Defaults.Exposed

Defaults.ExposedПоправки › HTTPS & forced-secure redirect

Как да поправите HTTPS & forced-secure redirect

HTTPS е катинарът в лентата на браузъра — той криптира всичко, пътуващо между уебсайта ви и клиентите ви, така че да не може да бъде прочетено или манипулирано при пренос. Принудителното пренасочване към сигурен протокол гарантира, че посетителите попадат на криптираната версия автоматично, дори когато въведат адреса ви без 'https://'. Заедно те са единственото най-основно нещо, необходимо на уебсайт, за да се счита изобщо за сигурен.

Заключение за вашия бизнес: Без HTTPS, всяка парола, номер на карта и съобщение, изпратени от клиент до вас, пресичат интернет като четим текст, а Chrome, Edge, Safari и Firefox маркират сайта ви 'Не е сигурно' за всеки посетител преди да са прочели дума. Без пренасочването, дори сайтовете, имащи сертификат, оставят самото първо посещение незащитено. И двете ви струват доверие, продажби и класиране в търсачките — и и двете са безплатни за поправяне за минути.

Какво може да ви струва това

Защо има значение. HTTPS е подът, а не тавана на уеб сигурността — именно онова, карат катинара да се появи и спиращо всичко, изпратено от клиентите ви, от прочитане или изменяне по пътя. Принудителното пренасочване затваря пропастта, оставена отворена само от сертификата: хората почти никога не въвеждат 'https://', така че без пренасочване, първото им заявяване пътува незащитено преди изобщо да зареди сигурната версия. Сайт, на който липсва което и да е от тях, изглежда опасен за посетителите, класира се по-ниско в търсенето и излага реалните данни на клиентите — затова това е единственият провал с най-голяма тежест, оценяван от нас.

Как да го поправите, стъпка по стъпка

  1. Вземете сертификат. Получете безплатен TLS сертификат — повечето хостове и CDN-ове издават Let's Encrypt автоматично.
  2. Инсталирайте и свържете. Приложете сертификата, за да сервира сайтът ви на порт 443.
  3. Пренасочете HTTP към HTTPS. Принудете всички незащитени HTTP заявки към HTTPS версията с 301 пренасочване.
  4. Поправете смесено съдържание. Обновете всички изображения, скриптове или линкове, все още зареждащи по HTTP, за да не е катинарът счупен.
  5. Верифицирайте, че е проработило. Проверете отново, за да потвърдите, че сайтът сервира валиден HTTPS без грешки.

Какво представлява на прост език

HTTPS е сигурната, криптирана версия на уебсайта ви — тази, показваща катинар в адресната лента. Когато посетителят е на HTTPS, всичко, преминаващо между браузъра му и сайта ви (страниците, виждани от тях, формулярите, попълвани от тях, паролите, данните за карта) се разбърква, за да не може никой по средата да го прочете или промени. Незащитената версия, HTTP, изпраща всичко онова като четим текст, прихващаем от всеки в същата мрежа.

Има две части за правилното настройване, и двете проверяваме:

Искате и двете. Сертификат без пренасочване е заключена предна врата, около която посетителите могат просто да минат.

Бизнес залозите

Това е най-основният сигнал за това дали уебсайтът е сигурен — и критично, клиентите ви могат сами да го видят. Всеки съвременен браузър (Chrome, Edge, Safari, Firefox) маркира сайт без HTTPS като „Не е сигурно” директно в адресната лента и показва предупреждение ако някой се опита да въведе в формуляр. Посетителите ви не трябва да знаят какво е сертификат, за да реагират на онази дума.

Отвъд видимото предупреждение, това засяга три неща, вълнуващи пряко собствениците: доверие (хората изоставят сайтове, изглеждащи опасни), класиране в търсенето (Google използва HTTPS като сигнал за класиране от години и предпочита сигурните сайтове) и реална уязвимост (данни, изпратени по незащитен HTTP, наистина могат да бъдат прочетени от други в същата мрежа). Това е и видът нещо, което екипът по сигурност на по-голям клиент проверява секунди по-бързо при due diligence — и липсата му може да спре сделка.

Какво може да ви струва това

Какво всъщност е

Когато браузърът се свърже с уебсайт по HTTPS, се случват две неща. Първо, сайтът представя сертификат — удостоверение, издадено от доверена служба, доказващо, че сайтът е онзи, за когото се представя. Второ, браузърът и сървърът се съгласяват на ключ за криптиране и го използват за разбъркване на всичко, което разменят. Първата ни проверка, HTTPS наличен, просто пита: можем ли да осъществим сигурна TLS връзка с вашия сайт на стандартния сигурен порт (443) и да получим обратно валиден сертификат? Ако да, катинарът може да се появи и криптирането е включено. Ако не — няма сигурна версия на сайта ви изобщо — и това е единственият най-тежко оцениван провал.

Втората проверка, принудителното пренасочване, покрива пропаст, оставена отворена само от сертификата. Хората въвеждат „yourbusiness.com”, а не „https://yourbusiness.com”. Онова незащитено заявяване отива към незащитената HTTP версия първо. Пренасочването е еднолинейна инструкция, казваща „изпратете всеки, пристигащ по незащитена версия, директно към сигурната.” Нашата проверка пита: когато заявим незащитения HTTP адрес, пренасочва ли ни сайтът ви към HTTPS? Ако го прави, всеки посетител завършва защитен без значение как е написал адреса. Ако не — онзи първи незащитен скок носи каквото браузърът изпраща — бисквитки, данни от формуляр — в ясен текст.

Как изглежда „добро”: валиден, доверен сертификат, за да се показва катинарът на всяка страница, и всяко незащитено HTTP заявяване да се пренасочва автоматично към HTTPS версията (за предпочитане с постоянно „301” пренасочване, което също прехвърля класирането в търсачките чисто към сигурния адрес).

Как да го поправите (безплатно, ~15 минути)

Дайте тази секция на IT специалиста или поддръжката на хостинга ви — поправката е безплатна. И двете половини не струват нищо: доверените сертификати са безплатни и се подновяват сами, а включването на пренасочването е единствена настройка на повечето платформи. Не е необходим платен продукт за преминаване на проверката.

Има две неща за включване. На повечето съвременни хостинги, правенето на първото нерядко прави второто еднокликов превключвател.

1. Вземете сертификат, за да работи HTTPS (катинарът).

2. Принудете всеки посетител към HTTPS (пренасочването).

След включването на двете, тествайте: въведете адреса с незащитен http:// отпред и потвърдете, че браузърът скача към защитената https:// версия автоматично и катинарът се показва на основните страниците ви.

Чести грешки

ЧЗВ

Вижте въпросите по-горе — те покриват нетехническото „мога ли сам да се справя”, разликата между наличието на катинар и налагането на пренасочване, цената и подновяването на сертификата, дали брошурните сайтове се нуждаят от него и как се свързва с HSTS.

ЧЗВ

Не съм технически — мога ли сам да се справя с това?

Нямате нужда да разбирате нито един от детайлите. И двете половини се включват от когото управлява уебсайта или хостинга ви, и на повечето съвременни платформи е безплатен сертификат плюс единствен превключвател — нерядко буквално поле за отметка, наречено 'Always use HTTPS'. Дайте раздела 'Как да го поправите' на уеб специалиста или поддръжката на хоста; поправката не струва нищо и обикновено отнема минути.

Вече виждам катинар на сайта — готово ли съм?

Може би не. Катинарът означава, че сигурната (HTTPS) версия съществува, но не гарантира, че посетителите се изпращат към нея. Ако някой въведе адреса ви без 'https://' и сайтът не го пренасочи, първото им свързване все пак е некриптирано. Проверката за катинара и проверката за пренасочването са две отделни неща — искате и двете.

Не е ли сертификатът скъп или труден за подновяване?

Не. Безплатните сертификати от Let's Encrypt са доверени от всеки основен браузър и се подновяват сами автоматично, така че няма какво да помните и нищо за плащане. Платените сертификати съществуват, но не предлагат допълнителна сигурност за типичен бизнес уебсайт — криптирането е идентично.

Не приемаме плащания или влизания на сайта — все пак ли е важно?

Да. Браузърите маркират всеки сайт без HTTPS 'Не е сигурно' независимо от съдържанието, така че дори брошурен сайт губи доверие и класиране. HTTPS спира и всеки в средата да инжектира фалшиво съдържание, измамни изскачащи прозорци или злонамерен код в страниците ви при зареждане от посетители.

Включването на принудителното пренасочване може ли да счупи сайта?

Безопасно е стига сигурната версия вече да работи — което, ако имате валиден сертификат, работи. Стандартният подход е да потвърдите, че сайтът зарежда правилно по https:// първо, след това да включите пренасочването. Единственото за наблюдение е смесено съдържание (вижте Чести грешки по-долу), лесно за забелязване и поправяне.

Каква е разликата между това и HSTS?

Тази страница е за изобщо да имате HTTPS и да пращате посетителите към него. HSTS е допълнителна стъпка, казваща на браузърите да запомнят, че сайтът ви е само HTTPS и да откажат изобщо небезопасно свързване — той укрепва онова, което сте настроили тук. Вземете HTTPS и пренасочването правилно първо; HSTS надгражда отгоре.