Здравствуйте, уважаемые коллеги, гости WordPress-book.ru. Как вы наверное уже слышали, с начала 2017 года поисковая система Google начнет занижать в поисковой выдаче сайты, не имеющие ssl сертификата. Грозятся такие проекты помечать черной меткой слева от URL и тем самым распугивать посетителей. Думаю, Яндекс тоже скоро подтянется. Давайте разбираться, что такое SSL сертификат, какие бывают его разновидности и как установить его на сайт.
Содержание:
- Что такое SSL-сертификат
- Какие бывают SSL-сертификаты
- Где и как получить SSL-сертификат
- Установка сертификата на сайт хостинга TimeWeb
- Разблокировка контента
- Последние штрихи
- Проверка работы установленного сертификата
- Устранение проблем смешанного контента
- Уведомление поисковиков о новом сайте
1. Что такое SSL-сертификат
SSL-уровень защищенных сокетов (дополнение к стандартному протоколу, обеспечивающее безопасное соединение в зашифрованном виде). Для работы защищенного протокола требуется установка SSL-сертификата на сайт.
Как вы уже наверняка замечали, URL большинства веб-проектов начинаются с http, а у других, более продвинутых, с https. Так вот, ресурсы с окончанием «S» на конце протокола http имеют ssl сертификат и ресурс считается безопасным, то есть все данные обмена между браузером пользователя и сервером сайта шифруются. Если http расшифровывается как протокол передачи гипертекста, то https как безопасный протокол передачи гипертекста.
Разберемся в вопросе выбора, получения ssl сертификата, установки его на сайт и приспособления проекта к жизни с новыми реалиями.
2. Какие бывают SSL-сертификаты
По доверию
- — Самоподписные (self-signed). Браузер о вашем личном сертификате ничего не знает и будет об этом предупреждать посетителей, сгодится только для корпоративных сайтов узкого круга одной компании.
- — Доверительные (trasted). Выпускаются официальными сертификационными центрами, выбор для любых публичных сайтов.
По уровню проверки
- — Простая (Domain Validation, DV). В сертификате только домен. Подойдет для блогов, информационных сайтов, сайтов визиток.
- — С проверкой компании (Organization Validation, OV). В сертификате домен и название компании. Для интернет-магазинов.
- — С расширенной проверкой (Extended Validation, EV). В сертификате домен и название компании. В адресной строке компании ее название зелеными буквами. Для платежных систем, банков.
По количеству доменов на один сертификат
- — Для одного домена или поддомена.
- — До 100 доменов (multi-domen).
- — На один домен и все его поддомены (wildcard).
По цене
- — Бесплатные (некоммерческие проекты, молодые блоги и сайты).
- — Платные (для крупного портала, серьезного блога и т.д.)
Рассмотрим разницу между бесплатным и платным сертификатом. Для примера возьмем сертификаты Lets Encrypt и Comodo Positive SSL соответственно.
| Lets Encrypt | Comodo Positive SSL |
| Бесплатно | Около 500 руб. в год |
| Действителен 90 дней (обновляется автоматически) | Срок действия от 1 года |
| Высокое качество и стандарт шифрования | |
| Только на 1 домен | |
| Нет возможности установить на домен в зоне .рф | Есть возможность установить на домен в зоне .рф |
| Нет гарантий при утечке данных | Гарантия – 10 000 $ |
| Может быть несовместим с некоторыми старыми браузерами | Распознают 99,3% браузеров |
| Упрощенная процедура проверки (не нужны документы организации). | |
3. Где и как получить SSL-сертификат
Как уже было сказано, выпуском SSL занимаются официальные центры, такие как Comodo. Но покупать там напрямую нерационально. Существуют специальные партнерские центры, регистраторы доменов, некоторые хостинги, которые покупают сертификаты у официальных центров по оптовой цене, а потом перепродают нам со значительной скидкой.
Могу порекомендовать партнерский центр – https://www.firstssl.ru/. Интерфейс сервиса интуитивно понятен, к нашим услугам несколько фильтров, по которым поиск и выбор сертификата значительно упрощается. Посмотрите видео с подробными инструкциями по покупке сертификата Сomodo Рositive SSL у упомянутого партнера.
Будет несправедливо обойти стороной регистратор доменных имен REG.RU. Серьезный ресурс во всем, в том числе и в продаже SSL. Сертификаты подороже чем в firsssl, зато reg.ru щедры на акции и скидки, посмотрите сами — https://www.reg.ru/company/promotions/.
4. Установка SSL-сертификата на сайт хостинга TimeWeb
Установку будем производить на примере бесплатного сертификата Lets Encrypt на хостинге TimeWeb, поскольку TimeWeb самый популярный хостинг в РФ и он лучше всех остальных подготовился к нововведениям.
Владельцы сайтов, припаркованных на других хостингах, выясните у своей технической поддержки, как установить у них SSL-сертификат.
Заказ SSL-сертификата на хостинге
Зайдите в панель управления хостинга.
- Перейдите в раздел «Дополнительные услуги«.
- Далее по ссылке «SSL-сертификаты«.
- В новом окне в поле «Сертификат» выберите требуемый.
- В поле «Домен» выберите свой, для которого заказывается сертификат.
Согласитесь с правилами предоставления услуг и нажмите на кнопку «Заказать«.
Нажмите на кнопку «OK» в новом окошке с сообщением об отправке заказа на SSL-сертификат.
На странице «Дополнительных услуг» очень скоро появится информация о подключении выбранного сертификата на домен.
Настройка переадресации
Чтобы при обращении к сайту по старому адресу с http происходила автоматическая переадресация на https, выполните следующие несложные действия:
- На главной странице панели управления timeweb перейдите в раздел «Сайты«.
- Кликните по шестеренке у своего домена чтобы перейти к настройке переадресации.
- В новом окне активируйте опцию «использовать безопасное соединение https//» и не забудьте сохранить изменения.
Веб-мастерам сайтов не на TimeWeb следует поинтересоваться у технической поддержки своего хостинга о том, как сделать переадресацию с http на https (какой код прописать в файл .htaccess). Хотя и в Интернете этой инфы предостаточно, но не всякий код подойдет именно под ваш хостинг.
5. Разблокировка контента
После установки сертификата и перехода на протокол с шифрованием передачи данных, ваш сайт неприглядно изменится. Это браузер посчитает, что некоторый контент небезопасен (много где еще останутся скрипты, ссылки со старым протоколом) и заблокирует его. Кроме того, вход в админку вызовет некоторые затруднения по той же причине. Не пугайтесь, эту проблему решить очень просто.
1. В файл .htaccess, через ftp или через файловый менеджер панели администратора на хостинге, самой последней строкой вставьте код – «SetEnvIf X-HTTPS 1 HTTPS«.
2. В файл конфигурации wp-config.php вставьте код «define(‘FORCE_SSL_ADMIN’, true);«.
Оба файла находятся в корневой папке сайта (на WordPress public_html), если кто не знает.
6. Последние штрихи
1. В админке сайта перейдите в раздел «Настройки» и далее «Общие«.
2. В поля «Адрес WordPress (URL)» и » Адрес сайта (URL)» добавьте «s» в конец http. После этого все картинки проекта должны снова появиться там, куда они ранее были загружены.
3. В robots.txt исправьте адрес хоста и путь к карте сайта. Просто добавьте https:// перед URL как на картинке.
7. Проверка работы установленного сертификата
Для диагностики возможных ошибок установки и работы SSL сертификата воспользуйтесь онлайн-сервисом SSL Checker. Просто введите URL сайта в поле и нажмите на кнопку «Check SSL«. Если результат получится как на картинке ниже с зелеными галочками и стрелочкой, без красного и без восклицательных знаков в желтых треугольниках, значит все в порядке, можете ставить шампанское на лед или водку в морозильник, кому что больше по вкусу.
8. Устранение проблем смешанного контента
Дорогие коллеги, когда все выше обозначенные работы будут позади, перед доменом сайта в адресной строке браузера должен появиться значок замка зеленого цвета с аббревиатурой https тоже зеленого цвета.
Если замок не появился и https не перекрасился из серого в зеленый, значит на странице сайта существует проблема так называемого смешанного контента. Исправьте в ссылках на странице, в сайдбаре, в футере и т.п. все http на https, иначе браузер будет считать страницу небезопасной и соответственно на это реагировать.
Можно, конечно, облегчить себе жизнь и установить специальное расширение. Для WordPress подойдет плагин HTTP/HTTPS Remover, но он не во всех случаях помогает и кроме того это не наш метод. Для сайта с не очень большим количеством страниц можно исправить все вручную.
У браузера Google Chrome в этой работе нам в помощь есть один хороший инструмент.
- Чтобы его вызвать, на проблемной странице кликните по кружочку с буквой «i» в адресной строке в начале URL страницы.
- В открывшемся окошке перейдите по ссылке «Подробнее«.
- В появившейся нижней панели перейдите на вкладку «Console«.
Тут для нас информация по всем ссылкам и внешним скриптам, в которых требуется исправить http на https. Друзья, если у вас возникнут трудности по устранению проблемы смешанного контента, пишите мне на почту, помогу, если не лень будет конечно 🙂 .
Внутренние ссылки, в том числе и на картинки, на каждой странице тоже придется исправить. Для ручной работы, чтобы поставить этот процесс на конвейер, открывайте каждую страницу в режиме текст (по старому html), в поиске браузера (вызывается нажатием клавиш ctrl+F) впишите свой домен, запустите поиск. После подсветки доменов напрягать глаза для поиска внутренних ссылок уже не придется. После каждого http вставьте букву «s«, сохраните изменения и проверьте результат.
Для сайта с сотнями и тем более тысячами страниц ручная правка внутренних ссылок станет настоящей каторгой. Сергей Кокшаров в своей статье «Как одной командой изменить ссылки в базе данных или файлах» подскажет как автоматизировать процесс.
9. Уведомление поисковиков о новом сайте
Как вы, конечно, понимаете, для поисковых систем http://домен.ru и https://домен.ru — два разных сайта. После перехода на защищенный протокол ваш старый сайт должен прекратить существование и возродиться с новым адресом. Надо уведомить об этом Яндекс и Google. Сделаем это без шума и пыли.
Зайдите в Яндекс Веб-мастер и следуйте следующей инструкции:
- Перейдите в раздел «Настройка индексирования» и далее «Переезд сайта«.
- Выберите свой домен, поставьте галочку у «Добавить HTTPS» и сохраните изменения.
- Откройте главную страницу «Яндекс Веб-мастер» и перейдите там по ссылке «добавить сайт«.
Старый можно будет удалить.
- Загрузите карту сайта в формате xml перейдя в «Настройка индексирования«→»Файлы Sitemap«, для чего укажите путь к карте сайта и нажмите на кнопку «Добавить«.
- Последнее, что тут осталось сделать, это убедиться, что все работает, нет ни фатальных, ни критических ошибок, ни каких-либо других проблем. Для этого перейдите в раздел «Диагностика«→»Диагностика сайта«.
Не расслабляйтесь, робот еще не до конца выполнил всю свою работу. Вполне может оказаться что он не сможет загрузить что-нибудь. К примеру, на wordpress-book.ru в Яндекс Веб-мастере при проверке robots.txt всплывало сообщение: «Сервер отвечает редиректом на запрос /robots.txt».
Пришлось тогда временно отключить на сервере редирект с http на https для загрузки robots.txt. А то уже в индекс стало попадать множество дублей. После включения редиректа обратно, ошибка больше не появлялась.
Что касается Гугла, то там, как ни странно, не все так продумано. Вам придется в кабинете веб-мастера по новой добавить новый старый сайт с https.
Главное, как и в Яндексе, обязательно загрузите карту сайта для более быстрой индексации контента ресурса.
На этом, пожалуй, можно и закончить. Если у кого будут вопросы, замечания, предложения, …, пишите в комментариях или лично мне на почту.
30 комментариев: Как установить SSL сертификат на сайт и зачем он так нужен
Добавить комментарий
Это было трудно, но я вроде бы справился) Отличная статья, все разжевано, автор молодец!
Здравствуйте! Дошла до 6-го пункта и всё — не могу зайти на свой сайт, что произвести дальнейшие действия — пишет»подключение не защищено», как быть дальше?
Согласна, что из бесплатных только Let’s Ecnrypt — у него в спонсорах Google и Moziila, поэтому вряд ли c ним будут проблемы, как с китайскими центрами типа WoSign, которые браузеры считают опасные. Я свои сертификаты Let’s Encrypt устанавливаю через ISPmanager. Они автоматически перевыпускаются каждые 3 месяца.
Правда DV сертификат (даже платный от Сomodo) не гарантирует, что владельцу домена можно доверять пароли и номера банковских карт, а это важно для интернет-магазинов или личных кабинетов. Ну и поддомены им не защитить (сертификаты с опцией wildcard), и несколько доменов тоже нет. В этом случае иду к разработчику ISPmanager, беру у них
Роман, спасибо за статью — одна из немногих в море инструкций, внятно изложенная, и во многом мне помогла. Зеленый замок висит, при проверке SSL сплошные зеленые галки. Но по-прежнему не могу зайти в админпанель, на белом фоне идет отсылка к главной странице сайта.Что можно еще попробовать?
Сайт новый. Если не залогинен https серое без замочка. Залогинюсь, все норм. Как быть?
И еще вопрос, какой у вас сертификат установлен? И нужен ли выделенный айпи для установки сертификата на таймвеб?
Антон, скорость сайта не замедлилась. Пока установил бесплатный сертификат для пробы.На таймвебе выделенный айпи не нужен на те сертификаты, которые хостинг сам предлагает (выступает как посредник) к установке.
Скорость сайта при переходе на https замедлилась?
Роман,огромное спасибо за статью. Очень помогли)
Жаль что мне ваша статья не попалась чуть раньше, сама бы все это сделала, а так попросила хостера, который мне и установил сертификат, без проблем.
Доброго дня. Спасибо за статью: а разве нужно удалять старый сайт без http и добавлять ручками новый (https)? Сам на этом этапе сейчас нахожусь, но мне кажется при указании галочки в чекбоксе в разделе «Переезд сайта» ПС сама разберется — или нет?
И еще вопрос: на одном сайте я плагином убрал старые связи http, а на другом — это не прокатило. Выходит надо через БД это делать?
Буду благодарен за ответы.
Здравствуйте, Александр!
Яндекс по теории сам должен разобраться но, как показывает практика, кроме задействования инструмента «Переезд сайта», ему нужно немного помочь, т.е. старый удалить, как написано под одним из скриншотов.
А вот гугл свой вебмастер хуже подготовил в отличие от Яндекса, там старый сайт надо удалять а новый добавлять. Зато сайт с https в гугле лучше и быстрее приспосабливается к жизни с новым протоколом в Гугле, чем в Яндексе.
Если с плагином не прокатило и вручную исправлять не собираетесь, то можно через БД. Дополню позже статью как это сделать.
Как отключить на сервере редирект с http на https для загрузки robots.txt. Что нужно исключить?
Отключить инструментом в панели администрирования хостинга как вариант или в .htaccess, смотря как вы его включали.
Вот только не пойму, зачем отключать редирект для загрузки robots.txt?
Я тоже подключил к своему сайту SSL сертификат. Думаю, что это пойдёт моему сайту только на пользу.
Привет,Роман! А я все тяну с этим.Ты хоть блогом занимаешься,а я на год все забросила и только сейчас начинаю возвращаться.Спасибо за информацию.
«Советую исправлять все вручную»
то есть вы предлагаете вручную править тысячу записей на сайте, в которых я при написании вставлял картинки штуки по 3-4 в одной статье?
Здравствуйте Гурбангулы!
В заголовок по устранению проблем смешанного контента добавил ссылку на материал по автоматической правке ссылок одной командой в БД MySQL. Очень простой и быстродейственный способ.
Работы, смотрю, много нужно сделать для перехода на этот безопасный протокол. После нового года, тоже займусь переходом.
Спасибо за статью, я тоже решил установить сертификат. Но после изменения «http» на «https», у меня перестает загржаться сайт. Браузер выводит ошибку «Сайт выполнил слишком много переадресаций».
Я все делаю по инструкции. Что не так? Перестает работать даже админка! Перед процедурой отключил все плагины. Для восстановления работоспособности приходится править все обратно через БД.
Денис, у меня тоже такое было, в моем случае стоял редирект с https на http. Давно ставил, и забыл про него совсем, случайно вспомнил.
Вижу, вы справились с проблемой. Что было то?
Роман, спасибо за информацию о SSL сертификатах, из которой я узнал о недостатках бесплатного Lets Encrypt (даже несмотря на то, что выбранный мною хостер устанавливает его автоматически на сайт) и о не высокой годовой цене (500,0 руб.) сертификата Comodo Positive SSL.
Недостатки Lets Encrypt просто смешны.Если гугля действительно будет ранжировать в зависимости от ssl, то для обычного блога тратиться на платный сертификат — бред. А коммерческие по любому платный брать будут.
А на характеристики сайта такой переход не повлияет?
Посещаемость, ТИЦ и прочее?
Андрей, пока никак не влияет. С начала 2017 года все начнется.
Роман, не могли бы Вы подсказать, какой выбрать недорогой SSL-сертификат для одного сайта с одним (двумя) поддоменами?
Леонид, сертификат на один домен и неограниченное кол-во поддоменов за 6793 руб. при оплате на три года — COMODO ESSENTIAL SSL WILDCARD (гарантия $10000) у FirstSSL, ссылка в статье. Дешевле есть у буржуйских партнеров, но не намного. А сертификатов на домен и один или два поддомена к нему не встречал. Извиняюсь за опоздание с ответом.
Роман, спасибо за ответ! Но разве нельзя на домен и на поддомен установить, например:
1) два отдельных самых недорогих из платных Comodo Positive SSL сертификатов (стоимостью 510-550,0 руб. в год каждый);
2) или на домен установить Comodo Instant SSL-сертификат (стоимостью 2 805 руб. в год, а на поддомен — Comodo Positive SSL?
Мне эта мысль в голову и не приходила. Если на сайте всего один домен, то таким способом можно прилично сэкономить. Я правда не пробовал, на всякий случай провентилируйте у техподдержки хостинга этот вопрос перед покупкой сертификатов.
Замечал некоторые ресурсы с окончанием .s. Но их мало, и как то сильно внимание не обращал! У тебя на блоге в конце стоит .s. Значит защищеный. И очень хорошо когда передача шифруется!