Окончательное руководство по HTTP для SEO

1. Почему вы должны перейти на HTTPS Google не скрывал, что они настаивают на том, чтобы все перешли...
2. Какой тип сертификата вам нужен: одиночный, многодоменный или групповой сертификат
3. Используйте 2048-битные сертификаты ключей
4. Относительные URL-адреса или URL-адреса без протоколов
5. Не блокируйте сканирование своего HTTPS-сайта с помощью метатега robots.txt / robots
6. Использовать HTTP Strict Transport Security (HSTS)
7. О SPDY
8. Переезд в HTTPS
9. Переезд в HTTPS
10. Дополнительные примечания
11. SEMrush Вебинар

Почему вы должны перейти на HTTPS

Google не скрывал, что они настаивают на том, чтобы все перешли со всех сайтов на HTTPS. Они провели исследование и обнаружили, что повышение HTTPS улучшило результаты ранжирования, и в августе 2014 года Google подтвердил, что HTTPS является сигналом ранжирования, хотя слабый в 2014 году он потенциально сильнее сейчас.

Существует много аббревиатур, используемых для описания, по сути, одного и того же, однако при разговоре с технической точки зрения лучше использовать правильный язык: «HTTPS», «HTTP over TLS» и «TLS» - все термины для одного и того же. «SSL» является более старым стандартом, и в настоящее время рекомендуется использовать TLS, однако многие по-прежнему называют HTTPS SSL.

Googles рекомендации

Как правило, лучше всего начинать с собственных рекомендаций Googles при планировании внедрения изменений, основанных на их преимуществах SEO. Краткий список ниже:

• Выберите тип сертификата, который вам нужен: одиночный, многодоменный или групповой сертификат
• Используйте 2048-битные сертификаты ключей
• Используйте относительные URL-адреса для ресурсов, которые находятся в одном и том же безопасном домене
• Использовать относительные URL протокола для всех других доменов
• Не блокируйте сканирование своего HTTPS-сайта с помощью robots.txt
• Разрешить индексацию ваших страниц поисковыми системами, где это возможно. Избегайте метатега роботов noindex.
• Использовать HTTP строгую безопасность транспорта
• Использовать SPDY (устарело)

Какой тип сертификата вам нужен: одиночный, многодоменный или групповой сертификат

Большинство сайтов теперь охватывают несколько поддоменов. Если вы размещаете блоги, форумы или что-либо подобное в отдельном поддомене, то я бы порекомендовал вам использовать соответствующий шаблон. В прошлом я всегда рекомендовал использовать поддомен для загрузки ресурсов, особенно если важна скорость мобильного телефона.

Большинство браузеров ограничивают количество файлов, которые они могут получить с одного хоста одновременно, поэтому, если файлы не могут быть объединены, их следует разделить на несколько хостов. Это решение называется «Параллелизм», вы также можете убедиться, что поддомен оптимизирован для статических активов (с использованием cookie-файлов и заголовка состояния 304).

Однако в последнее время HTTP2 меняет рекомендации здесь.

Используйте 2048-битные сертификаты ключей

Для необходимого органического повышения получите лучший сертификат, который вы можете, как минимум, я бы рекомендовал, чтобы сертификат имел следующие критерии;

• предоставлено доверенной организацией
• 2048-битный ключ
• TLS

Относительные URL-адреса или URL-адреса без протоколов

Очень важно при загрузке ресурсов использовать https, иначе они не будут отображаться в некоторых браузерах или там, где они появляются, они не будут отображать зеленый замок. Лично, если вы уверены в переходе на HTTPS, я бы сейчас попытался явно загрузить все ресурсы через HTTPS и больше не использовать URL без протоколов.

Есть целый ряд цифровых активов, как правило, представляют большинство проблем -

• Изображения, особенно там, где они были загружены с помощью редактора страниц, например, в сообщениях WordPress.
• Библиотеки JavaScript, размещенные на CDN (например, jQuery),
• CSS (включая изображения или шрифты, загруженные с использованием CSS),
• Конечные точки формы (цель формы)
• Встраивания, такие как Facebook, YouTube или другие встраивания JS

Позже я расскажу о некоторых инструментах, чтобы найти их.

Не блокируйте сканирование своего HTTPS-сайта с помощью метатега robots.txt / robots

Иногда для обеспечения отсутствия дублированного контента веб-менеджеры блокируют HTTPS-версию сайта. Это редко встречается, когда это один сайт, доступный как по http, так и по https. Если вы заблокируете что-либо, что помешает Google узнать, что вы используете HTTPS, вы не увидите никакой выгоды, и это все больше отрицательно скажется на вашей естественной работе.

Использовать HTTP Strict Transport Security (HSTS)

«… Этот механизм сообщает браузеру, чтобы он автоматически запрашивал страницы, используя HTTPS, даже когда пользователь вводит http в адресной строке браузера. Это также говорит Google, чтобы обеспечить безопасные URL-адреса в результатах поиска. Все это сводит к минимуму риск предоставления незащищенного контента вашим пользователям… »
https://support.google.com/webmasters/answer/6073543?hl=en

Это изменение в вашей Политике безопасности контента (CSP), однако это должен быть самый последний шаг, поскольку он может создать функциональные проблемы, если что-то критическое блокируется, однако для максимального органического повышения этот шаг необходим.

О SPDY

«SPDY - это протокол, включающий TLS, который пытается уменьшить задержку при загрузке страниц. В настоящее время это не стандарт HTTP (хотя он разрабатывается для HTTP 2.0), но он широко поддерживается ».
https://wiki.mozilla.org/Security/Server_Side_TLS#SPDY

SPDY был создан Google и может значительно улучшить скорость HTTPS-страницы, поскольку это немного более технически, лучше всего прочитать подробности по адресу - https://www.chromium.org/spdy/
Однако в последнее время Google отказался от поддержки SPDY - похоже, он будет прекращен, поскольку HTTP / 2 станет стандартом.

«В ходе всего процесса разработки HTTP / 2 были задействованы основные разработчики SPDY, в том числе Майк Белше и Роберто Пеон. По состоянию на февраль 2015 года Google объявил, что после недавней окончательной ратификации стандарта HTTP / 2 поддержка SPDY будет объявлена ​​устаревшей, а поддержка SPDY будет полностью прекращена в 2016 году… »
https://support.google.com/webmasters/answer/6073543

Поэтому HTTP / 2 настоятельно рекомендуется для повышения производительности, которое происходит, если вы используете HTTPS.

Переезд в HTTPS

В идеале переход на HTTPS позволяет постепенно проводить тестирование, избегая при этом любых проблем. Такой подход сводит к минимуму любой потенциал для пользователей (или поисковых систем), чтобы столкнуться с проблемами.

На данный момент мы предполагаем, что у вас нет отдельного сервера для HTTPS, и на самом деле вы будете работать на главном сервере с установленным сертификатом https, если это не так, вам нужно будет соответствующим образом адаптировать эти рекомендации, фактически это значительно усложняет весь процесс.

Теперь у вас есть приобретенный и установленный сертификат, следующие шаги: -

1. Протестируйте сертификат
   Быстрая проверка сертификата доступна в Интернете по адресу SSLLabs.com/ssltest. Этот бесплатный онлайн-сервис выполняет глубокий анализ конфигурации любого веб-сервера https в общедоступной сети Интернет. Эта бесплатная услуга дает вам оценку, нацеливание на A является предпочтительным, но многие крупные компании получают только C, оно говорит вам шаги, необходимые для улучшения.
2. Настройка доступа к консоли поиска Google (GSC) для HTTPS
   Ранее называвшийся Google Webmaster Tools (GWT), Google рассматривает https и http как отдельные веб-сайты, поэтому в GSC оба должны быть авторизованы, чтобы увидеть полную картину.
   В зависимости от метода аутентификации, который вы используете, простое добавление нового сайта будет «просто работать». Если вам был предоставлен доступ из другой учетной записи, к сожалению, вам нужно будет попросить их сделать это.
3. Двойной запуск и http и https
   Работа сайта как по HTTP, так и по HTTPS позволяет вам сканировать любые проблемы, что дает вам возможность решить любые проблемы, прежде чем отправлять пользователей и поисковые системы в HTTPS.
   

Отслеживание Google Analytics
Вы можете очень легко отследить, кто находится на HTTP и HTTPS, если вы используете Google Tag Manager в качестве встроенной переменной URL - (см. Изображение). Это позволяет вам увидеть долю трафика, отсутствующего по HTTPS, позднее.

Настройка переменной протокола в GTM

Это можно настроить как группу контента или пользовательское измерение, отредактировав основное отслеживание, если вам нужна помощь с этим твитом @OfflineTake

Получить и сделать
Используйте Googles Fetch and Render в инструментах для веб-мастеров, чтобы убедиться в отсутствии проблем с Google при сканировании контента. google.com/webmasters/tools/googlebot-fetch

Мониторинг исключений с помощью отчета о нарушениях CSP
Chrome и Mozilla поддерживают возможность отправки отчетов со смешанным контентом в сторонний инструмент создания отчетов. Отличный инструмент был разработан Скоттом Хелме (который на момент публикации бесплатный). Скотт написал отличный пост о том, «как» ScottHelme.co.uk/fixing-mixed-content-with-csp/

Переезд в HTTPS

Когда ваш сайт полностью протестирован и вы уверены, что все в порядке, тогда добавьте органическую ценность к HTTPS, а не к HTTP

• Измените канонические теги на сайте, чтобы они указывали на HTTPS.
• Изменить XML Sitemap
• Убедитесь, что трафик по HTTPS остается на HTTP, сканируя его с помощью Screaming Frog

Это повышает рейтинг органического трафика до HTTPS, консолидирующего эквити канала, и позволяет проводить дополнительное тестирование, а также дает дополнительное время для обновления любого входящего маркетинга.

В Screaming Frog есть экспорт, называемый «небезопасный контент», который неоценим для отслеживания того, где ссылки на http находятся на вашем сайте.

На этом этапе я бы рекомендовал подождать примерно одну неделю - прежде чем окончательно переехать навсегда.

301 Перенаправление

Перенаправьте весь трафик, используя 301 (Google сказал, что 302 будет нести 100% «PageRank», но я бы абсолютно согласился с 301, иначе вы пренебрегаете Bing и другими поисковыми системами).

1. HSTS

Для повышения безопасности, что Google рекомендует «включить HTTP Strict Transport Security», это значительно повышает безопасность.

«HTTP Strict Transport Security (HSTS) - это механизм политики веб-безопасности, который помогает защитить веб-сайты от атак с использованием более ранних версий протоколов и захвата файлов cookie. Он позволяет веб-серверам объявлять, что веб-браузеры (или другие соответствующие пользовательские агенты) должны взаимодействовать с ним только с использованием безопасных соединений HTTPS, но не по небезопасному протоколу HTTP. HSTS является протоколом отслеживания стандартов IETF и определен в RFC 6797. »

Это еще одно изменение в вашей Политике безопасности контента (см. Выше), которое обеспечит применение HTTPS для всего контента, защищая ваш контент от внедрения и перехвата файлов cookie, что является одной из основных причин такого продвижения со стороны Google. Когда вы полностью уверены, что сможете поддерживать HSTS, последний шаг - попасть в список предварительной загрузки Chrome - https://hstspreload.appspot.com/

Дополнительную информацию о HSTS можно найти здесь - https://varvy.com/pagespeed/hsts.html

Дополнительные примечания

• Добавьте обновление сертификата в календарь и убедитесь, что вы обновляете его заранее (возможно, стоит убедиться, что за это отвечают несколько человек), если вы находитесь в списке HSTS и срок действия сертификата истекает, вы можете потерять весь трафик.
• Любые миграции сайтов становятся более сложными с необходимыми дополнительными сертификатами. Если изменение имени домена выполняется, важно сохранить старый сертификат сайта.
• При переходе на HTTPS вам не нужно использовать функцию смены адреса в консоли поиска Google.
• Миграция поэтапно - это нормально! Как уже упоминалось выше, блоги иногда более сложны, поэтому сначала перенесите основной сайт.

Нанять консультанта

Если у вас нет консультанта по SEO или агентства, стоит нанять консультанта, вышеперечисленные шаги относительно просты, однако наличие кого-то, кто обеспечит их соблюдение и отслеживание влияния на производительность, стоит того, чтобы оценить его влияние. это могло бы иметь.

SEMrush Вебинар

Трое из нас в TakeItOffline проведут вебинар по миграции HTTPS 25 апреля в 2 часа дня по московскому времени. Если вы хотите посмотреть, пожалуйста перейдите по этой ссылке и зарегистрируйте свои данные, в противном случае видео должно быть доступно для просмотра позже. Мы также будем размещать слайды после выступления.