Če na svojem spletnem mestu zbirate kakršne koli občutljive podatke (vključno z e-pošto in geslom), morate biti varni. Eden najboljših načinov, da se zaščitite, je, da omogočite potrdilo HTTPS, znano tudi kot SSL (Secure Sockets Layers), tako da so vse informacije, ki prihajajo do in iz vašega strežnika, samodejno šifrirane. Potrdilo HTTPS preprečuje hekerjem, da bi vdrli v zaupne podatke vaših uporabnikov, medtem ko so shranjeni v internetu. Počutili se bodo varno, ko bodo videli potrdilo HTTPS ob dostopu do vašega spletnega mesta – saj bodo vedeli, da je zaščiteno z varnostnim potrdilom.
Prednosti potrdila
Najboljša stvar pri potrdilu SSL, tako kot pri HTTPS, je, da ga je enostavno nastaviti, in ko bo to storjeno, boste morali ljudi usmeriti k uporabi potrdila HTTPS namesto HTTP. Če poskusite dostopati do svojega spletnega mesta tako, da vstavite https:// pred svoje URL-je zdaj, boste prejeli napako potrdila HTTPS. To je zato, ker niste namestili potrdila HTTPS SSL. Ampak ne skrbite, takoj bomo postavili!
Vaši obiskovalci se bodo na vašem spletnem mestu počutili varnejše, ko bodo ob dostopu do vašega spletnega mesta videli potrdilo HTTPS- vedeti, da je zaščiten z varnostnim potrdilom.
Kaj je
HTTP ali HTTPS je prikazan na začetku vsakega URL-ja spletnega mesta v spletnem brskalniku. HTTP pomeni Hypertext Transfer Protocol, S v HTTPS pa pomeni Secure. Na splošno to opisuje protokol, po katerem se podatki pošiljajo med vašim brskalnikom in spletnim mestom, ki si ga ogledujete.
Potrdilo HTTPS zagotavlja, da je vsa komunikacija med vašim brskalnikom in spletnim mestom, ki si ga ogledujete, šifrirana. To pomeni, da je varno. Samo prejemni in pošiljateljski računalniki lahko vidijo informacije, medtem ko se podatki prenašajo (drugi lahko dostopajo do njih, ne morejo pa jih brati). Na varnih spletnih mestih spletni brskalnik prikaže ikono ključavnice v območju URL, da vas obvesti.
HTTPS bi moral biti na katerem koli spletnem mestu, ki zbira gesla, plačila, zdravstvene informacije ali druge občutljive podatke. Kaj pa, če lahko dobite brezplačno in veljavno potrdilo SSL za svojo domeno?
Kako deluje zaščita spletnega mesta?
Če želite omogočiti varnostno potrdilo HTTPS, morate namestiti SSL (Secure Socket Layer). Vsebuje javni ključ, ki je potreben za varen začetek seje. Ko je zahtevana povezava HTTPS s spletno stranjo, spletno mesto vašemu brskalniku pošlje potrdilo SSL. Nato sprožijo »stisk roke SSL«, ki vključuje skupno rabo »skrivnosti« za vzpostavitev varne povezave med vašim brskalnikom in spletnim mestom.
Standardni in razširjeni SSL
Če spletno mesto uporablja standardno potrdilo SSL, boste v območju URL vašega brskalnika videli ikono ključavnice. Če se uporablja potrdilo z razširjeno validacijo (EV), bo naslovna vrstica ali URL zelena. Standardi EV SSL so boljši od standardov SSL. EV SSL zagotavlja dokaz o identiteti lastnika domene. Pridobitev certifikata EV SSL zahteva tudi, da kandidati opravijo natančen postopek ocenjevanja, da preverijo svojo pristnost in lastništvo.
Kaj se zgodi, če uporabljate HTTPS brez potrdila?
Tudi če vaše spletno mesto ne sprejema ali deli občutljivih podatkov, obstaja več razlogov, zakaj bi morda želeli imeti varno spletno mesto in uporabljati brezplačno in veljavno potrdilo SSL za svojo domeno.
Uspešnost. SSL lahko izboljša čas, potreben za nalaganje strani.
Optimizacija iskalnikov (SEO). Googlov cilj je ohraniti internet varen in varen za vse, ne samo za tiste, ki na primer uporabljajo Google Chrome, Gmail in Drive. Podjetje je dejalo, da bo varnost dejavnik pri uvrščanju spletnih mest v rezultatih iskanja. Zaenkrat to ni dovolj. Če pa imate varno spletno mesto, vaši konkurenti pa ne, se lahko vaše spletno mesto uvrsti višje, kar bo morda potrebno za povečanje njegove priljubljenosti na strani z rezultati iskanja.
Če vaše spletno mesto ni varno in zbira gesla ali kreditne kartice, bodo uporabniki Chroma 56 (izdan januarja 2017) videli opozorilo, dada spletno mesto ni varno. Obiskovalci, ki niso seznanjeni s tehnologijo (večina uporabnikov spletnega mesta), bodo morda zaskrbljeni, ko bodo videli polje »Napaka potrdila HTTPS« in zapustili vaše spletno mesto preprosto zato, ker ne razumejo, kaj to pomeni. Po drugi strani, če je vaše spletno mesto varno, se lahko obiskovalci počutijo bolj sproščeno, zaradi česar je večja verjetnost, da bodo izpolnili obrazec za registracijo ali pustili komentar na vašem spletnem mestu. Google ima dolgoročni načrt, da v Chromu prikaže vsa spletna mesta HTTP kot nevarna.
Kje lahko dobim brezplačno potrdilo
Prejmete potrdilo SSL od overitelja potrdil. Takšna potrdila veljajo 90 dni, priporočamo pa 60-dnevno podaljšanje. Nekaj zanesljivih brezplačnih virov:
- Cloudflare: brezplačno za osebna spletna mesta in bloge.
- FreeSSL: trenutno brezplačno za neprofitne organizacije in novoustanovljena podjetja; ne more biti odjemalec Symantec, Thawte, GeoTrust ali RapidSSL.
- StartSSL: Certifikati so veljavni 1 do 3 leta.
- GoDaddy: Certifikati za odprtokodne projekte, veljavni 1 leto.
Vrsta potrdila in obdobje veljavnosti sta odvisna od vira. Večina organov ponuja standardna potrdila SSL brezplačno in zaračunavajo potrdila EV SSL, če jih zagotovijo. Cloudflare ponuja brezplačne in plačljive načrte ter različne dodatne možnosti.
Kaj je treba upoštevati pri prejemuSSL certifikat?
Google tukaj priporoča potrdilo z 2048-bitnim ključem. Če že imate 1024-bitno potrdilo, ki je šibkejše, priporoča, da ga posodobite.
Odločiti se boste morali, ali potrebujete eno, več domen ali nadomestno potrdilo:
- Eno potrdilo bo uporabljeno za eno domeno (npr. www.example.com).
- Potrdilo z več domenami bo uporabljeno za več dobro znanih domen (npr. www.example.com, cdn.example.com, example.co.uk).
- Potrdilo nadomestne kartice bo uporabljeno za varno domeno s številnimi dinamičnimi poddomenami (npr. a.example.com, b.example.com).
Kako namestim potrdilo SSL?
Vaš spletni gostitelj lahko brezplačno ali proti plačilu namesti potrdilo. Nekateri gostitelji imajo dejansko možnost namestiti Let's Encrypt v svoj osebni cPanel, kar olajša stvari. Vprašajte svojega trenutnega gostitelja ali poiščite tistega, ki ponuja neposredno podporo za Let's Encrypt. Če gostitelj ne zagotavlja te storitve, lahko vaše podjetje za vzdrževanje spletnega mesta ali razvijalec namesti potrdilo namesto vas. Pripravljeni morate biti na dejstvo, da boste morali certifikat zelo pogosto obnavljati. Preverite časovni okvir s potrdilom.
Kaj je še treba storiti?
Po pridobitvi in namestitvi certifikata SSL morate na spletnem mestu uveljaviti SSL. Ponovno lahko vprašate svojega spletnega gostitelja, storitveno podjetje ozrazvijalec, da izvede to dejanje. Če pa raje to storite sami in vaše spletno mesto poganja WordPress, lahko to storite tako, da prenesete, namestite in uporabite vtičnik. Pri slednji možnosti preverite združljivost z vašo različico WordPressa.
Dva priljubljena vtičnika za uveljavljanje SSL: preprost SSLWP, uveljavljen vtičnik SSLSSL. Ne pozabite narediti varnostne kopije svojega spletnega mesta in bodite pri tem zelo previdni. Če nekaj napačno konfigurirate, ima lahko to katastrofalne posledice: obiskovalci ne bodo mogli videti vašega spletnega mesta, slike se ne bodo prikazale, skripti se ne bodo naložili, kar bo vplivalo na delovanje nekaterih stvari na vašem spletnem mestu, kot so tipografija in barve. se ne prikazuje pravilno.
Uporabnike in iskalnike morate preusmeriti na strani HTTPS z uporabo 301 preusmeritev v datoteki.htaccess v korenski mapi na strežniku. Datoteka.htaccess je nevidna datoteka, zato se prepričajte, da je vaš program FTP nastavljen tako, da prikazuje skrite datoteke. V FileZilla, na primer, pojdite na Server> Prisilni pogled skritih datotek. FileZilla Preden dodate preusmeritve, bi bilo dobro narediti varnostno kopijo datoteke.htaccess. V strežniku začasno preimenujte datoteko tako, da odstranite piko (zaradi česar je najprej nevidna), prenesite datoteko (ki bo zdaj vidna na vašem računalniku zaradi odstranitve pike) in nato ponovno dodajte piko na tisto, kar je na strežniku.
Spremeni nastavitveGoogle Analytics
Po zaključku teh korakov morate spremeniti želeni URL v svojem računu Google Analytics, da prikažete različico HTTPS vaše domene. V nasprotnem primeru bo vaša statistika prometa onemogočena, ker se različica URL-ja HTTP obravnava kot popolnoma drugačno spletno mesto od različice potrdila HTTPS. Google Search Console obravnava HTTP in HTTPS tudi kot ločeni domeni, zato ji dodajte račun domene HTTPS. Ne pozabite, ko preklopite s potrdila HTTP na HTTPS, če ima vaše spletno mesto posebne gumbe za dostop, se števec ponastavi.