Переход на HTTPS, свежие мнения 2016?

vrv, да с яндекса и так трафа почти нет, а вот с гугла жестокая просадка,

это у всех так что ли?

и как долго ждать пока будет идти склеивание сайтов. У меня уже неделю как и никаких позиций с https в поиске.

Человек же пишет про google.

Насколько знаю, сейчас нет таких рекомендаций об ожидании склейки яндексом сайта с https, это раньше было.

Перевел еще один сайт с более чем 20 тыс. страниц неделю назад, сразу поставил редирект, в яндекс вебмастере галку о переезде на https, добавил сайт с https в яндекс и google вебмастер. robots.txt для протокола http не оставлял для яндекса, хотя егойный вебмастер ругался на этот факт для сайта с http. Никакой просадки пока нет. В поиске google появились к прежним страницам, страницы с https://, в яндексе не вижу. Возможно, потом еще просядет.

Я не делал редирект с HTTP на HTTPS, как рекомендует Google.

Для Яндекса, я выбрал главное зеркало в Host и Вебмастер - Переезд сайта.

Все обновилось за один ап.

Для Google - canonical на HTTPS.

Тоже все обновилось за сутки.

HTTP страницы сразу исчезли из выдачи и не появлялись вот уже более пару месяцев.

(но здесь нужно учитывать, что сайт новый и обратных ссылок на HTTP версию не было)

Из плюсов - всякие браузеры, которые не поддерживают современные инструменты шифрования (TLS и так далее - Android 2.3, всякие там Nokia браузеры), будут получать в ответ HTTP версию, а современные, благодаря HSTS preload, всегда будут получать HTTPS.

Стока страниц... и мнений

Есть какая-то проверенная методи4ka/статья по переходу? где брать лучше бесплатный сертификат? на cms DLE? сайты более 1000 страниц? итп?

буду благодарен -)

Я следовал рекомендациям Google и только.

Рекомендации и инструкции зависят от того, что вы уже умеете.

Вы задавайте конкретные вопросы в теме, мы постараемся вам помочь пошагово.

Лучше использовать Let's Encrypt.

Но для него нужно устанавливать дополнительный софт на сервер, для автоматической выдачи новых сертификатов по истечению срока годности.

Там срок годности сертификата 3 месяца, если не ошибаюсь.

Рекомендую инструкцию по установке Let's Encrypt на Ubuntu 16 LTS от DigitalOcean

(на выходе - A+, HTTP/2, HSTS, запрещен контент сниффинг, абсолютно все нюансы включены и если у вас сервер на DO, можно даже задать вопрос по материалу тех. поддержке)

https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04

Если доступа к SSH сервера нету, тогда из бесплатных остается только StartSSL/CloudFlare.

(ну и еще возможно какие-то китайские провайдеры, что вас вряд ли заинтересует)

Я использовал StartSSL, но планирую перейти на Let's Encrypt.

Установка очень простая, StartSSL отдает цепочку сертификатов.

Этот файл вы размещаете на сервере и ссылаетесь на него из Nginx в директиве server {}

Попутно, я включил поддержку HTTP/2.

У меня последняя версия Ubuntu LTS, поэтому, мне не нужно было ничего обновлять для поддержки ALPN (но обязательно нужно уточнить этот момент).

Если на домен уже есть обратные ссылки, то лучше делать редирект с HTTP на HTTPS.

В противном случае, HTTP версия страниц, на которые есть обратные ссылки, может быть параллельно с HTTPS и выводиться по умолчанию в SERP.

(это касается только Google)

Для Яндекса достаточно выбрать HTTPS версию в Host и подать заявку на переезд сайта в вебмастере.

Если вы хотите, чтобы пользователь вводя ваш адрес в адресную строку, по умолчанию, получал HTTPS версию, тогда нужно отдавать HSTS заголовок и добавить сайт в HSTS preload list.

(этого делать не нужно, если вы настроили редирект, но Google советует, использовать именно HSTS, если нужно предпочитать HTTPS версию)

https://hstspreload.org/

После полной настройки HTTPS на сервере, рекомендую проверять настройку шифрования, а также доступность для разных устройств (и в том числе YandexBox) с помощью

(ориентируйтесь на результат A+)

https://www.ssllabs.com/ssltest/

Настроить шифр, отключить уязвимые протоколы шифрования, которые позволяет перехватывать трафик, отключить контент сниффинг, включить HSTS.

Сервис позволяет также проверить доступность и протокол (http/https/spdy 1.1/2) для самых популярных устройств и поисковых ботов.

Вы можете отловить ситуацию, когда сайт не работает на каком-то устройстве/не доступен конкретному боту из-за некорректной настройки конкретно вашей конфигурации сборки сервера.

Вы прогоните сайт через этот сервис, там более 50 параметров.

Планирую создать сайт интернет-магазина одежды

будет возможность для регистрации пользователей, подписка на новости, предоплата.

Нужно ли приобретать сертификат? если нужно то какой лучше? наверное самый простой платный - будет достаточно?

ps: начал смотреть сайты в топе, почему-то почти ни у кого нет сертификатов. (адидас, найк, рибок, ламода, зара... да и многие другие.) Может и не стоит тогда им заморачиваться и тратится?

nikki4, достаточно сертификата типа Domain Validation (DV) (самый простой).

Насколько я знаю, StartSSL (и вроде бы Let's Encrypt) только для некоммерческого использования.

HTTPS вам нужен в первую очередь для взаимодействия с пользователем, ежели с поисковым ботом.

Chrome начиная с версии 56, которая выйдет 29 января, будет помечать HTTP сайты, на которых размещены формы отправки данных, как небезопасные и уже начал помечать HTTPS сайты, как безопасные.

Однако можно угодить и Google Chrome и поисковому роботу

/ru/forum/954232

И все же, как бы вы ответили на вопрос предыдущего поста? Почему такие сайты, как адидас, найк, рибок (могу дополнительно от себя привести примеры сайтов разных ведущих мировых брендов: опель, сони и т.д.) спокойно сидят на HTTP и не парятся? Они что там, тупее наших?

Вот форма отправки данных apple.com

http://www.apple.com/feedback/magicmouse.html

на том же HTTP...