3 najważniejsze kroki w migracji HTTPS strony internetowej

Opublikowany: 2017-04-12

Jeśli w ciągu ostatnich 5 lat wykonałeś jakąkolwiek pracę nad witryną internetową, jest prawie pewne, że słyszałeś o HTTPS. HTTPS to nowy, obiecujący protokół internetowy, dzięki któremu sieć jest bezpieczniejsza dla wszystkich użytkowników. Jest to również jeden z najszybciej rozwijających się trendów internetowych, ponieważ liczba witryn HTTPS podwoiła się w 2016 roku.

Współpracowaliśmy z kilkoma klientami nad wdrożeniem protokołu HTTPS w ich witrynach i w trakcie tego procesu nauczyliśmy się rozwiązywać wiele problemów, jakie może spowodować migracja HTTPS. Nasz przewodnik po bezproblemowej migracji HTTPS znajduje się poniżej, ale najpierw przegląd:

Co to jest HTTPS?

Dla każdego, kto nie jest zaznajomiony z protokołem HTTPS, oto podstawowy przegląd tego procesu: Podczas nawigowania w Internecie treść jest przekazywana za pośrednictwem „protokołu przesyłania hipertekstu”. Jest to prefiks „HTTP”, który widzisz na początku adresu URL ( http://www.example.com ) i umożliwia serwerom i klientom komunikację i wyświetlanie treści internetowych.

HTTPS to bezpieczniejsza wersja protokołu HTTP. Dodaje certyfikat bezpieczeństwa SSL do komunikacji serwer/klient, co zapewnia, że poufne informacje, takie jak hasła i informacje o karcie kredytowej, nie mogą zostać skradzione przez złośliwych użytkowników podczas podróży między serwerem a komputerem użytkownika. Co najważniejsze, dodaje jasny wskaźnik dla użytkowników, że Twoja witryna jest bezpieczna i bezpieczna:

Bezpieczna witryna HTTPS

Zasadniczo migracja do HTTPS jest tak prosta, jak dodanie certyfikatu SSL do swojej witryny. W praktyce może to być żmudny i wyczerpujący proces. The Washington Post opisał ich 10-miesięczną migrację w 2015 roku, wyjaśniając każdy z różnych napotkanych problemów i przeszkód.

Aby dodać certyfikat SSL do witryny, musisz najpierw uzyskać certyfikat, a następnie zastosować go w całej witrynie, a następnie utrzymywać go, aby upewnić się, że nie wygaśnie lub nie wygaśnie w przyszłości. W przypadku większych witryn, zwłaszcza tych z platformą e-commerce lub portalem logowania, może to być bardzo wyczerpujący proces. Co więcej, istnieje ryzyko tymczasowego lub trwałego spadku ruchu i rankingu słów kluczowych, takiego jak 11% organiczny spadek Moz w ciągu ponad 3 miesięcy.

Migracje HTTPS mogą powodować spadki w rankingach słów kluczowych

Dlaczego zależy mi na HTTPS?

Google jest jednym z najgorętszych zwolenników przyjęcia protokołu HTTPS w witrynach już od 2014 roku i nie bez powodu. Bezpieczniejsza sieć znacznie ułatwia codzienne życie ogromnej większości użytkowników Internetu. Ilu z was wahałoby się przed zakupami na Amazon, gdybyście wiedzieli, że ktoś może ukraść dane karty kredytowej? Ilu z was używałoby e-maili, gdybyście wiedzieli, że ktoś może podsłuchiwać to, co wysyłacie? Bezpieczeństwo sieci ma kluczowe znaczenie w dzisiejszych czasach, ale nie daj się zwieść myśleniu, że jest to łatwe do wdrożenia.

Na szczęście dla internautów (choć być może niestety dla webmasterów i SEO), HTTPS nie zniknie. John Mueller z Google upiera się, że jest to krok, którego muszą dokonać webmasterzy:

@rchtjn Cóż, wyłączenie strony internetowej również oszczędza pieniądze.
— John ☆.o(≧▽≦)o.☆ (@JohnMu) 18 grudnia 2015

Niedawno Gary Ilyes, webmaster Trends Analyst w Google, ogłosił poważną zmianę sposobu, w jaki Google mierzy PageRank dla przekierowań 301, aby ułatwić tę zmianę:

30-krotne przekierowania nie tracą już PageRank.
— Gary Illyes ᕕ( ᐛ )ᕗ (@metoda) 26 lipca 2016

Pozwalając przekierowaniom na przekazywanie 100% PageRank, zamiast 80-90%, jak wcześniej, Google ma nadzieję zachęcić coraz więcej witryn do przyjęcia HTTPS bez konieczności martwienia się o straty organiczne, które mogą z tego wynikać.
Wreszcie firma Google ogłosiła, że od stycznia 2017 r. wszelkie witryny gromadzące informacje o kartach kredytowych lub hasła, które NIE korzystają z protokołu HTTPS, będą oznaczone jako „Niezabezpieczone” w przeglądarce Google Chrome:

HTTPS dla stron z hasłami i kartami kredytowymi

Po współpracy z kilkoma klientami w celu wdrożenia protokołu HTTPS opracowaliśmy listę elementów, które są zaangażowane w 3 główne etapy migracji HTTPS:

Przed migracją
Migracja
Po migracji

Przed migracją

Kopia zapasowa, kopia zapasowa, kopia zapasowa. Nie mogę tego wystarczająco powtórzyć. Utwórz kopię zapasową witryny przed rozpoczęciem migracji HTTPS.

Istnieją tysiące rzeczy, które mogą pójść nie tak podczas migracji HTTPS, w tym rzeczy, o których nawet nie myślałeś, że mogą się nie udać. Pobierz kopię zapasową swojej biblioteki multimediów. Zapisz kopie zapasowe plików CSS i JS. Jeśli wykonasz kopię zapasową całej konfiguracji witryny, możesz łatwo wyłączyć certyfikat SSL, jeśli zauważysz, że po włączeniu SSL coś pójdzie nie tak.

Znowu nie mogę powtórzyć, ile rzeczy może się nie udać, których nie przewidzisz za milion lat. Utwórz kopię zapasową swojej witryny.

Migracja

Święty Graal, sama migracja. To tutaj wszystkie przygotowania do bólu i cierpienia się opłacają.

Na szczęście dla webmasterów istnieje kilka łatwiejszych sposobów migracji do HTTPS niż konwencjonalna implementacja SSL. ClouldFlare i Let's Encrypt to dwie usługi, z których korzystaliśmy z mniejszymi witrynami, które bardzo polecam do migracji HTTPS.
**UWAGA: Cloudflare niedawno wykryła poważną lukę w zabezpieczeniach , więc bądź ostrożny, aby od razu zastosować Cloudflare SSL. Jednak po całkowitym rozwiązaniu problemu powinna to być ponownie opłacalna usługa.

Każda z tych usług jest całkowicie bezpłatna. Zapewniają ten sam poziom szyfrowania i bezpieczeństwa SSL bez wielu kłopotów związanych z pełną implementacją SSL. Możesz przeczytać więcej o każdej usłudze na powyższych linkach, ale podstawową zasadą Cloudflare jest to, że zapewnią one certyfikat SSL za darmo, a następnie udostępnią wyszukiwarkom wersję witryny z pamięci podręcznej, która jest całkowicie bezpieczna. Komunikacja między Twoim serwerem a klientem nie będzie bezpieczna, ale odwiedzający witrynę nadal będą trafiać do bezpiecznej witryny.

Proces szyfrowania SSL Cloudflare

Z kolei Let's Encrypt oferuje bezpłatny certyfikat SSL, który można automatycznie skonfigurować za pośrednictwem serwera WWW, takiego jak WPEngine. Gdy urząd certyfikacji zweryfikuje domenę, Let's Encrypt dostarcza certyfikat SSL całej witrynie.

Szyfrujmy proces szyfrowania SSL

Jeśli zdecydujesz się nie korzystać z tej opcji, najlepszą rekomendacją jest przetestowanie wszystkiego przed opublikowaniem go w swojej witrynie. Jeśli masz witrynę testową, przetestuj implementację SSL na każdej znajdującej się tam stronie przed migracją działającej witryny. Przejrzyj wszystko, w tym linki w mapach witryn i plikach robots.txt, linki w witrynie, obrazy, formularze zgłoszeniowe i wszystko.

Na koniec upewnij się, że masz globalne przekierowanie, aby pobrać wszelkie linki wskazujące wersję HTTP Twojej witryny. CloudFlare i Let's Encrypt (i większość innych środowisk) automatycznie skonfigurują to przekierowanie, ale upewnij się, że jest to uwzględnione w przejściu. Ostatnią rzeczą, jakiej chcesz, jest utrata kapitału z linków zwrotnych.

Jednocześnie przejrzyj strukturę adresów URL, której używasz dla linków w witrynie. Jeśli Twoje linki używają pełnej ścieżki URL ( http://www.example.com/stuff/ ) zamiast względnych ścieżek URL (/stuff/), te linki mogą nie zostać zaktualizowane po migracji. Nie podawaj Google więcej wymówek niż potrzeba, aby wycofać swój profil linków: sprawdź ponownie obie te funkcje.

Po migracji

To, że migracja została zakończona, nie oznacza jeszcze końca Twojej pracy. Czasami następstwa mogą być tak samo trudne, jak sama migracja.

Pierwszą rzeczą, którą będziesz chciał zrobić, to przejrzeć skrypty innych firm w swojej witrynie. Mieliśmy jednego klienta, który zakończył migrację HTTPS tylko po to, by odkryć, że zniknął cały krój pisma w witrynie. Ich niestandardowe czcionki zostały zastąpione domyślnymi literami blokowymi w WordPressie, dzięki czemu witryna wygląda nieporęcznie i nieporęcznie. Odkryliśmy, że problem polegał na tym, że ich krój pisma został zaimportowany z usługi innej firmy, która nie udostępniała biblioteki czcionek w postaci pliku HTTPS. Gdy udało nam się zaktualizować plik do protokołu HTTPS, czcionki wróciły do normy.

Inny klient pracujący nad migracją miał wiele formularzy zgłoszeniowych w witrynie zaimportowanych z Pardot.com. Pomimo faktu, że większość innych zasobów w witrynie migrowała poprawnie, te formularze zgłoszeniowe nie, pozostawiając szereg pustych pól wejściowych w miejscach, w których wcześniej znajdowały się pełne formularze subskrypcji. Tak jak wcześniej okazało się, że formularze subskrypcji domyślnie nie migrowały do HTTPS. Po zaktualizowaniu linków formularze były gotowe.

Formularze Pardot są puste po migracji HTTPS

Najczęstsze problemy, jakie napotykamy, to niezabezpieczone obrazy. Jednym z pierwszych ostrzeżeń, które prawdopodobnie zauważysz, jest komunikat o błędzie podobny do poniższego:

Niebezpieczna witryna po migracji HTTPS

Często podczas migracji witryny obrazy zawarte w witrynie mają niezabezpieczone adresy URL. Nawet po migracji witryny obrazy zaimportowane z witryn zewnętrznych często mają niezabezpieczony adres URL, co powoduje, że przeglądarka Google Chrome ostrzega użytkowników, że zawartość witryny może zostać naruszona.

Niektórzy z was teraz mówią: „Ale jak mam sprawdzać każdy obraz w mojej witrynie, aby wiedzieć, które są bezpieczne, a które nie?” Na szczęście dla Ciebie mamy rozwiązanie. W Screaming Frog podczas indeksowania witryny możesz ustawić niestandardową ekstrakcję, aby wyszukiwać obrazy z adresem HTTP.

Niestandardowa ekstrakcja Screaming Frog

Wyodrębnianie niestandardowe musi być ustawione na typ XPath i ustawione na wyodrębnianie elementu HTML. Następnie użyj następującego fragmentu kodu jako kodu wyodrębniania:

 //img[zawiera(@src,'http://')]

Po zakończeniu indeksowania na karcie „Wyodrębnianie” pojawi się cała lista stron z niezabezpieczonymi obrazami oraz kod źródłowy tych obrazów. Stamtąd możesz zaktualizować adresy URL do adresów HTTPS.

Lista niezabezpieczonych obrazów HTTP w witrynie

Drugą rzeczą, którą będziesz chciał zrobić, to dodać wersję HTTPS swojej witryny do Google Search Console. Google potrzebuje trochę czasu, aby rozpoznać, że Twoja witryna jest teraz bezpieczna, i przełączyć wyniki rankingu, które wyświetla użytkownikom. Im szybciej zweryfikujesz wersję HTTPS swojej witryny w Search Console, tym szybciej Google może zacząć indeksować bezpieczną witrynę i wyświetlać ją użytkownikom w wynikach wyszukiwania.

Zweryfikuj witrynę HTTPS w Google Search Console

Po trzecie, oprócz HTTPS, chcesz się upewnić, że twój serwer używa HTTP/2.0, najnowszej wersji ogólnego protokołu internetowego. Jeśli używasz CloudFlare lub Let's Encrypt z góry, Twój serwer powinien być domyślnie kompatybilny z HTTP/2.0. Na wszelki wypadek nie zaszkodzi przeprowadzić szybkie sprawdzenie na https://tools.keycdn.com/http2-test .

Ostatnim krokiem, jaki będziesz chciał wykonać po migracji, jest ciągłe monitorowanie ruchu organicznego przez kolejne tygodnie i miesiące. Jak zauważył Rand Fishkin w powyższym linku, Moz stracił 11% ruchu w wyszukiwarce w ciągu 3 miesięcy po migracji, a wiele innych witryn zgłosiło podobne straty.

Chociaż możesz mieć kilka opcji natychmiastowego odzyskania tego ruchu, warto zwrócić uwagę na to, dla jakich wyszukiwanych haseł spadłeś w rankingu lub które strony odnotowują spadek ruchu organicznego. Zakładając, że te strony nie zostaną szybko przywrócone, może to oznaczać, że masz głębszy problem z witryną. Jeśli jest to głębszy problem, postępuj zgodnie z instrukcjami, co zrobić, gdy Twój ruch organiczny spadnie .

Ponownie, migracja do HTTPS to krok, który musisz wykonać. Google coraz bardziej nalega na to, a jest to również integralna część zapewniania pozytywnych wrażeń użytkownikom odwiedzającym Twoją witrynę. Niestety tylko dlatego, że jest to ważne, nie oznacza to, że jest to szybkie ani łatwe. Postępuj zgodnie z naszym przewodnikiem powyżej, aby uniknąć najczęstszych pułapek i pułapek związanych z migracją HTTPS. Korzyści są tego warte.