optimizer.hu - Keresőmarketing (SEO, PPC)

Átállás HTTP-ről HTTPS-re

2017. február 16., csütörtök
2017-ben már nem csak bizonyos személyes és pénzügyi adatok megadása esetén lehet alapkövetelmény, hogy egy webhely SSL-kapcsolatot alkalmazzon. A Google Chrome és Firefox böngészők legújabb verziói már feltűnő módon hívják fel figyelmet, ha a kapcsolat nem titkosított. A felhasználók is egyre jobban ügyelnek az online biztonságukra. Mindennek SEO aspektusa, hogy a Google is pozitív faktorként jegyzi a HTTPS meglétét. Összegyűjtöttem a legfontosabb infókat az átállás lépéseiről.
Átállás HTTP-ről HTTPS-re

A felhasználók adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű ipari szabványként ismert biztonsági technológia, amely a böngésző és a webszerver között átvitt adatok titkosítását biztosítja. A titkosított kapcsolat által az összes adat külső felhasználók által hozzáférhetetlen maradhat. Az SSL használatával biztonságossá tett weboldalak címében a http helyett a https előtag szerepel, ezért az SSL-re sokan "HTTPS" néven is szoktak hivatkozni.

HTTPS a címsorban

A HTTPS a Hypertext Transfer Protocol Secure rövidítése, amely egy internetes kommunikációs protokoll és az adatok integritásáról és bizalmas kezeléséről gondoskodik, a felhasználó böngészője és a webhely között. A HTTPS használatával küldött adatok védelmét a Transport Layer Security protokoll (TLS) biztosítja, amely a védelem három kulcsfontosságú rétegét nyújtja:

  • Titkosítás: Az átadott adatok titkosításával biztonságba helyezi azokat a lehallgatóktól. Ez annyit tesz, hogy webhelyek böngészésekor senki sem "hallgathatja le" a felhasználó kommunikációját, nem követheti őt több oldalon keresztül, illetve nem lophatja el az adatait.
  • Adatok integritása: Az adatokat nem lehet módosítani vagy megfertőzni átvitel közben – történjen ez akár szándékosan, akár másként – anélkül, hogy a rendszer ezt érzékelné.
  • Hitelesítés: Bizonyítja, hogy a felhasználók a megfelelő webhellyel kommunikálnak. Védelmet nyújt a közbeékelődéses támadással szemben, és növeli a felhasználók bizalmát, ami más üzleti előnyöket von maga után.

Az SSL által nyújtott előnyök

Az SSL használatával magasabb fokú adatvédelem és biztonság érhető el, mint a titkosítatlan webes kapcsolatokkal. A technológia csökkenti annak a kockázatát, hogy az átvitt információk külső fél kezébe kerüljenek, és így lehetőséget adjanak a velük való visszaélésre. A webhely számos látogatója nagyobb bizalommal osztja meg fizetési és egyéb személyes adatait, ha tudja, hogy az oldal SSL-kapcsolatot használ.

  • Titkosított kapcsolat webböngésző és webszerver között
  • Magasabb fokú adatvédelem és biztonság
  • Csökkenti az átvitt információk eltulajdonításának kockázatát és az adatokkal történő visszaélést
  • Megbízhatósági és bizalmi faktor a felhasználók részéről
  • Internetes biztonság komolyan vétele az üzleti partnerek felé

A HTTPS Everywhere című előadás prezentációja a Google I/O 2014 konferencián:

A Google és a Facebook mellett egyre több világcég törekszik a "HTTPS Mindenhol" környezet megteremtésére. A web felgyorsítására irányuló törekvés a HTTP/2 csak SSL titkosítással engedélyezett, így emiatt is növekszik a létjogosultsága és népszerűsége. A biztonságos protokollon keresztüli webes kérések aránya 2017-ben már 35% feletti.

Biztonsági tanúsítvány - SSL telepítése

Első lépés a biztonsági tanúsítványok beszerzése. Ezt érdemes első körben az aktuális tárhelyszolgáltatótól kérni. A legtöbb hoszting cég lehetőséget nyújt biztonságos webkapcsolat aktiválására a tárhelyein üzemelő domain nevekhez.

Ingyenes tanúsítvány

Több itthoni hoszting szolgáltatást nyújtó vállalkozás ingyenes tanúsítványt, általában a Let's Encrypt alapszolgáltatását adja díjmentesen előfizetőinek.

A Let's Encrypt egy ingyenes, nyílt projekt, amelyet az Internet Security Research Group (ISRG) non-profit szervezet hozott létre. A közösség által épített rendszeren keresztül teszi lehetővé bárki számára, hogy díjmentesen SSL tanúsítványokat állítson ki és azok nyilvánosan visszaellenőrizhetők legyenek. Megbízható tanúsítványt nyújt, automatikus megújítással.

A beállítás többnyire pár kattintással elvégezhető a tárhelyszolgáltató ügyfélkapuján/admin felületén keresztül. Létre kell hozni a biztonsági kulcsot és a domain névhez kapcsolni. Az aktiválást követően az SSL kulcs néhány percen belül elkészül, általában egyszerre 1 db kulcs aktiválható. A legenerált kulcsok 90 napig érvényesek, melyek automatikus megújításáról a tárhelyszolgáltató gondoskodik. Érdemes bizonyos időközönként ellenőrizni a tanúsítványt, hogy naprakész legyen, megóvva így a webhelyet a lejárt tanúsítvány kellemetlenségeitől.

Let's Encrypt ingyenes HTTPS tanúsítvány

Fizetős tanúsítványok

A hazai tárhelyszolgáltatók többségénél az ingyenes szolgáltatás mellett fizetős certifikációk is vásárolhatók (pl.: RapidSSL, Comodo SSL, StartSSL). Ezek előnyei, hogy garantált 2 éves használati lehetőséget biztosítanak, és akár ékezetes domainekre is beállíthatók. (Az ingyenes tanúsítványokra nincs ilyen hosszú távú garancia, díjmentességükből fakadóan elméletileg bármikor megszűnhetnek. A fizetős tanúsítvány megbízhatóbbnak tűnhet egyes látogatóknak az ingyenes certifikációkkal szemben.) Az egyszerűbb fizetős SSL tanúsítványok évente nagyságrendileg pár ezer Ft-os költséggel járnak.

RapidSSL

Általában még magasabb előfizetői díjon elérhetők több aldomainre hitelesíthető (wildcard) SSL tanúsítványok. Emellett léteznek magasabb szintű (EV), kiterjesztett SSL certifikációk, amivel a böngésző címsorában zöld csíkban (green bar) kiíródik a megrendelő szervezet neve. Ezekkel többnyire csak a maximális biztonságot igénylő webhelyek (pl. pénzintézetek, vagy online fizetést beépítő oldalak) élnek. Ezek a tanúsítványok a legnagyobb presztízs értékkel bírnak az SSL terén, éves díjuk több tízezer és több százezer Ft között mozog.

Az OTP Bank biztonsági tanúsítványa

HTTP belső linkek módosítása

A tanúsítvány beszerzését és beállítását követően következik a belső linkek és elemek URL-jének módosítása. A HTML forráskódban "http://" protokollt szükséges lecserélni relatív hivatkozásokra, pl.:

<script src="http://optimizer.hu/script.js"></script>
helyett szerepeljen:
<script src="//optimizer.hu/script.js"></script>

A belső hivatkozásoknál szintén szerepeljen relatív URL, vagy HTTPS protokoll, pl.:

<a href="http://optimizer.hu/">
helyett:
<a href="https://optimizer.hu/">
vagy:
<a href="//optimizer.hu/">

HTTP-ről HTTPS-re átirányítás

Mindezeket követően szükséges az átirányítási szabályokat beállítani. Jó tudni, hogy duplikált tartalom esetén a HTTPS URL-ek élveznek prioritást a kereső szemében. A Google nem bünteti a duplikált tartalom meglétét, de ezek elhasználják a keresőrobot feltérképezési erőforrásait és felhígítják a webhely minőségi szignáljait. Emiatt tehát hátrányos lehet SEO szempontból a duplikált tartalom, amit ésszerűbb is megszüntetni.

A látogatókat és a keresőrobotokat a 301-es szerveroldali redirect-tel lehet átirányítani a HTTP-ről a HTTPS oldalakra, vagy forrásokra.

Ezt általában a .htaccess file-ban lehet legegyszerűbben definiálni.

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www.optimizer\.hu*
RewriteRule ^(.*)$ https://optimizer.hu/$1 [L,R=301] 

A megfelelően beállított HTTPS oldal a HTTP oldalhoz hasonlóan 200-as HTTP-státuszkódot ad vissza. Ez jelzi, hogy a kérés válasza:OK, avagy a tartalom hozzáférhető. Nem létező oldalak esetében fontos a 404, vagy 410 HTTP állapotkód megléte. A 301-es szerveroldali átirányítások használata során fontos elkerülni a szükségtelen átirányítási láncokat.

Átirányítás HTTP-ről HTTPS-re

Részleges átirányítás

Megoldható az is, hogy csak néhány oldal legyen áthelyezve HTTP-ről HTTPS-re. Sok webhely, ahol kritikusan kezelik az erőforrásokat, csak a legbiztonságosabb oldalakat (pl.: checkout, ecommerce fizetési oldal) állítja át HTTPS-re, minimalizálva a webszerver terhelését. Részletekben, teszteléssel is végrehajtható az áttelepítés HTTP-ről HTTPS-re. Az áthelyezésre előkészített URL-ek korai Google keresőrobot általi indexelése elkerülhető a canonical meta tag használatával, az átirányítások helyett. Mindkét protokoll használata esetén fontos meggyőződni róla, hogy a HTTP és a HTTPS webhely ugyanazt a tartalmat nyújtja-e, szolgálja-e ki.

Belső duplikációk elkerülése

A belső duplikációk elkerülése érdekében canonical meta taget szükséges elhelyezni a HTML oldalak forráskódjába a HTTPS verzióra mutató priorizált URL-lel.

Pl.: http://optimizer.hu/ oldalon legyen elhelyezve:

<link rel="canonical" href="http://optimizer.hu/">
helyett:
<link rel="canonical" href="https://optimizer.hu/">

Ma már természetesen nem csak bizonyos személyes és pénzügyi adatok gyűjtése esetén lehet követelmény, hogy a webhely SSL-kapcsolatot alkalmazzon. Emellett a böngészőben jól látható lakat jelzi a biztonságos kapcsolatot, amely bizalmat építhet a látogatók szemében. Így érdemes lehet minden oldal számára átállni már most, a jövőbe való invesztálásként.

Blokkolások feloldása

A Google keresőrobot csak akkor tudja végrehajtani a HTTPS oldalak feltérképezését és indexelését, ha hozzáfér azokhoz. Gyakori hiba a HTTPS oldalak robots.txt file-ban történő blokkolása, ezek feloldása szükséges. Természetesen vannak esetek, amikor ésszerű megoldás lehet a különböző protokollokhoz eltérő robots.txt fájlok használata, hiszen így külön HTTP és HTTPS oldaltérképekre tudnak hivatkozni. Emellett optimális lehet egy sitemap-ben is felsorolni az adott URL-eket.

Érdemes ellenőrizni, hogy létezik-e külön HTTPS specifikus robots.txt file (pl.: robots_https.txt néven). Ha igen, akkor ebben szerepelhet olyan utasítás, amely kitiltja a keresőrobotot a HTTPS URL-ek hozzáférésétől, pl.:

User-agent: *
Disallow: /

Ilyenkor fel kell oldani a blokkolást. Ezt követően ellenőrizni kell a HTTPS oldalak metacímkéit is, hogy ne szerepeljen bennük a noindex meta tag.

<meta name="robots" content="noindex">
<meta name="googlebot" name="noindex">

Emellett érdemes megvizsgálni, hogy a HTTP fejlécekben se szerepeljen a noindex tag:

X-Robots-Tag: noindex

A Google Search Console-ban elérhető a "Megtekintés Google-ként" funkció, amellyel ellenőrizhető a keresőrobot hozzáférése az adott oldalhoz.

Biztonsági problémák elkerülése

Elkerülhető a biztonsági elemek keveredése, ha a HTTPS oldalakba csak HTTPS tartalom kerül beágyazásra, pl.:

<img src="http://optimizer.hu/kep.jpg alt="Kép" />
helyett legyen
<img src="https://optimizer.hu/kep.jpg alt="Kép" />

Az oldal elveszíti a validitását, ha HTTP elemek (pl. képek, szkriptek) kerülnek beszúrásra, így ezt kerülni kell.

Biztonságos és nem biztonságos kapcsolat jelzése a böngészőben

Search Console beállítása

A Google Search Console fiókokhoz érdemes a webhely összes subdomainjét és protokollját felvenni. (Ha nem reszponzív a webhely, akkor a külön mobil oldalt is.) Így nyomon követhetővé válik az oldal Google általi indexelése.

  • https://optimizer.hu/
  • http://optimizer.hu/
  • https://www.optimizer.hu/
  • http://www.optimizer.hu/
  • (https://m.optimizer.hu/)
  • (http://m.optimizer.hu/)
Search Console HTTP és HTTPS indexelt oldalak

A Google Search Console-ban lehetőség van több tulajdont egyetlen összesített készletbe csoportosítani. Ebben az összes elemre (domainre) vonatkozó szummázott adatok jeleníthetők meg.

Search Console készlet - több fiókkal

Pozitív SEO faktor a HTTPS

Bár a HTTPS-re történő átállás során ideiglenes ingadozás lehet a Google organikus rangsorolásban és forgalomban, de ettől függetlenül abszolút érdemes belevágni a hosszú távú előnyei miatt. A Google ugyanis a HTTPS protokollt pozitív tényezőként veszi figyelembe a rangsorolásnál. A HTTPS webhelyek feljebb-sorolást kapnak a rangsorolásban, de szignifikáns változásra csupán ettől nem lehet számítani. Ez is egy faktor a sok közül és inkább hosszú távon lesz érzékelhető a szerepe.

A legfontosabb tényezők a SEO-ban továbbra is a minőségi tartalom (relevancia, megbízhatóság), a webhely reputációja (autoritás, hitelesség, linkek), a megfelelő technikai beállítások (architektúra, átjárhatóság, indexelhetőség), valamint a felhasználói élmény (performancia, használhatóság).

PPC és HTTPS

Amikor egy webhelyen online konverzió történik, akkor szükséges a felhasználókat adataik megadására kérni. Ilyen eset lehet például a regisztráció, a hírlevélre történő feliratkozás (lead), vagy tranzakció (kereskedelmi célú, rendelés leadása vásárlási szándékkal). Egyelőre a HTTPS megléte még nem számít bele az AdWords minőségi mutatójába, de elképzelhető, hogy a jövőben ez változni fog. Fontos, hogy a hirdetési rendszer irányelvei értelmében az alábbi információkat már most kötelező biztonságos SSL-kapcsolaton (HTTPS) keresztül továbbítani:

  • Hitelkártya és bankkártyaszámok
  • Bank- és beruházási számlaszámok
  • Csekkszámlaszámok
  • Elektronikus átutalási számok
  • Személyigazolvány-szám, nyugdíj-, társadalombiztosítási-, adó- vagy egészségbiztosítási azonosító, jogosítványszám

Kezdeményezés a HTTPS népszerűsítésére

2017 tavaszán elindult egy hazai non-profit mozgalom a HTTPS előnyei népszerűsítésére. A projekt egy alulról szerveződő, ügynökségektől független, de többek között ügynökségek szakmai támogatását is élvező kezdeményezés.

Elstartolt a https://titkosnet.hu/ amely célja, hogy támogassa a magyar web evolúcióját.

A https://titkosnet.hu/ oldalon digitális és keresőmarketing szakemberek promotálják a HTTPS-t az iparág minden szereplője számára. A projekt célja elterjeszteni a biztonságos titkosított protokoll használatát, hogy minél több webhely álljon át erre a működésre, vagy legalább is tegye meg a szükséges előkészületeket. A weboldal tulajdonosok, digitális ügynökségek és tárhely szolgáltatók részéről számos kérdés merülhet fel a témával kapcsolatban, így a szakemberek egy hasznos felületen igyekeznek összegyűjteni ezeket a válaszokkal együtt.

Tetszett a poszt? Köszönöm ha megosztod egy kattintással!

Új hozzászólás

A hozzászólás beküldéséhez belépés szükséges az alábbi gombok egyikével: