it-swarm.com.de

HTTPS-Best Practices für SEO und Benutzerfreundlichkeit

Stellen Sie sich die Seite http://example.com vor, die sowohl öffentlich als auch bei der Authentifizierung eines Benutzers angezeigt werden kann. Angenommen, Sie aktivieren HTTPS für jede Seite, wenn sich ein Benutzer auf Ihrer Website anmeldet, jedoch nur, wenn er angemeldet ist. Ihre Seite http://example.com wird jetzt https://example.com für alle angemeldeten Benutzer. Wenn der angemeldete Benutzer Ihre Seite mag und beschließt, über einen Blogpost oder eine Social-Media-Website darauf zu verlinken, besteht eine gute Chance, dass er die HTTPS-Version der URL verwendet.

Welche Strategie verfolgen Sie aus SEO-Sicht, um doppelte Inhalte zwischen den beiden URLs zu vermeiden?

Was soll passieren, wenn ein Benutzer die HTTPS-URL erreicht, sich aber nicht angemeldet hat oder keinen Account hat? Sollte es eine Weiterleitung zur HTTP-Version geben? Wenn ja, wie würden Sie damit umgehen?

Mein Instinkt ist, dass für alle Seiten, die sowohl öffentlich als auch angemeldet angezeigt werden können, die Seite zuerst erkennen sollte, ob der Benutzer angemeldet ist. Wenn angemeldet, bleibt sie HTTPS oder verwendet eine 302-Umleitung von der HTTP-Version zu HTTPS. Wenn der Benutzer nicht angemeldet ist und zur HTTPS-Version der URL gelangt, wird eine 301-Umleitung zur HTTP-Version verwendet. Ich würde jedoch eine elegantere oder effektivere Lösung begrüßen.

Bearbeiten: Ich ging davon aus, dass, wenn ein Benutzer angemeldet ist, jede URL HTTPS sein sollte (oder zumindest sollte dies eine Option sein), aber da ich ein wenig mehr Nachforschungen angestellt habe, vielleicht auch das Annahme war falsch. Ich sehe die Leute, die das implementieren, so, dass sie HTTPS nur für Seiten aktivieren, die vertrauliche Daten senden und empfangen: Login, Warenkorb-Checkout, Benutzerprofilverwaltung usw. Ich versuche herauszufinden, welches Modell am besten ist.

Anscheinend bietet Google Mail Nutzern die Möglichkeit, HTTPS auf jeder Seite über eine Einstellung im Benutzerprofil zu verwenden. Das ist sicherlich eine Option, aber ich müsste immer noch das Verhalten öffentlich verfügbarer Seiten für alle Authentifizierungszustände untersuchen.

Da ich ein Content-Management-System erstelle, das von anderen Leuten verwendet wird, muss ich sicherstellen, dass ich alles richtig mache. Welche Einstellungen sollten dem Websitebesitzer zur Verfügung stehen? An diesem Punkt überlege ich mir eine differenzierte Kontrolle über jede Seite (unabhängig davon, ob sie mit SSL gesichert ist oder nicht) und dann auch für die gesamte Site. Es kann jedoch ein Fehler sein, diese Kontrolle zu übernehmen, wenn die Benutzer nicht alle Probleme verstehen und dies zu Sicherheitsproblemen führen kann. Das ist vielleicht das erste Problem. Was sind angemessene Steuerungsebenen und was sind intelligente Standardeinstellungen? Die zweite ist, wie sich die Seiten für den Benutzer verhalten sollen. Aus SEO-Sicht denke ich, dass entweder der oben beschriebene Prozess oder die Verwendung des rel="canonical" (wie von jmb vorgeschlagen) funktionieren würde, aber es ist auch wichtig, das Verhalten der Seite festzunageln, damit sie sicher und nahtlos ist.

8
Virtuosi Media

Möglicherweise möchten Sie in <link rel="canonical" /> suchen. Siehe http://googlewebmastercentral.blogspot.com/2009/02/specify-your-canonical.html . In den Kommentaren sagt jemand von Google, dass es für http/https-Probleme verwendet werden kann.

Vorsichtsmaßnahme: Ich bin nicht sicher, ob und inwieweit <link rel="canonical" /> von anderen Suchmaschinen als Google, Yahoo und Bing unterstützt wird. Wenn andere Engines für Ihre Site wichtig sind, sollten Sie deren FAQs überprüfen.

Aus Benutzersicht: Die Umleitung eines von http an https angemeldeten Benutzers ist unsicher (wenn ich richtig verstehe, dass Sie einen nahtlosen Prozess erstellen möchten). An dem Punkt, an dem er auf der Site ankommt (vor der Weiterleitung), überträgt er sein Sitzungs-Cookie über http, wodurch er für Sitzungsentführungen anfällig wird. Ein solcher Benutzer muss sich über eine https-Seite erneut anmelden.

Falls ein Benutzer über https ankommt und nicht angemeldet ist: Abhängig von den Umständen (Größe der Site, erwartetes Verkehrsaufkommen, erwartete Häufigkeit) können Sie ihn möglicherweise einfach auf https halten. Weitere Informationen zum Ausführen finden Sie unter HTTPS für die gesamte Website und https://stackoverflow.com/questions/174348/will-web-browsers-cache-content-over-https eine Site auf https (teilweise in Ihrem Fall).

Update:

Was sind angemessene Steuerungsebenen und was sind intelligente Standardeinstellungen?

Angemessene Kontrollebenen:

  • Sicher (https aktiviert, einschließlich der Anmeldeseite und alles von dort an)

und

  • Unsicher (kein https).

Es gibt keinen Mittelweg, wenn Sie "es richtig machen" wollen. Siehe auch http://paulmakowski.wordpress.com/2009/07/20/http-post-https-bad-idea/ und https://stackoverflow.com/questions/ 274274/is-it-secure-to-submit-von-einem-http-formular-an-https

Standard: Hängt davon ab, wer Ihre Kunden sind.

6
jmb

Es gibt keine SEO-Strategie für SSL-Seiten. Ein Teil der Definition von Caching ist:

If the request is authenticated or secure (i.e., HTTPS), it won’t be cached.

siehe: Caching-Tutorial

Um eine Überschneidung mit Nicht-SSL-Seiten zu vermeiden, bei denen dies das Ranking beeinträchtigen könnte, müssen Ihre SSL-sensitiven Seiten auf völlig anderen URLs gespeichert sein.

Ironischerweise habe ich gesehen, dass Suchmaschinen tatsächlich Links mit der HTTPS-URL in ihnen speichern und behalten. Dies widerspricht dem, was normalerweise passieren sollte, ist jedoch in Fällen der Fall, in denen die Seite ein Anmeldebereich ist, die Startseite ist oder das Cache-Pragma anderweitig neu geschrieben wurde, um das Zwischenspeichern zu ermöglichen. Ich würde sagen, vermeiden Sie dies, wenn möglich, da Ihre Seite normalerweise im PageRank abfällt.

2
Talvi Watia

302-Weiterleitung überträgt kein Suchranking - daher verlieren Sie möglicherweise das Suchranking, wenn Sie Ihre Website als Massenware anbieten.

301 kann Lesezeichen Definitionen ändern, ich möchte nicht ständig meine Benutzer herum.

Stellen Sie außerdem sicher, dass die http-Version ein Anmeldeformular enthält, damit der Benutzer schnell zur https-Version zurückkehren kann.

Die große Frage ist nun: Wenn die Daten über http angezeigt werden können, warum haben Sie eine https-Version? Welche Daten verstecken Sie mit der https-Verschlüsselung, die es noch nicht gibt?

Sie können einen https-Mitgliederbereich einrichten oder Formulare über die http-Seite oder viele andere Optionen an die https-URL senden, bei denen nicht die gesamte Website auf http und https verfügbar ist.

Abgesehen davon sieht Ihre Idee praktisch aus - aber ich habe keine Insider-Informationen darüber, wie Google und die anderen Websites funktionieren, und Sie können wirklich nicht sicher sein, wie sich dies auf Ihr Ranking auswirkt (und möglicherweise auf einen solchen Edge-Fall) gut drastisch ändern, wenn Google den Algorithmus aktualisieren).

2
Nir