Web Sitesi HTTPS Geçişinde En Önemli 3 Adım

Yayınlanan: 2017-04-12

Son 5 yılda herhangi bir web sitesi çalışması yaptıysanız, HTTPS'yi duymuş olmanız neredeyse garantidir. HTTPS, web'i tüm kullanıcılar için daha güvenli hale getiren yeni gelecek vaat eden İnternet protokolüdür. HTTPS sitelerinin sayısı 2016'da ikiye katlandığından , aynı zamanda en hızlı büyüyen İnternet trendlerinden biridir .

Sitelerinde HTTPS uygulamak için birkaç müşteriyle çalıştık ve bu süreçte HTTPS geçişinin yaratabileceği birçok sorunu çözmeyi öğrendik. Sorunsuz bir HTTPS geçişi kılavuzumuz aşağıdadır, ancak önce bir genel bakış:

HTTPS nedir?

HTTPS'ye aşina olmayanlar için, sürece ilişkin temel bir genel bakış şu şekildedir: Web'de gezinirken, içerik bir “Köprü Metni Aktarım Protokolü” aracılığıyla iletilir. Bu, bir URL'nin ( http://www.example.com ) başında gördüğünüz "HTTP" önekidir ve sunucuların ve istemcilerin sizinle iletişim kurmasını ve internet içeriğini görüntülemesini sağlayan şeydir.

HTTPS, HTTP protokolünün daha güvenli bir sürümüdür. Sunucu/istemci iletişimine, parolalar ve kredi kartı bilgileri gibi hassas bilgilerin, sunucu ile kullanıcının bilgisayarı arasında seyahat ederken kötü niyetli kişiler tarafından çalınmamasını sağlayan bir SSL güvenlik sertifikası ekler. En önemlisi, sitenizin güvenli ve emniyetli olduğuna dair kullanıcılar için net bir gösterge ekler:

HTTPS Güvenli Site

Prensip olarak, HTTPS'ye geçiş, web sitenize bir SSL sertifikası eklemek kadar basittir. Uygulamada, bu sıkıcı ve yorucu bir süreç olabilir. Washington Post , 2015'teki 10 aylık göçlerini , karşılaştıkları çeşitli sorunları ve engelleri açıklayarak anlattı.

Bir siteye SSL sertifikası eklemek için önce bir sertifika almanız, ardından bunu sitenin tamamına uygulamanız ve daha sonra süresinin dolmamasını veya gelecekte sona ermemesini sağlamak için bu sertifikayı korumanız gerekir. Daha büyük siteler için, özellikle bir e-ticaret platformuna veya giriş portalına sahip olanlar için bu çok yorucu bir süreç olabilir. Ayrıca, Moz'un 3+ aydaki %11 organik düşüşü gibi, geçici ila kalıcı trafik ve anahtar kelime sıralamasında düşme riskiyle karşı karşıya kalırsınız .

HTTPS Taşımaları, anahtar kelime sıralamalarında düşüşlere neden olabilir

HTTPS'yi neden önemsiyorum?

Google, web sitelerinin 2014'ten beri HTTPS'yi benimsemesinin en güçlü savunucularından biri olmuştur ve bunun iyi bir nedeni vardır. Daha güvenli bir web'e sahip olmak, internet kullanıcılarının büyük çoğunluğu için günlük hayatı sonsuz derecede kolaylaştırır. Birinin kredi kartı bilgilerinizi çalabileceğini bilseydiniz, kaçınız Amazon'da alışveriş yapmaktan çekinirdi? Birinin gönderdiğiniz şeyi gözetleyebileceğini bilseydiniz, kaçınız e-posta kullanırdı? Web güvenliği bu gün ve çağda çok önemlidir, ancak uygulamayı kolaylaştıran düşüncelerle kendinizi yanıltmayın.

Neyse ki internet kullanıcıları için (belki de ne yazık ki web yöneticileri ve SEO'lar için), HTTPS burada kalacak. Google'dan John Mueller, bunun web yöneticilerinin yapması gereken bir hamle olduğunda ısrar ediyor:

@rchtjn Web sitesini kapatmak paradan da tasarruf sağlar.
— John ☆.o(≧▽≦)o.☆ (@JohnMu) 18 Aralık 2015

Daha yakın zamanda, Google'da Web Yöneticisi Eğilimleri Analisti Gary Ilyes, bu geçişi kolaylaştırmak için Google'ın 301 yönlendirmeleri için PageRank'i nasıl ölçtüğüne dair büyük bir değişikliği duyurdu:

30x yönlendirmeler artık PageRank'i kaybetmez.
— Gary Illyes ᕕ( ᐛ )ᕗ (@yöntem) 26 Temmuz 2016

Google, yönlendirmelerin daha önce olduğu gibi %80-90 yerine PageRank'in %100'ünü geçmesine izin vererek, bundan kaynaklanabilecek organik kayıp konusunda endişelenmeye gerek kalmadan daha fazla siteyi HTTPS'yi benimsemeye teşvik etmeyi umuyor.
Son olarak Google , Ocak 2017'den itibaren kredi kartı bilgilerini veya HTTPS kullanmayan şifreleri toplayan sitelerin Google Chrome'da "Güvenli Değil" olarak işaretleneceğini duyurdu:

Şifre ve Kredi Kartı sayfaları için HTTPS

HTTPS'yi uygulamak için birkaç istemciyle çalıştıktan sonra, bir HTTPS geçişinin 3 ana adımında nelerin yer aldığının bir listesini derledik:

Ön taşıma
Göç
Taşıma sonrası

Taşıma Öncesi

Yedekle, yedekle, yedekle. Bunu yeterince tekrar edemem. HTTPS geçişinizi başlatmadan önce sitenizi yedekleyin.

Bir HTTPS geçişi sırasında yanlış gidebileceğini bile düşünmediğiniz şeyler de dahil olmak üzere yanlış gidebilecek binlerce şey vardır. Medya kitaplığınızın bir yedeğini indirin. CSS ve JS dosyalarınızın yedeklerini kaydedin. Tüm site yapılandırmanızı yedeklerseniz, SSL'yi etkinleştirdikten sonra bir şeylerin ters gittiğini görürseniz, SSL sertifikanızı kolayca devre dışı bırakabilirsiniz.

Bir milyon yıl sonra tahmin edemeyeceğiniz ne kadar çok şeyin ters gidebileceğini tekrar söyleyemem. Sitenizi yedekleyin.

Göç

Kutsal Kase, asıl göçün kendisi. Tüm acı ve ıstırap hazırlığının karşılığını aldığı yer burasıdır .

Neyse ki web yöneticileri için HTTPS'ye geçmenin geleneksel bir SSL uygulamasından daha kolay birkaç yolu var. ClouldFlare ve Let's Encrypt , HTTPS geçişi için şiddetle tavsiye ettiğim daha küçük sitelerle kullandığımız iki hizmettir .
**NOT: Cloudflare yakın zamanda büyük bir güvenlik açığına maruz kaldı , bu nedenle Cloudflare SSL'yi hemen benimsemeye dikkat edin. Ancak sorun tamamen çözüldüğünde, bu bir kez daha geçerli bir hizmet olmalıdır.

Bunların her biri tamamen ücretsiz hizmetlerdir. Tam bir SSL uygulamasıyla ilgili çok fazla güçlük çekmeden aynı düzeyde SSL şifrelemesi ve güvenliği sağlarlar. Yukarıdaki bağlantılardan her bir hizmet hakkında daha fazla bilgi edinebilirsiniz, ancak Cloudflare'nin temel ilkesi, ücretsiz bir SSL sertifikası sağlamaları ve ardından sitenizin önbelleğe alınmış bir sürümünü tamamen güvenli bir şekilde arama yapanlara sunmalarıdır. Sunucunuz ve istemci arasındaki iletişim güvenli olmayacak, ancak site ziyaretçileri yine de güvenli bir siteye ulaşacaktır.

Cloudflare SSL Şifreleme Süreci

Let's Encrypt ise WPEngine gibi bir web sunucusu üzerinden otomatik olarak yapılandırılabilen ücretsiz bir SSL sertifikası sunuyor. Sertifika yetkilisi etki alanını doğruladıktan sonra, Let's Encrypt tüm siteye SSL sertifikası sağlar.

SSL Şifreleme İşlemini Şifreleyelim

Bu seçeneği kullanmamayı tercih ederseniz, en iyi tavsiye, sitenizde yayınlamadan önce her şeyi test etmektir. Hazırlama siteniz varsa, canlı sitenizi taşımadan önce buradaki her sayfada SSL uygulamasını test edin. Site haritalarınızdaki ve robots.txt dosyalarınızdaki bağlantılar, sitenizdeki bağlantılar, resimler, gönderim formları, her şey dahil her şeyi inceleyin.

Son olarak, sitenizin HTTP sürümüne işaret eden tüm bağlantıları almak için global bir yönlendirmeye sahip olduğunuzdan emin olun. CloudFlare ve Let's Encrypt (ve diğer birçok ortam) bu yönlendirmeyi otomatik olarak kuracaktır, ancak bunun geçişinize dahil edildiğinden emin olun. İstediğiniz son şey, geri bağlantılarınızdan elde ettiğiniz eşitliği kaybetmektir.

Aynı zamanda site içi bağlantılar için kullandığınız URL yapısını da gözden geçirin. Bağlantılarınız , göreli URL yolları (/stuff/) yerine tam bir URL yolu ( http://www.example.com/stuff/ ) kullanıyorsa, bu bağlantılar taşıma işleminizden sonra güncellenmeyebilir. Google'a bağlantı profilinizin kullanımdan kaldırılması için ihtiyaç duyduklarından daha fazla bahane vermeyin: bu özelliklerin her ikisini de tekrar kontrol edin.

Taşıma Sonrası

Taşıma işleminizin tamamlanmış olması, işinizin henüz bittiği anlamına gelmez. Bazen sonrası, gerçek göçün kendisi kadar zor olabilir.

Yapmak isteyeceğiniz ilk şey, sitenizdeki 3. taraf komut dosyalarını incelemektir. Yalnızca site genelinde tüm yazı tiplerinin kaybolduğunu keşfetmek için HTTPS geçişini tamamlayan bir müşterimiz vardı. Özel yazı tipleri, WordPress'teki varsayılan blok harflerle değiştirildi ve sitenin hantal ve hantal görünmesine neden oldu. Keşfettiğimiz sorun, yazı tiplerinin bir HTTPS dosyası olarak yazı tipi kitaplığını sağlamayan bir 3. taraf hizmetten içe aktarılmış olmasıydı. Dosyayı bir HTTPS protokolüne güncelleyebildiğimizde yazı tipleri normale döndü.

Bir geçiş üzerinde çalışan başka bir müşteri, site genelinde Pardot.com'dan içe aktarılan çok sayıda başvuru formuna sahipti. Sitedeki diğer kaynakların çoğunun doğru bir şekilde taşınmasına rağmen, bu gönderim formları taşınmadı ve daha önce tam abonelik formlarının bulunduğu yerlerde bir dizi boş girdi kutusu bıraktı. Daha önce olduğu gibi, abonelik formlarının varsayılan olarak HTTPS'ye taşınmadığı ortaya çıktı. Bağlantıları güncelledikten sonra, formlar kullanıma hazırdı.

HTTPS geçişinden sonra Pardot gönderim formları boş

Karşılaştığımız en yaygın sorunlar, güvenli olmayan görüntülerdir. Muhtemelen fark edeceğiniz ilk uyarılardan biri, aşağıdakine benzer bir hata mesajıdır:

HTTPS geçişinden sonra güvenli olmayan site

Genellikle bir site taşıma işlemi sırasında, siteye dahil edilen resimler güvenli olmayan URL adreslerine sahiptir. Sitenizi taşıdıktan sonra bile, harici sitelerden içe aktarılan resimler genellikle güvenli olmayan bir URL'ye sahiptir ve bu da Google Chrome'un kullanıcıları sitedeki içeriğin güvenliğinin ihlal edilmiş olabileceği konusunda uyarmasını ister.

Şu anda bazılarınız, "Fakat sitemdeki her görseli hangilerinin güvenli, hangilerinin güvenli olmadığını anlamak için nasıl kontrol edeceğim?" diyor. Şanslısın, bir çözümümüz var. Screaming Frog içinde, bir siteyi tararken, HTTP adresi olan resimleri aramak için özel bir çıkartma ayarlayabilirsiniz.

Çığlık atan Kurbağa Özel Çıkarma

Özel çıkarma, bir XPath türüne ayarlanmalı ve bir HTML öğesi ayıklanacak şekilde ayarlanmalıdır. Ardından, çıkarma kodu olarak aşağıdaki parçacığı kullanın:

 //img[içerir(@src,'http://')]

Tarama işleminiz tamamlandıktan sonra, "Çıkarma" sekmesinde, güvenli olmayan resimler içeren sayfaların tam bir listesi ve bu resimlerin kaynak kodu bulunur. Buradan URL'leri HTTPS adreslerine güncelleyebilirsiniz.

Sitedeki güvensiz HTTP resimlerinin listesi

Yapmak isteyeceğiniz ikinci şey, sitenizin HTTPS sürümünü Google Search Console'a eklemektir. Google'ın sitenizin artık güvenli olduğunu anlaması ve kullanıcılara gösterdiği sıralama sonuçlarını değiştirmesi biraz zaman alacaktır. Sitenizin HTTPS sürümünü Search Console'da ne kadar erken doğrularsanız, Google güvenli siteyi o kadar hızlı dizine eklemeye ve bunu arama sonuçlarında kullanıcılara sunmaya başlayabilir.

Google Arama Konsolunda HTTPS sitesini doğrulayın

Üçüncüsü, HTTPS'ye ek olarak, sunucunuzun genel İnternet protokolünün en son sürümü olan HTTP/2.0'ı kullandığından emin olmak istersiniz. Yukarıdan CloudFlare veya Let's Encrypt kullanıyorsanız, sunucunuz varsayılan olarak HTTP/2.0 uyumlu olmalıdır. Her ihtimale karşı, https://tools.keycdn.com/http2-test adresinde hızlı bir kontrol yapmaktan asla zarar gelmez .

Geçişinizden sonra atmak isteyeceğiniz son adım, organik trafiğinizi takip eden haftalar ve aylar boyunca sürekli olarak izlemektir. Rand Fishkin'in yukarıdaki bağlantıda belirttiği gibi, Moz, göçün ardından 3 ay boyunca arama trafiğinin %11'ini kaybetti ve diğer birçok site de benzer kayıplar bildirdi.

Bu trafiği hemen kurtarmak için birkaç seçeneğiniz olsa da, hangi arama sorgularının sıralamasında düştüğünüze veya hangi sayfaların organik trafikte düşüş gördüğüne dikkat etmek isteyeceksiniz. Bu sayfaların hızlı bir şekilde düzelmediğini varsayarsak, bu sitede daha derin bir sorununuz olduğunun işareti olabilir. Daha derin bir sorunsa organik trafiğiniz düştüğünde yapmanız gerekenler ile ilgili adımları takip edin .

Yine, HTTPS'ye geçiş, atmanız gereken bir adımdır. Google bu konuda giderek daha ısrarcı hale geliyor ve aynı zamanda site ziyaretçilerinize olumlu bir kullanıcı deneyimi sunmanın ayrılmaz bir parçası. Ne yazık ki, bunun önemli olması hızlı veya kolay olduğu anlamına gelmez. Yukarıdaki kılavuzumuzu takip edin ve bir HTTPS geçişinin en yaygın tuzaklarından ve tuzaklarından kaçınabilirsiniz. Faydaları buna değer.