SSL/HTTPS, HSTS și redirectări 301 după înregistrare domeniu — ghid complet

După înregistrare domeniu, următorul pas critic este să rulezi site-ul exclusiv pe HTTPS, cu HSTS și redirectări 301 corecte. Vei câștiga viteză (HTTP/2/3), încredere și semnale SEO sănătoase, evitând erorile comune: „mixed content”, bucle de redirect, certificate invalide sau politici HSTS greșite.

Ai domeniul? Treci pe HTTPS corect

De ce HTTPS — azi este obligatoriu

Securitate & încredere

HTTPS criptează traficul (TLS), protejând autentificarea, formularele și checkout-ul. Browserele marchează HTTP ca „nesigur”.

Viteză (HTTP/2/3)

Majoritatea serverelor livrează HTTP/2/3 doar pe HTTPS. Obții multiplexare, header compression, 0-RTT (la H3), latență mai mică.

SEO & conversii

HTTPS e semnal de clasare minor dar real; mai important, crește CTR și rată de conversie (bară de adresă „securizat”).

Tipuri de certificate: DV, OV, EV; gratuit vs plătit

  • DV (Domain Validation): validare rapidă a domeniului, potrivit pentru majoritatea site-urilor. Disponibil gratuit (LetsEncrypt/ZeroSSL).
  • OV/EV: includ validări ale entității (firmă). Relevante în domenii reglementate; nu adaugă „boost” SEO.
  • Wildcard: acoperă toate subdomeniile de nivel 1 (*.exemplu.ro). Util când ai multe subsite-uri.

În 90% din cazuri, DV + auto-reînnoire este suficient, mai ales la un site proaspăt.

Activare & reînnoire automată

La hosting (cPanel / panel similar)

  1. Activează AutoSSL (LetsEncrypt/ZeroSSL) pentru domeniu și subdomenii cheie (www).
  2. Asigură rezoluție DNS corectă (A/AAAA) înainte de emiterea certificatului.
  3. Verifică reînnoirea automată la 60–90 de zile; primești e-mailuri de alertă dacă eșuează.

Self-managed (Nginx/Apache + certbot/acme.sh)

  • Instalează certbot sau acme.sh; fă hook-uri de reload după emitere/reînnoire.
  • Expunere HTTP-01: rutele /.well-known/acme-challenge/ trebuie servite fără redirect la început (sau configurează DNS-01).

Redirectări 301 corecte (www vs non-www)

Regula de aur

Alege o singură variantă canonică: cu www sau fără. Redirectează toate celelalte variante (http→https, www↔non-www) spre ea cu 301.

Apache (.htaccess)

# Exemplu: canonical = https://exemplu.ro (fără www)
RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{HTTP_HOST} ^www\.exemplu\.ro$ [NC]
RewriteRule ^(.*)$ https://exemplu.ro/$1 [R=301,L]

Invers, pentru canonical https://www.exemplu.ro:

RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{HTTP_HOST} !^www\.exemplu\.ro$ [NC]
RewriteRule ^(.*)$ https://www.exemplu.ro/$1 [R=301,L]

Nginx (server block)

# canonical = https://exemplu.ro
server {
  listen 80;
  listen [::]:80;
  server_name www.exemplu.ro exemplu.ro;
  return 301 https://exemplu.ro$request_uri;
}
server {
  listen 443 ssl http2;
  server_name www.exemplu.ro;
  return 301 https://exemplu.ro$request_uri;
}
# serverul canonic 443 pentru exemplu.ro în alt block

Validează redirect chain-urile: trebuie un singur hop 301 → pagină finală (fără 302/307 intermediare).

HSTS & preload

Ce este HSTS

HTTP Strict Transport Security instruiește browserul să folosească doar HTTPS pentru domeniul tău, prevenind downgrade/stripping.

Config recomandată (după ce HTTPS e stabil)

# Apache (Header module)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
  • max-age ≥ 31536000 (1 an) — necesar pentru preload.
  • includeSubDomains — obligă și subdomeniile să folosească HTTPS.
  • preload — te poți înscrie în lista browserelor (HSTS preload). Atenție: ieșirea este greoaie; activează doar când ești 100% pregătit.

Mixed content: identificare și fixare

Mixed content apare când paginile HTTPS încarcă resurse HTTP (imagini, CSS, JS). Rezultatul: avertismente de securitate, blocare resurse, scoruri proaste.

Pași rapizi

  1. Scanează codul pentru URL-uri absolute http://; înlocuiește cu https:// sau rute relative.
  2. Curăță dinamic (PHP): normalizează linkurile media la ieșire.
  3. CDN: asigură-te că folosește HTTPS și are certificat valid pentru cdn.exemplu.ro.

HTTP/2 & HTTP/3, OCSP stapling, TLS modern

Activează HTTP/2 și HTTP/3

  • Apache: modulele http2 + ssl (MPM event).
  • Nginx: http2 pe 443 și quic/http3 pe 443/udp (în versiunile compatibile).

OCSP stapling

Servește răspunsurile OCSP direct de la server pentru timpi mai buni și mai puține erori de validare.

# Nginx
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;

TLS modern

  • Permite TLS 1.2+ (ideal și 1.3), dezactivează versiunile vechi.
  • Folosește suite recomandate implicit de serverul tău; evită configurarea manuală dacă nu e necesar.
  • Testează cu un scanner (ex: SSL Labs) pentru rating A/A+.

Impact SEO: canonical, sitemap, Search Console

  • Canonical: actualizează <link rel="canonical"> la versiunea HTTPS canonică.
  • Sitemap: regenerează sitemap.xml cu URL-uri HTTPS; declară-l în robots.txt.
  • GSC: adaugă proprietatea site-ului pe HTTPS (dacă folosești domain property acoperă automat).
  • Linkuri interne & externe: corectează 100% spre HTTPS pentru a evita bucle și diluarea semnalelor.

Troubleshooting: erori frecvente

  • „Certificate name mismatch”: certificatul nu acoperă domeniul/subdomeniul (ex: ai doar exemplu.ro, nu și www.exemplu.ro).
  • Bucle de redirect: reguli duplicate pe proxy + aplicație; unifică logica (1 hop).
  • Mixed content: linkuri absolute în teme/pluginuri; caută și în baza de date.
  • Reînnoire eșuată: challenge HTTP blocat de redirect forțat; fă excepție pentru /.well-known/acme-challenge/ sau folosește DNS-01.

Checklist (10 pași)

  • 1) Emite certificat DV (LetsEncrypt/ZeroSSL) pentru exemplu.ro + www.
  • 2) Activează auto-reînnoirea și testul de reînnoire.
  • 3) Alege varianta canonică (cu sau fără www).
  • 4) Fă redirect 301 unic spre canonical (http→https + www↔non-www).
  • 5) Adaugă HSTS (fără preload la început); după validare, activează preload.
  • 6) Elimină mixed content (cod + media + CDN).
  • 7) Activează HTTP/2 și (opțional) HTTP/3 + OCSP stapling.
  • 8) Actualizează canonical, sitemap, robots.txt și GSC.
  • 9) Rulează un audit SSL (ex: SSL Labs) și un crawl pe tot site-ul.
  • 10) Monitorizează erorile din Search Console și din server logs.
Finalizează migrarea pe HTTPS

Întrebări frecvente

HTTPS îmi încetinește site-ul?

Nu. Dimpotrivă, cu HTTP/2/3 vei beneficia de încărcări mai rapide în majoritatea cazurilor.

Am nevoie de EV pentru încredere mai mare?

Nu pentru SEO. EV/OV nu influențează clasarea; sunt utile în domenii reglementate unde e necesară verificarea legală.

Când pot activa HSTS preload?

După ce toate subdomeniile sunt pe HTTPS, redirecturile sunt corecte și ești sigur că nu mai servești HTTP nicăieri.

De ce văd „conexiune nesigură” deși am certificat?

De obicei, din cauza mixed content sau a unui lanț de certificate incomplet (intermediate lipsă). Verifică în browser devtools și într-un validator TLS.