Kui kogute oma veebisaidil tundlikku teavet (sh e-posti aadress ja parool), peate olema turvaline. Üks parimaid viise enda turvalisuse tagamiseks on lubada HTTPS-sertifikaat, tuntud ka kui SSL (Secure Sockets Layers), nii et kogu teie serverisse suunduv ja se alt väljuv teave krüpteeritakse automaatselt. HTTPS-sertifikaat takistab häkkeritel teie kasutajate konfidentsiaalset teavet häkkimast, kui see on Internetti salvestatud. Nad tunnevad end turvaliselt, kui näevad teie saidile sisenedes HTTPS-i sertifikaati – teades, et see on turvasertifikaadiga kaitstud.
HTTPS-sertifikaadi eelised
Parim asi SSL-sertifikaadi, nagu HTTPS-i puhul, on see, et seda on lihtne seadistada ja kui see on tehtud, peate suunama inimesed kasutama HTTP asemel HTTPS-i sertifikaati. Kui proovite oma saidile juurde pääseda, asetades praegu oma URL-ide ette https://, kuvatakse HTTPS-i sertifikaadi tõrketeade. Põhjus on selles, et te pole installinud HTTPS SSL-sertifikaati. Kuid ärge muretsege, me seadistame selle kohe!
Teie külastajad tunnevad end teie saidil turvalisem alt, kui näevad teie saidile sisenedes HTTPS-i sertifikaati- teades, et see on kaitstud turvasertifikaadiga.
Mis on
HTTP või HTTPS kuvatakse veebibrauseris iga veebisaidi URL-i alguses. HTTP tähistab hüperteksti edastusprotokolli ja S HTTPS-is tähistab turvalist. Üldiselt kirjeldab see protokolli, mille abil andmeid teie brauseri ja vaadatava veebisaidi vahel saadetakse.
HTTPS-sertifikaat tagab, et kogu suhtlus teie brauseri ja vaadatava veebisaidi vahel on krüpteeritud. See tähendab, et see on ohutu. Ainult vastuvõttev ja saatv arvuti näeb teavet andmete edastamise ajal (teised saavad sellele juurde pääseda, kuid ei saa seda lugeda). Turvalistel saitidel kuvab veebibrauser teid teavitamiseks URL-i alal lukuikooni.
HTTPS peaks olema igal veebisaidil, mis kogub paroole, makseid, meditsiinilist teavet või muid tundlikke andmeid. Aga mis siis, kui saate oma domeeni jaoks tasuta ja kehtiva SSL-sertifikaadi?
Kuidas veebisaidi kaitse töötab?
HTTPS-i turvasertifikaadi lubamiseks peate installima SSL-i (Secure Socket Layer). See sisaldab avalikku võtit, mis on vajalik seansi turvaliseks alustamiseks. Kui taotletakse HTTPS-ühendust veebilehega, saadab sait teie brauserisse SSL-sertifikaadi. Seejärel alustavad nad "SSL-käepigistust", mis hõlmab "saladuste" jagamist, et luua turvaline ühendus teie brauseri ja veebisaidi vahel.
Standardne ja laiendatud SSL
Kui sait kasutab standardset SSL-sertifikaati, näete oma brauseri URL-i alal lukuikooni. Kui kasutatakse laiendatud valideerimise (EV) sertifikaati, on aadressiriba või URL roheline. EV SSL standardid on paremad kui SSL standardid. EV SSL tõendab domeeni omaniku isikut. EV SSL-i sertifikaadi saamiseks peavad taotlejad läbima ka range hindamisprotsessi, et kontrollida nende autentsust ja omandiõigust.
Mis juhtub, kui kasutate HTTPS-i ilma sertifikaadita?
Isegi kui teie veebisait ei aktsepteeri ega jaga tundlikke andmeid, on mitu põhjust, miks võiksite omada turvalist veebisaiti ja kasutada oma domeeni jaoks tasuta ja kehtivat SSL-sertifikaati.
Esitus. SSL võib pikendada lehe laadimiseks kuluvat aega.
Otsingumootori optimeerimine (SEO). Google'i eesmärk on hoida internet turvalisena kõigi jaoks, mitte ainult nende jaoks, kes kasutavad näiteks Google Chrome'i, Gmaili ja Drive'i. Ettevõte ütles, et turvalisus mõjutab saitide järjestamist otsingutulemustes. Siiani sellest ei piisa. Kui teil on aga turvaline veebisait ja teie konkurendid seda ei tee, võib teie sait olla kõrgem, mis võib olla vajalik selle populaarsuse suurendamiseks otsingutulemuste lehel.
Kui teie sait pole turvaline ja kogub paroole või krediitkaarte, näevad Chrome 56 (välja antud 2017. aasta jaanuaris) kasutajad hoiatust, etet sait on ebaturvaline. Külastajad, kes pole tehnoloogiaga tuttavad (enamik veebisaidi kasutajaid), võivad kohkuda, nähes kasti "HTTPS-i sertifikaadi viga" ja lahkuvad teie saidilt lihts alt seetõttu, et nad ei mõista, mida see tähendab. Teisest küljest, kui teie sait on turvaline, võivad külastajad end paremini tunda, mistõttu nad täidavad tõenäolisem alt registreerimisvormi või jätavad teie saidile kommentaari. Google'il on pikaajaline plaan näidata Chrome'is kõiki HTTP-saite ebaturvalistena.
Kust ma saan tasuta HTTPS-i sertifikaadi?
Saate sertifitseerimisasutuselt SSL-sertifikaadi. Sellised sertifikaadid kehtivad 90 päeva, kuid soovitatav on uuendada 60 päeva. Mõned usaldusväärsed tasuta allikad:
- Cloudflare: isiklike veebisaitide ja ajaveebi jaoks tasuta.
- FreeSSL: praegu tasuta mittetulundusühingutele ja idufirmadele; ei saa olla Symanteci, Thawte, GeoTrusti ega RapidSSL-i klient.
- StartSSL: sertifikaadid kehtivad 1 kuni 3 aastat.
- GoDaddy: avatud lähtekoodiga projektide sertifikaadid, kehtivad 1 aasta.
Sertifikaadi tüüp ja kehtivusaeg sõltuvad allikast. Enamik asutusi pakub standardseid SSL-sertifikaate tasuta ja EV SSL-sertifikaatide eest tasu, kui nad need pakuvad. Cloudflare pakub tasuta ja tasulisi pakette ning erinevaid lisavõimalusi.
Millega arvestada saamiselSSL-sertifikaat?
Google soovitab siin kasutada 2048-bitise võtmega sertifikaati. Kui teil on juba nõrgem 1024-bitine sertifikaat, soovitab see seda värskendada.
Peate otsustama, kas vajate ühte, mitut domeeni või metamärgisertifikaati:
- Ühe domeeni jaoks kasutatakse üht sertifikaati (nt www.example.com).
- Mitme domeeni sertifikaati kasutatakse mitme tuntud domeeni jaoks (nt www.example.com, cdn.example.com, example.co.uk).
- Mentkaardi sertifikaati kasutatakse paljude dünaamiliste alamdomeenidega turvalise domeeni jaoks (nt a.example.com, b.example.com).
Kuidas installida SSL-sertifikaati?
Teie veebimajutaja saab sertifikaadi installida tasuta või tasu eest. Mõnel hostil on tegelikult võimalus installida Let's Encrypt oma isiklikku cPaneli, mis teeb asja lihtsamaks. Küsige oma praeguselt hostilt või leidke üks, mis pakub Let's Encrypt otsetuge. Kui host seda teenust ei paku, saab teie veebisaidi hooldusettevõte või arendaja teie eest sertifikaadi installida. Peate olema valmis selleks, et peate sertifikaati väga sageli uuendama. Kontrollige ajakava sertifikaadiga.
Mida on veel vaja teha?
Pärast SSL-sertifikaadi hankimist ja installimist peate saidil SSL-i jõustama. Jällegi võite küsida oma veebimajutaj alt, teenindusettevõttelt võiarendaja selle toimingu tegemiseks. Kui aga eelistate seda ise teha ja teie saiti toetab WordPress, saate seda teha pistikprogrammi allalaadimise, installimise ja kasutamisega. Viimase valiku puhul kontrollige kindlasti ühilduvust oma WordPressi versiooniga.
Kaks populaarset SSL-i jõustamispluginat: lihtne SSLWP, sunnitud SSLSSL-plugin. Varundage kindlasti oma sait ja olge seda tehes väga ettevaatlik. Kui konfigureerite midagi valesti, võivad sellel olla katastroofilised tagajärjed: külastajad ei näe teie saiti, pilte ei kuvata, skripte ei laadita, mis mõjutab teie saidi teatud asjade (nt tüpograafia ja värvid) toimimist. ei kuvata õigesti. way.
Peate kasutajad ja otsingumootorid ümber suunama HTTPS-i lehtedele, kasutades serveri juurkaustas olevas.htaccess-failis 301 ümbersuunamist. Htaccess-fail on nähtamatu fail, seega veenduge, et teie FTP-programm oleks seadistatud peidetud faile näitama. Näiteks FileZillas avage Server> Peidetud failide sundvaade. FileZilla Enne ümbersuunamiste lisamist oleks hea mõte oma.htaccess-failist varundada. Nimetage serveris fail ajutiselt ümber, eemaldades perioodi (mis muudab selle esiteks nähtamatuks), laadige fail alla (mis on nüüd perioodi eemaldamise tulemusel teie arvutis nähtav), seejärel lisage punkt tagasi mis on serveris.
Muutke seadeidGoogle Analytics
Pärast nende toimingute tegemist peate oma domeeni HTTPS-i versiooni kuvamiseks muutma oma Google Analyticsi kontol eelistatud URL-i. Vastasel juhul keelatakse teie liiklusstatistika, kuna URL-i HTTP-versiooni käsitletakse sertifikaadi HTTPS-i versioonist täiesti erineva saidina. Google Search Console käsitleb HTTP-d ja HTTPS-i samuti eraldi domeenidena, seega lisage sellele HTTPS-i domeenikonto. Pidage meeles, et kui lülitute HTTP-lt HTTPS-i sertifikaadile ja teie saidil on spetsiaalsed juurdepääsunupud, siis loendur lähtestatakse.