Добавление сайта в Preload List

С кардинальными изменениями в Интернете, а также сильном упоре на Безопасность со стороны корпорации Google, рано или поздно каждый владелец сталкивается с ситуацией о переводе своего сайта с протокола HTTP на HTTPS. Ранее мы подробно рассказали о пользе от данного перехода (гиперссылка на статью). В данной статье мы разберем ситуацию с добавлением сайта в HSTS Preload List.

HSTS Preload List  – это листинг сайтов, которые по умолчанию будут открываться в браузере сразу только по протоколу HTTPS, даже если в адресной строке будет обращение к домену через HTTP протокол. Листинг предварительной загрузки встроен во все основные браузеры, такие как Chrome, Firefox, Safari, Internet Explorer / Edge и Opera.  

Чтобы ваш сайт попал в HSTS Preload List, необходимо выполнить следующие шаги:

  • Установить SSL сертификат на сервер

Для этого подойдет любой из существующих сертификатов, считающихся валидными. Подобрать SSL сертификат для вашего сайта можно у нас. В зависимости от выбранного SSL, центр сертификации проведет плановую проверку вашего домена или, иногда даже компании, а после выдаст вам приобретенный SSL сертификат.

  • Подготовить Ваш сайт на основном и www домене к работе по HTTPS протоколу

Для того, чтобы совершить переход на HTTPS, вам нужно изменить внутренние ссылки на относительные. К примеру, если формат внутренних ссылок имел вид http://сайт.tld/страница1/, то в относительном варианте страница будет иметь ссылку /страница1/.

Кроме того, стоит проделать следующую операцию и со всеми внешними медиафайлами – картинки, видеозаписи, аудиоконтент, презентации и так далее. В конечном счете они должны запускаться через защищенный протокол HTTPS. Если у вас на сайте имеются поддомены, их также стоит подготовить к работе.

  • Убедиться в корректной работе домена

Крайне важно убедиться в корректной работе основного домена, а также всех поддоменов по HTTPS протоколу. В случае, если настройка переадресации страницы произошла неправильно, то браузер не сможет отобразить страницу, оповестив пользователя об ошибке входа.

  • Настроить на сайте редирект с HTTP на HTTPS

Стоит отметить, что поисковые системы воспринимают сайт http://сайт.tld и https://сайт.tld как два разных ресурса, поэтому установки SSL сертификата нужно сделать переадресацию каждой страницы с протоколом HTTP на HTTPS.

  • Прописать заголовок HSTS в конфиге веб-сервера

Для каждого веб-сервера тип прописываемого HSTS заголовка будет разным.

  • для веб-сервера Apache в основном конфиге, а также в виртуалхосте нужно прописать следующие строки:

LoadModule headers_module modules/mod_headers.so
<VirtualHost 123.123.123.12:443>
Header always set Strict-Transport-Security «max-age=63072000; includeSubdomains;»</VirtualHost>

  • для веб-сервера Nginx, если на сервере работает только один домен, в секцию http общего конфига прописать строку :

add_header Strict-Transport-Security «max-age=63072000; includeSubdomains; «;

  • для проверки изменений можно воспользоваться служебной программой командной строки CURL:

$ curl -s -D- https://sysadmin.pm | grep Strict

Strict-Transport-Security: max-age=63072000; includeSubdomains;

Если вы выполнили все настройки правильно, то последним этапом для добавления сайта в HSTS Preload List станет переход на страницу hstspreload.org и заполнением соотвествующей формы.

Спустя некоторое время, вы можете самостоятельно проверить статус сайта, вновь перейдя на страницу  hstspreload.org.

Стоит напомнить, что переход с протокола HTTP на HTTPS вызывает колебания в потреблении трафика, а сайт может потерять позиции в поиске. Однако, как показывает практика, позиции и трафик возвращаются к прежнему уровню за краткий промежуток времени, а поисковые системы начнут ставить ваш сайт в приоритете над другими ресурсами из-за наличия HTTPS протокола, подтверждающего полную безопасность соединения. Поэтому, в самой краткой перспективе, вы увидите позитивную тенденцию роста посещаемости на вашем сайте.

Если у вас возникнут дополнительные вопросы, связанные с переходом на HTTPS протокол, покупкой SSL сертификата или добавлением своего сайта в HSTS Preload List, наша поддержка всегда готова помочь вам в этом вопросе.