Defaults.Exposed › Opravy
Opravte zabezpečení své domény — bezplatné návody krok za krokem
Srozumitelné návody na opravu každého problému, který hodnotíme — SPF, DKIM, DMARC, DNSSEC, TLS, certifikáty a bezpečnostní hlavičky HTTP. Každý z nich vysvětluje, co to je, co to může vaši firmu stát a jak přesně to u vašeho poskytovatele nastavit.
- CAA záznamy
CAA záznam je krátká instrukce v nastavení vaší domény, která jmenuje, které certifikační firmy smí vydávat 'zámkový' bezpečnostní certifikát pro váš web. Pokud je zapnut, žádná jiná firma nemůže tiše vytvořit platný certifikát na vaše jméno. - CDN / WAF a hosting
Dvě čtení instalatérství za vaším webem: zda sedíte za ochranným štítem (CDN s Web Application Firewall, jako je Cloudflare), který filtruje útoky a absorbuje nápory provozu, a mapa toho, kdo skutečně provozuje váš DNS, web a e-mail. Obojí je informativní v našem hodnocení — neovlivňují vaše hodnocení — ale popisují, jak je váš původní server vystaven útoku a výpadku a jak jsou vaši poskytovatelé zamotaní. Štít vpředu a rozumně rozložená sada poskytovatelů — tak vypadají odolné firmy. - Content-Security-Policy (CSP)
Content Security Policy je bezpečnostní pravidlo, které váš web předá prohlížeči každého návštěvníka a říká mu přesně, jaký kód smí spouštět. Bez něj, pokud se někdy dostane na stránku cokoli škodlivého — prostřednictvím komentářového pole, hacknutého pluginu nebo skriptu třetí strany — prohlížeč ho spustí volně, včetně kódu, který tiše sbírá čísla karet a hesla zákazníků při psaní, přičemž zámek stále svítí. - DKIM
DKIM je neviditelná pečeť chránící každý e-mail, který vaše firma odešle. Umožňuje přijímajícímu poskytovateli pošty potvrdit, že e-mail skutečně přišel od vás a dorazil beze změn. Bez DKIM je vaši poštu snazší zfalšovat, snazší pozměnit a mnohem pravděpodobnější, že skončí ve spamu nebo bude rovnou odmítnuta. - DMARC (ochrana proti podvrhování e-mailů)
DMARC je jediné nastavení, které skutečně říká světovým poskytovatelům pošty, aby BLOKOVALI e-maily, jež falšují jméno vaší firmy. SPF a DKIM kontrolují zámky; DMARC rozhoduje, co se stane, když padělání selže v kontrole — zahodí to, označí, nebo propustí dál. Pokud je špatně nastaveno, vaše doménu lze plně napodobit; pokud je správně nastaveno, vydávání se za vás se zastaví v doručené poště. - DNSSEC
DNSSEC je digitální pečeť na adresáři vaší domény. Umožňuje internetu prokázat, že odpověď na otázku 'kde tato doména žije?' skutečně pochází od vás a nebyla po cestě pozměněna. Bez ní může být odpověď zfalšována — a vaši návštěvníci tiše odesláni někam jinam. - Hlavičky cross-origin izolace (COOP / CORP / COEP)
Tři volitelné instrukce prohlížeče, které kontrolují, jak jiné weby smí interagovat s vaším — otevírat ho v popupech, vkládat jeho obrázky a skripty nebo tahání jeho zdrojů na vlastní stránky. Jsou to moderní zpevnění, nikoli základní nutnost a v našem hodnocení jsou informativní: chybějící nevnižují vaše hodnocení. Ale ty dvě bezpečné uzavírají tichý phishingový gap a kradení šířky pásma a opatrný IT tým kupujícího si všimne, když jsou přítomny. - HSTS (Strict-Transport-Security)
HSTS je jednořádková instrukce, kterou váš web dá každému prohlížeči: 'vždy ke mně přicházej přes zabezpečené, šifrované připojení — nikdy přes nezabezpečené.' Bez ní může být váš zámek tiše odebrán na sdílené WiFi a úplně první návštěva vašeho webu je vystavena. - HTTPS a přesměrování na zabezpečené připojení
HTTPS je zámek v adresním řádku prohlížeče — šifruje vše, co putuje mezi vaším webem a vašimi zákazníky, aby to nemohlo být přečteno nebo pozměněno při přenosu. Přesměrování na zabezpečené připojení zajistí, že návštěvníci automaticky přistávají na šifrované verzi, i když zadají vaši adresu bez 'https://'. Společně jsou toto jediná nejzákladnější věc, kterou web potřebuje, aby byl vůbec považován za bezpečný. - Moderní šifrování (verze TLS a šifry)
TLS je zámek, který kóduje data proudící mezi vašimi návštěvníky a vaším webem. Dvě věci dělají tento zámek důvěryhodným: používání moderní verze TLS (nikoli staré, prolomené) a používání silných šifer (skutečný recept na kódování). Tato stránka pokrývá obojí — plus několik souvisejících nastavení, která neovlivňují vaše hodnocení, ale stojí za to znát. - MX záznamy (nastavení e-mailu)
MX záznam je ukazatel, který říká zbytku světa, kam doručovat e-maily adresované vaší doméně. Pokud chybí nebo je nefunkční, každá zpráva odeslaná vaší firmě — dotazy zákazníků, obnova hesla, faktury, smlouvy — se vrátí zpět odesílateli. Bez MX, bez doručené pošty. - Nastavení nameserverů (diverzita a SOA)
Vaše nameservery jsou adresář, který říká celému internetu, kde najít váš web a e-mail. Pokud všechny sedí na jedné síti a ta vypadne, vaše firma v tu chvíli zmizí z internetu — žádný web, žádný e-mail, nic — a neopatrné nastavení hodin na těchto serverech může způsobit, že změny, které provedete, budou zaseknuty na dny. - Ochrana proti clickjackingu (X-Frame-Options)
Jednořádková instrukce, která říká prohlížečům, aby nenechaly jiné weby tajně načíst váš web uvnitř svého vlastního. Bez ní může podvodník skrýt vaše skutečné, přihlášené stránky za falešnou stránku a přimět vaše zákazníky kliknout na věci, které nikdy neměli v úmyslu — schválení platby, změnu hesla, udělení přístupu. - Ochrana proti MIME-sniffingu (X-Content-Type-Options)
Jednořádková hlavička, která zastaví prohlížeče v hádání, co soubor skutečně je. Bez ní může soubor, který někdo nahraje na váš web — nebo soubor na vašich vlastních stránkách — být prohlížečem špatně přečten a spuštěn jako kód, přesně tak probíhají některé útoky, kdy nevinně vypadající nahrávka se stane způsobem, jak krást relace vašich zákazníků. - Podpora IPv6
IPv6 je novější, daleko větší verze adresovacího systému internetu, zavedená, protože starý (IPv4) vyčerpal prostor. Přidání podpory IPv6 znamená, že váš web a e-mail jsou dosažitelné přes moderní síť i přes starou. V našem hodnocení je to informativní — nemít to nesnižuje vaše hodnocení — ale je to skutečný problém dosahu: rostoucí část mobilních a zámoří zákazníků se připojuje přes sítě pouze s IPv6 a k vám se dostanou plynule pouze pokud ho podporujete. Oprava je zdarma a žije v nastavení DNS a hostingu. - Referrer-Policy
Referrer-Policy je jednořádková instrukce, kterou váš web předá prohlížeči každého návštěvníka, a kontroluje, kolik z vaší webové adresy cestuje s nimi, když kliknou na odkaz na jiný web. Bez ní je celá adresa jakékoli stránky, na které byli — vyhledávací dotazy, čísla účtů, resetovací odkazy, interní cesty stránek — tiše předána dalšímu webu, na který přistanou, včetně inzerentů, analytických firem a kamkoli jinam odkaz míří. - SPF (Sender Policy Framework)
SPF je záznam v nastavení vaší domény, který uvádí, které e-mailové služby smějí odesílat zprávy vaším jménem. Bez něj může kdokoliv na světě posílat e-maily, které vypadají jako od vás — a vaše vlastní legitimní e-maily mají větší šanci skončit ve spamu zákazníků. - Zdraví TLS certifikátu
Váš SSL/TLS certifikát je digitální průkaz totožnosti, který návštěvníkovi dokazuje, že skutečně mluví s vaším webem — nikoli s podvodníkem — a zajišťuje zámek v prohlížeči. Tato kontrola zkoumá, zda je certifikát platný a důvěryhodný, zda brzy nevyprší a zda je postaven na silné, moderní kryptografii. - Zpětný DNS (PTR)
Zpětný DNS je identifikační průkaz serveru, který odesílá e-maily vaší firmy. Když poskytovatel přijímající pošty — jako Gmail nebo Microsoft 365 — vyhledá, kdo je za odesílající adresou, a dostane jméno, které odpovídá, vaše pošta vypadá legitimně. Když neexistuje žádný průkaz — nebo jméno a číslo si neodpovídají — vaše jinak skutečné faktury a nabídky jsou považovány za podezřelé a tiše odhozeny nebo odmítnuty.