15%

Сэкономьте 15% на всех хостинговых услугах

Проверьте свои навыки и получите скидку на любой тарифный план

Используйте код:

Skills
Начать
01.11.2024
Category iconАдминистрация Category iconБезопасность

Как перейти на HTTPS для вашего сайта: полное пошаговое руководство

Переход вашего веб-сайта с HTTP на HTTPS больше не является опциональным — это фундаментальное требование для любого современного веб-сайта. HTTPS (Hypertext Transfer Protocol Secure) шифрует данные, обмениваемые между вашим сервером и браузерами посетителей, защищая конфиденциальную информацию от перехвата, изменения и подслушивания. Помимо безопасности, HTTPS напрямую влияет на ваши рейтинги в поиске Google, индикаторы доверия браузера и коэффициенты конверсии пользователей. Если ваш сайт по-прежнему работает на простом HTTP, вы активно теряете трафик, доверие и доход.

Это подробное руководство проведет вас через каждый шаг, необходимый для правильной миграции вашего веб-сайта на HTTPS, от получения SSL-сертификата до проверки финальной конфигурации.

Почему переход на HTTPS важен

Прежде чем переходить к техническим шагам, стоит понять, что именно на кону:

  • Безопасность: HTTPS использует шифрование SSL/TLS для защиты данных при передаче, включая учетные данные для входа, платежные реквизиты и личную информацию.
  • Сигналы рейтинга SEO: Google подтвердил HTTPS как фактор ранжирования с 2014 года. Сайты без него штрафуются в результатах поиска.
  • Предупреждения браузера: Chrome, Firefox и Edge активно помечают сайты HTTP как «Небезопасно», что немедленно отпугивает посетителей.
  • Доверие пользователей: Значок замка в адресной строке — это признанный сигнал доверия, который напрямую влияет на коэффициенты конверсии.
  • Целостность данных: HTTPS предотвращает внедрение третьими сторонами объявлений, вредоносного ПО или скриптов отслеживания на ваши страницы.

Шаг 1: Понимание того, как работает HTTPS

HTTPS — это расширение HTTP, которое оборачивает всю коммуникацию в уровень шифрования SSL/TLS (Secure Sockets Layer / Transport Layer Security). Когда посетитель подключается к вашему сайту, его браузер и ваш сервер выполняют «TLS-рукопожатие» для установления зашифрованной сессии. Этот процесс зависит от цифрового SSL-сертификата, выданного доверенным центром сертификации (CA).

SSL-сертификат служит двум целям:

  1. Он обеспечивает шифрование данных при передаче.
  2. Он проверяет личность вашего сервера, подтверждая посетителям, что они взаимодействуют с законным веб-сайтом.

Шаг 2: Получение SSL-сертификата

Вы не можете включить HTTPS без действительного SSL-сертификата. Существует несколько типов и источников на выбор в зависимости от ваших потребностей и бюджета.

Бесплатные SSL-сертификаты

Let’s Encrypt — наиболее широко используемый бесплатный центр сертификации в мире. Он выдает сертификаты Domain Validation (DV), которые доверяют все основные браузеры и могут быть автоматически обновлены каждые 90 дней. Большинство панелей управления хостингом поддерживают Let’s Encrypt изначально.

ZeroSSL — еще один бесплатный центр сертификации, предлагающий простой веб-интерфейс для выдачи сертификатов DV, что делает его надежной альтернативой Let’s Encrypt.

Платные SSL-сертификаты

Для бизнеса, требующего более высоких уровней проверки — таких как сертификаты Organization Validation (OV) или Extended Validation (EV) — платный SSL-сертификат является надлежащим выбором. Сертификаты EV отображают название вашей организации в строке браузера и обычно используются сайтами электронной коммерции, финансовыми учреждениями и предприятиями, обрабатывающими конфиденциальные данные.

AlexHost предлагает ряд SSL-сертификатов, подходящих для личных веб-сайтов, бизнес-сайтов и высоконагруженных платформ электронной коммерции. Покупка SSL-сертификата через вашего хостинг-провайдера значительно упрощает управление установкой и обновлением.

Шаг 3: Установка SSL-сертификата

Процесс установки зависит от вашей среды хостинга. Ниже приведены подробные инструкции для наиболее распространенных конфигураций.

3.1 Установка через cPanel

Если ваша учетная запись хостинга использует cPanel, установка SSL проста:

  1. Войдите в cPanel — Получите доступ к панели управления хостингом по адресу yourdomain.com/cpanel или через панель управления хостингом.
  2. Перейдите в SSL/TLS — Найдите раздел SSL/TLS в категории Security.
  3. Установите сертификат — Нажмите «Manage SSL Sites», выберите свой домен и вставьте файлы сертификата, приватного ключа и пакета CA.
  4. Сохраните и проверьте — После сохранения откройте браузер и перейдите на https://yourdomain.com, чтобы подтвердить появление замка.

Если вы ищете среду хостинга с предварительно настроенным cPanel, AlexHost предоставляет VPS с cPanel, которые упрощают управление SSL наряду с полным контролем сервера.

3.2 Установка на Apache (ручная конфигурация сервера)

Если вы управляете Linux-сервером напрямую, выполните эти шаги для установки SSL-сертификата на Apache:

Шаг 1 — Скопируйте файлы сертификата на ваш сервер:

sudo mkdir -p /etc/ssl/yourdomain
sudo cp your_certificate.crt /etc/ssl/yourdomain/
sudo cp your_private.key /etc/ssl/yourdomain/
sudo cp your_ca_bundle.crt /etc/ssl/yourdomain/

Шаг 2 — Отредактируйте конфигурацию виртуального хоста Apache:

Откройте соответствующий файл конфигурации, обычно расположенный в /etc/apache2/sites-available/yourdomain.conf (Debian/Ubuntu) или /etc/httpd/conf.d/yourdomain.conf (CentOS/RHEL):

sudo nano /etc/apache2/sites-available/yourdomain.conf

Шаг 3 — Добавьте блок виртуального хоста HTTPS:

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/yourdomain

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/your_certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/your_private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/your_ca_bundle.crt

    # Recommended security headers
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
</VirtualHost>

Шаг 4 — Включите модуль SSL и сайт, затем перезагрузите Apache:

sudo a2enmod ssl
sudo a2ensite yourdomain.conf
sudo systemctl restart apache2

Для систем CentOS/RHEL с использованием httpd:

sudo systemctl restart httpd

3.3 Установка на Nginx (ручная конфигурация сервера)

Для серверов на основе Nginx процесс немного отличается:

Шаг 1 — Отредактируйте конфигурацию блока сервера Nginx:

sudo nano /etc/nginx/sites-available/yourdomain.conf

Шаг 2 — Добавьте блок сервера HTTPS:

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    root /var/www/yourdomain;
    index index.html index.php;

    ssl_certificate     /etc/ssl/yourdomain/your_certificate.crt;
    ssl_certificate_key /etc/ssl/yourdomain/your_private.key;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

Шаг 3 — Протестируйте конфигурацию и перезагрузите Nginx:

sudo nginx -t
sudo systemctl restart nginx

Шаг 4: Перенаправление трафика HTTP на HTTPS

Установки сертификата недостаточно. Вы должны настроить постоянные перенаправления 301, чтобы все запросы HTTP автоматически перенаправлялись на HTTPS. Это гарантирует, что ни один посетитель не попадет на небезопасную версию вашего сайта и консолидирует вашу SEO-справедливость ссылок.

4.1 Перенаправление HTTP на HTTPS с использованием .htaccess (Apache)

Откройте файл .htaccess в корневом каталоге вашего веб-сайта и добавьте следующие правила в начало:

RewriteEngine On

# Redirect all HTTP traffic to HTTPS
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Optional: force www to non-www (or vice versa)
RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [L,R=301]

Сохраните файл и протестируйте, посетив http://yourdomain.com — он должен автоматически перенаправиться на https://yourdomain.com.

4.2 Перенаправление HTTP на HTTPS с использованием Nginx

Добавьте выделенный блок сервера для порта 80, который выдает перенаправление:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

Перезагрузите Nginx для применения:

sudo systemctl restart nginx

Шаг 5: Обновление всех внутренних ссылок и ресурсов

После включения HTTPS ваш веб-сайт может по-прежнему загружать смешанный контент — ресурсы HTTP (изображения, скрипты, таблицы стилей, шрифты), встроенные в страницы HTTPS. Смешанный контент вызывает предупреждения безопасности браузера и может полностью нарушить ваш индикатор замка.

Что обновить

  • Внутренние ссылки на страницы: Измените все ссылки http://yourdomain.com на https://yourdomain.com.
  • Изображения, CSS и JavaScript: Убедитесь, что все URL-адреса ресурсов используют HTTPS или пути, независимые от протокола (//).
  • Канонические теги: Обновите теги <link rel="canonical"> в вашем HTML.
  • Карта сайта: Заново создайте XML-карту сайта с URL-адресами HTTPS.
  • URL-адреса базы данных (WordPress): Используйте плагин WP Migrate DB или выполните прямой SQL-запрос для обновления сохраненных URL-адресов:
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name = 'siteurl' OR option_name = 'home';

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');

UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

> Важно: Всегда создавайте резервную копию базы данных перед выполнением массовых SQL-обновлений.

Шаг 6: Обновление Google Search Console и Analytics

Ваш сайт HTTPS технически является другим свойством, чем ваш сайт HTTP, с точки зрения Google. Выполните эти шаги, чтобы убедиться, что ваши данные SEO и параметры сканирования правильно настроены:

  1. Google Search Console: Добавьте https://yourdomain.com как новое свойство. Отправьте обновленную карту сайта HTTPS.
  2. Google Analytics: Обновите URL по умолчанию в параметрах свойства, чтобы использовать HTTPS. Убедитесь, что ваш код отслеживания установлен на всех страницах HTTPS.
  3. Bing Webmaster Tools: Добавьте версию HTTPS вашего сайта и повторно отправьте карту сайта.
  4. Обновление внешних обратных ссылок: По возможности свяжитесь с сайтами с высоким авторитетом, ссылающимися на ваши URL-адреса HTTP, и попросите их обновить ссылки.

Шаг 7: Тестирование и проверка конфигурации HTTPS

Никогда не предполагайте, что ваша конфигурация HTTPS верна без тщательного тестирования. Используйте следующие методы:

Проверка браузера

Перейдите на https://yourdomain.com и проверьте:

  • В адресной строке появляется значок замка.
  • Предупреждение «Небезопасно» не отображается.
  • Консоль разработчика браузера (F12 → Console) не показывает предупреждений о смешанном контенте.

SSL Labs SSL Test

Посетите SSL Labs Server Test и введите ваш домен. Этот бесплатный инструмент предоставляет подробную оценку (A+ до F) для вашей конфигурации SSL/TLS, выделяя слабые наборы шифров, проблемы с протоколом и проблемы с цепочкой сертификатов.

Инструмент Why-No-Padlock

Используйте Why No Padlock для определения конкретных проблем со смешанным контентом на любой странице вашего сайта.

HTTP Observatory (Mozilla)

HTTP Observatory от Mozilla оценивает ваши заголовки безопасности, политику HSTS и общее качество реализации HTTPS.

Шаг 8: Включение HTTP Strict Transport Security (HSTS)

Когда вы уверены, что ваша конфигурация HTTPS стабильна, включите HSTS. Эта политика безопасности инструктирует браузеры всегда использовать HTTPS для вашего домена, даже если пользователь вручную введет http://. Это предотвращает атаки SSL stripping и устраняет начальное перенаправление HTTP для возвращающихся посетителей.

Добавьте этот заголовок в конфигурацию вашего сервера:

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

После подтверждения того, что все работает правильно в течение нескольких недель, рассмотрите возможность отправки вашего домена в HSTS Preload List для максимальной защиты.

Выбор правильного хостинга для HTTPS

Ваша среда хостинга играет критическую роль в том, насколько легко вы можете реализовать и поддерживать HTTPS. Вот краткий обзор решений AlexHost, подходящих для различных потребностей:

  • Общий веб-хостинг: Идеален для небольших веб-сайтов и блогов. SSL Let’s Encrypt обычно доступен одним щелчком через cPanel.
  • VPS-хостинг: Рекомендуется для растущих бизнесов, которым нужен полный контроль над конфигурацией SSL, программным обеспечением сервера и заголовками безопасности. VPS-планы AlexHost дают вам корневой доступ для настройки Apache или Nginx точно так, как описано в этом руководстве.
  • Выделенные серверы: Лучший выбор для высоконагруженных веб-сайтов, платформ электронной коммерции и корпоративных приложений, требующих выделенных ресурсов и расширенной настройки SSL/TLS.

Для команд, управляющих несколькими веб-сайтами или приложениями, AlexHost также предлагает гибкие панели управления VPS, которые упрощают управление SSL-сертификатами на всех ваших доменах с единой панели управления.

Распространенные ошибки при миграции на HTTPS, которых следует избегать

15%

Сэкономьте 15% на всех хостинговых услугах

Проверьте свои навыки и получите скидку на любой тарифный план

Используйте код:

Skills
Начать