Certyfikat SSL to konieczność, jeśli prowadzisz działalność w internecie, ale jego wdrożenie nie zawsze jest takie proste z punktu widzenia SEO. Dlatego przygotowaliśmy poradnik, który pomoże przenieść się z HTTP na HTTPS tak, aby nie stracić wypracowanych pozycji.
HTTPS (HyperText Transfer Protocol Secure) to szyfrowana wersja protokołu HTTP, która zapewnia poufność informacji przesyłanych między komputerem a witryną oraz uniemożliwia przechwytywanie i zmienianie przesyłanych danych. Do korzystania z HTTPS konieczne jest zainstalowanie certyfikatu SSL, a raczej TLS (TLS jest rozwinięciem protokołu SSL, ale przyjęło się używanie tych określeń wymiennie).
Google uznało internet w wersji HTTPS za swoją misję, a od 2018 roku przeglądarka Google Chrome oznacza strony bez certyfikatu SSL jako niezabezpieczone. Próba podania danych logowania na stronach bez certyfikatu również generuje ostrzeżenia. Od Chrome 81 (marzec 2020) obrazy z HTTP w obrębie stron z HTTPS są ładowane w wersji z HTTPS (a jeśli ich załadowanie nie jest możliwe, są blokowane). Dodatkowo stopniowo jest także blokowane / opatrywane ostrzeżeniami pobieranie plików bez HTTPS na zabezpieczonych stronach – od Chrome 83 (czerwiec 2020) zablokowano pobieranie plików wykonywalnych, od Chrome 86 wszystkich plików (październik 2020).
Źródło: Mixed downloads w Chrome.
Warto także wspomnieć, że Google promuje stosowanie mechanizmu HSTS (HTTP Strict Transport Security), który uniemożliwia połącznie z serwerem korzystające z niezabezpieczonego protokołu HTTP. Zachęca także do korzystania ze wstępnego ładowania HSTS.
Więcej informacji: Zabezpieczanie witryny za pomocą protokołu HTTPS.
Aktualnie posiadanie certyfikatu jest czynnikiem rankingowym o niewielkiej mocy. W dalszym ciągu w wynikach wyszukiwania pojawiają się domeny z HTTP. Nie oznacza to jednak, że wdrożenie SSL można zignorować, zwłaszcza jeśli weźmiemy pod uwagę nacisk, jakiGoogle kładzie na bezpieczne przeglądanie internetu. Oraz na odczucia samych użytkowników, którzy – z oczywistych względów – mogą mieć obiekcje przed korzystaniem z witryny, która nie wykorzystuje szyfrowania.
Dodatkowo warto pamiętać, że bez SSL-a nie skorzystamy z HTTP/2, a co za tym idzie zoptymalizowanie prędkości ładowania naszej strony będzie mocno ograniczone.
Przy wdrożeniu HTTPS konieczne jest stworzenie przekierowań 301 z wersji bez SSL-a na wersję z certyfikatem.
Najczęstsze błędy? Brak poprawnego przekierowania na wersji www, stworzenie przekierowania wszystkich podstron na stronę główną, stosowanie przekierowania 302 zamiast 301.
Certyfikatem objęte powinny zostać także subdomeny, konieczne jest również stworzenie przekierowań. Jeśli strona ma wersję mobilną w subdomenie, certyfikat jest konieczny.
Jeżeli w obrębie strony wykorzystywane były linki bezwzględne, zamiast względnych wskazana jest ich poprawa.
Adres bezwzględny: https://xann.pl/ /audyt-i-optymalizacja-strony-internetowej
Adres względny: /audyt-i-optymalizacja-strony-internetowej
O co chodzi? Link bezwzględny zawiera protokół i domenę, link względny jedynie ścieżkę. Jeżeli stosowaliśmy linki bezwzględne z protokołem HTTP, będą one generowały przekierowania. A im mniej przekierowań w obrębie strony, tym lepiej.
Problem adresów względnych i bezwzględnych dotyczy także plików w obrębie domeny: obrazów, pdf-ów, a pod pojęciem mixed content kryje się serwowanie użytkownikom niezabezpieczonych zasobów w obrębie zabezpieczonej strony. W takiej sytuacji w pasku adresu pojawi się informacja o tym, że strona jest niezabezpieczona, mimo posiadania ważnego certyfikatu SSL.
Tag canonical wskazuje robotom preferowaną wersję strony, wykorzystywany jest w przypadku URL-i, które mają kilka różnych wersji, np. spowodowanych stronicowaniem. Niestety zadziwiająco częstym błędem przy wdrażaniu SSL-a jest pozostawienie canonicali, które wskazują na wersję HTTP strony. Warto więc sprawdzić ten element.
Tagi Open Graph pozwalają na zoptymalizowanie tego, w jaki sposób nasza strona wygląda w mediach społecznościowych. Po zmianie na HTTPS warto sprawdzić, czy OG nie wskazują przypadkiem na wersję bez certyfikatu.
Idealnym rozwiązaniem jest przekierowanie, które ma tylko jeden krok. Niestety dość często spotyka się łańcuchy przekierowań (użytkownik lub bot przekierowywaniu są kilkukrotnie zanim trafią na prawidłowy adres) bądź pętle (użytkownik lub bot trafiają do punktu wyjścia). Jeśli pojawią się na stronie po wdrożeniu SSL-a, koniecznie trzeba je poprawić.
Koniecznie trzeba sprawdzić, czy linki w mapie strony występują w wersji HTTPS. Dodatkowo nie zapomnij o dodaniu nowej mapy w Google Search Console.
Jeśli w pliku robots.txt dodany był link do mapy strony, trzeba go zaktualizować na wersję z HTTPS.
Jeśli tylko jest taka możliwość, warto zaktualizować linki prowadzące do naszej domeny. Koniecznie trzeba poprawić linki w mediach społecznościowych, Mapach Google i Google Moja Firma.
Jeśli strona w GSC jest dodana w wersji prefiksu adresu URL, a nie domeny (weryfikacja DNS), konieczne będzie dodanie wersji z HTTPS.
Google Search Console jest najlepszym przyjacielem po zmianie wersji domeny. Koniecznie trzeba śledzić raport Stan w sekcji Indeks i obserwować, czy nowa wersja strony poprawnie się indeksuje, a stara stopniowo znika z wyników wyszukiwania.
Każdy. Ale zwłaszcza wszystkie strony, które zbierają dane wrażliwe, hasła, loginy, adresy e-mail, dane kart kredytowych oraz strony z branży YMYL (Your Money Your Life). Dodatkowo musisz pamiętać, że certyfikat SSL jest konieczny przy uruchamianiu kampanii Google Shopping (Zakupy Google).
Tak, w większości przypadków będzie to akceptowalne rozwiązanie. Warto jednak wiedzieć, że darmowe certyfikaty oferują jedynie walidację na poziomie domeny (DV). Jeśli zależy nam na certyfikacie OV (Organization Validation) lub EV (Extended Validation), za certyfikat trzeba będzie zapłacić.
Lista narzędzi, które pomogą sprawdzić poprawność wdrożenia certyfikatu:
Niepoprawne wdrożenie HTTPS może spowodować drastyczny spadek w pozycjach. Przy poprawnym wdrożeniu nie ma zagrożenia.
W przypadku gdy certyfikat wygaśnie lub generuje błędy, np. w przekierowaniach, korzystanie z witryny jest utrudnione / niemożliwe. Użytkownikom pojawiać się będą ostrzeżenia. Poniżej przykład strony z nieprawidłowym certyfikatem:
Poprawnie wdrożony certyfikat ma marginalny wpływ na szybkość ładowania strony. Problemem mogą być za to łańcuchy przekierowań.
