У нас есть несколько серверов LAMP на AWS с несколькими десятками веб-сайтов, которые заказчики платят нам за проектирование, создание и размещение. Это серверы Ubuntu 14.04 с Varnish, Apache и PHP.
В настоящее время, если клиент хотел использовать SSL / TLS для своего веб-сайта, мы бы поставили балансировщик нагрузки Amazon ELB перед сервером, чтобы разгрузить TLS-соединение, чтобы Varnish мог кэшировать контент. Таким образом, каждый сервер в конечном итоге обслуживается полдюжиной ELB (по одному для каждого клиента или сайта TLS), в то время как сайты без TLS обрабатываются непосредственно сервером.
Чтобы снизить стоимость и упростить настройку, мы хотим устранить все ELB и разорвать все TLS-соединения непосредственно на серверах. Этого легко добиться, запустив обратный прокси перед Varnish с Let's Encrypt и SNI. Что-то вроде Hitch, Traefik или Nginx.
Некоторые сайты еще не готовы к TLS. Им требуется работа, чтобы исправить предупреждения о смешанном содержании и предотвратить падение SEO, и не у всех клиентов есть бюджет.
Я могу открыть порт 443 на сервере и запустить обратный прокси с установленными сертификатами TLS для всех «готовых» сайтов. К сожалению, клиенты по-прежнему смогут подключаться к «не готовым» сайтам, хотя они воля получить ошибки сертификата (несоответствие общего имени, самоподписанный и т. д.). Конечно, мы не собираемся ссылаться на HTTPS-версии «не готовых» сайтов, но кто-то все равно может ввести https://
.
Я хочу предотвратить потерю SEO-рейтинга для всех сайтов, в основном в Google. Меня предупредили, что робот Googlebot обнаружит HTTPS-версию «не готовых» сайтов и проиндексирует их, несмотря на ошибки сертификата и несмотря на то, что они не рекламируются как HTTPS. Это привело бы к ужасному восприятию посетителей этих ссылок, а также к серьезной потере рейтинга. SEO рейтинг трудно получить, но легко потерять.
Как робот Googlebot (и, возможно, похожие боты) справляется с HTTPS-версиями «не готовых» сайтов? Будут ли они проиндексированы, несмотря на то, что они не работают и не рекламируются?
Как уменьшить нежелательные побочные эффекты при частичном включении HTTPS через SNI?