Defaults.Exposed › Javítások › HTTPS és biztonságos átirányítás

Hogyan javítsd ki: HTTPS és biztonságos átirányítás

A HTTPS a böngésző lakat ikonja – titkosít mindent, ami az weboldal és az ügyfelek között utazik, hogy átvitel közben ne lehessen olvasni vagy módosítani. A biztonságos átirányítás gondoskodik arról, hogy a látogatók automatikusan erre a titkosított verzióra kerüljenek, akkor is, ha 'https://' nélkül gépelnek be. Együtt ez az egyetlen legelemibb dolog, amelyre egy webhelynek szüksége van ahhoz, hogy egyáltalán biztonságosnak minősüljön.

Az üzleted szempontjából lényeg: HTTPS nélkül minden jelszó, kártyaszám és üzenet, amelyet egy ügyfél elküld, olvasható szövegként utazik az interneten, és a Chrome, Edge, Safari és Firefox minden látogató számára 'Nem biztonságos' feliratot jelenít meg, mielőtt egyetlen sort elolvastak volna. Átirányítás nélkül még a tanúsítvánnyal rendelkező oldalak is az első látogatást fedezetlenül hagyják. Mindkettő bizalmat, értékesítést és keresési helyezést kerül – és mindkettő ingyenesen, perceken belül javítható.

Mibe kerülhet ez neked

• Egy első alkalommal látogató nagy 'Nem biztonságos' figyelmeztetést lát, amint az oldal betölt. A legtöbb feltételezi, hogy az oldal hamis, törött vagy nem biztonságos, és elmegy egy versenytárshoz – és te soha nem tudod meg, hogy az értékesítés elveszett.
• Egy ügyfél titkosítatlan kapcsolaton keresztül adja meg a kártyaadatait vagy belép egy kávézóban, szállodában vagy repülőtéren. Valaki ugyanazon a Wi-Fi-n olvassa el sima szövegként, és az azt követő csalárd terhek rád rakódnak.
• Egy nagyobb ügyfél beszerzési vagy biztonsági csapata gyors vizsgálatot végez az aláírás előtt, nem lát HTTPS-t vagy hiányzó biztonságos átirányítást, és parkolja a szerződést, amíg nem tudod bizonyítani, hogy javítottál.
• A Google a biztonságos HTTPS-t kiszolgáló versenytársak alá sorol, ezért csendben éveken át veszítesz keresési forgalmat anélkül, hogy valaha is összekötnéd ezt a hiányossággal.
• Egy szabályozó vagy a fizetési szolgáltatód személyes vagy kártyás adatok titkosítatlan küldését bejelentendő kudarcként kezeli, egy ötperces ingyenes javítást megfelelési problémává alakítva.

Miért fontos. A HTTPS az internetes biztonság padlója, nem a mennyezete – ez az, ami megmutatja a lakatot és ami megakadályozza, hogy az ügyfelek által küldött minden dolog az úton elolvasható vagy megváltoztatható legyen. A biztonságos átirányítás bezárja azt a rést, amelyet egy tanúsítvány önmagában nyitva hagy: az emberek szinte soha nem gépelnek 'https://'-t, tehát átirányítás nélkül az első kérésük védetlenül utazik, mielőtt a biztonságos verzió egyáltalán betöltene. Egy oldal, amely ezek bármelyikét nélkülözi, nem biztonságosnak tűnik a látogatók számára, alacsonyabban helyezkedik el a keresőkben, és valódi ügyféladatokat tesz ki – ezért ez a legsúlyosabban pontozott egyszeri hiba, amelyet pontozunk.

Mi ez egyszerű szavakkal

A HTTPS a webhelyed biztonságos, titkosított verziója – az, amelyik lakatot mutat a böngésző-sávban. Amikor egy látogató HTTPS-en van, minden, ami áthalad a böngészőjük és az oldal között (az oldalak, amelyeket látnak, az űrlapok, amelyeket kitöltenek, jelszavaik, kártyaadataik), úgy van titkosítva, hogy közben senki nem tudja olvasni vagy megváltoztatni. A sima verzió, a HTTP, mindezt olvasható szövegként küldi, amelyet bárki ugyanazon a hálózaton el tud fogni.

Két rész szükséges ehhez, és mindkettőt ellenőrizzük:

• Egyáltalán elérhető-e a HTTPS? Van-e a webhelynek működő biztonsági tanúsítványa, amellyel a biztonságos, lakatos verzió létezik? Ez a kettő komolyabbika – enélkül nincs titkosítás.
• Az oldal rákényszeríti a látogatókat? Szinte senki sem gépel ‘https://‘-t kézzel. Ha valaki csak a domainnevedet gépeli, a böngészőjük először a sima HTTP verziót próbálja. Egy biztonságos átirányítás automatikusan a titkosított verzióra viszi ezt a kérést. Enélkül az első pillanatok minden látogatásnál védetlenek, még akkor is, ha van tanúsítványod.

Mindkettőt akarod. Egy tanúsítvány átirányítás nélkül egy bezárt bejárati ajtó, amelyet a látogatók egyszerűen megkerülhetnek.

Az üzleti tét

Ez a legalapvetőbb jele annak, hogy egy weboldal biztonságos-e – és ami döntő, ez az, amelyet az ügyfeleid maguk is látnak. Minden modern böngésző (Chrome, Edge, Safari, Firefox) HTTPS nélküli oldalt ‘Nem biztonságos’ felirattal jelöl meg egyenesen a böngésző-sávban, és figyelmeztetést mutat, ha valaki megpróbál beírni egy űrlapba. A látogatóknak nem kell tudniuk, mi az a tanúsítvány, ahhoz, hogy reagáljanak erre a szóra.

A látható figyelmeztetésen túl ez három dolgot érint, amelyekért az üzemeltetők közvetlenül törődnek: bizalom (az emberek elhagyják azokat az oldalakat, amelyek nem biztonságosnak tűnnek), keresési helyezés (a Google évek óta HTTPS-t használ rangsorolási jelként, és a biztonságos oldalakat részesíti előnyben), és valódi kitettség (a sima HTTP-n küldött adatokat tényleg mások is olvashatják ugyanazon a hálózaton).

Mibe kerülhet ez neked

• A csendes visszapattanás. Egy potenciális ügyfél átkattint egy keresési eredményből vagy egy hirdetésből, és az oldal betölt egy szürke ‘Nem biztonságos’ jelvénnyel – vagy ami rosszabb, egy teljes képernyős figyelmeztetéssel. Nem e-maileznek, hogy megkérdezzék, miért; egyszerűen bezárják a fület, és a következő találatra kattintanak. Fizettél azért a látogatásért, és elvesztetted, mielőtt egyetlen szót olvastak volna, és semmi az analitikáidban nem mondja el, miért.
• Egy elfogott bejelentkezés vagy fizetés. Egy ügyfél bejelentkezik vagy kifizet, miközben egy szállodai vagy kávézói megosztott Wi-Fi-n van. Mivel a kapcsolat nincs titkosítva, valaki a közelben sima szövegként fogja el a jelszavát vagy kártyaszámát. A következő csalás a te feltörésedként kerül bejelentésre, és te fogadod a dühös telefonokat és a terhelésvisszavonásokat.
• Az elakadt üzlet. Egy nagyobb érdeklődő készen áll az aláírásra, de a beszerzési folyamatuk tartalmaz egy gyors biztonsági ellenőrzést a webhelyedről. Ez visszajön és megjelöli a nem HTTPS-t, vagy a hiányzó biztonságos átirányítást. Hirtelen egy alapvető biztonsági hézagot magyarázol az aláírás helyett – és a szerződés vár, vagy csendben egy olyan versenytárshoz megy, aki átment az ellenőrzésen.
• A lassú helyezési csökkenés. Két vállalkozás ugyanazt kínálja; az egyik biztonságos HTTPS-t kiszolgálja, a másik nem. A keresőmotorok a biztonságosat magasabbra tolják. Hónapok alatt elveszítesz egy folyamatos szivárgást az ingyenes forgalomból, és soha nem köted össze ezt az egy beállítással.
• Befecskendezett tartalom, amelyet soha nem írtál. Titkosítatlan kapcsolaton bárki a közepén – egy rossz nyilvános hálózat, egy kompromittált router – hamis felugró ablakokat, átverős ajánlatokat vagy kártevőt fecskendezhet az oldalaidba, ahogy egy látogató betölti azokat. Az adott látogató számára úgy tűnik, mintha a te oldalad tette ezt.

Mi is ez pontosan

Amikor egy böngésző HTTPS-en csatlakozik egy webhelyhez, két dolog történik. Először az oldal bemutat egy tanúsítványt – megbízható hatóság által kiadott hitelesítő, amely bizonyítja, hogy az oldal az, akinek mondja magát. Másodszor, a böngésző és a szerver megállapodnak egy titkosítási kulcsban, és azzal titkosítanak mindent, amit cserélnek. Az első ellenőrzésünk, a HTTPS elérhető, egyszerűen megkérdezi: tudunk-e biztonságos TLS-kapcsolatot létesíteni a webhelyeddel a standard biztonságos porton (443), és vissza tudunk-e kapni érvényes tanúsítványt? Ha igen, a lakat megjelenhet, és a titkosítás be van kapcsolva. Ha nem, nincs biztonságos verzió az oldaladból – és ez az egyetlen legsúlyosabb hiba, amelyet pontozunk.

A második ellenőrzés, a biztonságos átirányítás, lefedi azt a rést, amelyet a tanúsítvány önmagában nyitva hagy. Az emberek ‘yourbusiness.com’-t gépelnek, nem ‘https://yourbusiness.com’-t. Ez az üres kérés először a sima HTTP-verzióra megy. Egy átirányítás egy egysoros utasítás, amely azt mondja: „Küldd a titkosítatlan verzióra érkezőket egyből a biztonságos verzióra.” Az ellenőrzésünk megkérdezi: amikor a sima HTTP-címedet kérjük, az oldal visszaküld-e minket a HTTPS-re? Ha igen, minden látogató végül védett lesz, függetlenül attól, hogyan gépelte a címedet.

Mit jelent a „jó” beállítás: érvényes, megbízott tanúsítvány, hogy a lakat megjelenjen minden oldalon, és minden sima HTTP-kérés automatikusan a HTTPS-verzióra irányítódjon (ideálisan egy állandó „301”-es átirányítással, amely a keresési helyezést is tisztán a biztonságos címre adja át).

Hogyan javítsd ki (ingyenes, ~15 perc)

Add át ezt a részt az IT-személyednek vagy a tárhely ügyfélszolgálatának – a javítás ingyenes. Ennek mindkét része semmibe sem kerül: a megbízott tanúsítványok ingyenesek, és az átirányítás bekapcsolása egyetlen beállítás a legtöbb platformon. Ehhez nincs szükség fizetős termékre.

Két dolgot kell bekapcsolni. A legtöbb modern tárhelyen az első elvégzése az átirányítást is egygombos kapcsolóvá teszi.

1. Szerezz tanúsítványt, hogy a HTTPS működjön (a lakat).

• Cloudflare: ha az oldalad Cloudflare mögé esik, az SSL-t kezeled. Állítsd az SSL/TLS módot „Full”-ra (vagy „Full (strict)”-re, ha az eredeti szervernek is van tanúsítványa).
• Weboldal-építők és kezelt tárhely (Squarespace, Wix, Shopify, Webflow, GoDaddy): a HTTPS automatikusan biztosított; csak ügyelj, hogy engedélyezve legyen az oldal/domain beállításaiban.
• cPanel tárhely: nyisd meg az SSL/TLS Status-t, és futtasd az AutoSSL-t, amely ingyenes Let’s Encrypt tanúsítványt bocsát ki.
• Saját szerver (VPS): telepítsd a Let’s Encryptet a Certbottal – sudo certbot --nginx -d yourdomain.com (vagy --apache). Automatikusan hozza és telepíti az ingyenes tanúsítványt és beállítja az automatikus megújítást.
• Bármi más: lépj kapcsolatba a tárhely ügyfélszolgálatával, és kérd, hogy ‘engedélyezzenek egy ingyenes SSL-tanúsítványt a domainedemhez’. Szinte mindegyik kínálja ezt ingyenesen.

2. Kényszerítsd minden látogatót HTTPS-re (az átirányítás).

• Cloudflare: SSL/TLS → Edge Certificates → kapcsold be az „Always Use HTTPS” opciót. Ez az egész munka.
• Weboldal-építők (Squarespace, Wix, Shopify stb.): keress egy „Force HTTPS” vagy „Secure (HTTPS)” kapcsolót az oldal beállításaiban.
• Nginx: adj hozzá egy szerver-blokkot a 80-as porton, amely állandó átirányítást ad vissza – return 301 https://$host$request_uri;.
• Apache (.htaccess): engedélyezd az újraírást és irányítsd át a nem HTTPS-kéréseket – RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows tárhely): telepítsd az URL Rewrite modult, és adj hozzá egy „HTTP to HTTPS” átirányítási szabályt.

Mindkettő bekapcsolása után teszteld: gépelj sima http://-vel az oldal elé, és erősítsd meg, hogy a böngésző automatikusan a lakatot mutató https:// verzióra ugrik.

Általános hibák

• Tanúsítvány telepítve, de nincs átirányítás. A leggyakoribb rés. Lakatot látsz, amikor meglátogatod a saját oldalad (mert a böngésződ emlékezett a HTTPS-re), tehát feltételezed, hogy kész – de az új látogatók, akik a csupasz domaint gépelnek, még mindig HTTP-n landolnak először. Mindig explicit módon teszteld a sima http:// verziót.
• Vegyes tartalom. Az oldalad HTTPS-en tölt, de egy képet, szkriptet vagy betűtípust tölt le egy régi http:// címről. A böngészők vagy blokkolják, vagy a lakatot figyelmeztetésre süllyesztik. Frissítsd ezeket a hivatkozásokat https://-re (vagy relatív hivatkozásokra). A legtöbb platformon van egy „vegyes tartalom” vagy „nem biztonságos tartalom” jelentés, amely megtalálja őket.
• Ideiglenes (302) átirányítás állandó (301) helyett. A 302 látogatók számára működik, de azt mondja a keresőmotoroknak, hogy az áthelyezés ideiglenes, tehát a helyezési érték nem kerül tisztán a biztonságos címedre. Használj állandó 301-est.
• Csak a csupasz domainre irányítani, a ‘www’-re nem (vagy fordítva). Ügyelj arra, hogy mind a yourdomain.com, mind a www.yourdomain.com a HTTPS-re kerüljön, különben az egyik útvonal még mindig ki van téve.
• Tanúsítvány lejárat. Egy lejárt tanúsítvány teljes képernyős böngészőhibát dob fel, amely megállítja a látogatókat. Az ingyenes Let’s Encrypt tanúsítványok automatikusan megújulnak; ha manuálisan vásárolt, állíts be naptári emlékeztetőt jóval a lejárat előtt.

GYIK