Defaults.Exposed › Διορθώσεις › HTTPS και αναγκαστική ασφαλής ανακατεύθυνση

Πώς να διορθώσετε HTTPS και αναγκαστική ασφαλής ανακατεύθυνση

Το HTTPS είναι το λουκέτο στη γραμμή διεύθυνσης του προγράμματος περιήγησης — κρυπτογραφεί όλα όσα ταξιδεύουν μεταξύ ιστότοπου και πελατών ώστε να μην μπορούν να διαβαστούν ή παραβιαστούν κατά τη μεταφορά. Η αναγκαστική ασφαλής ανακατεύθυνση διασφαλίζει ότι οι επισκέπτες καταλήγουν αυτόματα σε αυτή την κρυπτογραφημένη έκδοση, ακόμα και όταν πληκτρολογούν τη διεύθυνσή σας χωρίς 'https://'. Μαζί αποτελούν το πιο βασικό πράγμα που χρειάζεται ένας ιστότοπος για να θεωρείται ασφαλής.

Ουσία για την επιχείρησή σας: Χωρίς HTTPS, κάθε κωδικός, αριθμός κάρτας και μήνυμα που στέλνει ένας πελάτης διασχίζει το internet ως αναγνώσιμο κείμενο, και Chrome, Edge, Safari και Firefox σφραγίζουν τον ιστότοπό σας 'Not secure' για κάθε επισκέπτη πριν διαβάσει έστω μια λέξη. Χωρίς ανακατεύθυνση, ακόμα και ιστότοποι που έχουν πιστοποιητικό αφήνουν την πρώτη επίσκεψη απροστάτευτη. Και τα δύο σας κοστίζουν εμπιστοσύνη, πωλήσεις και κατάταξη αναζήτησης — και και τα δύο είναι δωρεάν να διορθωθούν σε λεπτά.

Τι μπορεί να σας κοστίσει αυτό

• Ένας πρώτος επισκέπτης βλέπει μεγάλη προειδοποίηση 'Not secure' τη στιγμή που φορτώνει η σελίδα σας. Οι περισσότεροι υποθέτουν ότι ο ιστότοπος είναι ψεύτικος, κατεστραμμένος ή μη ασφαλής και φεύγουν σε ανταγωνιστή — και δεν γνωρίζετε ποτέ ότι η πώληση χάθηκε.
• Ένας πελάτης εισάγει τα στοιχεία κάρτας ή συνδέεται μέσω μη κρυπτογραφημένης σύνδεσης από καφέ, ξενοδοχείο ή αεροδρόμιο. Κάποιος στο ίδιο WiFi τα διαβάζει ως απλό κείμενο, και οι δόλιες χρεώσεις που ακολουθούν αποδίδονται σε εσάς.
• Η ομάδα προμηθειών ή ασφαλείας ενός μεγαλύτερου πελάτη εκτελεί γρήγορη σάρωση πριν υπογράψει, βλέπει χωρίς HTTPS ή ελλείπουσα αναγκαστική ασφαλής ανακατεύθυνση, και παρκάρει τη σύμβαση μέχρι να αποδείξετε ότι έχει διορθωθεί.
• Η Google σας κατατάσσει χαμηλότερα από ανταγωνιστές που σερβίρουν HTTPS, οπότε χάνετε αθόρυβα κίνηση αναζήτησης για χρόνια χωρίς ποτέ να το συνδέσετε με αυτό το κενό.
• Ένας ρυθμιστής ή πάροχος πληρωμών θεωρεί την αποστολή προσωπικών ή δεδομένων κάρτας μη κρυπτογραφημένα ως αναφερτέα αποτυχία, μετατρέποντας μια πενταλέπτης δωρεάν διόρθωση σε πρόβλημα συμμόρφωσης.

Γιατί έχει σημασία. Το HTTPS είναι το πάτωμα, όχι η οροφή, της ασφάλειας web — αυτό που κάνει το λουκέτο να εμφανίζεται και αυτό που εμποδίζει όλα όσα στέλνουν οι πελάτες σας από το να διαβάζονται ή να αλλάζονται στη διαδρομή. Η αναγκαστική ασφαλής ανακατεύθυνση κλείνει το κενό που αφήνει ανοιχτό ένα πιστοποιητικό από μόνο του: οι άνθρωποι σχεδόν ποτέ δεν πληκτρολογούν 'https://', οπότε χωρίς ανακατεύθυνση το πρώτο τους αίτημα ταξιδεύει απροστάτευτο πριν φορτώσει ποτέ η ασφαλής έκδοση. Ιστότοπος που λείπει κάποιο από αυτά φαίνεται μη ασφαλής στους επισκέπτες, κατατάσσεται χαμηλότερα στην αναζήτηση, και εκθέτει πραγματικά δεδομένα πελατών — γι' αυτό αυτό είναι η βαρύτερης βαρύτητας μεμονωμένη αποτυχία που βαθμολογούμε.

Τι είναι αυτό, σε απλά λόγια

Το HTTPS είναι η ασφαλής, κρυπτογραφημένη έκδοση του ιστότοπού σας — αυτή που εμφανίζει λουκέτο στη γραμμή διεύθυνσης. Όταν ένας επισκέπτης βρίσκεται σε HTTPS, οτιδήποτε περνάει μεταξύ του προγράμματος περιήγησής του και του ιστότοπού σας (οι σελίδες που βλέπουν, οι φόρμες που συμπληρώνουν, οι κωδικοί τους, τα στοιχεία κάρτας τους) είναι κρυπτογραφημένο ώστε κανείς στη μέση να μην μπορεί να το διαβάσει ή να το αλλάξει. Η απλή έκδοση, HTTP, στέλνει όλα αυτά ως αναγνώσιμο κείμενο που μπορεί να παρακολουθεί οποιοσδήποτε στο ίδιο δίκτυο.

Υπάρχουν δύο μέρη για να γίνει αυτό σωστά, και ελέγχουμε και τα δύο:

• Είναι διαθέσιμο το HTTPS καθόλου; Έχει ο ιστότοπός σας πιστοποιητικό ασφαλείας ώστε να υπάρχει η ασφαλής, κλειδωμένη έκδοση; Αυτό είναι το πιο σοβαρό από τα δύο — χωρίς αυτό δεν υπάρχει καμία κρυπτογράφηση.
• Αναγκάζει ο ιστότοπός σας τους επισκέπτες σε αυτήν; Σχεδόν κανείς δεν πληκτρολογεί “https://” χειροκίνητα. Αν κάποιος πληκτρολογήσει απλώς τη διεύθυνση του domain σας, το πρόγραμμα περιήγησης δοκιμάζει πρώτα την απλή HTTP έκδοση. Μια αναγκαστική ασφαλής ανακατεύθυνση αναπηδά αυτόματα αυτό το αίτημα στην κρυπτογραφημένη έκδοση. Χωρίς αυτήν, τα πρώτα στιγμές κάθε επίσκεψης είναι απροστάτευτα ακόμα και όταν έχετε πιστοποιητικό.

Θέλετε και τα δύο. Πιστοποιητικό χωρίς ανακατεύθυνση είναι κλειδωμένη μπροστινή πόρτα που οι επισκέπτες μπορούν απλώς να περιτριγυρίσουν.

Τα επαγγελματικά διακυβεύματα

Αυτό είναι το πιο βασικό σήμα για το αν ένας ιστότοπος είναι ασφαλής — και κρίσιμα, είναι ένα που μπορούν να δουν μόνοι τους οι πελάτες σας. Κάθε σύγχρονο πρόγραμμα περιήγησης (Chrome, Edge, Safari, Firefox) επισημαίνει ιστότοπο χωρίς HTTPS ως «Not secure» ακριβώς στη γραμμή διεύθυνσης, και εμφανίζει προειδοποίηση αν κάποιος προσπαθήσει να πληκτρολογήσει σε φόρμα. Οι επισκέπτες σας δεν χρειάζεται να γνωρίζουν τι είναι πιστοποιητικό για να αντιδράσουν σε αυτή τη λέξη.

Πέρα από την ορατή προειδοποίηση, αυτό επηρεάζει τρία πράγματα που ενδιαφέρουν άμεσα τους ιδιοκτήτες: εμπιστοσύνη (οι άνθρωποι εγκαταλείπουν ιστότοπους που φαίνονται μη ασφαλείς), κατάταξη αναζήτησης (η Google χρησιμοποιεί HTTPS ως σήμα κατάταξης για χρόνια), και πραγματική έκθεση (δεδομένα που αποστέλλονται μέσω απλής HTTP μπορούν πραγματικά να διαβαστούν από άλλους στο ίδιο δίκτυο).

Τι μπορεί να σας κοστίσει

• Η αθόρυβη αναπήδηση. Ένας υποψήφιος πελάτης κάνει κλικ από αποτέλεσμα αναζήτησης ή διαφήμιση, και η σελίδα φορτώνει με γκρι ‘Not secure’ badge — ή χειρότερα, προειδοποίηση πλήρους οθόνης. Δεν σας στέλνουν email για να ρωτήσουν γιατί· απλώς κλείνουν την καρτέλα και κάνουν κλικ στο επόμενο αποτέλεσμα. Πληρώσατε για αυτή την επίσκεψη και την χάσατε πριν διαβάσουν μια λέξη.
• Παρακολούθηση σύνδεσης ή πληρωμής. Ένας πελάτης συνδέεται ή ολοκληρώνει ταμεία ενώ βρίσκεται σε κοινόχρηστο WiFi ξενοδοχείου ή καφέ. Επειδή η σύνδεση δεν είναι κρυπτογραφημένη, κάποιος κοντινός καταγράφει τον κωδικό ή τον αριθμό κάρτας του ως απλό κείμενο. Η απάτη που ακολουθεί αναφέρεται ως δική σας παραβίαση.
• Η συμφωνία που αργεί. Ένας μεγαλύτερος υποψήφιος είναι έτοιμος να υπογράψει, αλλά η διαδικασία προμηθειών τους περιλαμβάνει γρήγορο έλεγχο ασφαλείας του ιστότοπού σας. Επιστρέφει επισημαίνοντας χωρίς HTTPS, ή ελλείπουσα αναγκαστική ασφαλής ανακατεύθυνση. Ξαφνικά εξηγείτε ένα βασικό κενό ασφαλείας αντί να κλείνετε.
• Η αργόσυρτη απώλεια κατάταξης. Δύο επιχειρήσεις προσφέρουν το ίδιο πράγμα· μία σερβίρει ασφαλές HTTPS και η άλλη όχι. Οι μηχανές αναζήτησης ωθούν την ασφαλή ψηλότερα. Με τους μήνες χάνετε σταθερό ρεύμα δωρεάν κίνησης.
• Εισαχθέν περιεχόμενο που δεν γράψατε ποτέ. Σε μη κρυπτογραφημένη σύνδεση, οποιοσδήποτε στη μέση — ένα ύπουλο δημόσιο δίκτυο, ένα παραβιασμένο router — μπορεί να εισάγει ψεύτικα pop-up, απατηλές προσφορές ή malware στις σελίδες σας καθώς τις φορτώνει επισκέπτης. Σε αυτόν τον επισκέπτη, φαίνεται ότι το έκανε ο ιστότοπός σας.

Τι είναι στην πραγματικότητα

Ο πρώτος έλεγχος, HTTPS διαθέσιμο, απλώς ρωτά: μπορούμε να κάνουμε ασφαλή σύνδεση TLS στον ιστότοπό σας στην τυπική ασφαλή θύρα (443) και να πάρουμε πίσω έγκυρο πιστοποιητικό; Αν ναι, το λουκέτο μπορεί να εμφανιστεί και η κρυπτογράφηση είναι ενεργή. Αν όχι, δεν υπάρχει ασφαλής έκδοση του ιστότοπού σας καθόλου — και αυτή είναι η βαρύτερης βαρύτητας αποτυχία που βαθμολογούμε.

Ο δεύτερος έλεγχος, η αναγκαστική ασφαλής ανακατεύθυνση, καλύπτει ένα κενό που αφήνει ανοιχτό το πιστοποιητικό από μόνο του. Οι άνθρωποι πληκτρολογούν “yourbusiness.com”, όχι “https://yourbusiness.com”. Αυτό το κενό αίτημα πηγαίνει πρώτα στην απλή HTTP έκδοση. Μια ανακατεύθυνση είναι οδηγία μιας γραμμής που λέει «στείλτε οποιονδήποτε φτάσει στην ανασφαλή έκδοση αμέσως στην ασφαλή.»

Πώς μοιάζει το «καλό»: έγκυρο, αξιόπιστο πιστοποιητικό ώστε το λουκέτο να εμφανίζεται σε κάθε σελίδα, και κάθε αίτημα απλής HTTP να ανακατευθύνεται αυτόματα στην HTTPS έκδοση (ιδανικά με μόνιμη «301» ανακατεύθυνση).

Πώς να το διορθώσετε (δωρεάν, ~15 λεπτά)

Δώστε αυτή την ενότητα στο άτομο ΙΤ ή στην υποστήριξη παρόχου φιλοξενίας — η διόρθωση είναι δωρεάν. Δεν χρειάζεται πληρωμένο προϊόν για να περάσετε αυτό.

Υπάρχουν δύο πράγματα για ενεργοποίηση. Στις περισσότερες σύγχρονες φιλοξενίες, το πρώτο συχνά κάνει το δεύτερο εναλλαγή ενός κλικ.

1. Αποκτήστε πιστοποιητικό ώστε το HTTPS να λειτουργεί (το λουκέτο).

• Cloudflare: αν ο ιστότοπός σας βρίσκεται πίσω από Cloudflare, το SSL χειρίζεται για εσάς. Ρυθμίστε τη λειτουργία SSL/TLS σε “Full” (ή “Full (strict)” αν ο πηγαίος διακομιστής σας έχει επίσης πιστοποιητικό).
• Builders ιστότοπων και managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, κ.λπ.): το HTTPS παρέχεται αυτόματα· βεβαιωθείτε απλώς ότι είναι ενεργοποιημένο στις ρυθμίσεις site/domain σας.
• cPanel hosting: ανοίξτε SSL/TLS Status και εκτελέστε AutoSSL.
• Δικός σας διακομιστής (VPS): εγκαταστήστε Let’s Encrypt με Certbot — sudo certbot --nginx -d yourdomain.com (ή --apache).
• Οτιδήποτε άλλο: επικοινωνήστε με την υποστήριξη παρόχου φιλοξενίας και ζητήστε «ενεργοποίηση δωρεάν SSL πιστοποιητικού για το domain μου».

2. Αναγκάστε κάθε επισκέπτη σε HTTPS (η ανακατεύθυνση).

• Cloudflare: SSL/TLS → Edge Certificates → ενεργοποιήστε “Always Use HTTPS.”
• Builders ιστότοπων (Squarespace, Wix, Shopify κ.λπ.): αναζητήστε εναλλαγή “Force HTTPS” ή “Secure (HTTPS)” στις ρυθμίσεις ιστότοπού σας.
• Nginx: προσθέστε server block στη θύρα 80 που επιστρέφει μόνιμη ανακατεύθυνση — return 301 https://$host$request_uri;.
• Apache (.htaccess): ενεργοποιήστε rewriting και ανακατευθύνετε οποιοδήποτε μη HTTPS αίτημα — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): εγκαταστήστε το module URL Rewrite και προσθέστε κανόνα ανακατεύθυνσης “HTTP to HTTPS”.

Αφού και τα δύο είναι ενεργά, δοκιμάστε: πληκτρολογήστε τη διεύθυνσή σας με απλό http:// μπροστά και επιβεβαιώστε ότι το πρόγραμμα περιήγησης μεταπηδά στην κλειδωμένη https:// έκδοση αυτόματα, και ότι το λουκέτο εμφανίζεται στις κύριες σελίδες σας.

Συνηθισμένα λάθη

• Εγκατεστημένο πιστοποιητικό, αλλά χωρίς ανακατεύθυνση. Το πιο κοινό κενό. Βλέπετε λουκέτο όταν επισκέπτεστε τον δικό σας ιστότοπο (επειδή το πρόγραμμα περιήγησής σας θυμήθηκε HTTPS), οπότε υποθέτετε ότι τελείωσε — αλλά νέοι επισκέπτες που πληκτρολογούν το κενό domain εξακολουθούν να καταλήγουν πρώτα σε HTTP. Πάντα δοκιμάστε ρητά την http:// έκδοση.
• Mixed content. Η σελίδα σας φορτώνει μέσω HTTPS αλλά αντλεί εικόνα, script ή γραμματοσειρά από παλιά διεύθυνση http://. Τα προγράμματα περιήγησης είτε αποκλείουν είτε υποβαθμίζουν το λουκέτο σε προειδοποίηση. Ενημερώστε αυτές τις αναφορές σε https:// (ή σε σχετικές συνδέσεις).
• Προσωρινή (302) ανακατεύθυνση αντί μόνιμης (301). Μια 302 λειτουργεί για επισκέπτες αλλά λέει στις μηχανές αναζήτησης ότι η μετακίνηση είναι προσωρινή, οπότε η αξία κατάταξης δεν μεταφέρεται καθαρά. Χρησιμοποιήστε μόνιμη 301.
• Ανακατεύθυνση μόνο του κενού domain, όχι «www» (ή το αντίστροφο). Βεβαιωθείτε ότι τόσο yourdomain.com όσο και www.yourdomain.com καταλήγουν σε HTTPS.
• Αφήνοντας ένα πιστοποιητικό να λήξει. Ένα ληγμένο πιστοποιητικό ρίχνει προειδοποίηση πλήρους οθόνης που σταματά τους επισκέπτες ολοκληρωτικά. Τα δωρεάν πιστοποιητικά Let’s Encrypt ανανεώνονται αυτόματα· αν αγοράσατε ένα χειροκίνητα, ορίστε υπενθύμιση ημερολογίου καλά πριν τη λήξη του.

FAQ

Δείτε τις ερωτήσεις παραπάνω — καλύπτουν το μη τεχνικό «μπορώ να το κάνω μόνος μου», τη διαφορά μεταξύ λουκέτου και αναγκαστικής ανακατεύθυνσης, κόστος και ανανέωση πιστοποιητικού, αν το χρειάζονται οι ιστότοποι brochure, και πώς σχετίζεται αυτό με το HSTS.

Συχνές Ερωτήσεις