Chrome和SEO都要求網站的安全性,HTTP連線要怎麼加上SSL變成HTTPS網站?
在Google如何透過Chrome瀏覽器與搜尋引擎指標推動SSL普及?這篇文章有說過,Google透過SEO權重加分,希望網站增加SSL,並透過Chrome將http網站標示為不安全的方式,迫使網站經營者把網站增加https連線。
之所以不是直接強制網站都轉換到https,除了Google經營考量之外,最主要的是絕大多數現有網站都是non-SSL的網站,現有網站要把網站增加SSL,並全部都透過https連線,會是一個複雜不容易處理的過程,尤其是面對原本的網站有各種程式語法與連結,都需要全部轉換成https連線,要不然綠色安全符號仍然不會出現。
Google將 http://www.domain 與 https://www.domain 視為不同的網址,在GSC ( Google網站管理員)之中需要分別建立不同的資源,所以http轉換到https除了網站增加SSL的問題以外,還要處理網站搬遷、更換網址的問題;網站搬遷並變更網址是獨立的狀況,不只是http變成https會碰到,且網站增加SSL需要處理的項目也不少,所以分開說明。
這篇文章說明網站加入SSL之前的問題,需要評估、處理的項目,以及潛在的問題,而在我的網站要搬家了,更換網址要如何處理,才能避免SEO排序降低的損失?這篇文章則著重說明網站搬家、並更換網址需要處理、注意的項目。因為每個人的環境都不一樣,不同的CMS、不同的狀況、不同的環境有個別需要處理的技術問題和操作方式,所以這兩篇文章不會詳細說明技術問題,純粹就Google 搜尋引擎的SEO規則、處理方式,以及轉換過程會面臨的問題和工作流程作說明。
使用 HTTPS 確保網站安全無虞 -- Google Search Console文件
從 HTTP 遷移至 HTTPS
如果將網站從 HTTP 遷移至 HTTPS,Google 會視為變更網址的網站遷移作業,並可能對您的流量帶來暫時性影響。詳情請參閱網站遷移概要網頁的說明。
請將 HTTPS 資源新增到 Search Console。Search Console 會分別處理 HTTP 和 HTTPS;上述資源的資料在 Search Console 中並不會共用。因此,如果您有分屬於這兩種通訊協定的網頁,必須分別建立不同的 Search Console 資源。
取得SSL證書
SSL說明與選擇
傳輸層安全協議(英語:Transport Layer Security,縮寫:TLS),及其前身安全通訊協定(Secure Sockets Layer,縮寫:SSL)是一種安全協定,目的是為網際網路通訊,提供安全及資料完整性保障。在SSL是什麼?要如何選擇?(Link)這篇文章有說明SSL的CA簽證有DV、OV、EV三種等級,每種等級能夠對應的網域型態和驗證項目都不一樣。
Free SSL證書
免費SSL證書通常都是DV、單網域的SSL證書,的像Let's Encrypt、SSL For Free、AWS Certificate Manager、cPanel 等方式都可以獲得免費的DV SSL證書。
付費SSL證書
如果想要像Mozila一樣獲得綠色網址,讓使用者更信任,或者其他各式原因想要取得其他OV、EV或者多網域、多子網域的證書,就需要向CA單位購買這些SSL證書,可以購買證書的單位很多,Google搜尋SSL就會有很多廣告。
另外要注意從Chrome 70之後就不再信任Symantec的 SSL證書,購買前要注意一下。
Mozila的SSL證書EV,所以有綠色網址列
從HTTP轉換到HTTPS之前需要清查、列表處理的項目
確認伺服器是否有支援http/2、HSTS
http/2可以讓有SSL的網站運作更加迅速,HSTS可以讓https連線更加安全,避免不小心連線到http。
網頁、文章內引入的檔案資源
http與https是兩個不同的網址型態,且如果要讓瀏覽器出現
,必須要網頁內所有的資源都是https連線,如圖片、影片等,只要有任何一個一個項目走http連線而來,瀏覽器仍然會顯示為不安全,所以需要注一所有的連結都要是https連線,這部份會需要清查的項目有:
- 站內圖片、影片、音效、音樂
- 站外引入的圖片、影片、音效、音樂
Youtube本來就是https連線,所以沒有這個問題,AWS或者Flicker引入圖庫也大多沒有這個問題,要注意很多早期的圖庫、檔案庫,如HiNet網頁空間引入的圖片通常都是走http,就要特別小心。
- 網路字型
- iframe裡的資料、檔案和連結,以及iframe引入的網頁本身
- 引入的css文件、JavaScript文件
- css、js內引入的圖片、文字、字型
- Open Graph 標籤
- 結構化資料的引用連結
- 文章、內容裡包含的站內連結
<head>內的標籤、連結
head內也會有一些標籤,帶入一些網址、連結等,不論是alternate、hreflang、cononical tag等,都要一併調整成https。
301轉址設定
之前網站可能以經設定過一些301、302轉址,清理檢查這些轉址設定,避免轉過去的網址還需要再一次從http轉到https,增加使用者瀏覽網頁的下載時間。
XML Sitemap
記得檢查、並修改XML Sitemap裡面的網址,不要改成https了,Sitemap裡面仍然是http,這樣會製造一堆檢索錯誤:p
SEF規則
趁著轉換的時機,順便檢查網站是否有符合SEF規則,網站要符合SEF規則才有機會有SEO成績,如果現在的網站不符合SEF條件,而網站以經建立很久了,可以考慮是不是重新建立新的網站,可以參考我需要一個符合SEF標準的網站?用Joomla、WordPress等CMS架站就一定有好的SEO嗎?思考要不要建立新的網站,以及要如何建立。
數據追蹤系統的設定、追蹤碼檢查
網站如果原本有安裝數據追蹤工具的,記得檢查追蹤碼是否有http內容,以及網址的部份是否有改為https,追蹤工具的設定也要記得更改成https,如圖片是GA工具的預設網址,就要記得將原本的http改為https。
轉換成HTTPS之後,可能會面臨的問題
社交訊號、分享數字消失
社交分享資料是看完整網址,當http變成https之後,連結因為網站有設定301轉址,仍然可以正常瀏覽,但是部份的分享數據、紀錄可能會消失、清零,畢竟https相較http是不同的網址。
瀏覽數據異常
GA的數據可以持續累積,但是有些追蹤系統數據可能會出問題,或者要重新開始紀錄,這部份詢問追蹤工具的開發商會不會有問題,以及該如何解決,相信推動SSL到現在,這部份的問題應該大多都有解決方案了。
SEO排名滑落、消失
對於Google搜尋引擎來說,http與https是不同的網址,不同的網站,除了要執行網站搬家工作以外,無可避免SEO紀錄一定會有一段陣痛期。
雖然Google有公佈SSL有助於SEO排名,但是剛更換網址之後,搜尋引擎的資料、紀錄要重新爬取、索引,分數也要重新計算,要有心理準備短實間之內網站的SEO排名可能會消失,或者排序降低,但是http轉https的網址變動沒有很大,只要正確進行不同網址的網站搬家工作,並且設定好301轉址設定,相信SEO成績很快就會恢復,甚至會更好。
轉換成https之後,需要檢查的項目
https網站正常連線、瀏覽
確認所有網頁都回傳http 200代碼,https的網站正常工作,沒有其他的錯誤情形。
確認所有頁面都正常顯示,並正常顯示綠色鎖頭符號
並且所有頁面都正常顯示,如果有異常狀況,重新檢查網頁內容是否有東西從http溜進來。
確認有開啟HSTS,強制使用https連線,避免重複網址
開啟HSTS,讓使用者不需要特別輸入https就可以連線,網站、瀏覽器會自動將http連線跳轉成https連線,這樣做的好處有幾個:
- 方便使用者輸入
- 以前的連結不會變成404
- 防止http與https網址同時存在,造成重複性內容問題
告訴Google,我的https網站已經準備好了
依據不同網址的網站搬家工作的最後一步工作,需要在Google網站管理員(GSC Google Search Console)裡面執行最後的轉換工作,這邊要作的工作有三個:
- 在GSC裡面建立新的HTTPS網站資源,並重新認證網站擁有者
- 提交https網址的新XML Sitemap,請Google趕快來抓
- 確認有設定好http到https的301轉址,並執行GSC的變更網址工作
最後,千萬記得檢查robots.txt
最後,千萬記得檢查robots.txt,允許搜尋引擎爬取、索引網站,以及開放CSS、JS檔案的讀取,不要封鎖搜尋引擎,如果像圖片一樣封鎖了搜尋引擎的所以,那不可能會有SEO排名…
Disallow: / => 封鎖搜尋引擎爬取網站
點此下載HTTPS網站轉換工作表.PDF