logo print

Ghid de migrare a site-ului web de la HTTP la HTTPS

In prezent, consideram ca este mai indicat sa se faca aceasta migrare decat in trecut, deoarece conform statisticilor, aproximativ 50% din totalul traficului pe internet este encriptat si trendul arata ca lucrurile vor merge sigur in aceasta directie. Mai mult, incepand cu luna octombrie 2017, toate website-urile care vor avea formulare vor fi marcate ca nesecurizate de browsere daca colecteaza date cu caracter personal.

De ce sa migrezi un site web spre HTTPS ?

  1. In primul rand, ofera un nivel mai bun de securitate pe Internet pentru ca datele sunt transmise criptat intre serverul de web si browserul client. Este un criteriu esential pentru orice website care face tranzactii financiare online (shop online, internet banking etc). Activarea SSL ofera un extra layer de protectie pentru aplicatiile open source, gen WordPress, Joomla, deoarece previne interceptarea parolelor la sectiunea de login.

    Citeste mai multe aici despre acest aspect:
    https://www.wpwhitesecurity.com/wordpress-security/hacking-wordpress-login-capturing-usernames-passwords/
  2. Website-ul castiga la capitolul credibilitate, in special pentru companii, daca se alege un certificat digital de tipul extended validation deoarece implica afisarea numelui societatii comerciale in bara superioara a browserului, in mod explicit, cu verde.

    Bara de adrese cu certificat extended validation
  3. Viteza mai buna de incarcare a paginilor web pe HTTP2. Conform unui studiu publicat de catre cei de la Mozilla referitor la performanta browserului, HTTP2 performeaza cu 60% mai bine decat HTTP1.1.

    Se poate compara viteza de incarcare folosind aplicatia web disponibila aici:
    https://www.dareboost.com/en/website-speed-test-http2-vs-http1

    Daca doresti sa afli mai multe detalii despre comparatia intre HTTP2 si HTTP1, poti gasi mai multe informatii aici:
    https://www.upwork.com/hiring/development/the-http2-protocol-its-pros-cons-and-how-to-start-using-it/
  4. In platforma Google Analytics se poate vedea mai bine sursa traficului (refferer-ul) catre site-ul tau. In acest moment, traficul transmis de la site-uri cu HTTPS catre un site HTTP este vazut ca trafic direct, fiind un inconvenient major in analizele de trafic.
  5. Performanta mai buna a site-ului in motorul de cautare in Google. Incepand din 2014, Google a mentionat migrarea site-urilor web spre protocolul HTTPS, dar abia spre sfarsitul anului 2016 au punctat suplimentar in motorul de cautare website-urile care folosesc HTTPS. A nu se intelege ca folosirea HTTPS este un criteriu esential in cresterea in rezultatele motorului de cautare inaintea continutului de calitate, a link-urilor care pointeaza spre website sau a vitezei de incarcare a paginilor.

Tipuri de certificate digitale: Ce fel de certificat digital sa alegem?

In functie de modalitatea de validare dorita, putem avea certificate:

  • Domain Validation, pretabil pentru companii mici, site-uri personale sau bloguri.
  • Business/Organization Validation, pretabil companiilor care doresc sa isi asigure clientii cu un nivel ridicat de siguranta. Este un certificat care necesita aproximativ 3-4 zile pentru aprobare datorita necesitatii de verificare a adresei si a datelor companiei.
  • Extended Validation, similar celui precedent cu mentiunea ca pune la dispozitie numele companiei in browser pe banda verde. Recomandat pentru institutii financiare, organisme de plata electronica sau orice website care realizeaza tranzactii monetare.
  • Certificate Wild Card care securizeaza toate subdomeniile unui domeniu. Sunt utile pentru companii care detin mai multe subdomenii.
  • Certificate Multidomain. Sunt utile pentru companiile care detin mai multe domenii web.

Furnizori de Certificate Digitale:

Principalii furnizori de certificate digitale sunt Comodo, GeoTrust, si Verisign.

Totodata, exista optiunea de certificate gratuite la StartCom (https://www.startcomca.com/) sau la http://www.cacert.org/ dar acestea prezinta dezavantajul ca nu sunt recunoscute decat de browserul Internet Explorer si nu ofera garantii financiare. Personal, folosesc aceste tipuri de certificate doar pentru testare. O alta modalitate viabila ce permite instalarea unui certificat digital Gratuit este aplicatia celor de la Let’s Encrypt.

Pasi pentru Migrararea de la HTTP la HTTPS fara a afecta pozitia in motorul de cautare Google

  1. Se updateaza toate linkurile interne in fiecare script din site. Ideal ar fi ca in codul scripturilor sa se foloseasca calea relativa la fiecare resursa. In functie de CMS-ul folosit, este necesar sa se faca update si in tabelele din bazele de date. Nu trebuie pierdute din vedere nici librariile externe de JavaScript, CSS sau altele. Un tool util pentru a verifica daca mai exista link-uri nesecurizate gasiti la adresa https://www.jitbit.com/sslcheck/
  2. Adauga redirecturi 301 intre vechile url-uri si noile resurse web securizate. Acesta este probabil cel mai important pas ce determina mentinerea website-ului in motorul de cautare. Este recunoscut faptul ca prin redirecturile 301 se transfera intre 90% si 99% din Link Juice. Omiterea acestui pas va determina pierderea pozitiilor in motorul de cautare Google. Cea mai convenabila metoda de a implementa acest pas este la nivel de server.
    
    //Pe appache
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    
    
    //Pe NGINX
    server {
    listen 80;
    server_name domain.com www.domain.com;
    return 301 https://domain.com$request_uri;
    }
    
    
    //La nivel de script in PHP
    // Require https
    if ($_SERVER['HTTPS'] != "on") {
        $url = "https://". $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
        header("Location: $url");
        exit;
    }
    

    Foarte important, trebuie modificate si vechile redirecturi, in caz contrar, exista riscul sa pierzi ranking pe acestea din urma.

  3. Trebuie modificat fisierul Robots.txt astfel incat sa accepte HTTPS.
  4. Trebuie modificat in toate scripturile tagul canonical si tagul HrefLang astfel incat sa pointeze la resursele securizate.
    
    <link rel="canonical" href="https://www.url.ro">
    
  5. Folosind un tool specializat pentru identificarea back-linkurilor, trebuie gasite toate domeniile care trimit link-uri catre site. Trebuie solicitat adminilor acestor site-uri sa modifice url-urile de la HTTP la HTTPS.
  6. Trebuie updatat in CDN-uri. Protocolul de comunicare la HTTP2 , Origin Url-ul la versiunea cu HTTPS, si orice alte resurse utilizate.
  7. Trebuie creat un profil nou in Google Search Console care sa contina noul site securizat. In Google Search Console se va face resubmisie de sitemap, apoi fetch as Google. Trebuie deasemenea - foarte important - resubmis si fisierul de dezavuare a linkurilor toxice, in caz contrar, website-ul pe HTTPS poate fi lovit de algoritmul de penalizare a linkurilor nenaturale Penguin.
  8. Trebuie modificat profilul in Google Analytics la HTTPS.
  9. In toate campaniile de publicitate Google Adwords, Facebook Ads, Campaniile de email Marketing trebuie facute modificarile de rigoare.
  10. Pe partea de server trebuie activat HSTS pentru cresterea vitezei de incarcare a paginii. Serverul va livra paginile securizate fara sa mai faca o structura decizionala referitoare la protocolul rulat.
  11. Trebuie activat pe server HTTP2.

Pentru mai multe detalii, urmariti articolul Ghid de Instalare Certificat Digital.

Abonare Newsletter: