Как сделать HTTP вместо https?

Настройка редиректа в cPanel и Plesk

  1. 1Откройте вашу панель управления хостингом.
  2. 2

    Откройте файл .htaccess. Он расположен в корневой папке сайта. Если файл .htaccess отсутствует, то причина может быть в том, что в cPanel не отображаются скрытые файлы. Чтобы отобразить скрытые файлы, воспользуйтесь инструкцией.

    как открыть файл .htacess в cPanel

    В разделе «Домены» выберите пункт Дополнительные домены. Нажмите по строке, где указана корневая папка домена. Затем нажмите правой кнопкой по файлу .htaccess и выберите в появившемся списке пункт Edit, а затем повторно нажмите Edit:

    как открыть файл .htacess в Plesk

    Под нужным доменом нажмите по строке, где указана корневая папка домена. Откроется корневая папка вашего сайта. Найдите в списке файл .htaccess и кликните по нему левой кнопкой мыши:

  3. 3

    Добавьте в конце файла .htaccess одно из правил, которое подходит для вашего случая:

    редирект всех страниц с HTTP на HTTPS

    Редирект всех страниц с http:// на https://, в том числе и с http://www на https://

    Вариант 1 RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI}

    или воспользуйтесь вторым вариантом (если первый вариант не поможет):

    Вариант 2 RewriteEngine On RewriteCond %{HTTPS} =off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

    если все варианты не помогли и возникает циклическая переадресация, добавьте:

    Вариант 3 RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} Вариант 4 RewriteEngine On RewriteCond %{ENV:HTTPS} !on RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} Редирект на HTTPS только выбранной страницы

    В примерах ниже редирект настраивается для страницы login.php.

    Вариант 1 RewriteEngine On RewriteCond %{HTTPS} =off RewriteCond %{REQUEST_URI} =/login.php RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

    или

    Вариант 2 RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteCond %{REQUEST_URI} =/login.php RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} Редирект на HTTPS всех страниц, кроме одной

    В примере ниже редирект настраивается для страницы test.php.

    RewriteEngine On RewriteCond %{HTTPS} =off RewriteCond %{REQUEST_URI} !^/test.php RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

  4. 4Сохраните изменения.

Готово. Теперь ваш сайт будет работать по протоколу HTTPS.

Обратите внимание! Если ни один из предложенных вариантов кода не подошёл, обратитесь к разработчикам сайта или на тематические форумы. В некоторых случаях корректная настройка редиректа возможна только средствами CMS.

Мигрируем на HTTPS

В переводе этого документа описываются шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS. Шаги можно выполнять с любой скоростью – либо всё за день, либо один шаг за месяц. Главное, делать это последовательно.
Каждый шаг улучшает ваш сервер и важен сам по себе. Однако, сделать их все – обязательно для того, чтобы гарантировать безопасность вашим посетителям.

Для кого предназначена эта инструкция?

Администраторы, разработчики и их менеджеры – те, кто обслуживает сайты, в данный момент использующие только HTTP-соединение. При этом они желают мигрировать, или хотя бы поддерживать, HTTPS.

1: Получение и установка сертификатов

Если вы ещё не получили сертификаты – необходимо выбрать поставщика, и купить сертификат. Сейчас есть пара возможностей даже получить сертификаты бесплатно – например, их выдаёт контора RapidSSL. Кроме того, в 2015 году Mozilla обещают сделать бесплатную выдачу сертификатов.
Скопируйте полученные сертификаты на ваши фронтенд-сервера куда-нибудь в /etc/ssl (Linux / Unix) или в приемлемое место для IIS (Windows).

2: Включение HTTPS на сервере

Здесь надо определиться:
— либо использовать хостинг по IP, когда у каждого хоста свой IP
— либо отказаться от поддержки пользователей, которые используют IE на Windows XP или Android с версией менее 2.3
На большинстве сайтов настроен виртуальный хостинг, который работает с доменными именами (name-based) – это экономит IP-адреса и вообще более удобно. Проблема в том, что IE и древний Android не понимают Server Name Indication (SNI), а это критично для работы HTTPS при name-based хостинге.
Когда-нибудь все эти клиенты вымрут. Вы можете отслеживать количество таких клиентов и решить, нужно их поддерживать или нет.
Далее настройте поддержку сертификатов, которые вы получили, в вашем веб-сервере. Конфигурацию сервера можно создать через Mozilla configuration generator или SSLMate.
Если у вас много хостов и поддоменов – кажды из них потребует установки подходящего сертификата. Для поддоменов лучше использовать сертификаты с маской типа *.domain.ru
В идеале, вам необходимо переадресовывать все запросы к HTTP на HTTPS и использовать Strict Transport Security (см. шаги 4 и 5)
После этого проверьте работу сайта с новыми настройками при помощи инструмента Qualys SSL Server Test. Добейтесь того, чтобы сайт заслуживал оценки A или A+.

3: Сделайте все внутренние ссылки относительными

Теперь, когда ваш сайт работает и на HTTP и на HTTPS, вам нужно добиться его работы вне зависимости от протокола. Может возникнуть проблема смешанных протоколов – когда на странице, которую грузят через HTTPS, указаны ресурсы, доступные по HTTP. В этом случае браузер предупредит пользователя, что защита, предоставляемая HTTPS, перестала работать на 100%.

По умолчанию многие браузеры вообще не будут загружать смешанный контент. Если это будут скрипты или стили, страница перестанет работать. К слову, включать в страницу, загруженную по HTTP, контент, доступный через HTTPS, можно без проблем.
Проблема эта решается заменой полных линков на относительные. Вместо такого:
<h1>Welcome To Example.com</h1> <script src=»http://example.com/jquery.js»></script> <link rel=»stylesheet» href=»http://assets.example.com/style.css»/> <img src=»http://img.example.com/logo.png»/> <p>Read this nice <a href=»http://example.com/2014/12/24/»>new post on cats!</a></p> <p>Check out this <a href=»http://foo.com/»>other cool site.</a></p>
надо сделать такое:
<h1>Welcome To Example.com</h1> <script src=»//example.com/jquery.js»></script> <link rel=»stylesheet» href=»//assets.example.com/style.css»/> <img src=»1450829848287066165294″/> <p>Read this nice <a href=»//example.com/2014/12/24/»>new post on cats!</a></p> <p>Check out this <a href=»http://foo.com/»>other cool site.</a></p>
или такое:
<h1>Welcome To Example.com</h1> <script src=»/jquery.js»></script> <link rel=»stylesheet» href=»//assets.example.com/style.css»/> <img src=»1450829848287066165294″/> <p>Read this nice <a href=»/2014/12/24/»>new post on cats!</a></p> <p>Check out this <a href=»http://foo.com/»>other cool site.</a></p>
Все линки должны быть относительными, и чем относительнее, тем лучше. По возможности надо убрать протокол (//example.com) или домен (/jquery.js).
Лучше делать это при помощи скриптов, и не забыть про контент, который может находиться в базах данных, скриптах, стилях, правилах редиректа, тегах link. Проверить сайт на наличие смешанного контента можно скриптом от Bram van Damme.
Естественно, в ссылках на другие сайты протоколы менять не нужно.
Если в вашем сайте используются скрипты и другие ресурсы от третьих лиц, например CDN, jquery.com, у вас есть 2 варианта:
— также использовать URL без указания протокола
— скопируйте эти ресурсы к себе на сервер. Это в любом случае надёжнее

4: Переадресация с HTTP на HTTPS

Установите тег
<link rel=»canonical» href=»https://…»/>
на ваших страницах. Это поможет поисковым системам лучше ориентироваться у вас.
Большинство веб-серверов предлагают простые решения для редиректа. Инструкции для Apache и для nginx. Используйте код 301 (Moved Permanently).

5: Включите Strict Transport Security и Secure Cookies

На этом шаге вы уже ограничиваете доступ к сайту только для HTTPS. Strict Transport Security сообщает клиентам, что им надо соединяться с сайтом только по HTTPS, даже если ссылка идёт на http://. Это помогает против атак типа SSL Stripping и экономит время на переадресациях из четвёртого шага.
Убедитесь, что ваши TLS-настройки реально работают – например, сертификат не просрочен. На этом шаге любая ошибка будет блокировать доступ к сайту.
Включите HTTP Strict Transport Security посредством заголовка Strict-Transport-Security. На этой странице есть ссылки на инструкции для разных серверов.
Примечание: max-age измеряется в секундах. Начните с небольших величин и по мере роста уверенности в работе сайта увеличивайте их.

Для того, чтобы клиенты всегда отправляли куки по защищённому каналу, включите флаг Secure для куков. На этой странице есть инструкция для этого.

Проблемы с миграцией

Позиция в поисковой выдаче

Google ставит наличие HTTPS в плюс сайтам. У Google также есть инструкция по тому как переходить на безопасный режим, не теряя позиций в поиске. Также такие инструкции есть у Bing.
Быстродействие
Когда сервер работает нормально, траты на TLS обычно малы. По поводу их оптимизации читайте High Performance Browser Networking by Ilya Grigorik и Ivan Ristic’s OpenSSL Cookbook и Bulletproof SSL And TLS.
В некоторых случаях TLS может увеличить быстродействие – это справедливо в случае использования HTTP/2.
Заголовки Referer
Клиентские программы не отправляют Referer, когда пользователи переходят по ссылкам с вашего HTTPS-сайта на другие HTTP-сайты. Если вам это не нравится:
— другие сайты тоже должны мигрировать на HTTPS. Предложите им эту инструкцию. Если они дойдут хотя бы до 2 шага, то ситуация выправится
— вы можете использовать новый стандарт Referrer Policy, решающий проблемы с этими заголовками
Так как поисковики мигрируют на HTTPS, то вы скорее всего получите больше заголовков Referer, когда сами перейдёте на HTTPS.
Согласно HTTP RFC:
Клиент НЕ ДОЛЖЕН включать заголовок Referer в небезопасный HTTP-запрос, если ссылающаяся страница получена по безопасному протоколу.
Монетизация
Если на вашем сайте крутятся объявления рекламной сети, может возникнуть проблема –iframe с HTTP не будут работать на странице с HTTPS. Пока все рекламодатели не перейдут на HTTPS, операторы не могут перейти на HTTPS, не теряя рекламных доходов. Но пока операторы не мигрируют на HTTPS, у рекламодателей нет мотивации для миграции.
Рекламодатели должны хотя бы предлагать вариант своих сервисов с поддержкой HTTPS (достаточно дойти до 2 шага этой инструкции). Многие так и делают. Вам, возможно, придётся отложить 4-й шаг до тех пор, пока большинство из них не станут нормально поддерживать этот протокол.>
zoonman·ruПроектыСтатьи и заметки

Маленькие хитрости в Firefox

Главная → Статьи → Как вернуть http:// префикс в Firefox

Включение отображения протокола

С выходом седьмого огнелиса в адресной строке пропал протокол. Если раньше он был перед глазами, то теперь о протоколе можно только догадываться.

На самом деле проблема решается очень просто. Нужно зайти в хранилище настроек, т.е. набрать about:config в адресной строке, принять предупреждение и изменить параметр browser.urlbar.trimURLs в значение false. Просто сделайте двойной клик на параметре и готово.

Выключение выделения домена

Еще многих раздражает выделение домена в адресе страницы, его тоже можно отключить через опцию browser.urlbar.formatting.enabled, которую также надо установить в значение false. Эта опция была введена в Firefox 6.

Смена about:home

Замена в Firefox Яндекса в русской сборке на Google или какого-либо другого поисковика

  1. Скачайте sqlite-Browser.
  2. Распакуйте zip-File
  3. Запустите «SQLite Database Browser 2.0 b1»
  4. Откройте в нем файл «chromeappsstore.sqlite» из вашего профиля Firefox.
  5. Щелкните Tab Browse Data и сделайте двойной клина на значении в первой строке.
  6. Вставьте значение, которое вы хотите.

    Обратите на примеры ниже, в них «_searchTerms_» — это строка подстановки поискового запроса (placeholder)

    • Стандартная (google):
      {«name»:»Google»,»searchUrl»:»http://www.google.com/search?q=_searchTerms_&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a»}
    • Зашифрованная Google:
      {«name»:»Google»,»searchUrl»:»https://encrypted.google.com/search?q=_searchTerms_»}
    • yahoo:
      {«name»:»Yahoo»,»searchUrl»:»http://search.yahoo.com/search?p=_searchTerms_»}
    • bing:
      {«name»:»Yahoo»,»searchUrl»:»http://www.bing.com/search?q=_searchTerms_»}

Ускоряемся: отключаем лишнюю анимацию

Отключение анимации значительно ускоряет работу с браузером, т.к. нам не нужно дожидаться, пока отработают разного рода спецэффекты. Итак, что мы можем отключить:

  • browser.fullscreen.animateUp = 0 — выключаем анимацию при переходе в полноэкранный режим
  • browser.panorama.animate_zoom = false — выключаем анимацию при работе с режимом панорамы
  • browser.tabs.animate = false — выключаем анимацию при переключении табов
Ускоряемся: подстраиваем сеть

Всем известно, что скорость загрузки сайтов также зависит от числа одновременных соединений с ним. Правда на некоторых серверах количество это ограничивают, но на большинстве — нет. Воспользуемся этим для ускорения загрузки наших веб-страниц. Отмечу, что если у вас достаточно медленный интернет (менее 256к), это слабо скажется на ускорении загрузки страниц.

  • network.http.max-connections = 50 — увеличиваем максимальное число соединений
  • network.http.max-connections-per-server=20 — увеличиваем максимальное число соединений с одним сервером
  • network.http.max-persistent-connections-per-proxy=50 — увеличиваем максимальное число постоянных соединений через прокси
  • network.http.max-persistent-connections-per-server=20 — увеличиваем максимальное число постоянных соединений с сервером
  • network.http.pipelining=true — включаем конвейеризацию загрузки
  • network.http.proxy.pipelining=true — тоже самое через прокси
  • network.http.pipelining.maxrequests=8 — увеличиваем число одновременных запросов

У пользователей Windows есть один маленький подводный камень: по умолчанию ОС не разрешает делать более 10 одновременных запросов и это сильно сказывается на производительности сетевой подсистемы. Однако, есть такая утилитка, которая патчит tcpip.sys на предмет максимального числа соединений. Взять можно отсюда. Ну или погуглить «the path of tcpip.sys».

Добавляем Google Translate в поиск

Воспользуемся технологией OpenSearch и привяжем ее к Google Translate. В итоге теперь можно добавить Переводчик в список поисковых систем Firefox. Достаточно лишь зайти ко мне на сайте и добавить новый поисковый провайдер. Теперь переводчик с любого языка всегда под рукой.

Увеличиваем число адресов в выпадающем списке панели адреса

Нужно изменить значение переменной внутри настроек browser.urlbar.maxRichResults = 25.

>Защити сайт и повысь позиции в выдаче — установи SSL-сертификат

Что такое HTTPS и SSL?

Все сайты по умолчанию используют протокол HTTP для получения и передачи информации. Он применяется для отображения HTML-страниц, тех самых, что видит каждый пользователь, заходя по адресу сайта. Особенность HTTP в том, что он не хранит никакой информации о том, был ли посетитель на сайте раньше или нет. Это ускоряет загрузку сайта, но при этом нет практически никакой безопасности. В результате появился протокол HTTPS — (Secure HyperText Transfer Protocol).

«Безопасный HTTP» специально разработали для обмена конфиденциальной информацией — паролями, персональными данными, банковскими реквизитами. Такие данные необходимо передавать по безопасному каналу, чтобы третьи лица не могли перехватить их или взломать сайт.

Поскольку HTTP и HTTPS очень схожи между собой, пользователь разницу не чувствует. Но HTTPS обладает дополнительным уровнем защиты, используя специальный протокол для шифрования данных — SSL. HTTPS отвечает за то, чтобы данные были переданы в полном объеме, без потерь. SSL-протокол обрабатывает передаваемую информацию и шифрует ее от злоумышленников. Действуя «сообща», HTTPS и SSL надежно защищают данные от взлома и утечки. Google фиксирует это важное отличие от HTTP и проверяет его при отображении сайта в поиске.

Если сайт не защищен SSL-сертификатом, то в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупреждает пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Что хочет Google?

Google заботится о своих пользователях и хочет, чтобы сайты, по которым попадает клиент из поиска, были надежно защищены и безопасны для использования. Для этого поисковик запрашивает у сайта специальный SSL-сертификат. Получить его можно, обратившись в специальные организации, которые выступают в качестве доверительной стороны между клиентом и сайтом. Наличие сертификата серьезно влияет на выдачу сайта в поиске и получить его нужно даже если компания не занимается обработкой персональных данных пользователей.

Если сайт не защищен SSL-сертификатом, то постепенно он начнет терять свои позиции в поиске Google. Отсутствие HTTPS-протокола говорит пользователям и поисковику, что безопасность данных будет под угрозой, а значит, отображать сайт на первых страницах результатов поиска и переходить на него нельзя. Кроме этого, в строке браузера Google Chrome, рядом с адресом появится отметка «Не защищено». Она предупредит пользователя, что небезопасно оплачивать услуги на сайте, отправлять персональные данные через формы и даже ставить лайки и делать репосты в соцсетях.

Как отсутствие SSL-сертификата повлияет на сайт?

Очень негативно. Фактически, сертификат сайта — его «паспорт» в интернете. Может ли гражданин полноценно существовать без паспорта?

  • Google будет серьезно понижать сайты без SSL-сертификата в своей поисковой выдаче. Каким бы крупным не был сайт, отсутствие безопасной связи с посетителями считается поисковым гигантом серьезным недочетом, из-за которого продвигать сайт в ТОПе нельзя. Он уйдет с первых страниц поиска.
  • Ваша компания будет считаться ненадежной. Надпись «Не защищено» заставит потенциальных клиентов с подозрением относиться к вашему бизнесу или проекту и негативно воспринимать просьбу отправить персональные данные через формы обратной связи.
  • Все крупные и популярные сервисы отказываются работать с сайтами без HTTPS, к примеру, Яндекс Касса.
  • Сайт будет выглядеть подозрительно. Отсутствие защищенного канала для передачи данных не дает гарантии, что сообщение не изменилось в процессе доставки, пользователь настоящий, а общение клиента с менеджером конфиденциально.
  • Принесет репутационные потери — небезопасный сайт пользователи оценят как недействительный, а компанию — фиктивной или ненадежной. SSL-сертификат подтверждает, что бизнес легальный, компания действительно существует и корректно взаимодействует с клиентами.

Обратите внимание на дополнительные опции SSL-сертификатов

Кроме сертификата, есть «печать доверия» или «логотип доверия». Это изображение с логотипом центра сертификации, демонстрирующее факт проверки сайта. Ее ставят вместе с сертификатом, чтобы продемонстрировать, что сайт был проверен и надежно защищен. Существует два вида:

  • Статическая печать. Для недорогих сертификатов, отображает информацию сертификационного центра. По клику на картинку открывается сайт центра, где компания проходила проверку.
  • Динамическая печать. При наведении открывает окошко с подробностями о компании и SSL-сертификате.

Некоторые сертификаты не просто защищают домен сайта. К примеру:

  • WC (WildCard) — защищает домен и поддомены, вплоть до третьего уровня (smolensk.shop.test.ru);
  • MD (Multidomain, SAN) — защищает до 100 доменов (shop.ru, domain.ru, smolensk.ru);
  • IDN (Internationalized Domain Name) — для корректной защиты национальных доменов, в том числе, кириллических адресов (тест.рф);
  • SGC (Server Gated Cryptography) — помогает повысить безопасность клиентов, использующих старые браузеры. Это особенно важно, к примеру, для сайтов госструктур.

С первого взгляда выглядит сложно, поэтому расскажем подробнее, что купить, чтобы все было хорошо.

Алгоритм выбора SSL-сертификата для сайта

Шаг 1. Определите особенности сайта

  • Если 1 латинский домен и поддомен www, то выбирайте практически любой сертификат
  • Если нужна защита поддоменов, то выбирайте сертификат с пометкой Wildcard
  • Если у вас много сайтов и хотите защитить всех одним сертификатом, то правильным выбором станут SAN или Multi-Domain сертификаты
  • Если у вас кириллистический домен, то берите IDN-сертификат
  • В случае кириллического домена с поддоменами — Wildcard+IDN

Шаг 2. Домен оформлен на физическое или юридическое лицо?

  • Домен оформлен на физлицо — можно покупать только DV-сертификат (начального уровня)
  • Домен оформлен на юридическое лицо — покупайте любой сертификат

Шаг 3. Насколько крупный сайт?

  • Если проект небольшой, а сайт информационный, нужно дешево и просто — выбирайте DV-сертификат, подойдет и для поисковиков, и для безопасного соединения
  • В случае интернет-магазина, государственного учреждения или корпоративного сайта организации, желательно выбрать SSL-сертификат бизнес-уровня. Он выделит вас среди конкурентов, обезопасит сделки с клиентами и надежно защитит данные
  • Крупный интернет-магазин, финансовые организации, корпоративные порталы и десятки конкурентов на рынке? Необходим расширенный SSL-сертификат

Доступные для покупки сертификаты в WebCanape

  1. GlobalSign AlphaSSL. Выдается очень быстро, доступен физлицам и организациям, защищает поддомены, но не поддерживает кириллические адреса. Совместим со всеми браузерами и мобильными устройствами, имеет бесплатный значок AlphaSSL. Без технической поддержки. Отличный базовый вариант для простых проектов.
  2. GlobalSign DomainSSL. Очень популярный в Интернете SSL-сертификат, подтверждающий права на домен. Кроме тех параметров, что уже перечислены в AplhaSSL, содержит имя домена, значок аутентичности, его установка возможна на бесконечное число серверов.
  3. GlobalSign OrganizationSSL. Доступен только юридическим лицам, поддерживает кириллические адреса и подтверждает как домен, так и легальность компании. Название организации отображается на значке и в сертификате.
  4. GlobalSign ExtendedSSL. Высочайший класс защиты. При заходе на сайт адресная строка подсвечивается зеленым, отображается название организации. Серьезно повышает доверие клиентов и посетителей сайта, что как следствие — повысит продажи товаров и услуг. Оформляется только на юридическое лицо.
  5. Comodo PositiveSSL. Один из самых дешевых SSL-сертификатов на рынке, не требует документов о владении доменом, логотип безопасности бесплатен. Поддерживает кириллицу. Подходит только для базовых проектов.
  6. Comodo EssentialSSL. Практически полный аналог Comodo PositiveSSL с длинным ключом шифрования (до 2048 бит) и печатью сертификации Comodo. Подходит только для базовых проектов.