Månadsarkiv: september 2014

Fallgropar och myter med https

Ända sedan jag skapade ett publikt API till en av mina största webbsidor har jag haft lite dåligt samvete för att inte erbjuda en krypterad version av varken själva hemsidan eller API:et. Lathet har nog varit min främsta anledning, låter som världens sämsta ursäkt men tyvärr är den sann.

Som en händelse gick Google nyligen ut med att https nu är en av alla deras rankingsignaler, även om den till dagens datum säkerligen är extremt liten.
Detta räckte dock för att vissa skulle hoppa på tåget (inklusive mig) medans andra bestämt basunerade ut hur onödigt, krångligt och förödande det kunde bli i vissa fall.
SEO-faktorn är enligt min mening inte det viktiga, utan man ökar säkerhet, integritet och autentisering. Google skriver ganska bra om grunder och anledningar för tekniskt vilsna.

Något jag aldrig förstod var dock varför några enstaka personer hade sin bestämda uppfattning hur otroligt onödigt det var med https. Ogillar jag röd färg kan jag låta bli att använda den på webbsidan, jag behöver inte uppmana resten av Internet att inte använda det…

Det var lite bakgrund, jag tänkte dock berätta hur min flytt gått, vilka erfarenheter jag lärt mig och vilka myter som florerar och som inte uppstod på min webbsida.

Knappt 40 000 indexerade sidor skulle byta webbadress. När jag ändå höll på tog jag även bort www ur sökvägar, bytte till en VPS hos Glesys samt gick från Apache till nginx. Upplagt för spännande problem 🙂

Erfarenheter

Det är enkelt att byta webbadress med bibehållen sidstruktur. I mitt fall behövde jag bara göra en 301 redirect från alla gamla adresser till den nya. Det man lätt glömmer är allt annat.

  • Lägg in din nya domän i Google Webmaster Tools, du får ovärderlig information här, t.ex. när man upptäcker att teckenkodning inte alls blev samma på nginx som apache och lite väl många tusen sökvägar blev värdelösa.

    serverfel
    P.g.a dåligt testande blev många sökvägar ogiltiga och ngnix returnerade serverfel. Upptäcktes smidigt via hämta som Google i GWT (allt fungerade nämligen bra i Chrome som jag testade sidan med).
  • Se till att uppdatera webbplatskartan med nya sökvägen
  • App Indexing verkar gå rejält trögare att få uppdaterad till nya sökvägen
  • Google arbetar snabbt, rekordet var 33 172 genomsökta sidor på en dag, redan dag 1 tuggades 14 206 sidor av Googlebot.
  • Uppdatera rel canonical om det används
  • Externa javascript/bilder/osv måste också stödja https annars klagar webbläsarna. Testa gärna med Internet Explorer som klagar tydligast.
  • Använd relativa sökvägar // för inkluderade filer där det är möjligt så används rätt protokoll automatiskt)
  • Facebook måste veta om din nya adress, annars spyr den galla (Googla för fler drabbade Svenskar)

    facebook
    Så fina beskrivningar får man om man är oaktsam. Ja, CTR sjönk som en sten så ni behöver inte testa.
  • Tänk igenom eventuella externa saker som är beroende på dina sökvägar, t.ex mobilappar, folk som använder ditt API.
  • En VPS ger skillnad i svarstid, har du en viktig sida som direkt eller indirekt genererar stålar bör den inte ligga på webbhotell

    svarstid
    Det syns tydligt när jag bytte till VPS, från 400 ms till 100 ms, grovt räknat.

Myter

Att byta till https tar onödig tid!
Bortsett från att det var lite trixigt med egen server var själva installationen av certifikatet busenkelt. Det var första gången jag köpte och installerade ett certifikat, tror jag la ned max 30 min från det att jag påbörjade köpprocessen tills jag gått igenom deras enkla installationsguide och sidan rullade via https. 30 minuter för ett arbete som består i mitt fall 2 år, vill man lata sig än längre period kan man köpa certifikat som gäller uppåt 10 år vill jag minnas. Visst, tycker du 30 min är lång tid kanske du ska fokusera på annat, eller be någon med lite tekniskt kunnande hjälpa dig.

Jag kommer förlora intäkter på Adsense!
Ett annat argument som för egen del talade emot var alla berättelser om där intäkterna på Adsense sjönk uppåt 30% när man gick över till https. Det är ju inte så kul när sidan drar in lite stålar samt kostnaderna nu dessutom ökar tack vare certifikat och egen VPS. Jag har bara kört https sedan 28:e augusti, så för att få säkrare siffror bör testperioden såklart vara längre än detta, men ändå lite intressant statistik kan utläsas.

Jämför jag RPM för https (23 aug – 10  sept) gentemot http (1 jul – 22 aug) har intäkterna ökat med 15%. Väljer jag däremot gentemot http (1 jan – 22 aug) har intäkterna minskat med 4%. Det är ganska naturligt att RPM varierar lite med tiden, men jag har åtminstone inte märkt någon minskning som skedde direkt vid byte till https.

Det ger ingen SEO-effekt!
Det må hända att effekten är så liten idag att den knappt märks. Dock med tanke på att den absolut inte verkar skada din ranking och du får en uppsjö andra saker på köpet för dina besökare ser jag ingen anledning att inte införa det på åtminstone dina viktigare sidor. Driver du små reklamsidor och liknande hobbyrelaterat så kan man förstås strunta i det, sunt förnuft får användas.

Många, t.ex. Search engine land,  hänvisar gärna till en rapport som sägs visa att ett byte från http till https inte ger någon märkbar effekt. Den som läser rapporten och inte väljer att vara blind kan dock utläsa följande felaktiga slutsatser.
De analyserade vilken typ av sidor sidor (http eller https) som i snitt sett rankade bäst, man klumpade alltså ihop ett stort antal sidor som körde http mot ett gäng som körde https. Där är första felaktiga analysen, man ställde enbart http gentemot https när man borde ha kollat om ett byte från http till https påverkade rankingen, det är helt olika analyser.

Om det inte räcker som fel, plockar de dessutom bort lite populära webbsidor som körde https för att rankingen skulle bli jämnare. Varför man inte även valde att ta bort vissa http-sidor är ett mysterium, t.ex. rankar ju Wikipedia bra på många sökord och borde dra upp http-gruppen.

Faktum kvarstår dock att enda rapporten jag sett inom ämnet ranking http/https inte analyserade hur en webbsidas ranking påverkas vid ett byte av protokoll utan i bästa fall kunde påvisa att de flesta sökord rankas bäst av sidor som saknar https (om man plockar bort lite https-sidor först)…

Jag får mer data att analysera!
Japp! En bra bonus man även får är att kör man https ser man äntligen alla besökare som kommer från andra https-sidor. Enligt standarder skickas ingen http referer-information när man går från https till http. Så hade inte Facebook och Twitter fulhackat sina länkar hade okrypterade sidor inte sett en enda hänvisning från dessa två då de kör https. Dock är det värdefullt för dessa giganter att synas i folks hänvisningstrafik så de har löst det på fiffiga sätt, t.ex. javascript, meta-taggar med mera. Kolla gärna själv deras lösningar så ser ni att det inte bara är vanliga länkar som det till en början ser ut att vara.

Slutsatser

Om du anser dig ha en värdefull sida verkar det inte finnas några nackdelar varken intäktsmässigt eller som påverkar din ranking negativ. Detta baseras dock på mitt test av en relativt välbesökt sida och de rapporter jag kommit över att läsa. Det är dock stor sannolikhet att något annat påverkar din sida, särskilt när du både byter webbadress, server och mjukvara 🙂 Dessutom, ju tidigare du byter till https, desto färre felaktiga länkar behöver du gräma dig över…

Dela gärna med er av era erfarenheter, tips och trix. Själv är jag ganska förvånad att jag inte tappade mer trafik trots mina ganska stora missar som jag berättat om. Det dök i början men allt eftersom jag ordnade upp sökvägar och andra fel återkom trafiken. P.g.a tidsbrist har jag dock fortfarande kvar fel som härrör av bytet från Apache till nginx, men man ska ju låta konkurrenterna få lite trafik också ett tag 🙂