Свой сайт на WordPress — от А до Я. SEO блог Романа В

Здравствуйте, уважаемые коллеги, гости WordPress-book.ru. Как вы наверное уже слышали, с начала 2017 года поисковая система Google начнет занижать в поисковой выдаче сайты, не имеющие ssl сертификата. Грозятся такие проекты помечать черной меткой слева от URL и тем самым распугивать посетителей. Думаю, Яндекс тоже скоро подтянется. Давайте разбираться, что такое SSL сертификат, какие бывают его разновидности и как установить его на сайт.

Как установить SSL сертификат на сайт

Содержание:

  1. Что такое SSL-сертификат
  2. Какие бывают SSL-сертификаты
  3. Где и как получить SSL-сертификат
  4. Установка сертификата на сайт хостинга TimeWeb
  5. Разблокировка контента
  6. Последние штрихи
  7. Проверка работы установленного сертификата
  8. Устранение проблем смешанного контента
  9. Уведомление поисковиков о новом сайте

1. Что такое SSL-сертификат

SSL-уровень защищенных сокетов (дополнение к стандартному протоколу, обеспечивающее безопасное соединение в зашифрованном виде). Для работы защищенного протокола требуется установка SSL-сертификата на сайт.

Как вы уже наверняка замечали, URL большинства веб-проектов начинаются с http, а у других, более продвинутых,  с https. Так вот, ресурсы с окончанием «S» на конце протокола http имеют ssl сертификат и ресурс считается безопасным, то есть все данные обмена между браузером пользователя и сервером сайта шифруются. Если http расшифровывается как протокол передачи гипертекста, то https как безопасный протокол передачи гипертекста.

Разберемся в вопросе выбора, получения ssl сертификата, установки его на сайт и приспособления проекта к жизни с новыми реалиями.

2. Какие бывают SSL-сертификаты

По доверию

  • — Самоподписные (self-signed). Браузер о вашем личном сертификате ничего не знает и будет об этом предупреждать посетителей, сгодится только для корпоративных сайтов узкого круга одной компании.
  • — Доверительные (trasted). Выпускаются официальными сертификационными центрами, выбор для любых публичных сайтов.

По уровню проверки

  • — Простая (Domain Validation, DV). В сертификате только домен. Подойдет для блогов, информационных сайтов, сайтов визиток.
  • — С проверкой компании (Organization Validation, OV). В сертификате домен и название компании. Для интернет-магазинов.
  • — С расширенной проверкой (Extended Validation, EV). В сертификате домен и название компании. В адресной строке компании ее название зелеными буквами. Для платежных систем, банков.

По количеству доменов на один сертификат

  • — Для одного домена или поддомена.
  • — До 100 доменов (multi-domen).
  • — На один домен и все его поддомены (wildcard).

По цене

  • — Бесплатные (некоммерческие проекты, молодые блоги и сайты).
  • — Платные (для крупного портала, серьезного блога и т.д.)

Рассмотрим разницу между бесплатным и платным сертификатом. Для примера возьмем сертификаты Lets Encrypt и Comodo Positive SSL соответственно.

Lets EncryptComodo Positive SSL
БесплатноОколо 500 руб. в год
Действителен 90 дней (обновляется автоматически)Срок действия от 1 года
Высокое качество и стандарт шифрования
Только на 1 домен
Нет возможности установить на домен в зоне .рфЕсть возможность установить на домен в зоне .рф
Нет гарантий при утечке данныхГарантия – 10 000 $
Может быть несовместим с некоторыми старыми браузерамиРаспознают 99,3% браузеров
Упрощенная процедура проверки (не нужны документы организации).

3. Где и как получить SSL-сертификат

Как уже было сказано, выпуском SSL занимаются официальные центры, такие как Comodo. Но покупать там напрямую нерационально. Существуют специальные партнерские центры, регистраторы доменов, некоторые хостинги, которые покупают сертификаты у официальных центров по оптовой цене, а потом перепродают нам со значительной скидкой.

Могу порекомендовать партнерский центр – https://www.firstssl.ru/. Интерфейс сервиса интуитивно понятен, к нашим услугам несколько фильтров, по которым поиск и выбор сертификата значительно упрощается. Посмотрите видео с подробными инструкциями по покупке сертификата Сomodo Рositive SSL у упомянутого партнера.

Будет несправедливо обойти стороной регистратор доменных имен REG.RU. Серьезный ресурс во всем, в том числе и в продаже SSL. Сертификаты подороже чем в firsssl, зато reg.ru щедры на акции и скидки, посмотрите сами — https://www.reg.ru/company/promotions/.

4. Установка SSL-сертификата на сайт хостинга TimeWeb

Установку будем производить на примере бесплатного сертификата Lets Encrypt на хостинге TimeWeb, поскольку TimeWeb самый популярный хостинг в РФ и он лучше всех остальных подготовился к нововведениям.

Владельцы сайтов, припаркованных на других хостингах, выясните у своей технической поддержки, как установить у них SSL-сертификат.

Заказ SSL-сертификата на хостинге

Зайдите в панель управления хостинга.

  1. Перейдите в раздел «Дополнительные услуги«.

Заказ SSL сертификата на TimeWeb

  1. Далее по ссылке «SSL-сертификаты«.
  1. В новом окне в поле «Сертификат» выберите требуемый.
  1. В поле «Домен» выберите свой, для которого заказывается сертификат.

Согласитесь с правилами предоставления услуг и нажмите на кнопку «Заказать«.

Нажмите на кнопку «OK» в новом окошке с сообщением об отправке заказа на SSL-сертификат.

Сообщение о заказе SSL сертификатаНа странице «Дополнительных услуг» очень скоро появится информация о подключении выбранного сертификата на домен.

Настройка переадресации

Чтобы при обращении к сайту по старому адресу с http происходила автоматическая переадресация на https, выполните следующие несложные действия:

  1. На главной странице панели управления timeweb перейдите в раздел «Сайты«.

Переадресация с http на https

  1. Кликните по шестеренке у своего домена чтобы перейти к настройке переадресации.
  2. В новом окне активируйте опцию «использовать безопасное соединение https//» и не забудьте сохранить изменения.

Настройки переадресации на TimeWeb

Веб-мастерам сайтов не на TimeWeb следует поинтересоваться у технической поддержки своего хостинга о том, как сделать переадресацию с http на https (какой код прописать в файл .htaccess). Хотя и в Интернете этой инфы предостаточно, но не всякий код подойдет именно под ваш хостинг.

5. Разблокировка контента

После установки сертификата и перехода на протокол с шифрованием передачи данных, ваш сайт неприглядно изменится. Это браузер посчитает, что некоторый контент небезопасен (много где еще останутся скрипты, ссылки со старым протоколом) и заблокирует его. Кроме того, вход в админку вызовет некоторые затруднения по той же причине. Не пугайтесь, эту проблему решить очень просто.

1. В файл .htaccess, через ftp или через файловый менеджер панели администратора на хостинге, самой последней строкой вставьте код – «SetEnvIf X-HTTPS 1 HTTPS«.

Как установить SSL сертификат на сайт и зачем он так нужен

2. В файл конфигурации wp-config.php вставьте код «define(‘FORCE_SSL_ADMIN’, true);«.

исправление проблемы входа в админку

Оба файла находятся в корневой папке сайта (на WordPress public_html), если кто не знает.

6. Последние штрихи

1. В админке сайта перейдите в раздел «Настройки» и далее «Общие«.

https в общих настройках

2. В поля «Адрес WordPress (URL)» и » Адрес сайта (URL)» добавьте «s» в конец http. После этого все картинки проекта должны снова появиться там, куда они ранее были загружены.

3. В robots.txt исправьте адрес хоста и путь к карте сайта. Просто добавьте https:// перед URL как на картинке.

корректировка robots.txt после установки ssl сертификата

7. Проверка работы установленного сертификата

Для диагностики возможных ошибок установки и работы SSL сертификата воспользуйтесь онлайн-сервисом SSL Checker. Просто введите URL сайта в поле и нажмите на кнопку «Check SSL«. Если результат получится как на картинке ниже с зелеными галочками и стрелочкой, без красного и без восклицательных знаков в желтых треугольниках, значит все в порядке, можете ставить шампанское на лед или водку в морозильник, кому что больше по вкусу.

Проверка установленного сертификата в сервисе check ssl

8. Устранение проблем смешанного контента

Дорогие коллеги, когда все выше обозначенные работы будут позади, перед доменом сайта в адресной строке браузера должен появиться значок замка зеленого цвета с аббревиатурой https тоже зеленого цвета.

Значек замка зеленого цвета

Если замок не появился и https не перекрасился из серого в зеленый, значит на странице сайта существует проблема так называемого смешанного контента. Исправьте в ссылках на странице, в сайдбаре, в футере и т.п. все http на https, иначе браузер будет считать страницу небезопасной и  соответственно на это реагировать.

Можно, конечно, облегчить себе жизнь и установить специальное расширение. Для WordPress подойдет плагин HTTP/HTTPS Remover, но он не во всех случаях помогает и кроме того это не наш метод. Для сайта с не очень большим количеством страниц можно исправить все вручную.

У браузера Google Chrome в этой работе нам в помощь есть один хороший инструмент.

  1. Чтобы его вызвать, на проблемной странице кликните по кружочку с буквой «i» в адресной строке в начале URL страницы.

Проблема смешанного контента

  1. В открывшемся окошке перейдите по ссылке «Подробнее«.
  2. В появившейся нижней панели перейдите на вкладку «Console«.

Тут для нас информация по всем ссылкам и внешним скриптам, в которых требуется исправить http на https. Друзья, если у вас возникнут трудности по устранению проблемы смешанного контента, пишите мне на почту, помогу, если не лень будет конечно 🙂 .

Внутренние ссылки, в том числе и на картинки, на каждой странице тоже придется исправить. Для ручной работы, чтобы поставить этот процесс на конвейер, открывайте каждую страницу в режиме текст (по старому html), в поиске браузера (вызывается нажатием клавиш ctrl+F) впишите свой домен, запустите поиск. После подсветки доменов напрягать глаза для поиска внутренних ссылок уже не придется. После каждого http вставьте букву «s«, сохраните изменения и проверьте результат.

Поиск внутренних ссылок на страницеДля сайта с сотнями и тем более тысячами страниц ручная правка внутренних ссылок станет настоящей каторгой. Сергей Кокшаров в своей статье «Как одной командой изменить ссылки в базе данных или файлах» подскажет как автоматизировать процесс.

9. Уведомление поисковиков о новом сайте

Как вы, конечно, понимаете, для поисковых систем http://домен.ru и https://домен.ru — два разных сайта. После перехода на защищенный протокол ваш старый сайт должен прекратить существование и возродиться с новым адресом. Надо уведомить об этом Яндекс и Google. Сделаем это без шума и пыли.

Зайдите в Яндекс Веб-мастер и следуйте следующей инструкции:

  1. Перейдите в раздел «Настройка индексирования» и далее «Переезд сайта«.

Переезд сайта в Яндекс Вебмастере

  1. Выберите свой домен, поставьте галочку у «Добавить HTTPS» и сохраните изменения.
  2. Откройте главную страницу «Яндекс Веб-мастер» и перейдите там по ссылке «добавить сайт«.

Как установить SSL сертификат на сайт и зачем он так нужен

Старый можно будет удалить.

  1. Загрузите карту сайта в формате xml перейдя в «Настройка индексирования«→»Файлы Sitemap«, для чего укажите путь к карте сайта и нажмите на кнопку «Добавить«.

Как установить SSL сертификат на сайт и зачем он так нужен

  1. Последнее, что тут осталось сделать, это убедиться, что все работает, нет ни фатальных, ни критических ошибок, ни каких-либо других проблем. Для этого перейдите в раздел «Диагностика«→»Диагностика сайта«.

Диагностика проблем сайта на Яндексе

Не расслабляйтесь, робот еще не до конца выполнил всю свою работу. Вполне может оказаться что он не сможет загрузить что-нибудь. К примеру, на wordpress-book.ru в Яндекс Веб-мастере при проверке robots.txt всплывало сообщение: «Сервер отвечает редиректом на запрос /robots.txt».

Сервер отвечает редиректом на запрос /robots.txt

Пришлось тогда временно отключить на сервере редирект с http на https для загрузки robots.txt. А то уже в индекс стало попадать множество дублей. После включения редиректа обратно, ошибка больше не появлялась.

Что касается Гугла, то там, как ни странно, не все так продумано. Вам придется в кабинете веб-мастера по новой добавить новый старый сайт с https.

добавить ресурс в Google вебмастер

Главное, как и в Яндексе, обязательно загрузите карту сайта для более быстрой индексации контента ресурса.

добавить sitemap для Гугда

На этом, пожалуй, можно и закончить. Если у кого будут вопросы, замечания, предложения, …, пишите в комментариях или лично мне на почту.

Как установить SSL сертификат на сайт и зачем он так нужен обновлено: 22 апреля, 2017 автором: Роман Ваховский
Хороший человек всегда нажмет на кнопку!
Комментарий > Моя благодарность > Ссылка на секретную страницу блога

30 комментариев: Как установить SSL сертификат на сайт и зачем он так нужен

  • Фарид:

    Это было трудно, но я вроде бы справился) Отличная статья, все разжевано, автор молодец!

  • Елена:

    Здравствуйте! Дошла до 6-го пункта и всё — не могу зайти на свой сайт, что произвести дальнейшие действия — пишет»подключение не защищено», как быть дальше?

  • Ирина:

    Согласна, что из бесплатных только Let’s Ecnrypt — у него в спонсорах Google и Moziila, поэтому вряд ли c ним будут проблемы, как с китайскими центрами типа WoSign, которые браузеры считают опасные. Я свои сертификаты Let’s Encrypt устанавливаю через ISPmanager. Они автоматически перевыпускаются каждые 3 месяца.

    Правда DV сертификат (даже платный от Сomodo) не гарантирует, что владельцу домена можно доверять пароли и номера банковских карт, а это важно для интернет-магазинов или личных кабинетов. Ну и поддомены им не защитить (сертификаты с опцией wildcard), и несколько доменов тоже нет. В этом случае иду к разработчику ISPmanager, беру у них

  • Галина:

    Роман, спасибо за статью — одна из немногих в море инструкций, внятно изложенная, и во многом мне помогла. Зеленый замок висит, при проверке SSL сплошные зеленые галки. Но по-прежнему не могу зайти в админпанель, на белом фоне идет отсылка к главной странице сайта.Что можно еще попробовать?

  • АНТОН:

    Сайт новый. Если не залогинен https серое без замочка. Залогинюсь, все норм. Как быть?

  • АНТОН:

    И еще вопрос, какой у вас сертификат установлен? И нужен ли выделенный айпи для установки сертификата на таймвеб?

    • Роман Ваховский:

      Антон, скорость сайта не замедлилась. Пока установил бесплатный сертификат для пробы.На таймвебе выделенный айпи не нужен на те сертификаты, которые хостинг сам предлагает (выступает как посредник) к установке.

  • АНТОН:

    Скорость сайта при переходе на https замедлилась?

  • Валентина:

    Роман,огромное спасибо за статью. Очень помогли)

  • bytrina:

    Жаль что мне ваша статья не попалась чуть раньше, сама бы все это сделала, а так попросила хостера, который мне и установил сертификат, без проблем.

  • Александр Быкадоров:

    Доброго дня. Спасибо за статью: а разве нужно удалять старый сайт без http и добавлять ручками новый (https)? Сам на этом этапе сейчас нахожусь, но мне кажется при указании галочки в чекбоксе в разделе «Переезд сайта» ПС сама разберется — или нет?
    И еще вопрос: на одном сайте я плагином убрал старые связи http, а на другом — это не прокатило. Выходит надо через БД это делать?
    Буду благодарен за ответы.

    • Роман Ваховский:

      Здравствуйте, Александр!
      Яндекс по теории сам должен разобраться но, как показывает практика, кроме задействования инструмента «Переезд сайта», ему нужно немного помочь, т.е. старый удалить, как написано под одним из скриншотов.
      А вот гугл свой вебмастер хуже подготовил в отличие от Яндекса, там старый сайт надо удалять а новый добавлять. Зато сайт с https в гугле лучше и быстрее приспосабливается к жизни с новым протоколом в Гугле, чем в Яндексе.
      Если с плагином не прокатило и вручную исправлять не собираетесь, то можно через БД. Дополню позже статью как это сделать.

  • bumer:

    Как отключить на сервере редирект с http на https для загрузки robots.txt. Что нужно исключить?

    • Роман Ваховский:

      Отключить инструментом в панели администрирования хостинга как вариант или в .htaccess, смотря как вы его включали.
      Вот только не пойму, зачем отключать редирект для загрузки robots.txt?

  • Александр:

    Я тоже подключил к своему сайту SSL сертификат. Думаю, что это пойдёт моему сайту только на пользу.

  • Татьяна:

    Привет,Роман! А я все тяну с этим.Ты хоть блогом занимаешься,а я на год все забросила и только сейчас начинаю возвращаться.Спасибо за информацию.

  • Гурбангулы:

    «Советую исправлять все вручную»

    то есть вы предлагаете вручную править тысячу записей на сайте, в которых я при написании вставлял картинки штуки по 3-4 в одной статье?

    • Роман Ваховский:

      Здравствуйте Гурбангулы!
      В заголовок по устранению проблем смешанного контента добавил ссылку на материал по автоматической правке ссылок одной командой в БД MySQL. Очень простой и быстродейственный способ.

  • Александр:

    Работы, смотрю, много нужно сделать для перехода на этот безопасный протокол. После нового года, тоже займусь переходом.

  • Денис:

    Спасибо за статью, я тоже решил установить сертификат. Но после изменения «http» на «https», у меня перестает загржаться сайт. Браузер выводит ошибку «Сайт выполнил слишком много переадресаций».
    Я все делаю по инструкции. Что не так? Перестает работать даже админка! Перед процедурой отключил все плагины. Для восстановления работоспособности приходится править все обратно через БД.

    • Роман Ваховский:

      Денис, у меня тоже такое было, в моем случае стоял редирект с https на http. Давно ставил, и забыл про него совсем, случайно вспомнил.
      Вижу, вы справились с проблемой. Что было то?

  • Леонид:

    Роман, спасибо за информацию о SSL сертификатах, из которой я узнал о недостатках бесплатного Lets Encrypt (даже несмотря на то, что выбранный мною хостер устанавливает его автоматически на сайт) и о не высокой годовой цене (500,0 руб.) сертификата Comodo Positive SSL.

    • Денис:

      Недостатки Lets Encrypt просто смешны.Если гугля действительно будет ранжировать в зависимости от ssl, то для обычного блога тратиться на платный сертификат — бред. А коммерческие по любому платный брать будут.

  • Андрей:

    А на характеристики сайта такой переход не повлияет?
    Посещаемость, ТИЦ и прочее?

    • Роман Ваховский:

      Андрей, пока никак не влияет. С начала 2017 года все начнется.

      • Леонид:

        Роман, не могли бы Вы подсказать, какой выбрать недорогой SSL-сертификат для одного сайта с одним (двумя) поддоменами?

        • Роман Ваховский:

          Леонид, сертификат на один домен и неограниченное кол-во поддоменов за 6793 руб. при оплате на три года — COMODO ESSENTIAL SSL WILDCARD (гарантия $10000) у FirstSSL, ссылка в статье. Дешевле есть у буржуйских партнеров, но не намного. А сертификатов на домен и один или два поддомена к нему не встречал. Извиняюсь за опоздание с ответом.

          • Леонид:

            Роман, спасибо за ответ! Но разве нельзя на домен и на поддомен установить, например:
            1) два отдельных самых недорогих из платных Comodo Positive SSL сертификатов (стоимостью 510-550,0 руб. в год каждый);
            2) или на домен установить Comodo Instant SSL-сертификат (стоимостью 2 805 руб. в год, а на поддомен — Comodo Positive SSL?

            • Роман Ваховский:

              Мне эта мысль в голову и не приходила. Если на сайте всего один домен, то таким способом можно прилично сэкономить. Я правда не пробовал, на всякий случай провентилируйте у техподдержки хостинга этот вопрос перед покупкой сертификатов.

  • Алексей Иванов:

    Замечал некоторые ресурсы с окончанием .s. Но их мало, и как то сильно внимание не обращал! У тебя на блоге в конце стоит .s. Значит защищеный. И очень хорошо когда передача шифруется!

Добавить комментарий

Все права защищены © 2011-2024 WordPress-book.ru

Копирование материалов разрешено только с размещением открытой обратной ссылки на источник.