Domů > Google Analytics > Přechod e-shopu na https – Ano? Ne? Proč? Co? Jak? Kdy? Kde…

Přechod e-shopu na https – Ano? Ne? Proč? Co? Jak? Kdy? Kde…

V poslední době se šíří po českých internetových fórech názor, že by všichni měli přijít na https protokol (zabezpečený přenos informací) a nepoužívat již http (nezabezpečený přenos). Velká hysterie se kolem zabezpečeného přenosu zvedla poté, co Matt Cutts z Google v klasickém videu o vývoji vyhledávače Google oznámil, že weby na https budou mít v hodnocení vyhledávačem nějaké kladné bodíky a budou se tak pravděpodobně zobrazovat výše v SERPu.

V mém dnešním článku se podíváme na to proč byste na https měli přejít, kde jsou úskalí přechodu, na co si dát pozor a mnoho dalších věcí.

 

Jak je to vlastně s tím Googlem

Google sice řekl, že https je pro něj kladný signál pro hodnocení, ale jak dobře víme, je stále prakticky zanedbatelný. Podobných signálů má Google stovky a kdyby mělo https třeba 0,5 % podíl na hodnocení, tak fakt může tolik pomoci? Odpověď zní samozřejmě ne.

Google nám všem pouze řekl, že chápe v dnešní době bezpečnost jako určitý kladný signál a doporučuje všem přejít na https. To je prakticky celé sdělení… Jedním z důkazů je i článek „Jak proběhl přechod vaszrak.cz na HTTPS„, kde se jeho autor pozastavuje nad tím, že přešli na https, jak Google řekl, ale v ničem jim to nepomohlo (přeloženo z řeči šamanů – nemělo to vliv na pozice). A proto pokud chcete přecházet na https jen kvůli Google, raději se na to vykašlete, protože to nemá smysl.

Jaký by tedy měl být důvod přejít na https

Budeme-li hledat důvod dále, tak jím bude to oné poslední písmenko zkratky https – s totiž znamená SECURE = zabezpečený. Laicky řečeno – jste-li na běžné nezabezpečeném protokolu http, může kdokoliv po cestě dat od vás k serveru a zpět komunikaci odposlechnout a popřípadě část dat pozměnit. Může se tak stát, že se přihlašujete na nezabezpečeném webu a vše heslo po cestě někdo odposlechne a bude tak mít vaše přihlašovací údaje k danému účtu… A každý si dokáže představit, jaký by to mohl být problém třeba u banky a přístupu do elektronického bankovnictví, že.

Že nejste banka a tedy váš e-shop zabezpečení nepotřebuje? Možná říkáte že ne, ale já si myslím, že ano. Jednou jste dostali do ruky data zákazníků – maily, adresy, telefony atd. A ty snad mají cenu, nebo ne? Však si zkuste odpovědět sami na otázku, kolik byste byli ochotni zaplatit za databáze konkurenta, který má třeba 100 000 zákazníků a koupí databáze (vynechme, že tím porušujete zákon o ochraně osobních údajů, to vás v tu chvíli stejně zajímat nebude) byste je všechny získali. Věděli byste, kdo se jak jmenuje, jaký má e-mail, co nakupoval… To jsou přece geniální data, která můžete využít a takové zákazníky konkurence začít přetvářet na zákazníky své, nebo ne?

A tím se dostáváme k prvnímu problému a jádru věci. Obdobně, jako jde odposlechnout heslo zákazníka, tak se dá odposlechnout i to vaše administrátorské… Pak má kdokoliv přístup do vašeho admin rozhraní… A to je jen první riziko.

Druhé riziko, které je více než reálné, jež může u nezabezpečeného přenosu „kdokoliv“ (chápejme kdokoliv, kdo to bude umět) nastat je to, že vy odesíláte zákazníkům ze serveru nějaká data, ale útočník je po cestě změní a zákazník nic netušíc vidí úplně jiný obsah webové stránky, než jste mu poslali… Co když takhle zákazníkovi pošle útočník virus nebo třeba po provedené objednávky změní odkaz na platební bránu, které nebude vaše? Zákazník v klidu nic netušíc uhradí, ale peníze přijdou někomu jinému… A obdobných rizik je v nezabezpečeném přenosu více. Já nejsem ten, kdo by o nich měl poučovat, ale kouknete-li třeba na blog Michala Špačka – odborníka na bezpečnost, budete u toho správného člověka.

Takže už vím, že https chci, ale co mám dělat dál

Pokud jste se nyní zamysleli a řekli jste si, že to zabezpečení musíte mít, klidněte hormony. Ono to nebude tak jednoduché.

Certifikát si nejprve musíte zakoupit. Jsou zde různé certifikační autority a certifikát se dá koupit už od 99 Kč. Je ovšem problém v tom, že za certifikační autoritu se může prohlásit prakticky každý a půjde o jeho důvěryhodnost. Já osobně kupoval certifikáty u RapidSSL – nejsou levní, ale jsou opravdovou autoritou. Dají se koupit i levnější, ale může se stát, že takového vydavatele nebude některý prohlížeč brát jako autoritu a pak to bude uživatelům hlásit nedůvěryhodného vydavatele certifikátu… A zvažte sami, jak důležitý je váš projekt a zda chcete pro pár ušetřených korun strašit uživatele.

Certifikát tedy máme, nyní je potřeba ho nasadit na web a udělat kompletní přesměrování původních http URL adres na ty nové s HTTPS. To je jeden z nejdůležitějších kroků. Přesměrování se musí udělat typem přesměrování 301 – trvalé přesměrování na novou URL a to tzv. 1:1. Tj. že pokud jste mělo URL http://www.doména.cz/NějakáURL.xhtml, tak ji musíte přesměrovat na totožnou, jen s https na začátku, tedy https://www.doména.cz/NějakáURL.xhtml. Všechny vyhledávače pak chápou https jako zcela novou URL adresu a budou k ní tak přistupovat (o vyhledávačích dále v tomto článku).

Dále pak je nutné, abyste si přenastavili všechny URL adresy exportů (např. v heureka.cz nebo zboží.cz si změňte URL feedu na https) a podobných externích zdrojů.

Dalším nutným krokem, na který jsem i já zapomněl pro našem přechodu na https, je přenastavení https u URL adresy v google analytics. Pokud nenastavíte https a ponecháte http, Google Analytics vám nebudou měřit.

Potřeba je i překontrolovat, zda nemáte na webu s https URL adresou načítán nějaký externí zdroj na nezabezpečeném přenosu http – externí script, css, obrázky apod. Pokud nezabezpečený prvek na webu ponecháte, bude uživatelům v některých prohlížečích vyskakovat varovná hláška a to opravdu nechcete, věřte mi.

Je určitě ještě několik dalších, mnohdy i dost specifických, věcí, které musíte překontrolovat a nastavit, ale zmíněné jsou ty základní.

Jak jsme to měli s přechodem na https u nás na SvětBot.cz

S naším obchodem SvětBot.cz jsem plánoval přechod na https už hodně dlouho. Nebyl ovšem čas a kapacity a tak jsme přechod uskutečnili až 9.dubna 2015. Vybral jsem dražší certifikát, který se váže i na domény 3. řádu od RapidSSL jako vydavatele. Vše jsme nastavili, všude dali 301ku 1:1, ale jak už jsem uvedl, na analytics jsme zapomněli. Nakonec jsme to brzy odhalili a dat nám v GA moc nechybí.

Dále jsme zapomněli na konverzní kódy a další drobnosti, které nám také chvíli neměřili…

Celé se to za pár dnů vyladilo a měl jsem pocit, že bude vše ok a proběhlo to hladce. Trochu jsem si v duchu říkal, že proč jsem to dělal v tento čas relativně mimo sezónu, když o nic nejde… Ale ono jde.

Google a Seznam

Google se s novými URL adresami, které jsou přezrcadlené 1:1 popral poměrně slušně. Návštěvnost z něj plyne více méně stejná jako před přechodem a to i několik týdnů po přechodu. V SERPu jsou již https URL adresy a nevidím nikde problém.

Ale ten Seznam.cz, to je krize nad krizi popravdě. Níže je uveden graf z Google analytics. Zobrazuje přístupy POUZE z vyhledávače Seznam.cz (=není to celá návštěvnost webu) a oranžově je loňský rok, modře ten letošní. Zvolené období je někdy leden až 3. týden května. Červeně jsem vyznačil termín přechodu z http na https protokol.

 

Loňskou návštěvnost nechávám na grafu proto, aby bylo srovnání sezónnosti a vývoje týdenní návštěvnosti v čase. Je vidět, že meziročně nám Seznam přiváděl o +- 100 % návštěv více. Ještě cca 14 dnů po přechodu, kdy přicházela hlavní sezóna, se zdálo, že bude vše v pořádku, ale bylo to už předznamenání konce. Jsem přesvědčen, že nepřecházeli bychom-li na https, byl by vývoj návštěvnosti v následujících dvou týdnech stoupající a ne setrvalý. Následně ale jak ukazuje graf šla návštěvnost rapidně dolů. Po pěti týdnech od přechodu jsme byli na loňské návštěvnosti (tedy mínus 50-70% z aktuální) a další týden dokonce -20,54 % pod loňskou návštěvností. Kam dále to až půjde nedokáži odhadnout, ale vypadá to, že jsme přechodem na https u Seznam.cz začali zcela od nuly a zbytky návštěvnosti jsou na URL, které zatím nezaregistroval, že jsou už na https.

Nechci brečet nebo si stěžovat. Něco takového jsem od Seznamu čekal, i když se přiznám, že ne zas až tak drastického. Čekal jsem pokles o 20-30% a do 2 měsíců, že se to srovná. Opak je pravdou…

A v kontextu toho co vidím jen doufám, že se to do podzimu, kdy máme největší sezónu, spraví a Seznam se vzpamatuje. I to je důvod, proč jsem přechod dělal v dubnu, tedy 6 měsíců před naší nejsilnější sezónou.

Https tedy ano nebo ne

Kdybyste se mě ptali, jestli zabezpečený přenos ano nebo ne, odpověděl bych vždy ANO, jenže bych hned dodal ALE. A za tím ale by bylo upozornění, že přijdou s velkou pravděpodobností problémy od Seznam.cz, kdy si s tím nebude umět poradit a bude stejný problém jako u nás…

Proto pokud máte nový e-shop, nešetřete a už od začátku ho postavte na https. Za rok, dva nebo tři, jako když tu investici najdete! Pokud už něco rozjetého máte, pak se dobře rozmyslete, zda přínosy jsou více, než možné ztráty. Na druhou stranu čím déle to budete oddalovat, tím horší to pak bude. Tedy pokud se do té doby Seznam.cz nevzpamatuje (kéž by, fandím mu). A půjdete-li do toho tak hned po největší sezóně a tak, abyste měli další sezónu co nejdále… Snad se vás to pak dotkne co nejméně.

A dělat to kvůli Google? Ani náhodou… Pomůže vám to minimálně, nebo bych dokonce trochu i pochyboval zda vůbec, ale problémů je to víc než dost. Jestli nad tím přemýšlíte stále jen „udělám to kvůli Google“, ušetřete si čas i nervy a nechte to plavat.

 

A jaké máte zkušenosti s https, přechodem, seznamem a dalšími věcmi týkající se článku vy? Podělte se s námi v komentářích!

WordPress › Chyba