Defaults.Exposed › Taisymai › HTTPS ir priverstinis saugus peradresavimas

Kaip ištaisyti HTTPS ir priverstinis saugus peradresavimas

HTTPS yra naršyklės juostoje esanti spyna – ji šifruoja viską, kas keliauja tarp jūsų svetainės ir klientų, kad jo negalima būtų perskaityti ar sulaužyti tranzitu. Priverstinis saugus peradresavimas užtikrina, kad lankytojai automatiškai patektų į tą šifruotą versiją, net kai jie įveda jūsų adresą be 'https://'. Kartu jie yra pats paprasčiausias dalykas, kurio svetainei reikia, kad apskritai būtų laikoma saugia.

Praktinė reikšmė jūsų verslui: Be HTTPS kiekvienas slaptažodis, kortelės numeris ir žinutė, kurią klientas jums siunčia, kerta internetą kaip įskaitomas tekstas, o Chrome, Edge, Safari ir Firefox visam vartotojui prieš skaitant žodį ant jūsų svetainės spausdina 'Nesaugu'. Be peradresavimo net svetainės, turinčios sertifikatą, pirmąjį apsilankymą palieka neapsaugotą. Abu kainuoja jums pasitikėjimą, pardavimus ir paieškos reitingą – ir abu per minutes yra nemokami ištaisyti.

Ką tai gali kainuoti

• Pirmą kartą lankantis vartotojas mato didelį 'Nesaugu' įspėjimą vos tik jūsų puslapis įkraunamas. Dauguma mano, kad svetainė yra netikra, sugedusi ar nesaugi ir išeina pas konkurentą – ir jūs niekada net nesužinote, kad pardavimas buvo prarastas.
• Klientas įveda savo kortelės duomenis ar prisijungia per nešifruotą ryšį iš kavinės, viešbučio ar oro uosto. Kažkas tame pačiame Wi-Fi skaito tai paprastu tekstu, ir sukčiavimo mokesčiai, kurie seka, yra jums kaltinami.
• Didesnio kliento pirkimų ar saugumo komanda greitai nuskaito prieš pasirašydama, pamato, kad nėra HTTPS ar trūksta priverstinio saugaus peradresavimo, ir paskiria sutartį, kol įrodinėjate, kad tai ištaisyta.
• Google rengia jus žemiau konkurentų, kurie tarnauja HTTPS, todėl tyliai prarandate paieškos srautą metų metus niekada to nesusiedami su šia spraga.
• Reglamentavimo institucija ar mokėjimo tiekėjas laiko asmeninių ar kortelių duomenų siuntimą be šifravimo kaip praneštiną nesėkmę, paverdamas penkių minučių nemokamą pataisymą į atitikties problemą.

Kodėl tai svarbu. HTTPS yra žiniatinklio saugumo grindys, ne lubos – tai yra tai, kas verčia spyną atsirasti ir sustabdo viską, ką jūsų klientai siunčia, nuo skaitymo ar keitimo pakeliui. Priverstinis saugus peradresavimas uždaro spragą, kurią sertifikatas vienas palieka atvirą: žmonės beveik niekada neįveda 'https://', todėl be peradresavimo jų pirmas prašymas keliauja neapsaugotas prieš kada nors įkraunant saugią versiją. Svetainė, kuriai trūksta bet kurio iš jų, atrodo nesaugi lankytojams, yra ranguojama žemiau paieškoje ir atskleidžia realius klientų duomenis – todėl tai yra sunkiausiai įvertintas atskiras gedimas, kurį mes vertiname.

Kas tai yra, paprastais žodžiais

HTTPS yra saugi, šifruota jūsų svetainės versija – ta, kuri adreso juostoje rodo spyną. Kai lankytojas yra HTTPS, viskas, kas praeina tarp jų naršyklės ir jūsų svetainės (puslapiai, kuriuos jie mato, formos, kurias jie užpildo, jų slaptažodžiai, jų kortelių duomenys), yra sumaišyta, kad niekas tarp jų negalėtų to skaityti ar pakeisti. Paprasta versija HTTP siunčia visa tai kaip įskaitomą tekstą, kurį gali perimti bet kas tame pačiame tinkle.

Yra dvi dalys, norint tai teisingai gauti, ir mes tikrinkame abi:

• Ar HTTPS apskritai yra prieinamas? Ar jūsų svetainė turi veikiantį saugumo sertifikatą, todėl saugi, spyndžiuota versija egzistuoja? Tai yra rimtesnis iš dviejų – be jo apskritai nėra šifravimo.
• Ar jūsų svetainė verčia lankytojus jame? Beveik niekas neįveda „https://” ranka. Jei kas nors įveda tik jūsų domeno vardą, jų naršyklė pirmiausia bando paprastą HTTP versiją. Priverstinis saugus peradresavimas automatiškai atmetinėja tą prašymą į šifruotą versiją. Be jo pirmieji kiekvieno apsilankymo momentai yra neapsaugoti, net kai turite sertifikatą.

Jums reikia abiejų. Sertifikatas be peradresavimo yra užrakinta priekinė durys, pro kurią lankytojai tiesiog gali eiti aplink.

Verslo statymai

Tai yra pagrindinis signalas, ar svetainė yra saugi – ir, svarbiausia, tai yra kažkas, ką jūsų klientai gali patys pamatyti. Kiekviena šiuolaikinė naršyklė (Chrome, Edge, Safari, Firefox) žymi svetainę be HTTPS kaip „Nesaugu” tiesiai adreso juostoje ir rodo įspėjimą, jei kas nors bando įvesti į formą. Jūsų lankytojams nereikia žinoti, kas yra sertifikatas, kad reaguotų į tą žodį.

Be matomų įspėjimų tai tiesiogiai veikia tris dalykus, kurie domina savininkus: pasitikėjimą (žmonės palieka svetaines, kurios atrodo nesaugios), paieškos reitingą (Google metų metais naudoja HTTPS kaip reitingo signalą ir teikia pirmenybę saugioms svetainėms) ir realų atskleidimą (duomenys, siunčiami per paprastą HTTP, iš tikrųjų gali būti perskaityti kitų tame pačiame tinkle). Tai taip pat yra dalykas, kurį didesnio kliento saugumo komanda tikrina per sekundes deramo patikrinimo metu – ir jo trūkumas gali stabdyti sandorį.

Kiek tai gali jus kainuoti

• Tylusis atšokimas. Potencialus klientas spustelėja per paieškos rezultatą ar skelbimą, ir puslapis įkraunamas su pilka „Nesaugu” žyma – arba dar blogiau, viso ekrano įspėjimu. Jie jums nerašo, kad klaustų, kodėl; jie tiesiog uždaro skirtuką ir spustelėja kitą rezultatą. Jūs sumokėjote už tą vizitą ir praradote jį prieš jiems perskaitant žodį, ir nieko jūsų analizėse nesako, kodėl.
• Perimtas prisijungimas ar mokėjimas. Klientas prisijungia ar išsiregistruoja bendroje Wi-Fi kavinėje ar viešbutyje. Kadangi ryšys nėra šifruotas, kažkas netoliese paima jų slaptažodį ar kortelės numerį paprastu tekstu. Sekantis sukčiavimas praneša kaip jūsų pažeidimas, ir jūs atsakote į piktas skambučius ir grąžinimus.
• Sandoris, kuris stringa. Didesnis perspektyvus klientas yra pasirengęs pasirašyti, bet jų pirkimų procesas apima greitą jūsų svetainės saugumo patikrinimą. Jis grįžta pažymėdamas jokio HTTPS ar trūkstamo priverstinio saugaus peradresavimo. Staiga aiškinatės pagrindinę saugumo spragą vietoj uždarymo – ir sutartis laukia, arba tyliai eina pas konkurentą, kuris praėjo tikrinimą.
• Lėtas reitingo nutekėjimas. Du verslai siūlo tą patį dalyką; vienas tarnauja saugiu HTTPS ir kitas ne. Paieškos sistemos šiek tiek stumia saugesnį aukščiau. Per mėnesius prarandate nuolatinį nemokamo srauto lašelinimą ir niekada to nesusiejate su šiuo vienu nustatymu.
• Įšvestas turinys, kurio niekada nerašėte. Nešifruotu ryšiu bet kas viduryje – blogas viešasis tinklas, pažeistas kelvedis – gali įterpti netikrus iššokuojamuosius langus, sukčiavimo pasiūlymus ar kenkėjiškas programas į jūsų puslapius, kaip lankytojas juos įkrauna. Tam lankytojui tai atrodo kaip jūsų svetainė tai padarė.

Kas tai iš tikrųjų yra

Kai naršyklė prisijungia prie svetainės per HTTPS, įvyksta du dalykai. Pirma, svetainė pateikia sertifikatą – patikimos institucijos išduotą įgaliojimą, įrodantį, kad svetainė yra ta, kuo teigiasi esanti. Antra, naršyklė ir serveris sutaria dėl šifravimo rakto ir naudoja jį sumaišyti viską, ką jie keičia. Mūsų pirmasis tikrinimas, HTTPS prieinamas, tiesiog klausia: ar galime padaryti saugų TLS ryšį su jūsų svetaine standartiniame saugiame prievade (443) ir gauti atgal galiojantį sertifikatą? Jei taip, spyna gali atsirasti ir šifravimas yra įjungtas. Jei ne, nėra jūsų svetainės saugios versijos apskritai – ir tai yra pats sunkiausias gedimas, kurį mes vertiname.

Antras tikrinimas, priverstinis saugus peradresavimas, apima spragą, kurią sertifikatas vienas palieka atvirą. Žmonės įveda „jusvardas.com”, ne „https://jusvardas.com”. Tas plikas prašymas eina pirmiausia į paprastą HTTP versiją. Peradresavimas yra vienos eilutės nurodymas, sakantis „siųskite bet ką, kas ateina į nesaugią versiją, tiesiai į saugią.” Mūsų tikrinimas klausia: kai prašome jūsų paprasto HTTP adreso, ar jūsų svetainė mus atmetinėja į HTTPS? Jei taip, kiekvienas lankytojas baigiasi apsaugotas, kad ir kaip įvedė jūsų adresą. Jei ne, tas pirmasis neapsaugotas šuolis neša tai, ką naršyklė siunčia – slapukus, formos duomenis – aiškiai.

Kaip atrodo „gerai”: galiojantis, patikimas sertifikatas, kad spyna matoma kiekviename puslapyje, ir kiekvienas paprastas HTTP prašymas automatiškai peradresuojamas į HTTPS versiją (idealiai su nuolatiniu „301” peradresavimu, kuris taip pat perduoda jūsų paieškos reitingą švariai į saugų adresą).

Kaip tai ištaisyti (nemokama, ~15 minučių)

Perduokite šį skyrių savo IT asmeniui ar prieglobos tiekėjo palaikymui – pataisymas yra nemokamas. Abiejų šios dalys nieko nekainuoja: patikimi sertifikatai yra nemokami ir atsinaujina patys, o peradresavimo įjungimas yra vienas nustatymas daugelyje platformų. Nereikia mokamo produkto šiam praėjimui.

Yra du dalykai, kuriuos reikia įjungti. Daugelyje šiuolaikinių prieglobų pirmojo darymas dažnai daro antrąjį vieno paspaudimo perjungimu.

1. Gaukite sertifikatą, kad HTTPS veiktų (spyna).

• Cloudflare: jei jūsų svetainė yra už Cloudflare, SSL yra tvarkomas jums. Nustatykite SSL/TLS režimą į „Full” (arba „Full (strict)”, jei jūsų kilmės serveris taip pat turi sertifikatą).
• Svetainių kūrėjai ir valdoma priegloba (Squarespace, Wix, Shopify, Webflow, GoDaddy svetainių kūrėjas, dauguma Microsoft 365 / Google Workspace žiniatinklio prieglobų): HTTPS suteikiamas automatiškai; tiesiog įsitikinkite, kad jis įjungtas jūsų svetainės / domeno nustatymuose – paprastai nereikia nieko diegti.
• cPanel priegloba: atidarykite SSL/TLS būsena ir paleiskite AutoSSL, kuri išduoda nemokamą „Let’s Encrypt” sertifikatą.
• Jūsų pačių serveris (VPS): įdiekite „Let’s Encrypt” su „Certbot” – sudo certbot --nginx -d jusudomenas.com (arba --apache). Jis paima ir įdiegia nemokamą sertifikatą ir nustato automatinį atnaujinimą.
• Bet kas kita: kreipkitės į prieglobos tiekėjo palaikymą ir paprašykite „įjungti nemokamą SSL sertifikatą mano domenui.” Beveik visi tai siūlo be išlaidų.

2. Priverskite kiekvieną lankytoją į HTTPS (peradresavimas).

• Cloudflare: SSL/TLS → Briaunų sertifikatai → įjunkite „Visada naudoti HTTPS.” Tai ir yra visas darbas.
• Svetainių kūrėjai (Squarespace, Wix, Shopify ir kt.): ieškokite „Priverstinis HTTPS” ar „Saugus (HTTPS)” perjungimo svetainės nustatymuose ir įjunkite.
• Nginx: pridėkite serverio bloką prievade 80, kuris grąžina nuolatinį peradresavimą – return 301 https://$host$request_uri;.
• Apache (.htaccess): įjunkite perrašymą ir peradresuokite bet kokius ne HTTPS prašymus – RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows priegloba): įdiekite URL Rewrite modulį ir pridėkite „HTTP į HTTPS” peradresavimo taisyklę.

Abiem įjungus, išbandykite: įveskite savo adresą su paprastu http:// priekyje ir patvirtinkite, kad naršyklė automatiškai šokinėja į spyndžiuotą https:// versiją, ir kad spyna rodoma ant jūsų pagrindinių puslapių.

Dažnos klaidos

• Sertifikatas įdiegtas, bet jokio peradresavimo. Dažniausia spraga. Matote spyną, kai lankotės savo svetainėje (nes naršyklė prisiminė HTTPS), todėl manote, kad baigta – bet nauji lankytojai, įvedantys pliko domeno, vis dar pirmiausia patenka į HTTP. Visada aiškiai išbandykite paprastą http:// versiją.
• Mišrus turinys. Jūsų puslapis įkraunamas per HTTPS, bet paima vaizdą, scenarijų ar šriftą iš seno http:// adreso. Naršyklės jį blokuoja arba sumažina spyną iki įspėjimo. Atnaujinkite tas nuorodas į https:// (arba į santykinias nuorodas). Daugelis platformų turi „mišraus turinio” ar „nesaugaus turinio” ataskaitą, kuri juos randa.
• Laikinas (302) peradresavimas vietoj nuolatinio (301). 302 veikia lankytojams, bet sako paieškos sistemoms, kad perkėlimas yra laikinas, todėl reitingo vertė nepereina švariai į jūsų saugų adresą. Naudokite nuolatinį 301.
• Tik plikas domeno peradresavimas, ne „www” (arba atvirkščiai). Įsitikinkite, kad tiek jusudomenas.com, tiek www.jusudomenas.com baigiasi HTTPS, kitaip vienas kelias vis dar yra atskleistas.
• Sertifikatui baigtis leisti. Pasibaigęs sertifikatas išmeta viso ekrano naršyklės klaidą, kuri sustabdo lankytojus. Nemokami „Let’s Encrypt” sertifikatai automatiškai atsinaujina; jei įsigijote vienas rankiniu būdu, nustatykite kalendoriaus priminimą gerai prieš jo galiojimo pabaigą.

DUK

Žiūrėkite aukščiau pateiktus klausimus – jie apima netechninį „ar galiu tai pats sutvarkyti”, skirtumą tarp spynos turėjimo ir peradresavimo priverstinio, sertifikato kainą ir atnaujinimą, ar brošiūros svetainėms tai reikia, ir kaip tai siejasi su HSTS.

DUK