Od października 2017 r. Chrome oznacza wszystkie witryny bez wdrożonego certyfikatu SSL jako „Niezabezpieczone” bez względu na to, czy gromadzą dane użytkowników, czy nie. Podobnie jak Firefox. Dlatego dzisiaj wdrożenie certyfikatu SSL to nie opcja – to konieczność. Jako właściciel strony internetowej masz obowiązek dbać o bezpieczeństwo danych powierzonych przez użytkowników. A dodatkowo zdobywasz ich zaufanie.

W tym artykule dowiesz się, czym jest certyfikat SSL, czy ma wpływ na SEO oraz co zrobić po migracji witryny z HTTP na HTTPS, aby uniknąć spadków w rankingu wyników wyszukiwania.

Co to jest certyfikat SSL

SSL (Secure Socket Layer) to protokół sieciowy wykorzystywany do zapewnienia wiarygodności domeny i bezpieczeństwa danych przesyłanych na stronach internetowych za pomocą szyfrowania całego połączenia. Certyfikat SSL zapewnia bezpieczeństwo szyfrowania danych przesyłanych między użytkownikiem na stronie a serwerem.

Korzystając z certyfikatu SSL, webmasterzy mogą poprawić bezpieczeństwo swoich stron internetowych i lepiej chronić dane powierzane przez użytkowników.

W poprzednich wersjach wyszukiwarka Chrome w pasku adresu url wyświetlała protokół HTTP i HTTPS oraz prefiks WWW.

Obecnie, w przypadku stron które mają zaimplementowany certyfikat SSL wyświetla się “kłódka”. Klikając w nią uzyskamy więcej szczegółów.

Od 2017, na stronach z protokołem HTTP, przeglądarka Chrome wyświetla komunikat o niebezpiecznym połączeniu.

To zdecydowanie negatywnie wpływa na doświadczenia użytkownika, więc upewnij się, że jeśli korzystasz z HTTPS, twój certyfikat jest ważny i działa poprawnie!

Jak HTTPS wpływa na SEO?

Teraz, gdy lepiej rozumiemy, czym jest SSL możemy zastanowić się nad jego znaczeniem dla SEO. Pewne jest, że certyfikat SSL jest czynnikiem rankingowym. Potwierdza to oficjalne oświadczenie Google z 2014 roku.

Tak więc korzystanie z HTTPS może pomóc w osiągnięciu wyższych pozycji w SERP. Google tłumaczy że głównym powodem uznania SSL za czynnik rankingowy jest dbanie o bezpieczeństwo. Użytkownicy przeglądający witryny internetowe, często pozostawiają poufne informacje, na przykład w formularzach kontaktowych czy zakupowych. Bez szyfrowania informacje te mogłyby zostać przechwycone. Jeśli Google zapewnia swoim użytkownikom większe bezpieczeństwo, zapewnia lepszą wartość, a użytkownicy są bardziej zadowoleni. SSL może wpływać na pozycje w Google bezpośrednio jako czynnik rankingowy, ale także poprzez pozytywne wrażenia i zachowania użytkowników. Niektórzy internauci mogą nie mieć pojęcia, czym jest SSL, ale inni wolą przeglądać tylko bezpieczne witryny.

Według najnowszych danych z BuiltWith z roku na rok coraz więcej stron internetowych korzysta z SSL.

Dlaczego warto wdrożyć certyfikat SSL

  • Szyfrowanie danych – Certyfikat SSL szyfruje dane przesyłane przez użytkowników strony www, np. dane osobowe niezbędne do realizacji zamówienia w sklepie internetowym,
  • Poczucie bezpieczeństwa – internauta, ma pewność, że pozostawione przez niego dane są bezpieczne i poufne, a właściciel witryny nie boi się o przechwycenia danych logowania do strony,
  • Wiarygodność – w zależności od rodzaju certyfikat potwierdza wiarygodność domeny internetowej bądź też całej firmy,
  • Wpływ na CTR i konwersję – użytkownicy częściej klikają w wynikach organicznych w linki z protokołem HTTPS, a także cześciej pozostawiają dane, np. w formularzu kontaktowym.

Zanim zaczniesz……

wykonaj kopię zapasową

Ilekroć wprowadzasz poważne zmiany w swojej witrynie, zawsze warto wykonać pełną kopię bezpieczeństwa. Wybierz także odpowiedni moment na przejście na https://. Chyba nie chcesz tego robić w piątkowy wieczór czy podczas trwania dużej akcji promocyjnej.

Lista kontrolna po wdrożeniu SSL

1. Przetestuj poprawność wdrożenia certyfikatu

Rozpocznij od sprawdzenia, czy podczas instalacji certyfikatu nie popełniono żadnych błędów. Przejście na HTTPS może często powodować problemy z wtyczkami, funkcjami w witrynie. Po przeprowadzeniu migracji sprawdź, czy wszystkie podstrony, formularze kontaktowe, zamówienia online działają poprawnie. Upewnij się, że na podstronach w obrębie całego serwisu wyświetla się charakterystyczna zamknięta zielona kłódka. Potwierdza ona, że wszystkie pliki tworzące stronę oraz zasoby wczytywane z zewnątrz są przesyłane w bezpieczny sposób.

zielona kłódka przy adresie url

Narzędzia, umożliwiające sprawdzenie poprawności SSL:

SSL Checker – https://www.sslshopper.com/ssl-checker.html

Wystarczy w pole wyszukiwania wkleić adres url i kliknąć “Check SSL”. Po chwili otrzymasz raport, w którym zostaną wskazane ewentualne problemy.

test SSL Checker

SSL Check od JitBit

Programiści z JitBit stworzyli narzędzie online do sprawdzania poprawności wdrożenia SSL. Po wpisaniu adresu URL narzędzie skanuje stronę i znajduje wszelkie niezabezpieczone treści.

Narzędzie dla programistów w Google Chrome

Kolejny sposób na sprawdzenie poprawności migracji z HTTP na HTTPS to narzędzia dla programistów od Chrome. W zakładce “Security” znajdziesz pełną listę pobranych zasobów. Narzędzie dodatkowo wskaże, czy zostały one pobierane za pośrednictwem protokołu HTTP czy HTTPS.

narzędzia dla programistów w dev tools
Security w dev tool

Screaming Frog

To niezwykle przydatne narzędzie w pracy seowca. Popularnie wykorzystywane do crawlowania małych i dużych serwisów. Po przeskanowaniu stron, za pomocą odpowiednich filtrów znajdziesz wszystkie zasoby ładowanie na stronie za pomocą protokołu HTTP. Właściciele małych serwisów do 500 URLi mogą skorzystać z narzędzia bezpłatnie, wersja PRO zapewnia jednak więcej funkcjonalności.

2. Przygotuj przekierowania 301 z http na https

Po wdrożeniu i przetestowaniu certyfikatu nadszedł czas na przekierowania 301. To ważne, aby zapobiec sytuacji, gdy domena będzie dostępna dla Google i użytkowników jednocześnie pod dwoma różnymi adresami z HTTP i HTTPS (bądź też z www i bez www). Dodanie przekierowań 301 jest prawdopodobnie jednym z najważniejszych kroków w migracji HTTP do HTTPS. Są to przekierowania stałe, które przenoszą blisko 100% link juice na przekierowaną stronę oraz zapewniają płynne przejście na https://. Niepoprawne ustawienie lub brak przekierowań 301 to jeden z najczęściej popełnianych błędów po wdrożeniu certyfikatu SSL. W sytuacji, gdy serwer dla różnych adresów jednej domeny zwraca kod 200, boty wyszukiwarek internetowych traktują je jako odrębne serwisy o zduplikowanej treści, co negatywnie przekłada się na widoczność w wynikach organicznych.

Dodatkowo stosując przekierowania 301, możesz wskazać wyszukiwarce właściwy adres url. To bardzo istotne, aby ruch generowany przez użytkowników skupiał się na jednej stronie, wpływając na większy CTR, co z kolei przekłada się na pozycje w Google. Dodatkowo pozwala to skierować na właściwą podstronę użytkowników, którzy trafiają do nas za pośrednictwem linków z zewnętrznych portali.

Przykład poprawnie wdrożonych przekierowań:

przekierowania 301

Pamiętaj, przekierowania powinny zostać wykonane globalnie dla wszystkich podstron w obrębie domeny. Dlatego weryfikując przekierowania 301, należy sprawdzić ich poprawność pod różnymi adresami (strona główna, przykładowa kategoria, produkt, wpis blogowy, wszystkie subdomeny) oddzielnie dla wersji z HTTP i HTTPS oraz  www i bez www.

Tylko jedna, świadomie wybrana wersja domeny powinna zwracać kod 200. Twoja witryna prawdopodobnie ma już kilka przekierowań, pamiętaj, aby je usunąć i wszystkie adresy przekierować na preferowaną (www lub bez www) wersję witryny z HTTPS pozwoli to na wyeliminowanie łańcuchów przekierowań, które negatywnie wpływają na szybkość ładowania strony oraz przeniesienie link juice.

Przykładowo, jeśli wybierzesz domenę z protokołem HTTPS i www – https://www.domena.pl/

Wszystkie pozostałe adresy tj.:

  • http://www.domena.pl/
  • http://domena.pl/
  • https://domena.pl/

należy przekierować bezpośrednio na docelowy adres.

Celem implementacji przekierowań 301, na początku pliku htaccess dodaj następujący kod:

<IfModule mod_rewrite.c>

Sprawdzenie czy mod_rewrite jest włączony na serwerze

RewriteEngine On

Włączenie (silnika) mod_rewrite

RewriteCond %{HTTPS} off

Sprawdzenie czy wejście na stronę było z https

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Jeśli powyższa linia zwróciła wartość false to wykonaj przekierowanie wszystkich linków na wersję z https

</IfModule>

z www na bez + https

<IfModule mod_rewrite.c>
RewriteEngine On

# z www na bez

RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

# z http na https

RewriteCond %{HTTPS}  off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

z bez www na www + https

<IfModule mod_rewrite.c>
RewriteEngine On

# z bez www na www

RewriteCond %{HTTP_HOST} !^www.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]

# z http na https

RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{HTTPS}  off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

Poprawność przekierowań możesz sprawdzić za pomocą narzędzi http://www.redirect-checker.org oraz https://httpstatus.io/

3. Popraw linkowanie wewnętrzne oraz linki do zasobów

Linkowanie wewnętrzne pozwala użytkownikom i botom sprawnie poruszać się po stronie www. Właściwa struktura linków w obrębie serwisu wpływa na przepływ link juice oraz odpowiednie wykorzystanie crawl budget. Po zaimplementowaniu Certyfikatu SSL wszystkie adresy w obrębie domeny powinny odnosić się do adresów z HTTPS. Występowanie linków wskazujących na adresy z HTTP będzie powodować przekierowania 301 i w konsekwencji marnować cenny crawl budget. Każdy z zasobów powinien mieć bezwzględny adres URL HTTPS lub adres względny (/adres-kategorii).

Pamiętaj, aby zaktualizować także linki w paginacji, schema oraz linki do zasobów wewnętrznych i zewnętrznych tj. obrazów, filmów,  PDF-ów, skryptów JS i styli CSS,  fontów, iframe, Open Graph i innych. Efektem będzie poprawne linkowanie wewnętrzne w obrębie serwisu oraz pobierania zasobów połączeniem szyfrowanym. Pamiętaj, żaden z wczytywanych zasobów nie może być pobrany nie szyfrowanym połączeniem, wszystkie pliki wczytywane w obrębie domeny muszą być w protokole HTTPS.

Na koniec przeskanuj stronę za pomocą Screaming Frog w poszukiwaniu odnośników z http.

Załóżmy jednak, że użytkownik odwiedza stronę HTTPS, na której znajduje się obraz, skrypt lub inna treść pobierana za pośrednictwem protokołu HTTP. Mamy przekierowanie 301 więc wydawałoby się, że strona jest bezpieczna, jednak zewnętrzne zasoby pobierane są połączeniem nieszyfrowanym. Sytuacja taka określana jest jako “mix content” i może prowadzić do ataków typu “man-in-the-middle”.

4. Wskaż nowe adresy kanoniczne

Błędne linki kanoniczne uniemożliwiają robotom poruszanie się po stronie internetowej. Poprawne wskazanie tagów kanoniczny wskazuje robotom, aby indeksowały stronę w wersji z protokołem HTTPS. Tagi te zwykle występują w postaci adresu bezwzględnego, dlatego jeśli tag rel=canonical wskazywał na link kanoniczny w protokole HTTP, po wdrożeniu certyfikatu zadbaj, aby wskazywał na adres z HTTPS.

Celem wskazania właściwej wersji kanonicznej w sekcji Head w wersji preferowanej oraz wszystkich pozostałych zamieść kod:

dla wersji z www

<link rel=”canonical” href=”https://www.domena.pl/wlasciwy-adres” />

dla wersji bez www

<link rel=”canonical” href=”https://domena.pl/wlasciwy-adres” />

Pamiętaj aby w rel=”canonical” wskazać adres z HTTPS zarówno dla strony z protokołem HTTP, jak i HTTPS, aby boty mogły określić, która strona jest preferowana.

Zadbaj również o spójność przekierowań 301 z tagami kanonicznymi. W przypadku przekierowania z HTTP na HTTPS rel=”canonical” powinien zostać ustawiony w tym samym kierunku.

5. Popraw tagi hreflang

Tak samo, jak w przypadku adresów kanonicznych, tagi hreflang powinny wskazywać na HTTPS. Ich zmiana jest konieczna, pomimo że istnieją przekierowania 301.

6. Przenieś subdomeny na https://

Jeśli strona posiada subdomeny, zweryfikuj czy zostały przeniesione na HTTPS. Subdomeny wykorzystywane są do prowadzenia bloga, wyodrębnienia danej lokalizacji (http://krakow.naszemiasto.pl/) bądź podziału tematycznego w ramach serwisu internetowego (https://kobieta.wp.pl/).

7. Przygotuj i zgłoś nową mapę strony w GSC

Mapy strony jest przydatna, gdy chcemy przyspieszyć proces indeksowania w szczególności w przypadku sklepów internetowych i innych dużych serwisów. Po upewnienia się, że przekierowania 301 zostały wykonane prawidłowe, a wszystkie linki wewnętrzne zaktualizowane czas na wygenerowanie mapy witryny z adresami w wersji https:// i przesłanie jej w Google Search Console.

Plik z mapą strony nie może ważyć więcej niż 50 MB i zawierać więcej niż 50 000 adresów URL. W zależności od struktury strony i liczby linków mapa może stanowić jeden plik zbiorczy lub zostać podzielona na kilka plików np. mapa kategorii, mapa produktów, mapa obrazów, mapa wpisów blogowych, itd. Ich lokalizację należy jednak wskazać w jednej zbiorczej mapie.

W narzędziach dla webmasterów możesz śledzić proces indeksowania adresów URL w sekcji statystyki mapy witryny.

Pamiętaj, że aby przesłać nową mapę strony HTTPS, musisz najpierw założyć nowe konto w GSC dla preferowanej wersji domeny z HTTPS (ale o tym za chwilę). Jednak pozostaw usługę Search Console powiązaną z domeną z protokołem HTTP i monitoruj jak ruch przechodzi z domeny HTTP na HTTPS.

Sitemapę możesz zgłosić w Search Console w zakładce Mapy witryn lub pod adresem https://www.google.com/webmasters/tools/sitemap-list.

8. Zaktualizuj plik robots txt

Jeżeli w pliku robots.txt umieszony jest adres do mapy strony lub reguły blokowania, które nadal mogą wskazywać na katalogi lub pliki HTTP należy je zaktualizować, tak aby wskazywały na link lub pliki z protokołem HTTPS.

9. Sprawdź czas ładowania strony

Skutkiem ubocznym zaimplementowania SSL często jest spowolnienie wczytywania strony. Dlatego przed oraz po wdrożeniu certyfikatu zweryfikuj, jak wygląda sytuacja.

W tym celu możesz skorzystać z narzędzi:

Pingdom – https://tools.pingdom.com/

Page Speed Insight – https://developers.google.com/speed/pagespeed/insights/?hl=pl

Jeśli sytuacja się pogorszyła, popraw czynniki wskazane w PSI.

10. Zaktualizuj linki przychodzące

Nawet jeśli nie prowadzisz działań linkbuildingowych, do Twojej domeny na pewno prowadzą linki z zewnętrznych portali. Wszędzie tam, gdzie masz możliwość aktualizacji odnośnika, zmień adres na wskazujący na https, w ten sposób unikniesz zbędnych przekierowań 301, a moc linków przychodzących zostanie szybciej przekazana na nową domenę. Linki zewnętrzne możesz sprawdzić za pomocą narzędzi, takich jak: Surfer SEO, Majestic, Ahrefs i Search Console. Pamiętaj, aby zaktualizować adres www  także na profilach społecznościowych tj. Facebook, Instagram, Twitter, Linkedin, Goldenline. Jeśli do twojej strony prowadzą linki ze stron producentów, partnerów biznesowych, katalogów branżowych poproś ich o aktualizacje odnośnika.

11. Zweryfikuj stronę z HTTPS w Google Search Console

Search Console to usługa Google, która pozwala webmasterom m.in. sprawdzać status indeksowania,  analizować ruch, pozycje, wyświetlenia, prędkość, schema, poprawność renderowania oraz występujące błędy. Umożliwia zgłaszanie do indeksacji nowych podstron, przesłanie mapy witryny, zrzekanie się linków i wiele innych. Po prostu jest kanałem komunikacji pomiędzy właścicielem domeny a Google. Bez wątpienia jest to narzędzie niezbędne dla wszystkich właścicieli stron internetowych.

Jeśli Twoja strona, po wdrożeniu certyfikatu SSL, działa prawidłowo pora dodać ją w wersji HTTPS do usługi Search Console. Google traktuje witryny http i https jako dwie różne strony nawet jeśli mają tę samą nazwę domeny. Dlatego w narzędziu dla webmasterów należy osobno zweryfikować wszystkie adresy, pod którymi może być dostępna Twoja domena.

Na platformie możesz wybrać, który adres strony z www czy bez www ma być preferowany przez Google. Teraz prześlij domenę do zaindeksowania (w wersji z HTTP w starej usłudze GSC i w wersji z HTTPS w nowej usłudze GSC), dzięki czemu bot szybciej zaindeksuje zmiany.

Warto przeindeksować również strony, które generowały w ostatnim czasie największy ruch. Tak jak wyżej osobno dla adresów w wersji z HTTP i HTTPS na odpowiednich kontach GSC.

Pamiętaj, aby po zweryfikowaniu nowego adresu w Search Console, za kilka dni sprawdzić ruch i wyświetlenia na nowej i starej domenie. Wraz ze wzrostem liczby zaindeksowanych podstron na stronie HTTPS ruch i widoczność zaczną rosnąć, a na starej stronie analogicznie spadać.

Jeśli kiedykolwiek na Twoją stronę został nałożony filtr za linki przychodzące i zrzekałeś się niechcianych linków, pamiętaj że musisz to zrobić ponownie. Utworzenie nowego profilu z konsoli wymaga ponownego przesłania pliku disavow.

12. Zaktualizuj linki w pozostałych usługach Google

Aby nadal korzystać z narzędzi umożliwiających realizację kampanii reklamowych oraz monitorowanie widoczności, ruchu i jego źródeł, zachowań użytkowników i innych zdarzeń, musisz zaktualizować ich ustawienia.

Google Analytics

Analytics to narzędzie analityczne udostępnione w ramach usług Google, które pozwala monitorować ruch oraz dostarcza informacje o użytkownikach i ich zachowaniach na stronie. Platforma zbiera dane ze strony, na której zamieszczono odpowiedni skrypt. Pod Analytics można podpiąć również Google ADS i Google Search Console i zbierać dane z tych kanałów.

Jeśli po przejściu z HTTP na HTTPS nadal chcesz zbierać dane w Analytics, zaktualizuj adres w zakładce Administracja -> Ustawienia usługi.

Jeśli nie zrobisz tego od razu, nie zebrane przez ten okres dane przepadną.

Pamiętaj także, aby zmienić w GSC powiązanie z HTTP na HTTPS.

Google Ads

Aktualizacji wymagają również adresy w kampaniach reklamowych w Google Ads. Najlepiej dezaktywować reklamy i utworzyć nowe z adresami url z protokołem HTTPS. W przypadku edycji starych kampanii – utracisz dane historyczne.

Wizytówka Google Moja Firma

Nie zapominaj również o aktualizacji adresu strony w profilu Google Moja Firma oraz wykorzystywanych wtyczkach. Do adresu url możesz dodać skrypt.

?utm_source=google&utm_medium=organic&utm_campaign=wizytówka google

Dzięki temu w Analytics będą zbierane szczegółowe dane na temat ruchu pochodzącego z wizytówki.

Jeśli korzystasz z innych usług Google np. YouTube również zaktualizuj linki.

13. Zaktualizuj linki w kampaniach reklamowych w  Social Media

Powyżej wspominaliśmy już, że po migracji strony z HTTP na HTTPS należy zaktualizować linki na wszystkich portalach społecznościowych, Jednak to nie wszystko. Dodatkowo należy zaktualizować adresu URL w realizowanych kampaniach. W przypadku Facebooka sprawa nie jest już taka prosta, polubienia i udostępnienia postów, po zmianie adresów mogą zostać skasowane.

14. Zaktualizuj linki w narzędziach zewnętrznych.

Zaktualizuj adresy URL także w oprogramowaniu do e-mail marketingu (np. MailChimp, GetResponse, DMSales), w systemach w płatności i wszystkich innych platformach zewnętrznych, z których korzystasz.

15. Monitoruj ruch i pozycje

Sprawdź wszystko dokładnie jeszcze raz i monitoruj. Analityka to niezbędny element przy pracy nad stroną internetową. Po wdrożeniu certyfikatu oraz realizacji powyższych punktów monitoruj stan indeksacji, ruch oraz pozycje. Śledź zmiany w Search Console, Analytics oraz monitoringach pozycji np. SeoStation.

Podsumowanie

Zielona kłódka przy adresie url to tylko część sukcesu. Skup się także na powyższej liście kontrolnej. Ewentualne błędy napraw natychmiast. Przez kilka dni po wdrożeniu zmian monitoruj postępy indeksacji i śledź ewentualne komunikaty z GSC. Pamiętaj, także o kontrolowaniu daty ważności certyfikatu. Jeśli certyfikat wygaśnie, zabezpieczenia na Twojej stronie również wygasną a użytkownicy otrzymają komunikat, że próbują przejść na niebezpieczną witrynę. Jeśli nie przedłużysz certyfikatu, wszystkie zmiany związane z przejściem na HTTPS musisz cofnąć.

Jakie jest Twoje doświadczenie z przejściem na HTTPS?  Czy twoje rankingi wzrosły / spadły po migracji? A może masz jeszcze jakieś wskazówki? Podziel się nimi z poniżej w komentarzach.

Autor: Alina Budziak, Starszy Specjalista SEO

1 gwiazdka2 gwiazdki3 gwiazdki4 gwiazdki5 gwiazdek (9 głosów, średnia: 5,00 z 5)

Alina Budziak

Alina Budziak

Mocno związana z branżą marketingu internetowego od początku 2015 roku. W agencji Kampanie SEO odpowiedzialna za optymalizację i pozycjonowanie stron internetowych, przygotowywanie audytów i koordynowanie pracy swojego zespołu. Pasjonatka, zawsze głodna wiedzy, na bieżąco śledzi wszelkie nowinki w branży. Prywatnie uwielbia góry, owczarki niemieckie i jazdę na rowerze.

Komentarze

  1. Czy nie wystarczy tylko zweryfikować w GSC wersji docelowej czyli domena.pl/ bo gdy google wszystko przetworzy to wersja docelowa będzie w serp i ona będzie generować ruch?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Kategorie

Partner

Najnowsze komentarze

Popularne artykuły