Defaults.Exposed › Parandused › HTTPS ja turvaline ümbersuunamine

Kuidas parandada HTTPS ja turvaline ümbersuunamine

HTTPS on brauseririba tabalukk — see krüpteerib kõik, mis liigub teie veebisaidi ja klientide vahel, nii et seda ei saa teel lugeda ega rikkuda. Turvaline ümbersuunamine tagab, et külastajad maanduvad sellele krüpteeritud versioonile automaatselt, isegi kui nad kirjutavad teie aadressi ilma 'https://'-ita. Koos on need ainus kõige põhilisem asi, mida veebisait vajab, et üldse turvaliseks pidada.

Põhijareldus sinu ettevõttele: Ilma HTTPS-ita ületab iga parool, kaardisumma ja kliendi saadetud sõnum internetti loetava tekstina ning Chrome, Edge, Safari ja Firefox märgivad teie saidi 'Pole turvaline' igale külastajale enne, kui nad ühtegi sõna loevad. Ilma ümbersuunamiseta jätavad isegi sertifikaadiga saidid esimese külastuse kaitseta. Mõlemad maksavad teile usaldust, müüki ja otsingukohti — ning mõlemad on tasuta parandada minutitega.

Mida see sulle maksab

• Uus külastaja näeb kohe suri peale 'Pole turvaline' hoiatust. Enamik eeldab, et sait on võlts, katki või ebaturvaline ja lahkub konkurendi juurde — ning te ei tea kunagi, et müük läks kaduma.
• Klient sisestab oma kaardisummad või logib sisse kohviku, hotelli või lennujaama krüpteerimata ühenduse kaudu. Keegi samas WiFis loeb seda lihttekstina ning järgnevad petturlikud maksed pannakse teie süüks.
• Suurema kliendi hanke- või turvaülevaatus teeb kiire skannimise enne allkirjastamist, ei leia HTTPS-i ega puuduva turvalise ümbersuunamise, ja parkib lepingu kuni saate tõestada, et see on parandatud.
• Google asetab teid madalamale kui HTTPS-i teenindavad konkurendid, nii et kaotate vaikselt otsinguvoogu aastaid ilma seda lüngaga seostamata.
• Regulaator või teie makseteenuse pakkuja käsitleb isiklike või kaardisummade krüpteerimata saatmist teavitatava tõrkena, muutes viie minuti tasuta paranduse vastavusprobleemiks.

Miks see on oluline. HTTPS on veebiturvalisuse alus, mitte lagi — see on see, mis paneb tabaluku ilmuma ja mis takistab kõike, mida teie kliendid saadavad, lugeda või muuta teel. Turvaline ümbersuunamine sulgeb lünga, mille sertifikaat üksi jätab avatuks: inimesed kirjutavad peaaegu kunagi 'https://', nii et ilma ümbersuunamiseta läheb nende esimene päring kaitsmata enne, kui turvaline versioon kunagi laadib. Saidil, millel puudub kumbki, näib külastajaile ebaturvaline, selle otsingukoht on madalam ning see avab tegelikud kliendiandmed — mistõttu on see kõige suurema kaaluga üksik tõrge, mida me hindame.

Mis see on lihtsas keeles

HTTPS on teie veebisaidi turvaline, krüpteeritud versioon — see, mis näitab aadressiribal tabalukku. Kui külastaja on HTTPS-il, krüpteeritakse kõik, mis liigub nende brauseri ja teie saidi vahel (lehed, mida nad näevad, vormid, mida nad täidavad, nende paroolid, nende kaardisummad), nii et keegi keskel ei saa seda lugeda ega muuta. Lihtne versioon HTTP saadab kõik selle loetava tekstina, mida igaüks samas võrgus saab pealt kuulata.

Selle õigeks tegemiseks on kaks osa ning me kontrollime mõlemat:

• Kas HTTPS on üldse saadaval? Kas teie saidil on töötav turvakiri nii, et turvaline, lukustatud versioon eksisteerib? See on tõsisem kahe — ilma selleta pole üldse krüpteerimist.
• Kas teie sait suunab külastajad sinna? Peaaegu keegi ei kirjuta “https://” käsitsi. Kui keegi kirjutab lihtsalt teie domeeni nime, proovib nende brauser esmalt lihtsat HTTP versiooni. Turvaline ümbersuunamine suunab selle päringu automaatselt krüpteeritud versiooni. Ilma selleta pole esimesed hetked igast külastusest kaitstud, isegi kui teil on sertifikaat.

Soovite mõlemat. Sertifikaat ilma ümbersuunamiseta on lukustatud uks, millest külastajad lihtsalt mööduvad.

Äristakised

See on kõige põhilisem signaal selle kohta, kas veebisait on turvaline — ning mis on oluline, on see, mida teie kliendid saavad ise näha. Iga kaasaegne brauser (Chrome, Edge, Safari, Firefox) märgib HTTPS-ita saidi “Pole turvaline” aadressiribal ning näitab hoiatust, kui keegi proovib vormi täita. Teie külastajad ei pea teadma, mis sertifikaat on, et reageerida sellele sõnale.

Nähtavast hoiatusest kaugemal mõjutab see kolme asja, millest omanikud otse hoolivad: usaldus (inimesed loobuvad ebaturbalisena näivatest saitidest), otsingupositsioon (Google on aastaid kasutanud HTTPS-i positsioonisignaalina ning eelistab turvalist saiti) ja reaalne kokkupuude (lihtsa HTTP kaudu saadetud andmed saab tõepoolest teised samas võrgus lugeda). See on ka asi, mida suurema kliendi turvaülevaatus kontrollib sekunditega nõuetekontrolli ajal — ja selle puudumine võib peatada tehingu.

Mida see võib teile maksma minna

• Vaikne põrge. Potentsiaalne klient klõpsab otsingutulemusel või reklaamil ning leht laadib halli “Pole turvaline” märgistusega — või mis hullem, täisekraani hoiatusega. Nad ei saada teile kirja, et küsida, miks; nad sulgevad lehe ja klõpsavad järgmisel tulemusel. Maksate selle külastuse eest ja kaotate selle enne, kui nad sõnagi lugesid, ning teie analüütika ei ütle teile, miks.
• Pealt kuulatud sisselogimine või makse. Klient logib sisse või teostab ostu hotelli või kohviku WiFis kasutades. Kuna ühendus pole krüpteeritud, salvestab keegi lähedal nende parooli või kaardisumma lihttekstis. Järgnev pettus pannakse teie rikkumisena kirja ning teie olete see, kes vastab vihastele kõnedele ja tagasiarvete nõuetele.
• Tehing, mis peatub. Suurem potentsiaalne klient on valmis allkirjastama, kuid nende hankeprojekt sisaldab kiiret teie veebisaidi turbekontrolli. See näitab puuduvat HTTPS-i või puuduvat turvalist ümbersuunamist. Äkki seletate põhilist turvalüngat sulgemise asemel — ning leping ootab või läheb vaikselt konkurendile, kes läbis kontrolli.
• Aeglane positsioonileke. Kaks ettevõtet pakuvad sama asja; üks teenindab turvalist HTTPS-i ja teine mitte. Otsingumootored lükkavad turvalist kõrgemale. Kuude jooksul kaotate pideva tasuta liikluse niru ning te ei seosta seda kunagi selle ühe seadistusega.
• Süstitud sisu, mida te kunagi ei kirjutanud. Krüpteerimata ühenduse puhul saab keegi keskel — häbiväärne avalik võrk, ohustatud ruuter — sisestada teie lehtedesse võltshüpikaknaid, pettuste pakkumisi või pahavara, kui külastaja neid laadib. Selle külastaja jaoks näib see, nagu teie sait tegi seda.

Mis see tegelikult on

Kui brauser loob veebisaidiga HTTPS kaudu ühenduse, toimub kaks asja. Esiteks esitab sait sertifikaadi — mandaadi, mille tunnustatud asutus on väljastanud, tõendades, et sait on see, kes väidab olevat. Teiseks lepivad brauser ja server kokku krüpteerimisvõtmes ja kasutavad seda kõige krüpteerimiseks. Meie esimene kontroll, HTTPS saadaval, küsib lihtsalt: kas saame luua turvalise TLS-ühenduse teie saidiga standardsel turvasel pordil (443) ja saada tagasi kehtiva sertifikaadi? Kui jah, saab tabalukk ilmuda ja krüpteerimine on sees. Kui ei, siis pole teie saidil üldse turvalist versiooni — ning see on ainus kõige raskema tõrge, mida me hindame.

Teine kontroll, turvaline ümbersuunamine, katab lünga, mille sertifikaat üksi jätab avatuks. Inimesed kirjutavad “teieettevõte.com”, mitte “https://teieettevõte.com”. See aluspäring läheb kõigepealt lihta HTTP versioonile. Ümbersuunamine on üherealised juhised, mis ütlevad “saatke kõik, kes saabuvad turvamata versioonile, otse turvalise juurde.” Meie kontroll küsib: kui me pärime teie lihtsa HTTP aadressi, kas teie sait suunab meid HTTPS-i? Kui jah, lõpetavad kõik külastajad kaitstuna olenemata sellest, kuidas nad teie aadressi kirjutasid. Kui ei, kannab see esimene kaitsmata hüpe kõike, mida brauser saadab — küpsised, vormisisestused — lihttekstina.

Milline näeb välja “hea” tulemus: kehtiv, usaldusväärne sertifikaat, nii et tabalukk ilmub igal lehel, ja iga HTTP-päring suunatakse automaatselt HTTPS-i versiooni (ideaaljuhul püsiva “301” ümbersuunamisega, mis edastab ka teie otsingukohti puhtalt turvalise aadressile).

Kuidas seda parandada (tasuta, ~15 minutit)

Andke see jaotis oma IT-inimesele või hostiteenuse pakkuja toele — parandus on tasuta. Mõlemad osad ei maksa midagi: usaldusväärised sertifikaadid on tasuta ja uuendavad ennast, ning ümbersuunamise sisselülitamine on enamikul platvormidel üks seadistus. Selle läbimiseks pole vaja ostetavat toodet.

Kaks asja, mida sisse lülitada. Enamikul kaasaegsetel hostiteenustel muudab esimese tegemine teise sageli ühe klõpsuliseks lülitiks.

1. Hankige sertifikaat, et HTTPS töötaks (tabalukk).

• Cloudflare: kui teie sait on Cloudflare taga, hallatakse SSL-i teie eest. Seadke SSL/TLS režiimiks “Täielik” (või “Täielik (range)”, kui teie algserveril on ka sertifikaat).
• Saidiehitajad ja hallatavad hostiteenused (Squarespace, Wix, Shopify, Webflow, GoDaddy saidiehitaja, enamik Microsoft 365/Google Workspace veebihostimist): HTTPS pakutakse automaatselt; lihtsalt veenduge, et see on teie saidi/domeeni seadetes lubatud — tavaliselt pole midagi installida.
• cPanel hostimine: avage SSL/TLS olek ja käivitage AutoSSL, mis väljastab tasuta Let’s Encrypt sertifikaadi.
• Teie enda server (VPS): installige Let’s Encrypt koos Certbot’iga — sudo certbot --nginx -d teiedomeen.com (või --apache). See hangib ja installib tasuta sertifikaadi ning seadistab automaatse uuendamise.
• Kõik muu: võtke ühendust oma hostiteenuse pakkuja toega ja paluge neil “lubada teie domeeni tasuta SSL-sertifikaat”. Peaaegu kõik pakuvad seda tasuta.

2. Suunake iga külastaja HTTPS-i (ümbersuunamine).

• Cloudflare: SSL/TLS → Servasertifikaadid → lülitage sisse “Kasuta alati HTTPS-i”. See on kogu töö.
• Saidiehitajad (Squarespace, Wix, Shopify jne): otsige “Sundige HTTPS” või “Turvaline (HTTPS)” lülitit oma saidi seadetes ja lülitage see sisse.
• Nginx: lisage serveriblokk pordil 80, mis tagastab püsiva ümbersuunamise — return 301 https://$host$request_uri;.
• Apache (.htaccess): lubage ümberkirjutamine ja suunake kõik mitte-HTTPS-päringud ümber — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windowsi hostimine): installige URL Rewrite moodul ja lisage “HTTP-st HTTPS-i” ümbersuunamise reegel.

Pärast mõlema sisselülitamist testige seda: kirjutage oma aadress lihtsa http://-ga ees ja kinnitage, et brauser hüppab automaatselt lukustatud https:// versiooni ning tabalukk ilmub teie põhilehtedel.

Levinud vead

• Sertifikaat installitud, kuid ümbersuunamine puudub. Kõige levinum lünk. Näete tabalukku, kui külastate oma saiti ise (sest teie brauser meenutas HTTPS-i), nii et eeldate, et see on tehtud — kuid uued külastajad, kes kirjutavad alus domeeni, maanduvad ikkagi esmalt HTTP-le. Testige alati lihtsat http:// versiooni selgesõnaliselt.
• Segasisu. Teie leht laadib HTTPS-i kaudu, kuid tõmbab sisse pildi, skripti või fondi vanast http:// aadressist. Brauserid kas blokeerivad selle või alandavad tabaluku hoiatuseks. Värskendage neid viiteid https://-le (või suhtelistele linkidele). Enamikul platvormidel on “segasisu” või “ebaturvaline sisu” aruanne, mis need leiab.
• Ajutine (302) ümbersuunamine püsiva (301) asemel. 302 töötab külastajatele, kuid ütleb otsimootoritele, et kolimine on ajutine, nii et positsiooniväärtus ei liigu puhtalt teie turvalisse aadressi. Kasutage püsivat 301.
• Ainult alus domeeni ümbersuunamine, mitte “www” (või vastupidi). Veenduge, et nii teiedomeen.com kui ka www.teiedomeen.com lõpevad HTTPS-is, vastasel juhul on üks tee ikka avatud.
• Sertifikaadi aegumine. Aegunud sertifikaat annab täisekraani brauservea, mis peatab külastajad. Tasuta Let’s Encrypt sertifikaadid uuendavad automaatselt; kui ostsite käsitsi, seadke kalendrimeeldetuletus aegumise eel.

KKK

Vt ülalpool olevaid küsimusi — need katavad mittetehnilist “kas saan ise seda teha”, erinevust tabaluku ja ümbersuunamise vahel, sertifikaadi kulu ja uuendamist, kas brošüürisaidid vajavad seda, ning kuidas see suhestub HSTS-iga.

KKK