Defaults.Exposed › Поправки › HTTPS & forced-secure redirect
Как да поправите HTTPS & forced-secure redirect
HTTPS е катинарът в лентата на браузъра — той криптира всичко, пътуващо между уебсайта ви и клиентите ви, така че да не може да бъде прочетено или манипулирано при пренос. Принудителното пренасочване към сигурен протокол гарантира, че посетителите попадат на криптираната версия автоматично, дори когато въведат адреса ви без 'https://'. Заедно те са единственото най-основно нещо, необходимо на уебсайт, за да се счита изобщо за сигурен.
Заключение за вашия бизнес: Без HTTPS, всяка парола, номер на карта и съобщение, изпратени от клиент до вас, пресичат интернет като четим текст, а Chrome, Edge, Safari и Firefox маркират сайта ви 'Не е сигурно' за всеки посетител преди да са прочели дума. Без пренасочването, дори сайтовете, имащи сертификат, оставят самото първо посещение незащитено. И двете ви струват доверие, продажби и класиране в търсачките — и и двете са безплатни за поправяне за минути.
Какво може да ви струва това
- Нов посетител вижда голямо предупреждение 'Не е сигурно' в момента на зареждане на страницата ви. Повечето приемат, че сайтът е фалшив, счупен или опасен и отиват при конкурент — а вие никога дори не разбирате, че продажбата е изгубена.
- Клиент въвежда данни за карта или влиза по некриптирана връзка от кафе, хотел или летище. Някой в същата WiFi ги чете в ясен текст и измамните такси, последвали, ви се приписват.
- Отделът по обществени поръчки или сигурността на по-голям клиент прави бърза проверка преди подписване, вижда липса на HTTPS или липсващо принудително пренасочване и спира договора докато не докажете, че е поправено.
- Google ви класира по-ниско от конкурентите, сервиращи HTTPS, така че тихо губите трафик от търсачките с години без да го свържете с тази пропаст.
- Регулатор или доставчикът ви на плащания третира изпращането на лични данни или данни за карта некриптирано като подлежащ на докладване провал, превръщайки петминутна безплатна поправка в проблем за съответствие.
Защо има значение. HTTPS е подът, а не тавана на уеб сигурността — именно онова, карат катинара да се появи и спиращо всичко, изпратено от клиентите ви, от прочитане или изменяне по пътя. Принудителното пренасочване затваря пропастта, оставена отворена само от сертификата: хората почти никога не въвеждат 'https://', така че без пренасочване, първото им заявяване пътува незащитено преди изобщо да зареди сигурната версия. Сайт, на който липсва което и да е от тях, изглежда опасен за посетителите, класира се по-ниско в търсенето и излага реалните данни на клиентите — затова това е единственият провал с най-голяма тежест, оценяван от нас.
Как да го поправите, стъпка по стъпка
- Вземете сертификат. Получете безплатен TLS сертификат — повечето хостове и CDN-ове издават Let's Encrypt автоматично.
- Инсталирайте и свържете. Приложете сертификата, за да сервира сайтът ви на порт 443.
- Пренасочете HTTP към HTTPS. Принудете всички незащитени HTTP заявки към HTTPS версията с 301 пренасочване.
- Поправете смесено съдържание. Обновете всички изображения, скриптове или линкове, все още зареждащи по HTTP, за да не е катинарът счупен.
- Верифицирайте, че е проработило. Проверете отново, за да потвърдите, че сайтът сервира валиден HTTPS без грешки.
Какво представлява на прост език
HTTPS е сигурната, криптирана версия на уебсайта ви — тази, показваща катинар в адресната лента. Когато посетителят е на HTTPS, всичко, преминаващо между браузъра му и сайта ви (страниците, виждани от тях, формулярите, попълвани от тях, паролите, данните за карта) се разбърква, за да не може никой по средата да го прочете или промени. Незащитената версия, HTTP, изпраща всичко онова като четим текст, прихващаем от всеки в същата мрежа.
Има две части за правилното настройване, и двете проверяваме:
- Наличен ли е HTTPS изобщо? Сайтът ви има ли работещ сертификат за сигурност, за да съществува сигурната, с катинар, версия? Това е по-сериозното от двете — без него няма криптиране изобщо.
- Принуждава ли сайтът ви посетителите към нея? Почти никой не въвежда „https://” ръчно. Ако някой въведе само доменното ви наименование, браузърът му опитва незащитената HTTP версия първо. Принудителното пренасочване автоматично препраща онова заявяване към криптираната версия. Без него, първите мигове на всяко посещение са незащитени дори когато имате сертификат.
Искате и двете. Сертификат без пренасочване е заключена предна врата, около която посетителите могат просто да минат.
Бизнес залозите
Това е най-основният сигнал за това дали уебсайтът е сигурен — и критично, клиентите ви могат сами да го видят. Всеки съвременен браузър (Chrome, Edge, Safari, Firefox) маркира сайт без HTTPS като „Не е сигурно” директно в адресната лента и показва предупреждение ако някой се опита да въведе в формуляр. Посетителите ви не трябва да знаят какво е сертификат, за да реагират на онази дума.
Отвъд видимото предупреждение, това засяга три неща, вълнуващи пряко собствениците: доверие (хората изоставят сайтове, изглеждащи опасни), класиране в търсенето (Google използва HTTPS като сигнал за класиране от години и предпочита сигурните сайтове) и реална уязвимост (данни, изпратени по незащитен HTTP, наистина могат да бъдат прочетени от други в същата мрежа). Това е и видът нещо, което екипът по сигурност на по-голям клиент проверява секунди по-бързо при due diligence — и липсата му може да спре сделка.
Какво може да ви струва това
- Тихото отпадане. Потенциален клиент кликва от резултат в търсачка или реклама и страницата зарежда с сив знак „Не е сигурно” — или по-лошо, цял екран с предупреждение. Не ви пишат да питат защо; просто затварят раздела и кликват следващия резултат. Платихте за онова посещение и го загубихте преди да са прочели дума, а нищо в аналитиките ви не казва защо.
- Прихванато влизане или плащане. Клиент влиза или плаща при споделена WiFi в хотел или кафе. Тъй като връзката не е криптирана, някой наблизо улавя паролата или номера на картата им в ясен текст. Последвалата измама се докладва като ваш пробив и вие отговаряте на ядосаните обаждания и жалбите за измама.
- Сделката, спряла. По-голям потенциален клиент е готов да подпише, но процесът им по обществени поръчки включва бърза проверка за сигурност на уебсайта ви. Връща се маркирайки липса на HTTPS или липсващо принудително пренасочване. Внезапно обяснявате основна пропаст в сигурността вместо да приключвате — и договорът чака или тихо отива при конкурент, преминал проверката.
- Бавното изтичане на класирането. Два бизнеса предлагат едно и също; единият сервира сигурен HTTPS, другият не. Търсачките леко бутат по-горе сигурния. С месеци губите постоянна нишка от безплатен трафик и никога не го свързвате с тази единствена настройка.
- Инжектирано съдържание, което никога не сте писали. При некриптирана връзка, всеки по средата — съмнителна публична мрежа, компрометиран рутер — може да вмъкне фалшиви изскачащи прозорци, измамни оферти или злонамерен код в страниците ви при зареждане от посетители. За онзи посетител изглежда, че вашият сайт го е направил.
Какво всъщност е
Когато браузърът се свърже с уебсайт по HTTPS, се случват две неща. Първо, сайтът представя сертификат — удостоверение, издадено от доверена служба, доказващо, че сайтът е онзи, за когото се представя. Второ, браузърът и сървърът се съгласяват на ключ за криптиране и го използват за разбъркване на всичко, което разменят. Първата ни проверка, HTTPS наличен, просто пита: можем ли да осъществим сигурна TLS връзка с вашия сайт на стандартния сигурен порт (443) и да получим обратно валиден сертификат? Ако да, катинарът може да се появи и криптирането е включено. Ако не — няма сигурна версия на сайта ви изобщо — и това е единственият най-тежко оцениван провал.
Втората проверка, принудителното пренасочване, покрива пропаст, оставена отворена само от сертификата. Хората въвеждат „yourbusiness.com”, а не „https://yourbusiness.com”. Онова незащитено заявяване отива към незащитената HTTP версия първо. Пренасочването е еднолинейна инструкция, казваща „изпратете всеки, пристигащ по незащитена версия, директно към сигурната.” Нашата проверка пита: когато заявим незащитения HTTP адрес, пренасочва ли ни сайтът ви към HTTPS? Ако го прави, всеки посетител завършва защитен без значение как е написал адреса. Ако не — онзи първи незащитен скок носи каквото браузърът изпраща — бисквитки, данни от формуляр — в ясен текст.
Как изглежда „добро”: валиден, доверен сертификат, за да се показва катинарът на всяка страница, и всяко незащитено HTTP заявяване да се пренасочва автоматично към HTTPS версията (за предпочитане с постоянно „301” пренасочване, което също прехвърля класирането в търсачките чисто към сигурния адрес).
Как да го поправите (безплатно, ~15 минути)
Дайте тази секция на IT специалиста или поддръжката на хостинга ви — поправката е безплатна. И двете половини не струват нищо: доверените сертификати са безплатни и се подновяват сами, а включването на пренасочването е единствена настройка на повечето платформи. Не е необходим платен продукт за преминаване на проверката.
Има две неща за включване. На повечето съвременни хостинги, правенето на първото нерядко прави второто еднокликов превключвател.
1. Вземете сертификат, за да работи HTTPS (катинарът).
- Cloudflare: ако сайтът е зад Cloudflare, SSL се обработва вместо вас. Задайте SSL/TLS режима на „Full” (или „Full (strict)” ако оригиналният сървър също има сертификат).
- Конструктори на уебсайтове и управляван хостинг (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, повечето Microsoft 365 / Google Workspace уеб хостинг): HTTPS се предоставя автоматично; просто се уверете, че е активиран в настройките на сайта/домейна — обикновено няма нищо за инсталиране.
- cPanel хостинг: отворете SSL/TLS Status и стартирайте AutoSSL, което издава безплатен Let’s Encrypt сертификат.
- Собствен сървър (VPS): инсталирайте Let’s Encrypt с Certbot —
sudo certbot --nginx -d yourdomain.com(или--apache). Извлича и инсталира безплатен сертификат и настройва авто-подновяване. - Всичко останало: свържете се с поддръжката на хостинга и помолете да „активират безплатен SSL сертификат за моя домейн.” Почти всички го предлагат без разходи.
2. Принудете всеки посетител към HTTPS (пренасочването).
- Cloudflare: SSL/TLS → Edge Certificates → включете „Always Use HTTPS.” Това е цялата работа.
- Конструктори на уебсайтове (Squarespace, Wix, Shopify и т.н.): потърсете превключвател „Force HTTPS” или „Secure (HTTPS)” в настройките на сайта и го включете.
- Nginx: добавете server блок на порт 80, връщащ постоянно пренасочване —
return 301 https://$host$request_uri;. - Apache (.htaccess): активирайте rewriting и пренасочете всяко не-HTTPS заявяване —
RewriteEngine On,RewriteCond %{HTTPS} off,RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]. - IIS (Windows хостинг): инсталирайте модула URL Rewrite и добавете правило за пренасочване „HTTP към HTTPS”.
След включването на двете, тествайте: въведете адреса с незащитен http:// отпред и потвърдете, че браузърът скача към защитената https:// версия автоматично и катинарът се показва на основните страниците ви.
Чести грешки
- Сертификат инсталиран, но без пренасочване. Най-честата пропаст. Виждате катинара при посещение на собствения сайт (защото браузърът ви е запомнил HTTPS), затова приемате, че е готово — но нови посетители, въвеждащи голия домейн, все пак попадат на HTTP първо. Винаги тествайте изрично незащитената
http://версия. - Смесено съдържание. Страницата ви зарежда по HTTPS, но изтегля изображение, скрипт или шрифт от стар адрес
http://. Браузърите или го блокират или деградират катинара до предупреждение. Обновете онези препратки къмhttps://(или към относителни линкове). Повечето платформи имат доклад за „смесено съдържание” или „несигурно съдържание”, намиращ ги. - Временно (302) пренасочване вместо постоянно (301). 302 работи за посетителите, но казва на търсачките, че преместването е временно, така че стойността на класирането не се прехвърля чисто към сигурния адрес. Използвайте постоянно 301.
- Пренасочване само на голия домейн, а не „www” (или обратното). Уверете се, че и
yourdomain.comиwww.yourdomain.comзавършват на HTTPS, иначе един маршрут е все пак изложен. - Оставяне на сертификат да изтече. Изтекъл сертификат хвърля пълноекранна грешка на браузъра, спираща посетителите. Безплатните Let’s Encrypt сертификати се авто-подновяват; ако сте купили такъв ръчно, поставете напомняне в календара добре преди изтичането.
ЧЗВ
Вижте въпросите по-горе — те покриват нетехническото „мога ли сам да се справя”, разликата между наличието на катинар и налагането на пренасочване, цената и подновяването на сертификата, дали брошурните сайтове се нуждаят от него и как се свързва с HSTS.
ЧЗВ
Не съм технически — мога ли сам да се справя с това?
Нямате нужда да разбирате нито един от детайлите. И двете половини се включват от когото управлява уебсайта или хостинга ви, и на повечето съвременни платформи е безплатен сертификат плюс единствен превключвател — нерядко буквално поле за отметка, наречено 'Always use HTTPS'. Дайте раздела 'Как да го поправите' на уеб специалиста или поддръжката на хоста; поправката не струва нищо и обикновено отнема минути.
Вече виждам катинар на сайта — готово ли съм?
Може би не. Катинарът означава, че сигурната (HTTPS) версия съществува, но не гарантира, че посетителите се изпращат към нея. Ако някой въведе адреса ви без 'https://' и сайтът не го пренасочи, първото им свързване все пак е некриптирано. Проверката за катинара и проверката за пренасочването са две отделни неща — искате и двете.
Не е ли сертификатът скъп или труден за подновяване?
Не. Безплатните сертификати от Let's Encrypt са доверени от всеки основен браузър и се подновяват сами автоматично, така че няма какво да помните и нищо за плащане. Платените сертификати съществуват, но не предлагат допълнителна сигурност за типичен бизнес уебсайт — криптирането е идентично.
Не приемаме плащания или влизания на сайта — все пак ли е важно?
Да. Браузърите маркират всеки сайт без HTTPS 'Не е сигурно' независимо от съдържанието, така че дори брошурен сайт губи доверие и класиране. HTTPS спира и всеки в средата да инжектира фалшиво съдържание, измамни изскачащи прозорци или злонамерен код в страниците ви при зареждане от посетители.
Включването на принудителното пренасочване може ли да счупи сайта?
Безопасно е стига сигурната версия вече да работи — което, ако имате валиден сертификат, работи. Стандартният подход е да потвърдите, че сайтът зарежда правилно по https:// първо, след това да включите пренасочването. Единственото за наблюдение е смесено съдържание (вижте Чести грешки по-долу), лесно за забелязване и поправяне.
Каква е разликата между това и HSTS?
Тази страница е за изобщо да имате HTTPS и да пращате посетителите към него. HSTS е допълнителна стъпка, казваща на браузърите да запомнят, че сайтът ви е само HTTPS и да откажат изобщо небезопасно свързване — той укрепва онова, което сте настроили тук. Вземете HTTPS и пренасочването правилно първо; HSTS надгражда отгоре.