Google dnes oznámil, že weby využívající HTTPS a SSL získají drobné bodíky v SEO navíc. Zdůvodňuje to tím, že podle testů z poslední doby vycházejí weby používající tento typ zabezpečení komunikaci jako „lepší“. Nový signál by měl být zpočátku jen slabý, slabší než kupříkladu hodnotný obsah nebo silný zpětný odkaz. Google nicméně nevylučuje, že v budoucnu posílí. Toliko k oficiálním zdrojům.
Osobně si nemyslím, že by lepší zabezpečení webů mělo nějaký přímý vliv na kvalitu a relevanci informace nacházející se na cílové stránce. Rozhodnutí bude spíše korelovat s dlouhodobou snahou Google o „bezpečnejší internet“, kterou ostatně v prvé řadě demonstruje na vlastním vyhledávání (zdravíme [not provided]!).
Celkově mám pocit, že Google poslední dobou sahá stále více do škatulky UX a škatulky „jak dobře je web formálně udělaný“. Na jednu stranu je skvělé, že mu tolik leží na srdci blaho uživatele jaksi nad rámec nalezení hledané informace, na druhou stranu vyvstává otázka „kde se hodlá zastavit“, do jaké míry plánuje Google diktovat a vynucovat, jak vypadá ten „správně udělaný web“.
Co to znamená pro praxi?
Přiznám se, že nejsem velký odborník na zabezpečení webu a technické souvztažnosti. Nedokážu fundovaně posoudit, jak pracné může být přejít z HTTP na HTTPS a jaké technické pasti a chyby číhají po cestě. Mohu jen shrnout pár bodů, které je dobré mít na paměti z hlediska SEO:
- web běžící na HTTPS je samostatný, „jiný“ web než web běžící na HTTP. Jinými slovy, pokud se rozhodnete přejít na zabezpečený protokol, je potřeba si pohlídat duplicitu, která vám vznikne. V praxi to znamená přesměrovat „starý“ HTTP web na „nový“ HTTPS web – jednu URL po druhé, 1:1.
- stejně tak je potřeba si pohlídat kde a jak budou uložené a odkazované soubory (obrázky, videa, PDFka, …)
- s tím souvisí všechny klasické pasti související s masivním přesměrováváním – že něco zapomenete, že něco špatně nastavíte a v neposlední řadě že vyhledávačům může chvilku trvat si změny všimnout a „propočítat ji“. Google pro ty účely nabízí funkci oznámení změny adresy webu, Seznam bohužel nikoliv
- web přesunutý na HTTPS bude potřeba evidovat samostatně ve Webmaster Tools jako nový web
- použití protokolu HTTPS může klást větší nároky obsluhu návštěvníka, čili je potřeba si ohlídat, aby se vám web nějak výrazně nezpomalil, jelikož rychlost načítání stránek je rovněž drobným hodnotícícm faktorem v SEO na Google a mnohem podstatnějším v rámci uživatelského prožitku na webu
- pozor na to, kam umístíte soubor Robots.txt, sitemapu, ověřovací soubory pro GWT apod.
- pohlídejte si, že bezpečnostní certifikáty budou vždy v pořádku a stále platné, aby se vám nestala následující nepříjemnost
- pohlídejte si canonicaly
- pohlídejte si redirecty
V každém případě nebuďte zbrklí a nežeňte se do rychlé změny jen „kvůli SEO“.
Kolegáčkové v oboru: doplní mne někdo podrobnějším komentářem nebo článkem o implementaci HTTPS / SSL? :-)
- Podrobný návod k přechodu na HTTPS / SSL od IglooNetu
- Důsledky HTTPS pro webovou analytiku od Michala Janíka
- Dopady HTTPS na marketéry od Besteta
Názory ze sítě:
Kdyby vás napadlo,že chcete přejít na HTTPS jen kvůli malému plusu v #SEO pro Google,tak raději dvakrát měřte,než tam ty redirecty říznete.
— Jaroslav Hlavinka (@neologyc) August 7, 2014
7.8.2014 napsal Lukáš Pítra
Tak a teď si to hromada chytráku vezme za své (překroutí to) a klientům budou hromadně radit, aby přešli na verzi HTTPS, protože to je to ono. To funguje a je to skvělé! Nakonec se ještě budou stěhovat servery do pater, čím výše tím vyšší PageRank. :o)
To co má vliv na relevanci výsledků se nijak zásadně nemění, takže jedeme dál.
Těch zbrklých doporučení se obávám taky, ostatně dnes se stále může potkat s radami typu „posuňte si H1 ve zdrojovém kódu výše, na blackhatafillseomaster.eu webu jsem četl, že to hrozně pomáhá“. Natožtak něco, co radí vyhledavač sám :-)
Hlavni past vidím u prošlých nebo jinak chybných certifikátů. Na mobilu na me každý týden vyskočí nějaké bezpečnostní upozornění.
No a s mobily souvisí druha část. Mobilní web aby mel taky https? AU.
Tak to bude drahe. Vzhledem k tomu ze podepsany HTPSS certifikat stoji par jednotek tisic. A dat si tam nepodepsany certifikat bez CA nebo od CA ktera neni moc znama je spatne, protoze to pak odrazuje navstevniky.
Honzo a nutno podotknout, že to bude drahé každý rok, protože vystavení podepsaného a „zelenou barvou v URL“ označovaného certifikátu stojí těch pár tisíc každý rok.
Lukáši mám dotaz k tomu H1 co nejvýš v kódu. Pokud to nevezmu jako „absolutní tvrzení“ typu H1 hned za BODY, opravdu ta vyšší pozice nepomáhá? Protože z logiky HTML dokumentu, by H1 měla uvozovat hlavní nadpis/téma stránky a dále by už kromě obsahu měly být jen nižší nadpisy. Pokud tedy bude H1 někde hluboko v kódu, neříká to něco o tom, že skutečný obsah začíná až pod tím a vše co je předtím jsou jen menu, úvodníky apod.? Samozřejmě je tu pak i otázka Seznamu, na ten totiž podobné „rady“ obvykle fungují. A pokud bych to bral z hlediska AdSense, tak tam skutečně platí, že první AdSense kód v HTML kódu je ten nejlépe placený (dostává o něco víc za proklik proti ostatním plochám). Často se tak plocha s nejlepším výdělkem posouvá v HTML dopředu a pak se to obchází pozicováním přes CSS, když ta reklama není první s hlediska opravdového zobrazení.
Dovolím si krátké postřehy k jednotlivým bodům z pohledu sysadmina:
„web běžící na HTTPS je samostatný, „jiný“ web než web běžící na HTTP“ – není. Na stejném webovém serveru je jen otevřený další port, přes který je spojení přes SSL ověřeno a obsluhováno. Webová aplikace by neměla být na používaném protokolu závislá, tj. neměla by mít v kódu natvrdo zapsané „http://“. Pokud to tam tak je, tak ať jde vývojář za dveře a tam si naliská. A není nic složitého provoz z http na https přesměrovat pomocí 301.
Do Webmaster Tools se imho strká doména, nikoliv adresa včetně protokolu. Google by si to měl (a byl by hloupý, kdyby to nedělal) zjistit dostupnost https sám.
„(…) použití protokolu HTTPS může klást větší nároky obsluhu návštěvníka, čili je potřeba si ohlídat, aby se vám web nějak výrazně nezpomalil“ – zde zpomalení hrozí, protože server víc počítá. U malých a středních webů (rozumněj ty, kterým teď na obsluhu stačí jeden webserver a jeden databázový server) je to zanedbatelné a nepozorovatelné. U velkých (bambilióny návštěv, několik webserverů, servírování obrázků z jiných center, apod.) to může být už pozorovatelný, ale tam už je řešením proxy před vlastními servery, která toto obslouží.
„pozor na to, kam umístíte soubor Robots.txt, sitemapu, ověřovací soubory pro GWT apod.“ – ad bod jedna. Zůstanou tam, kde jsou.
„pohlídejte si, že bezpečnostní certifikáty budou v pořádnu a stále platné“ – tu je imho největší problém, protože lidi jsou lajdáci. Správná CA by měla na vypršení platnosti upozornit, ale neplatí to vždycky. Taky SSL certifikát podepsaný CA něco stojí – třeba u GoDaddy je za ~1500Kč na rok.
Podtrženo sečteno, s nasazením https by neměl být výrazný problém, pokud nad tím běží slušná aplikace. Problém může u některých webhostingů, které vlatní SSL ještě nepodporují.
Stando, je to dost off-topic, nicméně nevidím důvod proč by pozice nějaké značky ve zdrojovém kódu ovlivňovala zhodnocení relevance a kvality obsahu. Na vnímání stránky uživatelem nemá žádný vliv, podobně jako meta keywords.
Ano, zkoušel jsem to různorodých webech klientů a nepozoroval jsem žádný hmatatelný přínos.
STDERR: díky za doplnění. Co se týře vyhledávačů, mám opravdu za to, že http://web.cz a https://web.cz vnímají vyhledávače jako oddělené věci a řešil jsem v praxi případy z toho vzniklých duplicit a problémů. Pravda, naposledy někdy loni, změnilo se něco? :-)
Lukáši, když už jsi to v článku zmínil nedalo se mi nezeptat se, zvlášť kvůli tomu ovlivnění u AdSense. Díky za odpověď i na off-topic dotaz ;)
STDERR: To že je to technicky ten samý web neznamená, že tím může vznikat z pohledu vyhladávače duplicita a ta musí být ošetřena. Nejednou jsem se setkal s úplně jiným obsahem na http a https.
(omlouvam se za chybejici diaktritiku)
Kdyz jsme prevadeli cely web na https, samozrejme jsme merili dopad na rychlost. Namerili jsme zpomaleni zhruba o 0% (nula procent). Faktem totiz je, to sifrovani je pekelne rychle a posila se tak jen html obsah. Nema smysl posilat multimedialni obsah, ten serviruje CDN na nesifrovanem spojeni. Padla tady obava o weby s bambiliony uzivatelu. Bambilion jeste nemame ale nekolik desitek milionu zobrazeni denne tam bude.
Podepsany certifikat neni drahy. Da se sehnat i zadarmo, pokud zrovna nemate eshop nebo ocividne komercni web. I tak bych ho ale kvuli SEO nekupoval. Ma smysl pokud mi uzivatele posilani soukrome udaje (eshopy by ho mely mit vsechny bez ohledu na seo) a nebo pokud proste chci delat veci spravne.
Je pravda ze obsah na https a http se muze lisit. Zrovna tak se muze lisit na zaklade cookie, pouzivaneho prohlizece apod. Pokud ale mam ssl na webu, neni moc duvodu proc nechat povolene nesifrovane spojeni. Standardni je uzivatele presmerovat na :443. Pokud nekdo dela neco nestandardniho, musi ocekavat nestandardni vysledky.
Obava o mobilni zarizeni je podle me zcestna.
A google dobre dela. SSL neznamena predevsim peci o soukromi navstevnika. Pokud budou dva weby nabizet uplne stejny obsah ale jeden budem mit SSL, ma u me jako u navstevnika male plus. A u googlu ted taky.
Četl jsem to ráno na tvém twitteru. Super, že jsi to více rozepsal :)
Certifikáty určitě nestojí tisíce jak bylo zmíněno výše (pokud teda nejste banka apod.). Pro nekomerční účely jde použít https://www.startssl.com/ a pro komernčí za pár korun https://crt.simplia.cz/ (selfpromo)
Mimochodem díval jsem se do Webmaster Tools a nahlásit změnu adresu lze jen pokud jde o jinou doménu. Web s https sice jde založit, ale v nabídce se vůbec nezobrazí.
Lukáš Pítra & Pavel Ungr: dobře, ono to záleží. Data pro http a https mohou být oddělená – pod každým z protokolů se pak může zobrazovat něco jiného a vše je potřeba duplikovat. To ale stačí napsat tři pravidla do htacess pod http nebo říct adminovi, ať se vzpamatuje a přesměruje provoz na serveru a je to.
Na Lukášův apel v tomto článku a otázky v komentářích jsem napsal technické doplnění https://igloonet.cz/blog/https-vzdy-vsude-nebojte-se-prejit/
Pokud jsem to pochopil správně, pak pro SSL je v podstatě nutná samostatná IP adresa. Pokud by všichni přešli na SSL, kde se ty adresy vezmou? Českých domén je přes 1,1 milionu…
Jan Nachtigal: jednak jak píšu v článku, je zde řešení SNI, které vám umožní na jedné IP provozovat libovolný počet certifikátů, druhak určitě nehrozí, že by nyní všechny weby začaly přecházet na HTTPS. V každém případě kéž by ano, alespoň by se musel urychlit přechod na IPv6, kde je adres dostatek :)
@Jan Nachtigal: Samostatná IP je potřeba jen pokud je nutné podporovat IE na Windows XP a podobné 10 let staré vykopávky. I na XP web ale bude fungovat – jen tam bude hláška o chybě certifikátu.
Například CloudFlare to ale bere ještě za jiný konec – má jeden certifikát pro desítky (stovky?) domén a tak IP adresy výrazně šetří.
Myslím, že by to mohlo mít celé ještě jeden rozměr. Nemýlím-li se, pak by, nás marketéry, mohl pozlobit http referrer. Sepsal jsem to zde: http://www.michaljanik.cz/https
S odstupem mi došlo, jak velká věc bude migrace WWW na HTTPS. Dopad na SEO bude věc maličká, v porovnání s tím, co všechno se může změnit. Rozepsal jsem to podrobněji ve druhém článku: http://www.besteto.cz/roury-zdi
Děkuji Lukáši na „nakopnutí“.
Díky za doplnění Michale, doplnil jsem odkazy na tvoje obě zamyšlení i do článku :-)
Děkuji Lukáši.
Jakube, „Nema smysl posilat multimedialni obsah, ten serviruje CDN na nesifrovanem spojeni.“ I multimediální obsah musí být na HTTPS, jinak budou prohlížeče hlásit mixed content warning (nebo to rovnou zablokují, podle prohlížeče a obsahu).
Tak mě napadl ještě jeden důvod, který taky může hrát trošku roli http://duben.org/propagace-webu/https-jako-seo-faktor-u-google-nebo-take-skryta-forma-boje-s-mfa
Dobrý den,
za náš eshop http://www.stylomat.cz naprosto nedoporučuji přechod na HTTPS. Poskytovatel eshop řešení nás převedl partyzánským způsobem na HTTPS (nedal nám o tom věděť) a já teď o víkendech řeším tu spoušť. Google Rank spadl ze 3 na 0. Seznam Rank z 5 na 3. Byli jsme vykopnuti z organiky na Google i Seznam. Collabim zkolabova (hlavní klíčova slova posun o -49 pozic). Návštěvnosti na 30% ze dne na den. Možná chyba nebude v HTTPS, ale ve způsobu implementace. Ale zatím je to katastrofa.
Martine, ranky bych příliš neřešil, o ničem příliš nevypovídají (korelace mezi GTPR a Srankem a reálnou viditelností není kdovíjaká). Co se týče Collabimu – změnili jste sledovaný web na „https://…“?
Mrkněte se, zda jsou všechny adresy přesměrované 1:1 jak by měly být pomocí 301, že v hlavičkách je správný kód, že se na ni nezapomělo a to včetně vnitřních odkazů.
Jděte do Webmaster Tools a oznamte Googlu, že jste přesunuli web na novou adresu (což https pro Google fakticky je). Založte nový web (záznam) pro https verzi a mrkněte se, zda je v pořádku sitemapa a indexace, robots.txt.
Pokud máte tu možnost, přesměrujte zpětné odkazy vedoucí historicky na http verzi nově na https verzi, alespoň u homepage.
Myslím si ,že robiť https len kvôli seo sa vôbec nevyplatí a až taký dopad to mať nebude.
Lukáši, je to trochu pozdě :), ale stejně zpětně díky za tipy !
Dnes nám jeden inzerent přecházel z http na https, tak si o tom více studuji, ale ten důvod, proč by Google měl dávat https více bodů je něco podobného, jako v minulosti méně bodů pro domény .info.
Pokud https bylo známkou vyšší důvěryhodnosti, tak nyní to již platit nebude.
HTTPS s EV certifikátem bude vždy poskytovat vyšší důvěryhodnost, než cokoliv jiného, nehledě na to, jak se k tomu staví Google. Bez EV to je „jen“ o znemožnění odposlechu a modifikace dat.
Díky moc za super návod. Kde vychází cenově certifikát nejlépe?
Zatím jsem se díval na odkaz odsud: http://rozpuk.cz/ssl-certifikat-pro-nasazeni-https-eshop/ 139,- Kč / rok při koupi na 3 roky. Je to dobrá cena?
Staníku, „obyčejné“ (EV) certifikáty jsou dnes nejlevnější za 0 Kč. Zdarma je nabízí například certifikační autorita Let’s Encrypt https://letsencrypt.org/, ve velkém je na pár kliknutí nabízí třeba Active 24: https://blog.active24.cz/2016/06/duveryhodne-certifikaty-lets-encrypt-zdarma-ke-kazdemu-linux-hostingu-od-active-24/ Certifikáty zdarma (od Symantecu) nabízí i Zoner na svém hostingu https://www.sslmarket.cz/ziskejte-https i Amazon na svých load balancerech v AWS. Jednou z těchto cest bych se vydal, to jsou myslím dobré ceny :-)
Michal Špaček: nepleteš si EV a DV?
Petře, nepletu, ale přepsal jsem se :-) pardon, mělo tam být „obyčejné“ (DV) certifikáty. Díky za upozornění!
Staníku, na tom se moc peněz vydělat nedá. (ten komentář je affil spam, linkovaný blog post obsahuje affiliate link na ssls.cz, Staník je administrativním kontaktem té domény a zároveň majitelem domény naplne do tiskaren)