As 3 etapas mais importantes em uma migração HTTPS de site

Publicados: 2017-04-12

Se você trabalhou em algum site nos últimos 5 anos, é quase certo que já ouviu falar em HTTPS. HTTPS é o novo protocolo promissor da Internet, tornando a web mais segura para todos os usuários. É também uma das tendências de crescimento mais rápido da Internet, já que o número de sites HTTPS dobrou em 2016.

Trabalhamos com vários clientes para implementar HTTPS em seus sites e, no processo, aprendemos a resolver muitos dos problemas que uma migração HTTPS pode criar. Nosso guia para uma migração HTTPS perfeita está abaixo, mas primeiro, uma visão geral:

O que é HTTPS?

Para quem não está familiarizado com HTTPS, aqui está uma visão geral básica do processo: Ao navegar na web, o conteúdo é comunicado por meio de um “protocolo de transferência de hipertexto”. Este é o prefixo “HTTP” que você vê no início de um URL ( http://www.example.com ) e é o que permite que servidores e clientes se comuniquem e exibam conteúdo da Internet para você.

HTTPS é uma versão mais segura do protocolo HTTP. Ele adiciona um certificado de segurança SSL à comunicação servidor / cliente, o que garante que informações confidenciais, como senhas e informações de cartão de crédito, não sejam roubadas por lurkers mal-intencionados durante a viagem entre o servidor e o computador do usuário. Mais importante ainda, ele adiciona um indicador claro para os usuários de que seu site é seguro e protegido:

Site seguro HTTPS

Em princípio, migrar para HTTPS é tão simples quanto adicionar um certificado SSL ao seu site. Na prática, isso pode ser um processo tedioso e exaustivo. O Washington Post descreveu sua migração de 10 meses em 2015, explicando cada um dos vários problemas e obstáculos que encontraram.

Para adicionar um certificado SSL a um site, você precisa primeiro obter um certificado, aplicá-lo em todo o site e mantê-lo para garantir que não expire ou prescreva no futuro. Para sites maiores, especialmente aqueles com uma plataforma de comércio eletrônico ou portal de login, esse pode ser um processo muito exaustivo. Além disso, você corre o risco de um tráfego temporário para permanente e uma queda na classificação de palavras-chave, como a queda orgânica de 11% do Moz em mais de 3 meses.

Migrações de HTTPS podem causar quedas nas classificações de palavras-chave

Por que me preocupo com HTTPS?

O Google tem sido um dos maiores defensores da adoção de HTTPS pelos sites desde o início de 2014 , e por um bom motivo. Ter uma web mais segura torna a vida cotidiana infinitamente mais fácil para a grande maioria dos usuários da Internet. Quantos de vocês hesitariam em comprar na Amazon se soubessem que alguém poderia roubar as informações do seu cartão de crédito? Quantos de vocês usariam e-mail se soubessem que alguém poderia espionar o que você está enviando? A segurança da Web é crucial nos dias de hoje, mas não se engane pensando que isso a torna mais fácil de implementar.

Felizmente para os usuários da Internet (embora talvez infelizmente para webmasters e SEOs), o HTTPS está aqui para ficar. John Mueller, do Google, insiste que esta é uma jogada que os webmasters precisam fazer:

@rchtjn Bem, desligar o site também economiza dinheiro.
- John ☆ .o (≧ ▽ ≦) o. ☆ (@JohnMu) 18 de dezembro de 2015

Mais recentemente, Gary Ilyes, Analista de Tendências para webmasters do Google, anunciou uma grande mudança na forma como o Google mede o PageRank para redirecionamentos 301 para ajudar a facilitar essa transição:

Redirecionamentos 30x não perdem mais o PageRank.
- Gary Illyes ᕕ (ᐛ) ᕗ (@methode) 26 de julho de 2016

Ao permitir que os redirecionamentos passem por 100% do PageRank, em vez de 80-90% como antes, o Google espera incentivar cada vez mais sites a adotarem HTTPS sem precisar se preocupar tanto com a perda orgânica que pode advir disso.
Por fim, o Google anunciou que, a partir de janeiro de 2017, todos os sites que coletam informações de cartão de crédito ou senhas que NÃO usam HTTPS serão marcados como “Não seguro” no Google Chrome:

HTTPS para páginas de senha e cartão de crédito

Depois de trabalhar com vários clientes para implementar HTTPS, compilamos uma lista do que está envolvido nas três etapas principais de uma migração HTTPS:

Pré-migração
Migração
Pós-migração

Pré-migração

Backup, backup, backup. Não posso repetir isso o suficiente. Faça backup do seu site antes de iniciar a migração HTTPS.

Existem milhares de coisas que podem dar errado durante uma migração HTTPS, incluindo coisas que você nem mesmo pensava que poderiam dar errado. Baixe um backup de sua biblioteca de mídia. Salve backups de seus arquivos CSS e JS. Se você fizer backup de toda a configuração do site, poderá desabilitar facilmente o certificado SSL se perceber que algo deu errado depois de habilitar o SSL.

Novamente, não posso reiterar quantas coisas podem dar errado que você não antecipará em um milhão de anos. Faça backup do seu site.

Migração

O Santo Graal, a própria migração em si. É aqui que toda a preparação para a dor e o sofrimento compensa.

Felizmente para os webmasters, existem várias maneiras mais fáceis de migrar para HTTPS do que uma implementação SSL convencional. ClouldFlare e Let's Encrypt são dois serviços que usamos com sites menores que eu recomendo para uma migração HTTPS.
** NOTA: O Cloudflare recentemente teve uma grande vulnerabilidade de segurança exposta , então tome cuidado ao adotar o SSL do Cloudflare imediatamente. Assim que o problema for totalmente resolvido, no entanto, este deve ser um serviço viável mais uma vez.

Cada um desses serviços são totalmente gratuitos. Eles fornecem o mesmo nível de criptografia SSL e segurança sem muitos problemas envolvidos com uma implementação SSL completa. Você pode ler mais sobre cada serviço nos links acima, mas o princípio básico do Cloudflare é que eles fornecerão um certificado SSL gratuitamente e, em seguida, fornecerão uma versão em cache do seu site para os pesquisadores que são completamente seguros. A comunicação entre o seu servidor e o cliente não será segura, mas os visitantes do site ainda chegarão a um site seguro.

Processo de criptografia SSL Cloudflare

Por outro lado, Let's Encrypt oferece um certificado SSL gratuito que pode ser configurado automaticamente por meio de um servidor web como o WPEngine. Depois que a autoridade de certificação valida o domínio, Let's Encrypt fornece o certificado SSL para todo o site.

Vamos criptografar o processo de criptografia SSL

Se você optar por não usar essa opção, a melhor recomendação é testar tudo antes de colocá-lo no ar em seu site. Se você tiver um site de teste, teste a implementação SSL em cada página antes de migrar seu site ativo. Revise tudo, incluindo os links em seus mapas de site e arquivos robots.txt, links em seu site, imagens, formulários de inscrição, tudo.

Por fim, certifique-se de ter um redirecionamento global para obter todos os links que apontam para a versão HTTP do seu site. CloudFlare e Let's Encrypt (e a maioria dos outros ambientes) irão configurar automaticamente esse redirecionamento, mas certifique-se de que isso esteja incluído em sua transição. A última coisa que você quer é perder o patrimônio de seus backlinks.

Ao mesmo tempo, revise a estrutura de URL que você usa para links no site. Se seus links usam um caminho de URL completo ( http://www.example.com/stuff/ ) em vez de caminhos de URL relativos (/ stuff /), esses links podem não ser atualizados após a sua migração. Não dê ao Google mais desculpas do que o necessário para suspender o uso de seu perfil de link: verifique novamente esses dois recursos.

Pós-migração

Só porque sua migração foi concluída, não significa que seu trabalho ainda não acabou. Às vezes, as consequências podem ser tão difíceis quanto a própria migração.

A primeira coisa que você vai querer fazer é revisar os scripts de terceiros em seu site. Tivemos um cliente que concluiu uma migração HTTPS apenas para descobrir que todo o seu tipo de letra no site desapareceu. Suas fontes personalizadas foram substituídas pelas letras maiúsculas padrão no WordPress, tornando o site desajeitado e pesado. O problema, descobrimos, era que a fonte foi importada de um serviço de terceiros que não fornecia a biblioteca de fontes como um arquivo HTTPS. Assim que pudemos atualizar o arquivo para um protocolo HTTPS, as fontes voltaram ao normal.

Outro cliente que estava trabalhando em uma migração tinha vários formulários de envio no site importados do Pardot.com. Apesar de a maioria dos outros recursos do site terem migrado corretamente, esses formulários de envio não migraram, deixando uma série de caixas de entrada em branco onde antes havia formulários de inscrição completos. Como antes, descobriu-se que os formulários de inscrição não migraram para HTTPS por padrão. Depois de atualizar os links, os formulários estavam prontos para uso.

Formulários de envio Pardot em branco após a migração HTTPS

Os problemas mais comuns que encontramos são imagens inseguras. Um dos primeiros avisos que você provavelmente notará é uma mensagem de erro como esta abaixo:

Site inseguro após migração HTTPS

Freqüentemente, durante a migração de um site, as imagens incluídas no site têm endereços de URL inseguros. Mesmo depois de migrar seu site, as imagens importadas de sites externos geralmente ainda têm um URL inseguro, o que faz com que o Google Chrome avise os usuários de que o conteúdo do site pode estar comprometido.

Alguns de vocês estão dizendo: “Mas como vou verificar todas as imagens do meu site para saber quais são seguras e quais não são?” Para sua sorte, temos uma solução. No Screaming Frog, ao rastrear um site, você pode definir uma extração personalizada para pesquisar imagens com um endereço HTTP.

Extração personalizada do Screaming Frog

A extração customizada deve ser configurada para um tipo XPath e configurada para extrair um elemento HTML. Em seguida, use o seguinte snippet como código de extração:

 // img [contém (@ src, 'http: //')]

Depois que o rastreamento for concluído, a guia “Extração” terá uma lista inteira de páginas com imagens inseguras e o código-fonte dessas imagens. A partir daí, você pode atualizar os URLs para endereços HTTPS.

Lista de imagens HTTP inseguras no site

A segunda coisa que você vai querer fazer é adicionar a versão HTTPS do seu site ao Google Search Console. O Google levará algum tempo para reconhecer que seu site agora está seguro e para mudar os resultados da classificação que exibe aos usuários. Quanto antes você verificar a versão HTTPS do seu site no Search Console, mais rápido o Google poderá começar a indexar o site seguro e veiculá-lo aos usuários nos resultados da pesquisa.

Verifique o site HTTPS no Google Search Console

Terceiro, além de HTTPS, você deseja garantir que seu servidor esteja usando HTTP / 2.0, a versão mais recente do protocolo geral da Internet. Se você usar CloudFlare ou Let's Encrypt acima, seu servidor deve ser compatível com HTTP / 2.0 por padrão. Por precaução, nunca é demais executar uma verificação rápida em https://tools.keycdn.com/http2-test .

A etapa final que você deseja realizar após a migração é monitorar constantemente seu tráfego orgânico nas semanas e meses seguintes. Como Rand Fishkin observou no link acima, o Moz perdeu 11% de seu tráfego de pesquisa durante os 3 meses após sua migração, e muitos outros sites relataram perdas semelhantes.

Embora você possa ter poucas opções para recuperar esse tráfego imediatamente, convém prestar atenção a quais consultas de pesquisa você caiu na classificação ou quais páginas tiveram uma queda no tráfego orgânico. Supondo que essas páginas não se recuperem rapidamente, isso pode ser um sinal de que você tem um problema mais profundo no site. Se for um problema mais profundo, siga as etapas sobre o que fazer quando o tráfego orgânico cair .

Novamente, a migração para HTTPS é uma etapa que você deve realizar. O Google está se tornando cada vez mais insistente nisso e também é parte integrante da entrega de uma experiência positiva do usuário aos visitantes do seu site. Infelizmente, só porque isso é importante não significa que seja rápido ou fácil. Siga nosso guia acima e você pode evitar as armadilhas e armadilhas mais comuns de uma migração HTTPS. Os benefícios valem a pena.