Как переехать на https

Наступил 2017 год и встревоженные владельцы сайтов на многих площадках в интернете спрашивают друг друга о необходимости переводить ресурсы на новый протокол https, который ещё называют защищённым. Источником этого волнения стала информация о том, что браузеры Mozilla и Google Chrome скоро начнут помечать некоторые сайты по обычному http соединению как небезопасные и выводить об этом уведомления. Но и это ещё не все проблемы! В поисковой выдаче выше станут ранжировать ресурсы, имеющие https протокол. В 2017 году Google будет расширять варианты предупреждений для пользователей при посещении сайтов по незащищённому соединению. Возможно, скоро в строке браузера, при указанной ситуации, может возникнуть красный треугольник.

Рис.1 Строка браузера с запросами по протоколам http и https.
В перспективе поисковик GOOGLE видит в будущем переход всех сайтов на безопасное соединение как неизбежный и необратимый процесс. Приоритет на позиции в верхней части поисковой выдачи будут иметь ресурсы, имеющие защищённые сертификаты безопасности. Всё это делается под видом заботы о надёжности хранения и трансляции личных данных пользователей.

Какая польза от https соединения вашему сайту?

Для понимания этого вопроса нужно знать что между браузером пользователя и сервером с файлами вашего сайта может существовать http соединение в тот момент, когда в строке браузера набрано доменное имя. Вся информация передаётся в открытом виде и легко может быть украдена ловкими проходимцами. По защищённому https соединению информация считывается в зашифрованном виде и украсть можно только тексты с непонятными символами. Хорошо ли это для пользователя? Логин, пароль и ящик почты узнать злоумышленнику будет невозможно. Поэтому для репутации вашего ресурса это только отлично. Перечислим некоторые плюсы перехода на https протокол:

• Безопасность хранения и трансляции данных приведут к росту доверия пользователей;
  
• Выполнение требований по установке сертификата даст возможность ресурсам выходить в верхнюю часть поисковой выдачи ранее других сайтов;
  
• Первые два условия помогут в росте числа посещений ресурса и получению финансовой отдачи от рекламы или иных действий.

Чтобы выполнить требования нужно составить определённую последовательность правильных шагов и придерживаться их.

Какой план действий надо предусмотреть для перехода на защищённое соединение?

Для точного выполнения всех шагов можно опереться на опыт других в этой сфере. Нужно выделить основные моменты переходного периода:

• подготовка сайта в виде изменения абсолютных ссылок на относительные в коде скриптов, картинок, видео;

Рис.2 Замена типов ссылок на ресурсе

• покупка и установка сертификатов на ваш сервер;
  
• дальнейшая настройка сайта с проверкой на ошибки.

Внешне все действительно просто. Нужно иметь в виду тот факт, что небольшие погрешности в дальнейшем могут привести к некорректной работе отдельных частей вашего сайта. Поэтому всё нужно делать неторопливо и тщательно. В дальнейшем вам придётся только ежегодно продлевать действие сертификата.
Уточнять подробнее о размещении ссылок, скорее всего, нет необходимости. А вот по теме приобретения сертификата вопросы возникают мгновенно. Где его покупать и как правильно установить на свой сервер? Предложений такого плана существует много и ошибаться не хочется.

Классификация сертификатов

Существует две группы этих документов по происхождению:

• само подписанные сертификаты (Self-Signed) создаются самостоятельно для себя;
  
• доверительные (Trusted) выдаются специализированными организациями в интернете.

В первой группе сертификат можно создать прямо на сервере. Владелец сайта заходит в свою учётную запись и создаёт его. В чём слабость этого момента? На рисунке 3 показан переход на сайт по протоколу https с само подписным сертификатом. В этом случае получается что владелец выдаёт его самостоятельно себе лично. При наборе в строке браузера имени домена выпадает окно с названием «ошибочный сертификат». В нём содержится фраза о невозможности провести проверку подлинности сервера из-за проблемы с документом. Если рассмотреть пример из обычной жизни то это как самому себе выдать права на вождение автомобилем. Далее, можно нажать на кнопку «показать сертификат». Мы получим информацию, указанную владельцем. Проверить её никто не сможет. Выпадет окно «сведения о сертификате». В нём указано что этот документ выдан доменом сайта самому себе и доверия к этому факту у браузера нет. Поэтому страница не отображается и увидеть содержимое мы не можем.

Рис.3 Попытка перехода в браузере на сайт с само подписным сертификатом.
В интернете сформировалась и укрепила своё влияние группа организаций, занимающихся продолжительное время выдачей особых документов. Среди таких компаний есть следующие: GlobalSign, Symantec, Comodo, RapidSSL и некоторые другие. Эти документы имеют определённый формат и хорошо известны разработчикам браузеров. Доверительные сертификаты стали нормой для представительств различных крупных компаний и банковских операций в интернете. Пришло время и для миллионов сайтов обычных предпринимателей принять в работу со своим ресурсом такой документ. Сертификаты этих компаний подразделяются по виду проверки на несколько уровней.

• Самый доступный и простой сертификат domain validated позволяет осуществлять проверку по домену и популярен у 90% владельцев сайтов, которые могут быть физическими лицами или предпринимателями;
  
• Компании обычно получают сертификат organization validated, который выдаётся после проверки принадлежности домена и наличия документов о регистрации компании или предпринимателя в базах данных государственных служб;

Рис.4 Сертификат organization validated

• Более дорогой вариант сертификата extended validation компании могут получить, когда есть потребность усилить значимость своего статуса в интернете путём выделения целой зелёной строки в браузере.

Рис.5 Сертификат extended validation
Ещё следует сказать о том, что если количество доменов более одного то нужно брать сертификат с опцией Wildcard. Такая потребность может возникнуть при использовании субдоменов и домена одной компанией или индивидуальным предпринимателем.

Покупка и установка сертификата

Процесс покупки прост и начинается с регистрации на сайте организации продающей сертификаты. Далее выбираем тип, например, domain validated и посылаем запрос на получение при помощи генератора CSR. Это текст в зашифрованном виде с информацией о владельце домена и открытый ключ, который надо сохранить. Производим оплату по удобной схеме. На почте домена появляется письмо, которое надо подтвердить переходом по ссылке. Через небольшое время скачиваем готовый выпущенный сертификат.

Рис.6 Таблица хода работ в учётной записи
На сервере находим нужный раздел, выбираем кнопку «создать» и выпадает окно «Новый SSL сертификат».

Рис.7 Заполнение полей в форме для сертификата на хостинге
Вводим открытый ключ, код сертификата и пароль. После нажатия на кнопку «Ок» файл документа появляется в списке.

Настройка сайта с проверкой на ошибки

Осталось сделать исправление в файле robots.txt для директивы Host где мы должны указать свой домен с защищённым протоколом. На рисунке 8 явно видно что главное зеркало нашего сайта имеет https.

Рис.8 Внесение изменения в файл robots.txt
Необходимо настроить 301 редирект. Для этого откроем в текстовом редакторе htaccess, напечатаем символы как на картинке 9, и сохраним его на сервере.

Рис.9 Настройка 301 редиректа
Теперь проверьте работу ссылок и то как сайт отображается в строке браузера. Найдите все ошибки и исправьте.