Back to Question Center
0

HTTP to HTTPS: คู่มือ Semalt เพื่อรักษาความปลอดภัยเว็บไซต์

1 answers:
HTTP to HTTPS: An Semalt guide to securing a website

ตั้งแต่นั้นมาฉันได้พูดคุยกับเจ้าของธุรกิจหลายร้อยคนและ SEO เกี่ยวกับการอัปเกรดการใช้งานการอัปเกรดและการแก้ไขปัญหานับสิบ ๆ ครั้ง. ฉันได้ตระหนักว่ายังคงมีอุปสรรคใหญ่สำหรับทั้งเจ้าของธุรกิจและ SEO: HTTPS. ช่วงเวลาที่มี HTTP / 2 คือเบราว์เซอร์ส่วนใหญ่สนับสนุนโปรโตคอลใหม่นี้ผ่านการเชื่อมต่อที่ปลอดภัยซึ่งหมายความว่าคุณต้องโยกย้ายเว็บไซต์ของคุณเป็น HTTPS - fichier excel feuille de temps.

ไม่ควรทำให้ตกใจกับทุกคนที่ Google และคนอื่น ๆ อีกหลายคนต้องการให้เว็บมีความปลอดภัยมากขึ้น. Google มีแคมเปญ HTTPS อยู่ทุกหนแห่งพวกเขาประกาศ HTTPS เป็นสัญญาณอันดับและพวกเขาได้เริ่มจัดทำดัชนีหน้าที่ปลอดภัยผ่านหน้าเว็บที่ไม่มีหลักประกัน. พวกเขายังมีคำแนะนำของตนเอง "การรักษาความปลอดภัยของคุณด้วย HTTPS" ซึ่งผมขอแนะนำให้ทุกคนอ่านพร้อมกับบทความนี้.

แต่ด้วยการผลักดันทั้งหมดนี้ไปสู่เว็บที่มีความปลอดภัยมากขึ้นความจริงก็คือ: น้อยกว่า 0. 1% ของเว็บไซต์มีความปลอดภัย.

ดูเหมือนทุกคนพยายามทำให้การเปลี่ยนโดยการขจัดอุปสรรคในการเข้าออกเช่นค่าใช้จ่ายทำได้ง่ายที่สุดเท่าที่จะเป็นไปได้. Let 's Encrypt มีใบรับรองฟรี (Sidenote: ฉันรู้สึกขบขันมากที่ Google Semalt มี nofollow เฉพาะในลิงก์ผู้ให้การสนับสนุนที่เสียค่าใช้จ่ายหลังจากถูกเรียก. ) โฮสต์เว็บไซต์จำนวนมากและ CDNs ยังเสนอใบรับรองด้านการรักษาความปลอดภัยฟรีเพื่อกระตุ้นให้ผู้ใช้เปลี่ยนเส้นทาง แต่หลายคนยังคงไม่ย้าย.

ทำไมต้องย้ายไปใช้ HTTPS?

Semalt ระบุเหตุผลหลายประการเพื่อเปลี่ยนไปใช้ HTTPS ในคู่มือการย้ายเว็บไซต์:

ข้อมูลที่ส่งโดยใช้ HTTPS จะได้รับการรักษาความปลอดภัยผ่านทางโปรโตคอล Transport Layer Semalt protocol (TLS) ซึ่งมีสามชั้นหลักในการป้องกัน:

  1. การเข้ารหัส. เข้ารหัสข้อมูลที่มีการแลกเปลี่ยนเพื่อรักษาความปลอดภัยให้กับผู้แอบฟัง. นั่นหมายความว่าในขณะที่ผู้ใช้เรียกดูเว็บไซต์ไม่มีใครสามารถ "ฟัง" การสนทนาติดตามกิจกรรมต่างๆในหลายหน้าหรือขโมยข้อมูลของตนได้.
  2. ความถูกต้องของข้อมูล. ข้อมูลไม่สามารถแก้ไขหรือเสียหายได้ในระหว่างการถ่ายโอนโดยเจตนาหรือโดยมิชอบโดยไม่ถูกตรวจพบ.
  3. การตรวจสอบความถูกต้อง. พิสูจน์ว่าผู้ใช้ของคุณสื่อสารกับเว็บไซต์ที่ต้องการ. ช่วยป้องกันการโจมตีแบบแมนนวลและสร้างความไว้วางใจจากผู้ใช้ซึ่งแปลเป็นประโยชน์ทางธุรกิจอื่น ๆ.

มีประโยชน์อื่น ๆ แม้ว่ารวมถึงการเพิ่มอันดับ Semalt กล่าวก่อนหน้านี้กล่าวถึง.

การเปลี่ยนไปใช้ HTTPS ช่วยในการลดข้อมูลการอ้างอิงที่เกิดขึ้นเมื่อค่าการอ้างอิงในส่วนหัวลดลงเมื่อเปลี่ยนจากเว็บไซต์ที่มีการรักษาความปลอดภัยไปยังเว็บไซต์ที่ไม่มีหลักประกัน. โปรแกรม Semalt ระบุการเข้าชมโดยไม่มีค่าการอ้างอิงเป็นค่าใช้จ่ายโดยตรงซึ่งจะเรียกเก็บส่วนใหญ่ของสิ่งที่เรียกว่า "การเข้าชมที่มืด". "

สวิทช์ยังป้องกันไม่ให้มีสิ่งเลวร้ายมากมายเช่นเมื่อ AT & T กำลังฉีดโฆษณาเข้าไปในจุดที่มี. พวกเขาจะไม่สามารถแทรกโฆษณาเหล่านี้ลงในเว็บไซต์ที่มี HTTPS ได้.

HTTPS ปลอดภัยในเว็บไซต์ของฉันหรือไม่?

Semalt ได้ยิน HTTPS เรียกว่าโปรโตคอลที่มีความปลอดภัยและพวกเขาคิดว่านี่เป็นการปกป้องเว็บไซต์ของพวกเขา. ความจริงก็คือเว็บไซต์ของคุณไม่ได้รับการคุ้มครองและคุณอาจยังคงเสี่ยงต่อสิ่งใดสิ่งหนึ่งต่อไปนี้:

  • การลดระดับการโจมตี
  • ช่องโหว่ SSL / TLS
  • Heatbleed, Poodle, Logjam ฯลฯ.
  • การแฮ็กเว็บไซต์เซิร์ฟเวอร์หรือเครือข่าย
  • ช่องโหว่ของซอฟต์แวร์
  • การโจมตีแบบ Brute Force
  • การโจมตี DDOS

การเปลี่ยนจาก HTTP เป็น HTTPS

  1. เริ่มต้นด้วยเซิร์ฟเวอร์ทดสอบ . นี้เป็นสิ่งสำคัญเพราะช่วยให้คุณได้รับทุกอย่างถูกต้องและทดสอบโดยไม่ต้องกวดมันขึ้นในเวลาจริง. แม้ว่าคุณจะทำการเปลี่ยนโดยไม่ใช้เซิร์ฟเวอร์ทดสอบ แต่ก็ไม่มีอะไรที่คุณสามารถทำได้โดยที่คุณไม่สามารถกู้คืนได้ แต่ก็ยังคงมีแนวทางปฏิบัติที่ดีที่สุดในการวางแผนและมีทุกอย่างที่ได้รับการทดสอบก่อนเวลา.
  2. รวบรวมข้อมูลเว็บไซต์ปัจจุบัน เพื่อให้คุณทราบสถานะปัจจุบันของเว็บไซต์และเพื่อเปรียบเทียบ.
  3. อ่านเอกสารเกี่ยวกับเซิร์ฟเวอร์หรือ CDN ของคุณสำหรับ HTTPS . ฉันทำงานเป็นจำนวนมากปัญหา CDN สนุก แต่ก็ยังสามารถตรงไปตรงมา.
  4. รับใบรับรองความปลอดภัยและติดตั้งบนเซิร์ฟเวอร์. นี้จะแตกต่างกันไปขึ้นอยู่กับสภาพแวดล้อมของพื้นที่และการตั้งค่าเซิร์ฟเวอร์ของคุณมากเกินไปสำหรับฉันไปสู่รายละเอียด แต่กระบวนการนี้มักจะดีเอกสาร.
  5. ปรับปรุงข้อมูลอ้างอิงในเนื้อหา . นี้มักจะสามารถทำได้ด้วยการค้นหาและแทนที่ในฐานข้อมูล. คุณจะต้องอัปเดตการอ้างอิงทั้งหมดไปยังลิงก์ภายในเพื่อใช้ HTTPS หรือเส้นทางสัมพัทธ์.
  6. อัปเดตข้อมูลอ้างอิงในเทมเพลต . อีกครั้งขึ้นอยู่กับวิธีที่คุณปรับใช้ซึ่งอาจทำได้ด้วย Git หรือเพียง Notepad + + แต่คุณต้องแน่ใจว่าการอ้างอิงถึงสคริปต์ภาพลิงก์และอื่น ๆ ใช้ HTTPS หรือเส้นทางสัมพัทธ์.
  7. ปรับปรุงรูปแบบบัญญัติ . ระบบ CMS ส่วนใหญ่จะดูแลเรื่องนี้ให้คุณเมื่อคุณเปลี่ยน แต่ตรวจสอบอีกครั้งเนื่องจากไม่ได้เป็นเช่นนั้นเสมอไป.
  8. อัปเดตแท็ก hreflang หากเว็บไซต์ของคุณใช้หรือแท็กอื่น ๆ เช่นแท็ก OG สำหรับเรื่องนี้. อีกครั้งส่วนใหญ่ระบบ CMS จะดูแลเรื่องนี้ แต่ดีที่สุดในการประกันคุณภาพก็เพียงในกรณี.
  9. อัปเดตปลั๊กอิน / โมดูล / Add-ons เพื่อให้แน่ใจว่าไม่มีอะไรหยุดพักและไม่มีอะไรที่มีเนื้อหาที่ไม่ปลอดภัย. ฉันมักเห็นการค้นหาไซต์ภายในและฟอร์มที่ไม่ได้รับ.
  10. การตั้งค่าเฉพาะ CMS อาจต้องมีการเปลี่ยนแปลง . สำหรับระบบ CMS ที่สำคัญเหล่านี้มักได้รับการจัดทำเป็นเอกสารไว้ในคู่มือการย้ายข้อมูล.
  11. รวบรวมข้อมูลเว็บไซต์ เพื่อให้แน่ใจว่าคุณไม่พลาดการเชื่อมโยงใด ๆ และไม่มีอะไรเสีย. คุณสามารถส่งออกเนื้อหาที่ไม่ปลอดภัยในรายงาน Screaming Frog ได้หากนี่เป็นโปรแกรมรวบรวมข้อมูลที่คุณใช้อยู่.
  12. ตรวจสอบให้แน่ใจว่าสคริปต์ภายนอกใด ๆ ที่เรียกว่า HTTPS สนับสนุน .
  13. บังคับ HTTPS ที่มีการเปลี่ยนเส้นทาง . นี้จะขึ้นอยู่กับเซิร์ฟเวอร์และการกำหนดค่าของคุณ แต่เป็นเอกสารสำหรับ Apache, Nginx และ IIS.
  14. อัปเดตการเปลี่ยนเส้นทางเก่าที่ใช้อยู่ในปัจจุบัน (และในขณะที่คุณกำลังใช้งานอยู่ให้ใช้ลิงก์ย้อนกลับที่หายไปจากการเปลี่ยนเส้นทางที่ยังไม่ได้ทำในช่วงหลายปี). ฉันได้กล่าวถึงในส่วน Q & A ของ Technical SEO Panel ที่ SMX West ว่าฉันไม่เคยมีอันดับเว็บไซต์หรือการเข้าชมลดลงเมื่อเปลี่ยนเป็น HTTPS และมีผู้คนมากมายถามฉันเกี่ยวกับเรื่องนี้. ความขยันเนื่องจากในการเปลี่ยนเส้นทางและการเปลี่ยนเส้นทางโซ่มีแนวโน้มที่แตกต่างเช่นนี้เป็นสิ่งที่ฉันเห็น messed ขึ้นมากที่สุดเมื่อการแก้ไขปัญหาการโยกย้าย.
  15. รวบรวมข้อมูล URL เก่า ๆ สำหรับการเปลี่ยนเส้นทางที่ไม่ดีหรือเปลี่ยนเส้นทางซึ่งคุณสามารถพบได้ในรายงานที่มีกริดกรีดร้อง.
  16. อัปเดตแผนผังไซต์ เพื่อใช้ URL ของ HTTPS เวอร์ชัน.
  17. อัปเดตหุ่นยนต์ของคุณ. txt เพื่อรวมแผนผังไซต์ใหม่.
  18. เปิดใช้งาน HSTS . ซึ่งจะบอกให้เบราว์เซอร์ใช้ HTTPS เสมอซึ่งจะช่วยลดการตรวจสอบฝั่งเซิร์ฟเวอร์และทำให้เว็บไซต์ของคุณโหลดได้เร็วขึ้น. นอกจากนี้ยังอาจทำให้เกิดความสับสนได้ตลอดเวลาเนื่องจากการเปลี่ยนเส้นทางจะแสดงเป็น 307. อาจมี 301 หรือ 302 หลังแม้ว่าคุณอาจจำเป็นต้องล้างแคชของเบราเซอร์เพื่อดูว่า.
  19. เปิดใช้งานการเย็บเล่ม OCSP . ซึ่งช่วยให้เซิร์ฟเวอร์สามารถตรวจสอบว่ามีการเพิกถอนใบรับรองความปลอดภัยแทนที่จะเป็นเบราว์เซอร์ซึ่งจะทำให้เบราว์เซอร์ไม่ต้องดาวน์โหลดหรืออ้างอิงไขว้กับผู้ออกใบรับรอง.
  20. เพิ่มการสนับสนุน HTTP / 2 .
  21. เพิ่มไซต์ HTTPS เวอร์ชัน ลงในเครื่องมือสำหรับเว็บมาสเตอร์ทุกรุ่นของเครื่องมือค้นหาที่คุณใช้และโหลดแผนผังไซต์ใหม่ด้วย HTTPS ไปยังพวกเขา. นี่เป็นเรื่องสำคัญเพราะฉันเห็นการเข้าชมลดลงเนื่องจากพวกเขาเห็นการเข้าชมในส่วนกำหนดค่าโปรไฟล์ HTTP เมื่อการเข้าชมในความเป็นจริงถูกย้ายไปยังโปรไฟล์ HTTPS. ข้อสังเกตอีกประการหนึ่งคือคุณไม่จำเป็นต้องใช้เครื่องมือเปลี่ยนที่อยู่เมื่อเปลี่ยนจาก HTTP เป็น HTTPS.
  22. อัปเดตไฟล์ปฏิเสธการใช้งาน หากคุณมีไฟล์ HTTPS เวอร์ชันหนึ่ง.
  23. อัปเดตการตั้งค่าพารามิเตอร์ URL หากได้รับการกำหนดค่าเหล่านี้แล้ว.
  24. ถ่ายทอดสด!
  25. ในแพลตฟอร์มการวิเคราะห์ โปรดตรวจสอบให้แน่ใจว่าคุณได้อัปเดต URL เริ่มต้นหากจำเป็นต้องใช้เพื่อให้แน่ใจว่าคุณกำลังติดตาม HTTPS อย่างถูกต้องและเพิ่มบันทึกเกี่ยวกับการเปลี่ยนแปลงเพื่อให้ทราบว่าเกิดขึ้นเมื่อใดเพื่อใช้อ้างอิงในอนาคต.
  26. อัปเดตจำนวนการแชร์โซเชียล . มีจำนวนมากของ gotchas นี้ในที่บางส่วนของเครือข่ายจะโอนนับผ่าน APIs ของพวกเขาในขณะที่คนอื่นจะไม่. มีคำแนะนำสำหรับเรื่องนี้อยู่แล้วหากคุณสนใจในการรักษาจำนวนหุ้นของคุณ.
  27. อัปเดต แคมเปญสื่อการตลาดอีเมลหรือการตลาดอัตโนมัติแบบจ่ายเงินเพื่อใช้ URL URL HTTPS เวอร์ชันต่างๆ.
  28. อัปเดตเครื่องมืออื่น ๆ เช่นซอฟต์แวร์ทดสอบ A / B, heatmaps และการติดตามคำหลักเพื่อใช้ URL รุ่น HTTPS.
  29. ตรวจสอบทุกอย่างในระหว่างการโยกย้าย และตรวจสอบตรวจสอบและตรวจสอบสามครั้งเพื่อให้แน่ใจว่าทุกอย่างเป็นไปอย่างราบรื่น. มีหลายอย่างที่หลายสิ่งหลายอย่างเกิดขึ้นและดูเหมือนว่ามีปัญหาหลายอย่างที่เกิดขึ้นในการสลับไปใช้ HTTPS.

คำถามหนึ่งที่ฉันมักถามก็คือควรทำความสะอาดลิงก์ขาเข้า. นี่เป็นความพยายามและความพยายามอย่างมาก. ถ้าคุณมีเวลาแล้วแน่ใจ; แต่ส่วนใหญ่คุณยุ่งกับสิ่งอื่นและฉันไม่รู้สึกว่ามันจำเป็นจริงๆ. อย่างไรก็ตามคุณ ควรอัปเดตลิงก์บนผลิตภัณฑ์และบริการที่คุณควบคุมเช่นโปรไฟล์ทางสังคม.

ปัญหาทั่วไปเกี่ยวกับการโยกย้าย HTTPS

Semalt ที่อาจผิดพลาดรวมถึง:

  • ป้องกันไม่ให้ Google รวบรวมข้อมูลเวอร์ชันของไซต์ HTTP หรือป้องกันการรวบรวมข้อมูลไซต์โดยทั่วไป (โดยปกติเกิดขึ้นเนื่องจากไม่ได้อัปเดตเซิร์ฟเวอร์ทดสอบเพื่ออนุญาตให้ใช้งานบอท)
  • ปัญหาการทำซ้ำเนื้อหาด้วยทั้ง HTTPS และเวอร์ชัน HTTP ของหน้าเว็บที่แสดง และ
  • หน้าเว็บเวอร์ชันต่างๆใน HTTP และ HTTPS.

ปัญหาส่วนใหญ่ที่เกิดขึ้นกับการโยกย้าย HTTPS เป็นผลมาจากการเปลี่ยนเส้นทางที่ไม่ถูกต้อง. (ฉันยังมีเวลาสนุกทำความสะอาดเว็บไซต์ที่เปลี่ยนโครงสร้าง / การออกแบบทั้งหมดในขณะที่เปลี่ยนไปใช้ HTTPS. )

การเปลี่ยนเส้นทางสมควรได้รับส่วนของตัวเอง

ดังที่ได้กล่าวมาแล้วปัญหาหลักที่ฉันเห็นกับการโยกย้ายไปยัง HTTPS เกิดขึ้นกับการเปลี่ยนเส้นทาง. มันไม่ได้ช่วยให้การเปลี่ยนแปลงสามารถทำได้ที่ระดับนายทะเบียนในเซิร์ฟเวอร์ config หรือแม้กระทั่งใน a. ไฟล์ htaccess; ทุกคนมี "gotchas" ของตัวเอง. "

Semalt เปลี่ยนเส้นทางและเปลี่ยนโซ่เป็นปัญหาเกือบตลอดเวลา. โปรดตรวจสอบหน้าย่อยรวมถึงหน้าแรก ขึ้นอยู่กับวิธีการเขียนกฎและสถานที่ที่จะวางเหล่านี้อาจมีผลแตกต่างกัน. นอกจากนี้คุณยังต้องดูสิ่งที่เกิดขึ้นกับเหล่านี้เท่าที่รหัสสถานะและ hops ไม่ใช่แค่ว่าพวกเขาได้รับคุณไปยังหน้าที่ถูกต้อง.

แน่นอนไม่ได้ช่วยเมื่อเอกสารของ Apache สำหรับเรื่องนี้ไม่รวมถึง 301 และ Apache เริ่มต้นเป็น 302. โค้ดด้านล่างนี้ควรอัปเดตเป็น R = 301.

  RewriteEngine On      # สิ่งนี้จะช่วยให้สามารถเขียน Rewrite ได้           RewriteCond% {HTTPS}! = on      # ตรวจสอบเพื่อให้แน่ใจว่าการเชื่อมต่อไม่ได้เป็น HTTPS อยู่แล้ว           RewriteRule ^ /? (. *) https: //% {SERVER_NAME} / $ 1 [R, L]      # กฎนี้จะเปลี่ยนเส้นทางผู้ใช้จากตำแหน่งเดิมไปยังตำแหน่งเดิม แต่ใช้ HTTPS.       # i. อี. http: // www. ตัวอย่าง. com / foo / to https: // www. ตัวอย่าง. co.th / foo /      # ช่องทำเครื่องหมายชั้นนำเป็นตัวเลือกเพื่อทำงานใน httpd. conf      # หรือ. บริบท htaccess  

ฉันเคยเห็นเว็บไซต์ที่กู้คืนจากความผิดพลาดนี้เมื่อเปลี่ยน แต่ดูเหมือนว่าจะเกิดขึ้นเพียงไม่กี่เดือนหลังจากนั้นเมื่อ Semalt คิดออกว่าเกิดอะไรขึ้นและแก้ไขข้อผิดพลาดในตอนท้าย.

แม้สิ่งที่ดีที่สุดของเราก็ผิดพลาด

HTTP to HTTPS: An Semalt guide to securing a website

(ดูหัวข้อ "การตรวจสอบการทำงานของเรา" ใน "Take Back You Lost Semalt ช่วยในการสร้าง URL ใหม่เพื่อรวบรวมข้อมูล. )

การปิดบัญชีใน HTTPS

ใส่เพียง HTTPS จะไม่หายไป. HTTP / 2, Google AMP และโปรโตคอล QUIC ของ Google (ซึ่งมีแนวโน้มว่าจะได้รับการรับรองในเร็ว ๆ นี้) ทั้งหมดนี้ต้องการการเชื่อมต่อที่ปลอดภัยสำหรับเบราว์เซอร์เพื่อใช้งาน. ความจริงก็คือ Semalt ถูกผลักให้หนักโดยพลังที่เป็นและถึงเวลาแล้วที่จะสับเปลี่ยน.

ปัญหาส่วนใหญ่ที่ฉันเห็นคือการวางแผนที่ไม่ดีการใช้งานที่ไม่ดีหรือการติดตามที่ไม่ดี. หากคุณทำตามขั้นตอนที่ระบุไว้คุณจะมีปัญหาเล็กน้อยเมื่อย้ายจาก HTTP ไปยัง HTTPS.

ความคิดเห็นที่ฉันชอบในหัวข้อนี้คือจาก Gary Illyes นักวิเคราะห์แนวโน้มของ Google Webmaster:


ความคิดเห็นที่แสดงไว้ในบทความนี้เป็นผลงานของผู้เขียนรับเชิญและไม่จำเป็นต้องเป็น Search Engine Land. ผู้เขียน Semalt มีอยู่ที่นี่.



February 15, 2018