Praktik terbaik HTTPS untuk SEO dan kegunaan

8

Pertimbangkan halaman,, http://example.comyang dapat dilihat secara publik dan saat pengguna mengautentikasi. Sekarang anggaplah Anda mengaktifkan HTTPS untuk setiap halaman ketika pengguna login ke situs web Anda, tetapi hanya ketika mereka login. Halaman Anda, http://example.comsekarang menjadi https://example.comuntuk semua pengguna yang login. Jika pengguna yang masuk menyukai halaman Anda dan memutuskan untuk menautkannya melalui posting blog atau situs media sosial, ada kemungkinan besar mereka akan menggunakan versi HTTPS dari URL.

Dari perspektif SEO, apa strategi Anda untuk menghindari masalah konten duplikat antara kedua URL?

Apa yang harus terjadi jika pengguna membuka URL HTTPS tetapi belum masuk atau tidak memiliki akun? Haruskah ada pengalihan ke versi HTTP? Jika demikian, bagaimana Anda menanganinya?

Insting saya adalah bahwa untuk semua halaman yang dapat dilihat baik secara publik maupun saat login, halaman tersebut pertama-tama harus mendeteksi apakah pengguna tersebut login. Jika login, ia tetap HTTPS atau menggunakan 302 redirect dari versi HTTP ke HTTPS. Jika pengguna tidak masuk dan mereka tiba ke versi HTTPS dari URL, ia menggunakan 301 redirect ke versi HTTP. Namun, saya akan menyambut solusi yang lebih elegan atau efektif.

Sunting : Saya berasumsi bahwa jika pengguna masuk, setiap URL harus HTTPS (atau setidaknya, itu harus menjadi pilihan), tetapi karena saya telah melakukan sedikit riset lebih lanjut, mungkin anggapan itu salah. Cara saya melihat orang menerapkannya adalah mereka hanya mengaktifkan HTTPS untuk halaman yang mengirim dan menerima data sensitif: login, checkout keranjang belanja, manajemen profil pengguna, dll. Saya mencoba mencari tahu model mana yang terbaik.

Tampaknya, Google Mail memberi pengguna opsi apakah akan menggunakan HTTPS atau tidak pada setiap halaman melalui pengaturan di profil pengguna. Itu tentu saja pilihan, tetapi saya masih perlu mengatasi perilaku halaman yang tersedia untuk umum untuk semua negara otentikasi.

Karena saya sedang membangun sistem manajemen konten yang akan digunakan oleh orang lain, saya perlu memastikan saya melakukannya dengan benar. Pengaturan apa yang harus tersedia untuk pemilik situs? Pada titik ini, saya sedang memikirkan kontrol granular atas setiap halaman (apakah itu dijamin dengan SSL) dan kemudian untuk seluruh situs juga. Namun, memberikan tingkat kontrol itu mungkin merupakan kesalahan jika orang tidak memahami semua masalah dan akhirnya dapat menyebabkan masalah keamanan. Itu, mungkin, adalah masalah pertama. Apa tingkat kontrol yang sesuai dan apa yang merupakan standar kecerdasan? Yang kedua adalah bagaimana halaman harus berperilaku untuk pengguna. Dari perspektif SEO, saya berpikir bahwa proses yang saya jelaskan di atas atau menggunakanrel="canonical" (seperti yang disarankan jmb) akan berhasil, tetapi memakukan perilaku halaman agar aman dan mulus juga penting.

Virtuosi Media
sumber

Jawaban:

6

Anda mungkin ingin melihatnya <link rel="canonical" />. Lihat http://googlewebmastercentral.blogspot.com/2009/02/specify-your-canonical.html . Turun dalam komentar seseorang dari Google mengatakan bahwa itu dapat digunakan untuk masalah http / https.

Peringatan: Saya tidak yakin apakah dan sejauh mana <link rel="canonical" />didukung oleh mesin pencari selain Google, Yahoo dan Bing. Jika mesin lain penting bagi situs Anda, Anda harus memeriksa FAQ mereka.

Dari perspektif pengguna: Mengarahkan ulang pengguna yang masuk dari http ke https tidak aman (jika saya mengerti benar bahwa Anda ingin membuat proses yang mulus). Pada titik di mana dia tiba di situs (sebelum pengalihan), dia akan mentransfer cookie sesi melalui http, membuatnya rentan terhadap pembajakan sesi. Pengguna seperti itu perlu masuk lagi dari halaman https.

Dalam hal pengguna tiba melalui https dan tidak masuk: Bergantung pada keadaan (ukuran situs, volume lalu lintas yang diharapkan, berapa kali ini akan terjadi) Anda mungkin bisa membuatnya tetap di https. Juga lihat HTTPS untuk seluruh situs dan /programming/174348/will-web-browsers-cache-content-over-https untuk diskusi tentang menjalankan situs di https (sebagian dalam kasus Anda).

Memperbarui:

Apa tingkat kontrol yang sesuai dan apa yang merupakan standar kecerdasan?

Tingkat kontrol yang sesuai:

  • Aman (https dihidupkan, termasuk halaman login dan semuanya dari sana)

dan

  • Tidak aman (tidak ada https).

Tidak ada jalan tengah jika Anda ingin "melakukannya dengan benar". Juga lihat http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ dan /programming/274274/is-it-secure-to-submit -dari-a-http-form-to-https

Default: Tergantung pada siapa pelanggan Anda.

jmb
sumber
Saya juga memikirkan hal ini sebagai pilihan. Alasan mengapa saya tidak yakin tentang itu adalah karena, sementara itu mengatasi masalah SEO, itu tidak membahas bagaimana seharusnya halaman berperilaku untuk pengguna. Adakah pikiran?
Virtuosi Media
Poin bagus, saya memperbarui jawaban saya.
jmb
Apakah regenerasi sesi pada setiap pemuatan halaman akan menyelesaikan masalah pembajakan sesi?
Virtuosi Media
Terima kasih. Satu pertanyaan lagi: Bagaimana menurut Anda orang akan melihat CMS yang memerlukan sertifikat SSL jika mereka menerima pendaftaran pengguna?
Virtuosi Media
Saya pikir itu sangat tergantung pada target audiens. Bank akan melihatnya sebagai persyaratan, bahkan di bidang non-inti yang tidak melibatkan informasi keuangan. Suatu organisasi nirlaba dengan anggaran mungkin akan mengerutkan dahi pada biaya dan kompleksitas tambahan.
jmb
2

Tidak ada strategi SEO untuk halaman SSL. Bagian dari definisi caching adalah ini:

If the request is authenticated or secure (i.e., HTTPS), it won’t be cached.

lihat: tutorial caching

Jadi, untuk mencegah tumpang tindih dengan halaman non-SSL di mana ini dapat merusak peringkat, adalah memiliki halaman sensitif-SSL Anda pada URL yang sama sekali berbeda.

Ironisnya, saya telah melihat mesin pencari benar-benar menyimpan dan menyimpan tautan dengan url HTTPS di dalamnya. Ini bertentangan dengan apa yang seharusnya terjadi, tetapi dalam kasus di mana halaman adalah area login, adalah halaman rumah, atau pragma cache ditulis ulang untuk memungkinkan caching. Saya akan mengatakan hindari ini jika memungkinkan, karena halaman Anda akan turun PageRank biasanya.

Talvi Watia
sumber
1
Terima kasih, Talvi, tapi saya pikir Anda mungkin salah mengerti pertanyaan saya, yang bukan tentang caching peramban. Karena mesin pencari melakukan penjelajahan dan mengindeks halaman https, itu berarti bahwa Anda menghadapi masalah duplikat konten jika seseorang menautkan ke versi https. Mengubah URL tidak membantu karena http dan https sudah dua URL berbeda di mata mesin pencari. Dengan URL yang berbeda, Anda secara efektif membagi PageRank Anda. Inti dari pertanyaan saya adalah bagaimana seseorang dapat mengembangkan strategi untuk menghindari masalah konten duplikat. Sayangnya, saya tidak berpikir tautan caching membantu menyelesaikan ini.
Virtuosi Media
Saya setuju dengan Virtuosi Media - Mesin pencari umumnya tidak memiliki masalah dengan https: // - URL.
John Mueller
1
@ virtuosi Anda membuat saya di sana. Memukul mesin pencari dengan benda tumpul mungkin?
Talvi Watia
2

302 redirect tidak mentransfer peringkat pencarian - jadi Anda dapat kehilangan peringkat pencarian jika Anda melakukan pencarian massal pada situs Anda.

301 dapat mengubah definisi bookmark, saya tidak ingin terus-menerus 301 pengguna saya di sekitar.

Selain itu, pastikan versi http menyertakan formulir masuk sehingga pengguna dapat dengan cepat kembali ke versi https.

Sekarang pertanyaan besarnya adalah - jika data dapat dilihat melalui http mengapa Anda memiliki versi https? data apa yang Anda sembunyikan dengan enkripsi https yang belum ada di sana?

Anda dapat membuat area anggota https, atau mengirim formulir ke https url dari halaman http atau banyak opsi lain yang tidak termasuk memiliki seluruh situs di http dan https.

Selain itu, ide Anda terlihat bisa diterapkan - tetapi saya tidak memiliki info orang dalam tentang bagaimana Google dan situs web lainnya beroperasi dan Anda benar-benar tidak yakin bagaimana hal ini akan mempengaruhi peringkat Anda (dan ini merupakan kasus yang luar biasa) juga berubah secara drastis setiap kali Google memperbarui algoritme).

Nir
sumber
Saya kira saya berasumsi bahwa jika pengguna login, setiap URL harus https, tetapi karena saya telah melakukan sedikit riset lebih lanjut, mungkin anggapan itu salah. Cara saya melihat orang yang menerapkannya adalah mereka hanya mengaktifkan https untuk halaman yang mengirim dan menerima data sensitif: login, checkout keranjang belanja, manajemen profil pengguna, dll. Saya mencoba mencari tahu model mana yang terbaik. Karena saya sedang membangun sistem manajemen konten yang akan digunakan oleh orang lain, saya perlu memastikan saya melakukannya dengan benar.
Virtuosi Media