистрации. Сообщение пользователю приходит со ссылкой активации по http а не https - направьте где заменить.

Нашёл:   /apps/system/lib/system/user/

[Chernetskiy 469]

4 часа назад, demon-82 сказал:

Активация аккаунта по email при регистрации. Сообщение пользователю приходит со ссылкой активации по http а не https - направьте где заменить.

Нашёл:   /apps/system/lib/system/user/register_using_model.php

мдя... аж в 4-х местах. Разработчикам надо-бы додумать этот момент...

[Chernetskiy 469]

5 часов назад, Helenblondi сказал:

подскажите пожалуйста возможен ли переход сайта на https за исключением одной страницы?

Можно весь сайт держать на http а некоторые страницы на https, в обратную сторону не получится, если доступ к домену назначен через https.

[Chernetskiy 469]

В 15.01.2017 в 09:16, rumantic сказал:

По фронту - видимо что-то у яндекс карт или гугл карт не все по https

По админке, поправим адрес картинки на https

Сайт на https, вроде всё отображается правильно, на смешанный контент не жалуется, но консоль сообщает о предупреждениях и ошибках по карте:

Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.
send @ jquery.js:6

combine.xml?modules=4z5a.N4O4W4T4S707Y4673414847-k5N-g-B-l5O42444R4X4V9G409I907z7*-t77784j8h3$389L3…:1 Uncaught TypeError: e.get(...).split is not a function
    at h._Yb (https://api-maps.yandex.ru/2.0.45/release/combine.xml?modules=4z5a.N4O4W4T4…143c1$2o0w162P1r031(1h2r1I9C-v8g8b7q-w6j&jsonp_prefix=ymaps2_0_45:1:595308)
    at f._Bd (https://api-maps.yandex.ru/2.0.45/release/combine.xml?modules=4z5a.N4O4W4T4…143c1$2o0w162P1r031(1h2r1I9C-v8g8b7q-w6j&jsonp_prefix=ymaps2_0_45:1:264936)
    at fire (https://api-maps.yandex.ru/2.0.45/release/combine.xml?modules=4z5a.N4O4W4T4…143c1$2o0w162P1r031(1h2r1I9C-v8g8b7q-w6j&jsonp_prefix=ymaps2_0_45:1:264437)
    at p (https://api-maps.yandex.ru/2.0.45/release/combine.xml?modules=4z5a.N4O4W4T4…143c1$2o0w162P1r031(1h2r1I9C-v8g8b7q-w6j&jsonp_prefix=ymaps2_0_45:1:162472)

чё делать, или требует централизованной доработки?

[Дмитрий Кондин 690]

Самое простое это в htaccess настроить редирект на https, тогда старые ссылки на http будут уходить автоматом в https.

Ссылки в письмах будем править в новых версиях.

[Helenblondi 29]

В 08.12.2016 в 00:02, Chernetskiy сказал:

Поводом для статьи послужил привет от Гугла о том, что с 2017 года поисковик начнет отдавать приоритет сайтам, работающим через защищенный протокол https (соответственно имеющий сертификат безопасности), сайты не перешедшие на https будут понижены в поисковой выдаче а посетителю сайта, при его открытии в браузере будет показываться прискорбное сообщение типа:

ВАШЕ СОЕДИНЕНИЕ НЕ ЗАЩИЩЕНО!

Злоумышленники могут пытаться похитить ваши данные с сайта

(например пароли, сообщения или номера банковских карт!)

Всё это не на пользу сайту как в плане поисковой выдачи, так и в плане доверия посетителей к информации, размещенной на сайте.

Инструкция по переезду на HTTPS

Для начала следует купить и установить на хостинг сертификат безопасности, активировать при этом на хостинге протокол SSL (в настройках домена) и подключить сертификат к домену. Самоподписанный сертификат не подойдет, поскольку его безопасность никто не подтвердит. В нашем случае подойдет любой, самый дешевый сертификат безопасности, которые предлагает практически любой хостинг-провайдер в ассортименте. Цена сертификата варьируется от бесплатно на год при регистрации хостинга, например на reg.ru, или при отдельной покупке - от 1350 р. до 2700 р. в год. Установка происходит автоматически или ручками - по этому поводу у каждого хостинг провайдера есть понятный help, да и их поддержка сделает это быстро, по ваше просьбе.

PS: Можно приобрести сертификат и на стороне, причем дешевле, о чем несколькими постами ниже...

Далее, пошагово:

1. Смиряемся с тем, что на некоторое время сайт просядет в поисковой выдаче, но из двух зол выбираем меньшее. Сомневаюсь, что кому-то срочно понадобится купить апараменты в Новый год.  
2. Для начала никаких редиректов с http не настраиваем.
3. В Админке CMS переходим в Настройки-Общее и в позиции Работать через https (work_on_https) ставим 1 и сохраняем.
4. Открываем файл robots.txt и прописываем директиву host с протоколом https 

   
   User-Agent: * 
   
   Disallow: /admin
   ...
   Disallow: /ipotekaorder/
   Host: https://you-site.ru
   
   Sitemap: https://you-site.ru/sitemap.xml

   Внимание! директива Host: прописывается сразу под последней строкой, не должно быть между ними пустой строки.

5. Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса).
6. Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить».
7. После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели (до Нового года успеваем!).
8. Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации.
9. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными (про картинки тоже не забываем).
10. Смотрим, чтобы в карте сайта .xml присутствовал только протокол https.
11. Добавляем карту в Вебмастер.Яндекса.
12. Добавляем все версии сайта в Google Search Console.
13. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше).
14. Переносим все настройки (если такие имелись) с версии сайта http на https.
15. Инструмент изменения адресов не используем.
16. Сразу после переноса сайта стараемся обновить все входящие ссылки, в том числе: внешние ссылки, ссылки на профили - например в Google+, Facebook, Twitter, Vk и т.д. И не забываем обновить ссылки карт Гугл и т.п. с протокола http на https (ковыряемся в коде).

В результате танцев с бубном, при открытии любой страницы сайта, ссылка страницы в адресной строке браузера должна начинаться с https, а рядом со ссылкой располагаться зеленый замок и надпись Надежный (в Хроме). Если https перечеркнут - ищите недоработки, ваше соединение не защищено, возможно неправильно установлен сертификат (например со старым алгоритмом шифрования SHA-1, надо переустановить с SHA-2 или попросить поддержку сделать это). Если вместо замочка показывается восклицательный знак, значит передается смешанный контент - по протоколам https и http, обычно это старые ссылки, ссылки на переходах с картинок или пунктов меню (если ссылки прямые), загрузка картинок производится с сервера по старому адресу с http и т.п. При клике на восклицательный знак в ссылке обычно сообщается, какая ссылка не безопасна, переходим в админку или в нужные шаблоны и правим их.

 

Совет: Если что-то не получается, стучимся к Диме  

я прошлась по всем шаблонам в админке. не вижу ни одной ссылки которые надо менять. в том числе и на карты. подскажите пожалуйста в каких шаблонах что именно надо менять?

[Chernetskiy 469]

1 минуту назад, Helenblondi сказал:

я прошлась по всем шаблонам в админке. не вижу ни одной ссылки которые надо менять. в том числе и на карты. подскажите пожалуйста в каких шаблонах что именно надо менять?

Сам уже не помню, сейчас загляну к тебе...

[Helenblondi 29]

2 часа назад, rumantic сказал:

Самое простое это в htaccess настроить редирект на https, тогда старые ссылки на http будут уходить автоматом в https.

Ссылки в письмах будем править в новых версиях.

как  этот редирент настроить? подскажите пожалуйста. мто там надо дописать?

[Helenblondi 29]

Только что, Chernetskiy сказал:

Сам уже не помню, сейчас загляну к тебе...

да мне надо хотябы карты сейчас настроить. такой стрем. где хоть карты поменять?

[Chernetskiy 469]

Только что, Helenblondi сказал:

как  этот редирент настроить? подскажите пожалуйста. мто там надо дописать?

Уже настроили в .htaccess :)