HTTPS geçişi için SEO kontrol listesi

Wikipedia’ya göre bu saldırının tanımı şu şekildedir:

“Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da sunucu gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşidi.”

Bu saldırı yöntemi için en temel güvenlik önlemi ise parola, kredi kartı numarası gibi değerli bilgilerin HTTPS gibi şifrelenmiş protokoller üzerinden gönderilmesidir. Paketler saldırganın eline geçse dahi içerikleri görüntülenemez ve değiştirilemez. Tek başına SSL site güvenliğini elbette sağlamayacaktır ama veri akışını şifrelemesinden dolayı ciddi bir güvenlik önlemi olarak kabul edilebilir. Dünyada yaygın olarak kullanılan CMS’lerden biri olan WordPress uygulamasını kullanıyorsanız, başımdan geçen yoğun bir saldırı sonrasında aldığım güvenlik önlemlerini şu yazımı okuyarak öğrenebilirsiniz. Özellikle blackhat SEO dünyasında sitelere saldırı gerçekleştirme ve hack işlemi sonrasında gizli backlink yaratma, günümüzde halen popülerliğini koruyor. Bu tür saldırılar sitenizin organik trafik performansını da negatif yönde etkiler.

Diğeri ise, bu yazının da amacı olan SEO performansına olan katkısı. Google’ın arama algoritmasında mevcutta 200’den fazla metrik olduğu her fırsatta ifade ediliyor. Sitenizi SSL’e geçirmek tek başına illaki sıralamada sitenizi zıplatmayacaktır fakat Google bu konunun pozitif yönde bir metrik olduğunu resmi olarak açıkladı. Bizim de tüm “+” ‘ları toplayıp elimizden geldiğince arama sonuçlarındaki sıralamayı ve beraberinde trafiği artırmak nihai hedefimiz.

Bonus 1: “Referrer” verilerin daha sağlıklı toplanabilmesi için SSL geçişi, kullandığınız ölçümleme aracını normalize edecektir. Örneğin; siteniz HTTP ise ve HTTPS olan bir siteden size trafik geliyorsa, bu trafik ne yazık ki ‘direkt’ olarak gösteriliyor. HTTPS geçişi sonrasında bu sorun da düzelmiş olacak ve verileri referrer altında görebileceksiniz.

Bonus 2: SSL geçişi sonrasında sunucunuza HTTP/2.0 modülünü kurarsanız, aynı zamanda sitenizin yüklenme süresinin de iyileştirilmesini sağlamış olursunuz. HTTP/2.0’ı kullanabilmenizin tek ön şartı sitenin SSL olması. Yüklenme süresi, tıpkı SSL gibi, arama algoritmasında bir metrik olduğu için, böylece tek seferde iki iş birden halledilmiş olur.

HTTPS kullanımının kaçınılmaz artışı

BuiltWith verilerine göre; top 10k siteler listesinde yer alan sitelerin %27’si, 100k’de yer alan sitelerin %26’sı, 1M’da yer alan sitelerin %24’ü kullanıcılarını HTTPS sürümüne yönlendiriyor. Önümüzdeki dönemlerde ise bu oranın daha da artması kaçınılmaz.

SSL sertifikalarının çeşitleri ve maliyetleri

Kullanacağınız sertifika tipine ve aldığınız ürünün sağlayıcısına göre fiyatlar değişkenlik göstermekle birlikte sertifika çeşitleri ve maliyetleri ortalama şu şekilde:

• Standart (Single) SSL: Standart SSL. Fiyat: 49$
• Multiple Domains: Birden fazla domainde kullanılabilir. SAN (Subject Alternative Name) sertifikası gerektirir. Fiyat: 180$
• Wildcard (OV SSL): Bir alan adının tüm sub-domainleri için kullanılabilir. Fiyat: 300$
• EV SSL (Extended – Greenbar): Yeşil adres çubuğunu görüntüler, güven teşvik eder ve müşteri güvenini artırır. Fiyat: 300$

Not: Belirtilen fiyatlar sertifikaların 1 yıllık ücretidir. Fiyatlar değişkenlik gösterecektir; fikir edinmeniz adına eklenmiştir.
Rand Fishkin Google+ üzerinde yaptığı bir paylaşımda, moz.com’un SSL’e geçişi sonrasında 3 ay süreyle %11 seviyesinde bir trafik kaybı yaşandığını ifade etmişti. Sitenize ait profiller değişeceği için, özellikle kurumsal sitelerde bu işlemi uygulayacak kişilerin üst yönetime, trafik üzerine bazı tahminler (forecast) üzerinde çalışıp sunmalarında fayda var.

SEO performansının SSL geçişi esnasında sorun yaşamaması, hatta tam aksine trafiğinizin olumlu yönde etkilenmesi için hazırladığım kontrol listesini, SSL öncesi ve sonrası olarak 2 parçada ele aldım.

HTTPS’e geçiş öncesi yapılması gerekenler

• SSL sertifikası seçimi;
  • Satın almadan önce ne tip bir sertifikaya ihtiyacınız olduğunu belirleyin: Single, multi-domain ya da wildcard.
  • 2048-bit anahtar şifrelemesi yapan sertifika olmasına dikkat edin.
  • Sertifikanın SHA-2 (Secure Hash Algorithm) algoritmasını kullanıyor olduğundan emin olun.
  • Sertifikanızın mobil uyumlu olup olmadığını kontrol edin.
  • Sertifikanın geçerlilik süresini not alın ve muhakkak takibi için hatırlatma servisi gibi uygulamalar kullanın.
• Google Arama Konsolu (Search Console) hesabınıza sitenizin HTTP ve HTTPS sürümlerinin eklenmesi.
  • Eğer sub-domain kullanıyorsanız tüm sub-domainlerinizin HTTPS’li sürümlerini de eklediğinizden emin olun.
• Unamo, Semrush, Searchmetrics gibi, anahtar kelime takibi (keyword tracking) uygulamaları kullanıyorsanız, ikinci bir profil daha yaratıp sitenizin HTTPS’li versiyonunu ekleyin; yani hesabınızın HTTPS’li bir kopyasını yaratın. Bu, geçiş sonrasında durumunuzu takip edebilmeniz için faydalı olacaktır.
• Organik aramalardan en çok trafik gelen ve dönüşüm (conversion) sağlayan sayfalarınızı ve pozisyonlarını not alın.
• Gerek reklam ağları gerekse sosyal medya eklentileri olsun, üçüncü parti (3rd party) tüm kaynakların HTTPS’i desteklediğinden ve doğru bir şekilde çalıştığından emin olun. Özellikle alışveriş reklamlarını kullanıyorsanız zorunlu GTIN geçişine göz atın ve reklam metinlerinizdeki URL değişimi nedeniyle ortaya çıkacak ekstra maliyet ve iş yükünü kontrol edin.
• HTTP Strict Transport Security (HSTS) uyguladığınızdan emin olun.
• Eğer bir test ortamınız varsa, aşağıdaki geçiş sonrası yapılması gerekenler kısmındaki maddeleri test ortamında gerçekleştirin.
• Hayat bu, ne olur ne olmaz, sitenizin güncel bir yedeğini (backup) alın.

HTTPS’e geçiş sonrası yapılması gerekenler

• Tüm sitenizi Deepcrawl ya da Botify gibi crawling toolları ile taratıp varsa kırık linklerinizi düzeltin.
• Canonical, next, prev, alternate gibi metataglarınızın HTTPS üzerinden çalıştığından emin olun.
• Sisteme HTTP üzerinden gelen tüm isteklerin 301 durum kodu ile HTTPS sürümüne yönlendiğinden emin olun.
• PDF, JS, CSS, SWF, JPG gibi tüm kaynakların HTTPS üzerinden çalıştığından emin olun.
• Domaininizi www ya da non-www sürümü, hangisini kullanıyorsanız, kullanmadığınız sürümün kullandığınız sürümün HTTPS’li sürümüne 301 durum kodu ile yönlendiğinden emin olun.
• Tüm sayfalarınızın HTTPS sürümünde çalıştığından emin olun.
• Yeni bir sitemap dosyası oluşturun ve Google arama konsoluna ekleyin. Eğer dinamik olarak sitemap oluşturan bir uygulamanız varsa, HTTPS’li URL ürettiğinden emin olun.
• robots.txt dosyanızın HTTPS’li versiyona göre kurallarının düzenlendiğinden emin olun.
• Disavow aracını kullandıysanız, import ettiğiniz dosyayı HTTPS’li sürüme göre düzenleyip arama konsolunda ilgili HTTPS’li profilinizden tekrar import edin.
• Eğer arama konsolunda Uluslararası Hedefleme altındaki Ülke ayarını kullanıyorsanız, HTTPS’li profilde de bu ayarın yapıldığına emin olun.
• Mobil uygulamanız içerisinde web URL’lerini API üzerinden Google vb. yerlere gönderiyorsanız, bir sorun olmadığını test edin.
• Eğer arama konsolunda URL parametreleri yapılandırması yaptıysanız, HTTPS’li profilde de bu ayarın yapıldığından emin olun.
• Çeşitli sebeplerle üçüncü partilere URL servisi gerçekleştiren uygulamalarınız varsa, HTTPS olarak servis verdiğinden emin olun.
• E-posta, kampanya ve varsa affiliate servislerinizin SSL üzerinden çalıştığını, SSL’e geçirildiğini kontrol edin.
• CDN servisi kullanıyorsanız SSL migrationın yapılmış olduğundan emin olun.
• Ölçümleme araçlarınızın HTTPS’li sürümü monitör ettiğinden emin olun.
• SSL sertifikanızın testini mutlaka yapın: SSL Server Test
  Site içinde oluşturduğunuz ve site içi statik linklerinizi kontrol edin; HTTPS olarak yeniden düzenleyin.
• Ek olarak Yandex ve Bing Webmasters Tools araçlarını kullanıyorsanız, hesaplarınızı kontrol edip benzer aksiyonları bu paneller üzerinde de uygulamayı ihmal etmeyin.
• HTTP ve HTTPS sürümlerin trafiğini ve Google arama sonucundaki performanslarını monitör edin.
• Google Arama Konsolu üzerinde yer alan indekslenme, trafik ve URL hataları raporlarını inceleyin. Gerektiği noktalarda aksiyon alın.
• Son olarak Google Arama Konsolu üzerinden ana sayfanızı Google gibi Getir aracını kullanarak Google’ın sitenize erişebildiğini test edin. Ardından dizine gönderin.

Yukarıda bahsetmiş olduğum SSL geçişi öncesi ve sonrasında yapılması gerekenlerin birçok senaryoyu kapsadığını umuyorum. Sizler de SSL geçişi hakkında tecrübelerinizi ve varsa yazıda yer almayan kontrol noktalarını yorum olarak eklerseniz sevinirim.

Referanslar

• HTTPS as a ranking signal