O sprawach bezpieczeństwa w sieci z miesiąca na miesiąc mówi się coraz więcej. Wiele portali technologicznych często informuje o dziurach w systemach oraz schematach ataków, a największe firmy na rynku ostrzegają swoich klientów przed próbami oszustwa.
Do ochrony użytkowników poważnie podchodzą również Google – promując strony z certyfikatem SSL, a także producenci przeglądarek – oznaczając portale z protokołem HTTP jako niebezpieczne.
Czym jest certyfikat SSL?
HTTPS jest metodą szyfrowania, zabezpieczającą połączenie pomiędzy przeglądarką klientów, a Twoim serwerem, na którym znajduje się strona. Jeśli dana domena posiada certyfikat SSL i rozpoczyna się od przedrostka https:// to w oknie przeglądarki pojawi się ikona kłódki – informująca użytkowników o bezpiecznym korzystaniu z witryny.
Dlaczego warto uruchomić SSL?
Podczas korzystania ze stron internetowych w przypadku np. rejestracji i logowania, zakupów czy wypełniania formularzy, przesyłamy swoje dane. Na Tobie, jako właścicielu strony, ciąży obowiązek zabezpieczenia tych danych. Oprócz podstawowej zalety – szyfrowania przesyłanych informacji, certyfikat SSL posiada również inne plusy.
- Większe zaufanie użytkowników – obecnie przeglądarki jasno informują odwiedzających stronę czy ta posiada certyfikat SSL, jeśli nim nie dysponujemy to klient ujrzy komunikat strona niebezpieczna, co często powoduje jej natychmiastowe opuszczenie w obawie o swoje bezpieczeństwo.
- Wpływ na pozycjonowanie – witryny z SSL są premiowane przez Google podczas ustalania pozycji witryny w wyszukiwarce.
- Dane klientów są bezpieczniejsze – przesłane informacje są odpowiednio szyfrowane co utrudnia ich przechwycenie, dodatkowo większość firm oferujących certyfikat SSL gwarantuje pokrycie strat użytkownika do ustalonej kwoty w razie kradzieży danych.
- Wyższa konwersja i CTR – użytkownicy częściej wybierają linki rozpoczynające się od HTTPS, a także chętniej pozostawiają swoje dane na stronie podczas zamówienia czy zapisania się do newslettera.
Jak zainstalować SSL i przejść z HTTP na HTTPS?
W obecnej chwili większość dostawców hostingu oferuje również certyfikat SSL, często nawet w cenie pakietu lub za darmo, na przykład na pierwszy rok. Dzięki coraz większej popularyzacji protokołu https:// możemy go bezproblemowo uruchomić kilkoma kliknięciami w panelu klienta u naszego hostingodawcy. Na stronach dostawców hostingu zazwyczaj znajdują się także dokładne instrukcje włączenia certyfikatu.
Co sprawdzić po wdrożeniu SSL? SEO Checklist
Zakończenie pracy na samym zakupie SSL i jego uruchomieniu może przynieść więcej minusów niż plusów w przypadku pozycjonowania strony. Po wdrożeniu certyfikatu należy wprowadzić również odpowiednie poprawki na stronie.
1. Weryfikacja uruchomienia certyfikatu SSL
Pierwszym krokiem powinno być sprawdzenie poprawności wdrożenia certyfikatu i analiza ewentualnych błędów. Przy jego błędnym wprowadzeniu możemy spotkać się z zawartością mieszaną (mixed content). Staje się tak, gdy strona HTTPS część swoich zasobów pobiera poprzez nieszyfrowane połączenie HTTP. Poprawność działania SSL sprawdzisz dzięki narzędziu SSL Checker.
2. Przekierowania 301 z http:// na https://
Po wprowadzeniu certyfikatu SSL zmienia się struktura adresu URL. Dotychczas wszystkie strony znajdowały się pod http://www.nazwadomeny.pl, natomiast obecnie będzie to wyglądać następująco: https://www.nazwadomeny.pl. Takie adresy są traktowane jako dwie różne strony, dlatego niezbędne będzie ustawienie bezpośrednich przekierowań na wersję z protokołem HTTPS.
Zrobisz to za pomocą pliku .htaccess umieszczając w nim poniższy kod:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Po umieszczeniu kodu sprawdź poprawność zmian, zrobisz to na stronie httpstatus.io. Tylko jedna domena powinna zwracać kod 200, a kolejne kierować ruch na wybraną domenę. Przekierowanie musi być bezpośrednie, czyli nie może tworzyć łańcucha przekierowań.
Jeśli wybierzesz na adres swojej strony https://www.nazwadomeny.pl, to pozostałe:
- https://nazwadomeny.pl
- http://www.nazwadomeny.pl
- http://nazwadomeny.pl
powinny kierować na docelowy adres. Nie możemy dopuścić do sytuacji przenoszenia http://nazwadomeny.pl na https://nazwadomeny.pl, a dopiero w kolejnym przekierowaniu na https://www.nazwadomeny.pl. Taka sytuacja spowalnia działanie strony.
Poprawnie wykonane przekierowania z HTTP na HTTPS:
3. Canonical tag
Jeśli na podstronach wdrożony jest canonical tag należy go zmodyfikować na poprawny adres zawierający protokół HTTPS.
4. Linkowanie wewnętrzne
Linki wewnątrz strony, pomagające w nawigacji po witrynie użytkownikom oraz robotom powinny być tworzone jako adresy względne (/adres-podstrony). Jeśli z jakiegoś powodu korzystałeś z adresów bezwzględnych musisz je zaktualizować – najlepiej używając już adresów względnych. Pamiętaj także o pozostałych zasobach takich jak skrypty, zdjęcia czy filmy. Brak zmiany linkowania wewnętrznego spowoduje niepotrzebne przekierowania, co doprowadzi do obniżenia mocy linków oraz utraty posiadanego przez boty Googla – crawl budgetu.
5. Linki przychodzące
Niezbędne będzie również sprawdzenie linków prowadzących do naszej strony. Oczywiście wszystkich z nich nie uda nam się zmienić, jednak te, do których masz dostęp to m.in. social media, serwisy partnerskie czy inne własne strony.
6. Mapa strony
Kolejnym miejscem, w którym należy zmienić adresy jest mapa strony w XML. Wszystkie adresy muszą być utworzone w wersji z HTTPS.
7. Narzędzia od Google
Zaktualizowanie domeny jest niezbędne także w narzędziach Google, czyli Google Seach Console oraz Google Analytics. W GSC adres rozpoczynający się od https:// musimy dodać jako nową stronę. Przez pewien okres w raportach będą funkcjonowały obie wersje witryny, aż do czasu pełnego zaindeksowania podstron zabezpieczonych przez SSL.
W GA wystarczy zmiana domyślnego URL w ustawieniach usługi.
8. Czas ładowania strony
Po włączeniu certyfikatu SSL warto sprawdzić również czas ładowania strony. Jego wydłużenie może być praktycznie jedynym minusem wdrożenia nowego szyfrowania. Jeśli zauważysz znaczącą różnicę, niezbędne będzie zoptymalizowanie witryny.
Po wprowadzeniu wszystkich punktów z powyższej listy, przez najbliższe dni monitoruj także postęp indeksowania się podstron oraz ruch pod nowym adresem, a także stale kontroluj ważność certyfikatu.