HTTPS-Best Practices für SEO und Benutzerfreundlichkeit

8

Stellen Sie sich eine Seite vor, http://example.comdie sowohl öffentlich als auch bei der Authentifizierung eines Benutzers angezeigt werden kann. Angenommen, Sie aktivieren HTTPS für jede Seite, wenn sich ein Benutzer bei Ihrer Website anmeldet, jedoch nur, wenn er angemeldet ist. Ihre Seite wird http://example.comjetzt https://example.comfür alle angemeldeten Benutzer. Wenn dieser angemeldete Benutzer Ihre Seite mag und beschließt, über einen Blog-Beitrag oder eine Social-Media-Website darauf zu verlinken, besteht eine gute Chance, dass er die HTTPS-Version der URL verwendet.

Welche Strategie verfolgen Sie aus SEO-Sicht, um doppelte Inhaltsprobleme zwischen den beiden URLs zu vermeiden?

Was soll passieren, wenn ein Benutzer die HTTPS-URL erreicht, sich jedoch nicht angemeldet hat oder kein Konto hat? Sollte es eine Weiterleitung zur HTTP-Version geben? Wenn ja, wie würden Sie damit umgehen?

Mein Instinkt ist, dass für alle Seiten, die sowohl öffentlich als auch während der Anmeldung angezeigt werden können, die Seite zuerst erkennen sollte, ob der Benutzer angemeldet ist. Wenn sie angemeldet ist, bleibt sie HTTPS oder verwendet eine 302-Umleitung von der HTTP-Version zu HTTPS. Wenn der Benutzer nicht angemeldet ist und zur HTTPS-Version der URL gelangt, wird eine 301-Umleitung zur HTTP-Version verwendet. Ich würde jedoch eine elegantere oder effektivere Lösung begrüßen.

Bearbeiten : Ich ging davon aus, dass, wenn ein Benutzer angemeldet ist, jede URL HTTPS sein sollte (oder zumindest eine Option), aber da ich etwas mehr Nachforschungen angestellt habe, war diese Annahme möglicherweise falsch. Ich sehe Leute, die es implementieren, dass sie HTTPS nur für Seiten aktivieren, die vertrauliche Daten senden und empfangen: Login, Warenkorbkasse, Benutzerprofilverwaltung usw. Ich versuche herauszufinden, welches Modell das beste ist.

Anscheinend bietet Google Mail Nutzern die Möglichkeit, HTTPS auf jeder Seite über eine Einstellung im Nutzerprofil zu verwenden. Das ist sicherlich eine Option, aber ich müsste mich noch mit dem Verhalten öffentlich verfügbarer Seiten für alle Authentifizierungszustände befassen.

Da ich ein Content-Management-System aufbaue, das von anderen Personen verwendet wird, muss ich sicherstellen, dass ich es richtig mache. Welche Einstellungen sollten dem Websitebesitzer zur Verfügung stehen? An diesem Punkt denke ich über eine detaillierte Kontrolle über jede Seite (unabhängig davon, ob sie mit SSL gesichert ist oder nicht) und dann auch über die gesamte Site nach. Es kann jedoch ein Fehler sein, dieses Maß an Kontrolle zu geben, wenn die Benutzer nicht alle Probleme verstehen und Sicherheitsprobleme verursachen können. Das ist vielleicht das erste Problem. Was sind angemessene Kontrollebenen und was sind intelligente Standardeinstellungen? Das zweite ist, wie sich die Seiten für den Benutzer verhalten sollen. Aus SEO-Sicht denke ich, dass entweder der oben beschriebene Prozess oder die Verwendung derrel="canonical" (wie von jmb vorgeschlagen) würde funktionieren, aber es ist auch wichtig, das Verhalten der Seite so festzunageln, dass sie sicher und nahtlos ist.

Virtuosi Media
quelle

Antworten:

6

Vielleicht möchten Sie einen Blick darauf werfen <link rel="canonical" />. Siehe http://googlewebmastercentral.blogspot.com/2009/02/specify-your-canonical.html . Unten in den Kommentaren sagt jemand von Google, dass es für http / https-Probleme verwendet werden kann.

Vorsichtsmaßnahme: Ich bin mir nicht sicher, ob und inwieweit <link rel="canonical" />andere Suchmaschinen als Google, Yahoo und Bing dies unterstützen. Wenn andere Engines für Ihre Site wichtig sind, sollten Sie deren FAQs überprüfen.

Aus Benutzersicht: Die Umleitung eines Benutzers, der von http nach https angemeldet ist, ist unsicher (wenn ich richtig verstehe, dass Sie einen nahtlosen Prozess erstellen möchten). An dem Punkt, an dem er auf der Site ankommt (vor der Weiterleitung), überträgt er sein Sitzungscookie über http, wodurch er für Sitzungsentführungen anfällig wird. Ein solcher Benutzer muss sich erneut von einer https-Seite aus anmelden.

Für den Fall, dass ein Benutzer über https ankommt und nicht angemeldet ist: Abhängig von den Umständen (Größe der Site, erwartetes Verkehrsaufkommen, voraussichtliche Häufigkeit) können Sie ihn möglicherweise einfach auf https belassen. Weitere Informationen zum Ausführen einer Website unter https (teilweise in Ihrem Fall) finden Sie unter HTTPS für die gesamte Site und unter /programming/174348/will-web-browsers-cache-content-over-https .

Aktualisieren:

Was sind angemessene Kontrollebenen und was sind intelligente Standardeinstellungen?

Angemessene Kontrollniveaus:

  • Sicher (https aktiviert, einschließlich der Anmeldeseite und von da an alles)

und

  • Unsicher (kein https).

Es gibt keinen Mittelweg, wenn Sie "es richtig machen" wollen. Siehe auch http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ und /programming/274274/is-it-secure-to-submit -von-einem-http-Formular-zu-https

Standard: Hängt davon ab, wer Ihre Kunden sind.

jmb
quelle
Ich habe auch darüber nachgedacht. Der Grund, warum ich mir nicht sicher war, ist, dass es zwar das SEO-Problem behandelt, aber nicht das Verhalten der Seite für einen Benutzer. Irgendwelche Gedanken?
Virtuosi Media
Guter Punkt, ich habe meine Antwort aktualisiert.
jmb
Würde die Neuerstellung der Sitzung bei jedem Laden der Seite das Problem der Sitzungsentführung lösen?
Virtuosi Media
Vielen Dank. Noch eine Frage: Wie würden die Leute Ihrer Meinung nach ein CMS anzeigen, für das ein SSL-Zertifikat erforderlich ist, wenn sie die Benutzerregistrierung akzeptieren?
Virtuosi Media
Ich denke, das hängt sehr stark von der Zielgruppe ab. Banken würden dies als Anforderung betrachten, selbst in nicht zum Kerngeschäft gehörenden Bereichen, in denen keine Finanzinformationen enthalten sind. Ein gemeinnütziger Verein mit kleinem Budget wird wahrscheinlich die Kosten und die zusätzliche Komplexität missbilligen.
jmb
2

Es gibt keine SEO-Strategie für SSL-Seiten. Ein Teil der Definition von Caching ist folgender:

If the request is authenticated or secure (i.e., HTTPS), it won’t be cached.

Siehe: Caching-Tutorial

Um Überschneidungen mit Nicht-SSL-Seiten zu vermeiden, bei denen dies das Ranking beeinträchtigen kann, sollten Sie Ihre SSL-sensiblen Seiten auf völlig anderen URLs haben.

Ironischerweise habe ich gesehen, dass Suchmaschinen tatsächlich Links mit der darin enthaltenen HTTPS-URL speichern und behalten. Dies steht im Widerspruch zu dem, was normalerweise passieren sollte, geschieht jedoch in Fällen, in denen die Seite ein Anmeldebereich ist, die Startseite ist oder auf andere Weise das Cache-Pragma neu geschrieben wurde, um das Caching zu ermöglichen. Ich würde sagen, vermeiden Sie dies, wenn möglich, da Ihre Seite normalerweise im PageRank abgelegt wird.

Talvi Watia
quelle
1
Danke, Talvi, aber ich denke, Sie haben meine Frage, bei der es nicht um das Zwischenspeichern von Browsern ging, möglicherweise falsch verstanden. Da Suchmaschinen https-Seiten crawlen und indizieren, treten Probleme mit doppeltem Inhalt auf, wenn jemand auf die https-Version verweist. Das Ändern der URL hilft nicht weiter, da http und https in den Augen der Suchmaschine bereits zwei verschiedene URLs sind. Mit verschiedenen URLs teilen Sie Ihren PageRank effektiv auf. Das Herzstück meiner Frage war, wie man eine Strategie entwickeln kann, um das Problem des doppelten Inhalts zu vermeiden. Leider glaube ich nicht, dass der Caching-Link zur Lösung dieses Problems beiträgt.
Virtuosi Media
Ich stimme Virtuosi Media zu - Suchmaschinen haben im Allgemeinen kein Problem mit https: // - URLs.
John Mueller
1
@virtuosi Du hast mich da. Knüppel die Suchmaschine vielleicht mit einem stumpfen Objekt?
Talvi Watia
2

302-Weiterleitung überträgt kein Suchranking - daher können Sie das Suchranking verlieren, wenn Sie Ihre Website massieren.

301 kann Lesezeichendefinitionen ändern, ich möchte meine Benutzer nicht ständig herumführen.

Stellen Sie außerdem sicher, dass die http-Version ein Anmeldeformular enthält, damit der Benutzer schnell zur https-Version zurückkehren kann.

Die große Frage ist nun: Wenn die Daten über http angezeigt werden können, warum haben Sie eine https-Version? Welche Daten verstecken Sie mit der https-Verschlüsselung, die es noch nicht gibt?

Sie können einen https-Mitgliederbereich erstellen oder Formulare über die http-Seite oder viele andere Optionen an die https-URL senden, bei denen nicht die gesamte Site sowohl auf http als auch auf https angezeigt wird.

Abgesehen davon sieht Ihre Idee umsetzbar aus - aber ich habe keine Insider-Informationen darüber, wie Google und die anderen Websites funktionieren, und Sie können sich wirklich nicht sicher sein, wie sich dies auf Ihr Ranking auswirkt (und es ist möglicherweise ein Randfall) gut drastisch ändern, wenn Google den Algorithmus aktualisiert).

Nir
quelle
Ich gehe davon aus, dass, wenn ein Benutzer angemeldet ist, jede URL https sein sollte, aber da ich etwas mehr Nachforschungen angestellt habe, war diese Annahme möglicherweise falsch. Ich sehe Leute, die es implementieren, dass sie https nur für Seiten aktivieren, die vertrauliche Daten senden und empfangen: Login, Warenkorbkasse, Benutzerprofilverwaltung usw. Ich versuche herauszufinden, welches Modell das beste ist. Da ich ein Content-Management-System aufbaue, das von anderen Personen verwendet wird, muss ich sicherstellen, dass ich es richtig mache.
Virtuosi Media