Bezpieczeństwo strony internetowej
Certyfikat SSL — aby dobrze żyć z Google.
W praktyce oznacza to, że powinien posłusznie stosować się do zaleceń Google w kwestiach związanych z różnymi aspektami prowadzenia strony internetowej. A wszystko po to, by oczywiście znaleźć się jak najwyżej w wynikach wyszukiwania lub żeby z nich nie wypaść.
Google od dłuższego czasu kładzie nacisk na podniesienie bezpieczeństwa w sieci, więc zachęca właścicieli stron WWW do korzystania z szyfrowanego protokołu przesyłania danych.
Jeżeli zamierzasz właśnie uruchomić swoją stronę internetową, to zdecydowanie warto o tym pomyśleć, a jeśli już masz serwis WWW, to powinieneś rozważyć zabezpieczenie przesyłu danych specjalnym certyfikatem SSL.
Certyfikat SSL szyfruje dane przesyłane między Twoim urządzeniem a stroną internetową. Utrudnia to przechwycenie lub zmodyfikowanie informacji, jeśli już ktoś chciałby to zrobić.
Łatwo można dostrzec, czy dana strona przesyła dane bezpiecznie, czy też nie. Informuje o tym charakterystyczna ikona kłódki obok adresu strony internetowej.
Dlaczego warto korzystać z certyfikatu SSL?
Google zapowiada, że takie strony mają szansę na wyższą pozycję w wynikach wyszukiwania.
Zaufanie odwiedzających. Świadomość użytkowników w kwestii bezpieczeństwa cały czas wzrasta, a bardzo łatwo jest rozpoznać stronę zabezpieczoną certyfikatem.
Poniżej znajdziesz kilka praktycznych uwag o tym, co warto wiedzieć o certyfikacie SSL.
Praktycznych, bo sam przeszedłem procedurę przenoszenia strony grafoteka.pl. Poniżej opiszę też, jaki wpływ miało wdrożenie certyfikatu na indeksowanie i pozycjonowanie mojej strony.
Na początek pierwszy scenariusz, czyli uruchamianie nowej strony zabezpieczonej certyfikatem SSL.
Jak wdrożyć certyfikat SSL na swojej stronie
Po pierwsze ile to kosztuje.
Średnio Od 0 do około tysiąca złotych rocznie w zależności od certyfikatu.
Bezpłatny będzie na początek wystarczający. Nazywa się Let's Encrypt i jest oferowany przez wielu dostawców usług internetowych, co jest najprostszym rozwiązaniem.
Jeżeli jesteś na etapie wybierania hostingu, to zdecydowanie warto zwrócić na to uwagę. Takie certyfikaty oferują m.in. OVH, Zenbox, Dhosting, Kei, HitMe czy Atthost.
Sama procedura jest prosta, a wszystkie informacje znajdziesz na pewno na stronie wybranego przez siebie usługodawcy.
Nie będę opisywał, jak uaktywnić certyfikat, bo wygląda to różnie. W Dhosting jest to proces automatyczny; certyfikat od razu jest aktywowany do każdej domeny. W przypadku innych dostawców niekiedy trzeba „ręcznie” wygenerować certyfikat, a pliki strony umieszczać w specjalnym folderze np. w folderze private_html. Tak jest choćby w HitMe. Ogólnie nie są to trudne procedury.
Teraz drugi scenariusz, nieco bardziej złożony.
Zabezpieczenie certyfikatem SSL już działającej strony.
Jeżeli tak, jak w moim przypadku masz już swoją stronę, która jest, lepiej lub gorzej, wypozycjonowana, to wdrożenie certyfikatu SSL oznacza małe zawirowania.
Dlaczego?
Ponieważ dla Google strona http://grafoteka.pl i https://grafoteka.pl to dwie różne strony. Dlatego należy się liczyć z wahaniami pozycji w wynikach wyszukiwania.
Warto dobrze zaplanować taką operację i np. ustalić czas, w którym ruch na Twojej stronie jest zazwyczaj najmniejszy.
Tutaj znajdziesz kilka porad na ten temat bezpośrednio od Google:
https://support.google.com/webmasters/answer/34437
https://support.google.com/webmasters/answer/6073543?hl=pl
Pierwszy etap to oczywiście wdrożenie certyfikatu u naszego dostawcy usług hostingowych.
Drugi bardzo ważny krok to tzw. przekierowanie 301. To sposób informowania wyszukiwarek, czyli np. Google o tym, że strona zmieniła adres. Coś w stylu: Uwaga, uprzejmie informuję, że od teraz strona http://grafoteka.pl będzie dostępna pod adresem https://grafoteka.pl.
I tak samo postępujemy w przypadku wszystkich stron naszego serwisu. Nie musimy robić tego dla każdej podstrony oddzielnie. W katalogu głównym serwera umieszczamy plik o nazwie .htaccess, a w pliku tym dodajemy wcześniej taki zapis:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
To informacja nie tylko dla wyszukiwarek, ale też jest istotna dla każdego użytkownika, który wchodząc na starą stronę, od razu zostanie przekierowany na bezpieczne połączenie z nową stroną.
I właściwie nic więcej nie musimy robić, jedynie obserwować pozycję stron w wynikach Google.
W związku z tym, że zależy nam na dobrej współpracy z Google, wypadałoby zrobić coś więcej.
Warto korzystać z usług oferowanych przez Google, mających związek z zarządzaniem naszą stroną. Do takich usług należy narzędzie Search Console:
https://www.google.com/webmasters/tools/
Dostarcza cennych informacji związanych z indeksowaniem, czyli „zaksięgowaniem” informacji o naszych stronach przez Google.
Aby korzystać z narzędzia, trzeba się zalogować i dodać stronę jako usługę.
Ja już mam dodaną stronę od lat, ale zgodnie ze wskazówkami Google należy „nowy” adres przypisać jako nową usługę.
I od teraz można obserwować, co dzieje się z naszymi stronami: starą, czyli http:// i nową, czyli https://
Po kilku dniach po wpisaniu w wyszukiwarce hasła „grafoteka” strona główna mojego serwisu figurowała już w wynikach wyszukiwania jako adres z protokołem https.
Po tygodniu wyniki były mieszane, część adresów wciąż widoczne było jako http, a część już jako https.
Pozycja w wynikach wyszukiwania
A jak wygląda sytuacja, jeśli chodzi o najważniejszą rzecz, czyli spadki lub wzrosty pozycji stron w wynikach wyszukiwania?
Po tygodniu nie zauważyłem dużych zmian, najważniejsze, że strony nie spadły w wynikach na kluczowe dla mnie słowa, a nawet zauważyłem pewien niewielki wzrost. Dla frazy „tutorial corel” moja strona jest na pierwszych miejscach.
W związku z tym, że zmiany u mnie na stronach związane są nie tylko z wprowadzeniem certyfikatu SSL, ale także z gruntowną przebudową całego serwisu, trudno jednoznacznie powiedzieć, które modyfikacje miały największy wpływ na pozycjonowanie.
Podsumowując, przejście na SSL nie powinno mieć znaczącego wpływu na pozycję. Pytanie, jaki wpływ ma lub będzie miało pozostanie przy stronie bez certyfikatu?
A co z innymi wyszukiwarkami?
Wyszukiwarka Google dominuje także na polskim ryku, jest to grubo powyżej 90% udziału. Można jeszcze zainteresować się podniesieniem pozycji w wyszukiwarce Microsoftu, czyli wyszukiwarce Bing.
Po tygodniu, w przypadku mojej domeny, wszystkie wyniki wciąż były widoczne „po staremu”, czyli z protokołem http.
Microsoft również oferuje narzędzie dla webmasterów działające na zasadzie Search Console.
https://www.bing.com/toolbox/webmaster
I tutaj także dodałem swoją stronę, niestety robot wyszukiwarki Bing, czyli Bingbot, nie działa tak sprawnie, jak ten od Google i ostatnie indeksowanie to indeksowanie sprzed trzech tygodni. Jednak warto korzystać z narzędzia, ponieważ dostarcza cennych informacji np. o bieżącej pozycji naszych stron w wynikach wyszukiwania. Pomocne będzie także przy testowaniu stron pod względem SEO, czy też samego działania np. na urządzeniach mobilnych.
Po około 2 tygodniach domena z protokołem https:// pojawiła się w wynikach wyszukiwarki Bing. Podobnie, jak to miało miejsce w przypadku Google, wyniki były mieszane, część stron http, a część https.
Strona główna serwisu, czyli grafoteka.pl w przypadku wyszukiwarki Bing, nie tylko nie została zaindeksowana, ale wersja z http wręcz wypadła z wyników wyszukiwania.
Poprawne zaindeksowanie strony https://grafoteka.pl w wynikach wyszukiwania Bing trwało w moim przypadku 10 dni.
Wdrożenie HSTS
Warto zrobić jeszcze jedną rzecz, do której także zachęca Google i która również ma związek z bezpieczeństwem. To wdrożenie HSTS, czyli HTTP Strict Transport Security. Więcej informacji o stronie technicznej tego rozwiązania znajdziesz w sieci, a tak w jednym zdaniu, chodzi o to, by wymusić na przeglądarce korzystanie z bezpiecznego trybu, gdyby haker chciał „wyłączyć” SSL w celu przejęcia danych.
Jak korzystać HSTS na swojej stronie?
Procedura jest bardzo prosta.
Po pierwsze należy oczywiście mieć zainstalowany certyfikat SSL i włączone przekierowanie 301 na adresy z protokołem https.
Następnie w pliku .htaccess należy umieścić taki wpis:
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>
I teraz najważniejsze. Musimy dodać adres naszej strony do tzw. listy HSTS preload, czyli zestawienia domen, które korzystają z tej właśnie technologii.
Wchodzimy na stronę https://hstspreload.org/, wpisujemy naszą domenę i jeśli wszystko jest w porządku, to zobaczmy odpowiedni komunikat:
Teraz pozostaje czekać, aż domena zostanie dopisana do listy bezpiecznych adresów, co może potrwać nawet do kilku tygodni. W przypadku mojej domeny było to 8 dni.
Czy warto uaktywnić u siebie HSTS?
Zdecydowanie tak. Dodatkowo zabezpieczamy stronę internetową i można liczyć na to, że Google popatrzy na nasz serwis WWW przychylniejszym okiem.
Podsumowując: warto korzystać z certyfikatu SSL, zwłaszcza że nie jest tu potrzebna ani specjalistyczna wiedza, ani dużo pracy. Nie jest to również procedura kosztowna.