Защитите свой сайт с помощью HTTPS

Что такое HTTPS?

HTTPS (Hypertext Transport Protocol Secure) – это протокол, который обеспечивает безопасность и конфиденциальность при обмене информацией между сайтом и устройством пользователя. Посетители сайта рассчитывают, что указанные ими данные не попадут в руки мошенников. Чтобы защитить данные, которые оставляют посетители на вашем сайте, начните применять протокол HTTPS.

На веб-страницах, использующих HTTPS, применяется протокол TLS (Transport Layer Security ‒ безопасность на транспортном уровне), который предусматривает три основных уровня защиты:

1. Шифрование передаваемых данных во избежание их перехвата. Благодаря этому злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к их данным.

2. Сохранность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.

3. Аутентификация гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки посредника. Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для вашего бизнеса.

Рекомендации по использованию HTTPS

Используйте надежные сертификаты безопасности

Если вы решили использовать протокол HTTPS на своем сайте, вам нужно получить сертификат безопасности. Его выдает центр сертификации, который проверяет, действительно ли указанный веб-адрес принадлежит вашей организации. Таким образом обеспечивается защита посетителей от атак с перехватом. Чтобы обеспечить высокий уровень защиты, при настройке сертификата выберите 2048-битный ключ. Если вы уже используете сертификат с менее надежным ключом (1024-битным), замените его на 2048-битный. При выборе сертификата следуйте изложенным ниже рекомендациям.

• Получайте сертификат в надежном центре сертификации, который может предоставить техническую поддержку.

• Определите, какой тип сертификата предпочтителен для вашего сайта:

  • Одиночный сертификат для одного защищенного источника (например, www.example.com).

  • Многодоменный сертификат для нескольких известных защищенных источников (например, www.example.com, cdn.example.com, example.co.uk).

  • Сертификат-шаблон для защищенного источника с несколькими динамическими субдоменами. (например, a.example.com, b.example.com).

Используйте переадресацию 301 на стороне сервера

Перенаправляйте пользователей и поисковые системы на страницу с поддержкой HTTPS или ресурс с переадресацией 301 на стороне сервера для адресов HTTP.

Убедитесь, что страницы HTTPS можно сканировать и индексировать

• Не запрещайте посредством файлов robots.txt сканировать и индексировать страницы HTTPS.

• Не используйте на страницах HTTPS метатеги noindex.

• Чтобы проверить, может ли робот Googlebot обработать ваш сайт, воспользуйтесь инструментом Просмотреть как Googlebot.

Используйте технологию HSTS

На сайтах, использующих протокол HTTPS, рекомендуется применять технологию HSTS. В этом случае браузер будет запрашивать страницы HTTPS, даже если пользователь введет http в адресной строке, а Google будет отображать в результатах поиска только защищенные URL. Все это снижает вероятность показа пользователям незащищенного содержания.

Чтобы применять HSTS, используйте веб-сервер, поддерживающий эту технологию.

Технология HSTS усложняет процесс отката, поэтому ее включение следует выполнять следующим образом:

1. Выполните переход на HTTPS, не включая HSTS.

2. Активируйте отправку заголовков HSTS с минимальным значением директивы max-age. Отслеживайте объем трафика пользователей и других клиентов, а также эффективность зависимых объектов, например объявлений.

3. Постепенно увеличивайте значение директивы max-age в заголовках HSTS.

4. Если HSTS не затрудняет пользователям и поисковым системам просмотр веб-страниц, то сайт можно включить в список предварительной загрузки HSTS в браузере Google Chrome.

Используйте предварительную загрузку HSTS 

Чтобы повысить уровень безопасности страниц HTTPS, можно включить предварительную загрузку HSTS. Для этого в заголовок HSTS следует добавить директиву includeSubDomains. Например, если на сайте www.example.com используется заголовок HSTS с директивой includeSubdomains, то этот сайт будет соответствовать следующим доменам:

URL сайта www.example.com	includeSubDomains = true
www.example.com	Соответствует
foo.www.example.com	Соответствует
example.com	Не соответствует
foo.example.com	Не соответствует

Распространенные проблемы

Ниже перечислены некоторые проблемы, которые могут возникнуть при использовании защиты TLS, и способы их устранения.

Описание	Действие
Просроченные сертификаты.	Вовремя обновляйте сертификаты.
В сертификате неправильно указано название сайта.	Проверьте, на какое имя хоста зарегистрирован сертификат. Пример такого несоответствия: адрес вашего сайта example.com, а сертификат зарегистрирован на www.example.com.
Не поддерживается указание имени сервера (SNI, Server name indication).	Ваш веб-сервер должен поддерживать SNI. Также рекомендуйте посетителям использовать поддерживаемые браузеры. SNI поддерживают все современные браузеры. Для поддержки устаревших браузеров вам понадобится выделенный IP-адрес.
Проблемы сканирования.	Не блокируйте сканирование своего сайта HTTPS с помощью файла robots.txt.
Проблемы индексирования.	По возможности разрешите поисковым системам индексировать ваши страницы. Старайтесь не использовать метатег noindex.
Старые версии протоколов.	Старые версии протоколов уязвимы. Используйте последние версии библиотек TLS и протоколов.
Совмещение защищенных и незащищенных элементов.	Размещайте на страницах HTTPS только защищенное содержание.
Разное содержание на страницах HTTP и HTTPS.	Содержание на страницах HTTP и HTTPS должно быть идентичным.
Ошибки кода статуса HTTP на страницах с HTTPS.	Убедитесь, что ваш сайт возвращает правильный код статуса HTTP. Например, для доступных страниц используется код 200, а для несуществующих ‒ 404 или 410.

Дополнительные рекомендации

С другими рекомендациями по использованию страниц HTTPS на сайте можно ознакомиться здесь.

Переход с HTTP на HTTPS

Смена протокола сайта с HTTP на HTTPS считается переносом сайта с изменением URL. Это действие может временно повлиять на учет трафика. Подробнее...

Добавьте в Search Console адрес сайта, использующего протокол HTTPS. Помните о том, что Search Console расценивает страницы HTTP и HTTPS как разные, поэтому их данные не совпадают. Если на вашем сайте используются оба протокола, то в Search Console следует добавить два ресурса.

Дополнительная информация

Статьи о реализации TLS на вашем сайте (на английском языке):

• Рекомендации Qualys по использованию SSL и TLS

• Информация об SSL и TLS на сайте Mozilla

Процесс подготовки сайта индивидуален для каждого переноса, но, как правило, необходимо выполнить одно или несколько следующих действий:

Настройте новую систему управления контентом (CMS) и добавьте в нее содержание.

Перенесите изображения и файлы для загрузки (например, документы PDF), которые находятся на прежнем сайте. После этого их можно будет открыть из результатов поиска или по ссылкам, в результате чего пользователи и робот Google узнают о вашем новом сайте.

Для перехода на HTTPS получите и настройте необходимые сертификаты TLS на сервере.

Оставшаяся часть статьи посвящена конкретной задаче, которую рекомендуется выполнить при подготовке нового сайта.

Настройте файл robots.txt для нового сайта

Файл robots.txt для сайта определяет, какие области может сканировать робот Google. Убедитесь, что в файле robots.txt нового сайта правильно указаны области, которые не нужно сканировать.

Обратите внимание, что некоторые владельцы сайтов полностью блокируют сканирование сайта, находящегося в стадии разработки. Если вы хотите поступить так же, перед переносом сайта убедитесь, что файл robots.txt подготовлен должным образом. Кроме того, если в процессе разработки вы используете атрибут noindex, подготовьте список URL, из которых нужно удалить указания noindex перед переносом сайта. Подробнее об управлении сканированием и индексированием...

Создайте страницы ошибок для удаленного или объединенного содержания

Убедитесь, что URL, по которым находится содержание прежнего сайта, не перемещенное на новый сайт, предоставляют правильный код сообщения об ошибке HTTP 404 или 410. Вы можете указать код сообщения об ошибке по исходному URL в панели настройки нового сайта или создать переадресацию на новый целевой URL и возвращать по нему код ошибки HTTP.

Избегайте переадресации на нерелевантные страницы

Не переадресуйте большое количество прежних URL на одну нерелевантную страницу, например главную страницу нового сайта. Это может запутать пользователей и рассматриваться как программная ошибка 404. Однако если вы разместили содержание нескольких страниц на одной, прежние URL можно переадресовывать на нее.

Проверьте настройки Search Console

Успех переноса сайта зависит от правильности и актуальности настроек Search Console.

Проверьте все варианты прежнего и обновленного сайтов в Search Console, если вы ещё не сделали этого. Например, вы должны проверить страницы www.example.com и example.com, а также варианты исходного и целевого сайтов (HTTPS и HTTP), если вы используете протокол HTTPS.

Проверьте, подтвержден ли ваш сайт в Search Console

Убедитесь, что после переноса вы сохраните в Search Console свои права на сайт. Если вы подтверждали их другим способом, помните, что при изменении URL токены подтверждения могут отличаться.

Если вы использовали файл HTML, убедитесь, что в новой копии сайта размещена текущая версия этого файла.

Кроме того, если вы применяли метатег или код Google Analytics, проверьте, содержит ли их новая копия сайта в системе управления контентом.

Проверьте все настройки в Search Console

Если вы меняли настройки прежнего сайта в Search Console, убедитесь, что для нового выполнены аналогичные корректировки. Пример:

Параметры URL. Если вы изменили настройки сканирования или индексирования прежних URL, убедитесь, что они применяются и к новому сайту (если это необходимо).

Геотаргетинг. Он может быть явно задан у прежнего сайта, например с помощью домена, для которого доступен геотаргетинг, или национального домена верхнего уровня (.ru, .fr и т. д.). Если геотаргетинг нужно сохранить, примените настройки прежнего сайта к новому сайту. Однако URL иногда меняются в связи с появлением версий на разных языках, поэтому если вы не хотите, чтобы сайт был связан с определенной страной или регионом, выберите Нет в списке на странице настроек.

Скорость сканирования. Мы не рекомендуем ограничивать скорость сканирования исходного и целевого URL роботом Google в Search Console.  Это целесообразно только в том случае, если сканирование создает слишком высокую нагрузку на ваш сайт. Если ранее вы ограничивали скорость обработки веб-страниц, отключите эту настройку.  Мы используем алгоритмы, которые позволяют автоматически определить, что сайт был перемещен, и быстро предложить пользователям новые результаты поиска.

Отклоненные ссылки. Если ссылки на файл, загруженный на прежний сайт, отклонены, рекомендуется повторно загрузить его из аккаунта Search Console, который используется для нового сайта.

Устраните проблемы на недавно приобретенном домене

Если новый сайт будет располагаться на недавно приобретенном домене, убедитесь, что нет нерешенных проблем, оставшихся от предыдущего владельца. Проверьте следующие настройки:

Меры, принимаемые вручную – возможно, с нового домена раньше распространялся спам. Если сайты не соответствуют рекомендациям для веб-мастеров, мы можем применить к ним санкции, в том числе понизить их рейтинг или даже полностью удалить из результатов поиска Google. Откройте страницу "Меры, принятые вручную" в Search Console и посмотрите, упомянут ли на ней ваш сайт. Затем устраните все найденные проблемы, прежде чем запрашивать повторную проверку.

Удаленные URL. Проверьте, не оставил ли их предыдущий владелец. В первую очередь это относится к адресам на уровне сайта. Кроме того, перед отправкой запросов на удаление URL уточните, в каких случаях этого делать нельзя.

Используйте веб-аналитику

Во время переноса важно анализировать использование как прежнего, так и нового сайтов, для чего применяются средства веб-аналитики. Как правило, конфигурация с применением веб-аналитики подразумевает код JavaScript, встроенный в страницы. Параметры отслеживания различных сайтов варьируются в зависимости от средств аналитики и настроек журналирования, обработки и фильтрации. За помощью обратитесь к поставщику программы аналитики. Если вы решили изменить настройки аналитики, сделайте это сейчас. Если вы используете Google Analytics и хотите, чтобы в отчетах по содержанию информация была систематизирована, создайте профиль для нового сайта.

Важно сопоставить URL прежнего сайта с URL нового сайта. В этом разделе описываются общие подходы к анализу URL на двух сайтах и проведению сопоставления. Процедура варьируется в зависимости от инфраструктуры сайта и способа его переноса.