Defaults.Exposed › Pembaikan › HTTPS & pengalihan paksa-selamat

Cara memperbaiki HTTPS & pengalihan paksa-selamat

HTTPS ialah ikon kunci dalam bar pelayar — ia menyulitkan semua yang bergerak antara laman web anda dan pelanggan anda supaya ia tidak dapat dibaca atau diubah dalam transit. Pengalihan paksa-selamat memastikan pengunjung mendarat secara automatik pada versi yang disulitkan itu, walaupun ketika mereka menaip alamat anda tanpa 'https://'. Bersama-sama ia adalah perkara paling asas tunggal yang diperlukan oleh laman web untuk dianggap selamat langsung.

Kesimpulan untuk perniagaan anda: Tanpa HTTPS, setiap kata laluan, nombor kad dan mesej yang pelanggan hantar kepada anda merentasi internet sebagai teks boleh dibaca, dan Chrome, Edge, Safari dan Firefox semuanya mencap laman anda 'Tidak selamat' bagi setiap pengunjung sebelum mereka membaca satu perkataan. Tanpa pengalihan, walaupun laman yang mempunyai sijil membiarkan lawatan pertama tidak terlindungi. Kedua-duanya merugikan kepercayaan, jualan dan kedudukan carian anda — dan kedua-duanya percuma untuk dibetulkan dalam beberapa minit.

Apakah kos yang boleh timbul

Pengunjung pertama kali melihat amaran besar 'Tidak selamat' sebaik sahaja halaman anda dimuatkan. Kebanyakan menganggap laman itu palsu, rosak atau tidak selamat dan pergi kepada pesaing — dan anda tidak pernah tahu jualan itu hilang.
Pelanggan memasukkan butiran kad atau log masuk melalui sambungan tidak disulitkan dari kafe, hotel atau lapangan terbang. Seseorang di WiFi yang sama membacanya sebagai teks biasa, dan caj penipuan yang berikutan disalahkan kepada anda.
Pasukan perolehan atau keselamatan klien yang lebih besar menjalankan imbasan pantas sebelum menandatangani, melihat tiada HTTPS atau pengalihan paksa-selamat yang hilang, dan meletakkan kontrak di tempat duduk sehingga anda dapat membuktikan ia diperbetulkan.
Google menjadikan anda berada di bawah pesaing yang menyajikan HTTPS, jadi anda secara senyap kehilangan trafik carian selama bertahun-tahun tanpa pernah menghubungkannya kepada jurang ini.
Pengawal selia atau pembekal pembayaran anda menganggap menghantar data peribadi atau kad tanpa disulitkan sebagai kegagalan yang boleh dilaporkan, mengubah pembetulan percuma lima minit menjadi masalah pematuhan.

Mengapa ia penting. HTTPS adalah lantai, bukan siling, keselamatan web — ia adalah yang menjadikan kunci muncul dan yang menghalang segala yang pelanggan anda hantar daripada dibaca atau diubah dalam perjalanan. Pengalihan paksa-selamat menutup jurang yang sijil sahaja biarkan terbuka: orang hampir tidak pernah menaip 'https://', jadi tanpa pengalihan permintaan pertama mereka bergerak tidak terlindungi sebelum versi selamat pun dimuatkan. Laman yang kehilangan mana-mana satu daripadanya kelihatan tidak selamat kepada pengunjung, mendapat kedudukan lebih rendah dalam carian, dan mendedahkan data pelanggan sebenar — itulah sebabnya ini adalah kegagalan tunggal yang paling berat yang kami nilai.

Apa ini, dalam bahasa mudah

HTTPS adalah versi selamat dan tersulitkan laman web anda — yang menunjukkan kunci dalam bar alamat. Apabila pengunjung berada pada HTTPS, semua yang berlalu antara pelayar mereka dan laman anda (halaman yang mereka lihat, borang yang mereka isi, kata laluan mereka, butiran kad mereka) dikelirukan supaya tiada siapa di antaranya dapat membaca atau mengubahnya. Versi biasa, HTTP, menghantar semua itu sebagai teks boleh baca yang sesiapa di rangkaian yang sama boleh pintas.

Terdapat dua bahagian untuk melakukannya dengan betul, dan kami menyemak kedua-duanya:

Adakah HTTPS tersedia langsung? Adakah laman anda mempunyai sijil keselamatan yang berfungsi supaya versi selamat dan berkunci wujud? Ini adalah yang lebih serius daripada keduanya — tanpanya tidak ada penyulitan langsung.
Adakah laman anda memaksa pengunjung ke sana? Hampir tiada siapa yang menaip “https://” dengan tangan. Jika seseorang menaip nama domain anda sahaja, pelayar mereka mencuba versi HTTP biasa dahulu. Pengalihan paksa-selamat secara automatik memantul permintaan itu kepada versi yang disulitkan. Tanpanya, beberapa saat pertama setiap lawatan adalah tidak terlindungi walaupun ketika anda mempunyai sijil.

Anda mahu kedua-duanya. Sijil tanpa pengalihan adalah pintu hadapan yang berkunci yang pengunjung boleh pusing tepi sahaja.

Pertaruhan perniagaan

Ini adalah isyarat paling asas sama ada laman web selamat — dan yang penting, ia adalah yang pelanggan anda boleh lihat sendiri. Setiap pelayar moden (Chrome, Edge, Safari, Firefox) melabel laman tanpa HTTPS sebagai “Tidak selamat” terus dalam bar alamat, dan menunjukkan amaran jika sesiapa cuba menaip dalam borang. Pengunjung anda tidak perlu tahu apa itu sijil untuk bertindak balas terhadap kata itu.

Di luar amaran kelihatan, ini mempengaruhi tiga perkara yang pemilik ambil berat secara langsung: kepercayaan (orang meninggalkan laman yang kelihatan tidak selamat), kedudukan carian (Google telah menggunakan HTTPS sebagai isyarat kedudukan selama bertahun-tahun dan memihak kepada laman selamat), dan pendedahan sebenar (data yang dihantar melalui HTTP biasa benar-benar boleh dibaca oleh orang lain di rangkaian yang sama). Ia juga merupakan jenis perkara yang pasukan keselamatan klien yang lebih besar menyemak dalam beberapa saat semasa due diligence — dan kehilangannya boleh menangguhkan sesuatu urusan perniagaan.

Apa yang ini boleh koskan anda

Lantunan senyap. Bakal pelanggan mengklik dari hasil carian atau iklan, dan halaman dimuatkan dengan lencana “Tidak selamat” kelabu — atau lebih buruk, amaran skrin penuh. Mereka tidak menghantar e-mel untuk bertanya mengapa; mereka hanya menutup tab dan mengklik hasil seterusnya. Anda membayar untuk lawatan itu dan kehilangannya sebelum mereka membaca satu perkataan, dan tiada apa dalam analitik anda yang memberitahu anda mengapa.
Log masuk atau pembayaran yang dipintas. Pelanggan mendaftar masuk atau checkout semasa berada di WiFi dikongsi di hotel atau kafe. Kerana sambungan tidak disulitkan, seseorang berdekatan menangkap kata laluan atau nombor kad mereka sebagai teks biasa. Penipuan yang berikutan dilaporkan sebagai pelanggaran anda, dan andalah yang menghadapi panggilan marah dan caj balik.
Urusan perniagaan yang tertangguh. Prospek yang lebih besar sudah bersedia untuk menandatangani, tetapi proses perolehan mereka termasuk semakan keselamatan pantas ke atas laman web anda. Ia kembali menandakan tiada HTTPS, atau pengalihan paksa-selamat yang hilang. Tiba-tiba anda menerangkan jurang keselamatan asas dan bukannya menutup — dan kontrak menunggu, atau secara senyap pergi kepada pesaing yang lulus semakan.
Kebocoran kedudukan perlahan. Dua perniagaan menawarkan perkara yang sama; satu menyajikan HTTPS yang selamat dan satu tidak. Enjin carian menolak yang selamat lebih tinggi. Selama berbulan-bulan anda kehilangan aliran trafik percuma yang stabil dan tidak pernah menghubungkannya kepada satu tetapan ini.
Kandungan yang disuntik yang tidak pernah anda tulis. Pada sambungan tidak disulitkan, sesiapa di tengah — rangkaian awam yang kotor, penghala yang terjejas — boleh menyisipkan pop-up palsu, tawaran penipuan atau perisian hasad ke halaman anda apabila pengunjung memuatnya. Kepada pengunjung itu, ia kelihatan seperti laman anda yang melakukannya.

Apa yang ia sebenarnya

Apabila pelayar menyambung ke laman web melalui HTTPS, dua perkara berlaku. Pertama, laman membentangkan sijil — kelayakan yang dikeluarkan oleh pihak berkuasa yang dipercayai yang membuktikan laman adalah siapa yang didakwa. Kedua, pelayar dan pelayan bersetuju pada kunci penyulitan dan menggunakannya untuk mengelirukan semua yang mereka tukar. Semakan pertama kami, HTTPS tersedia, hanya bertanya: bolehkah kami membuat sambungan TLS selamat ke laman anda pada port selamat standard (443) dan mendapat sijil yang sah kembali? Jika ya, kunci boleh muncul dan penyulitan aktif. Jika tidak, tidak ada versi selamat laman anda langsung — dan itu adalah kegagalan terberat tunggal yang kami nilai.

Semakan kedua, pengalihan paksa-selamat, merangkumi jurang yang sijil sahaja biarkan terbuka. Orang menaip “yourbusiness.com”, bukan “https://yourbusiness.com”. Permintaan bare itu pergi ke versi HTTP biasa dahulu. Pengalihan adalah arahan satu baris yang berkata “hantar sesiapa yang tiba pada versi tidak selamat terus ke yang selamat.” Semakan kami bertanya: apabila kami meminta alamat HTTP biasa anda, adakah laman anda melantunkan kami kepada HTTPS? Jika ya, setiap pengunjung berakhir terlindungi tidak kira bagaimana mereka menaip alamat anda. Jika tidak, lompatan pertama yang tidak terlindungi itu membawa apa sahaja yang pelayar hantar — kuki, data borang — dalam teks jelas.

Apa yang “baik” kelihatan: sijil yang sah dan dipercayai supaya kunci muncul pada setiap halaman, dan setiap permintaan HTTP biasa secara automatik dialihkan ke versi HTTPS (sebaik-baiknya dengan pengalihan “301” kekal, yang juga menghantar kedudukan carian anda dengan bersih ke alamat selamat).

Cara membetulkannya (percuma, ~15 minit)

Berikan bahagian ini kepada orang IT atau sokongan pembekal pengehosan anda — pembetulan adalah percuma. Kedua-dua bahagian ini tidak memerlukan kos: sijil yang dipercayai adalah percuma dan memperbaharui sendiri, dan menghidupkan pengalihan adalah tetapan tunggal pada kebanyakan platform. Tidak perlu membeli produk berbayar untuk lulus ini.

Terdapat dua perkara yang perlu dihidupkan. Pada kebanyakan pengehosan moden, melakukan yang pertama selalunya menjadikan yang kedua sebagai togol sekali klik.

1. Dapatkan sijil supaya HTTPS berfungsi (kunci).

Cloudflare: jika laman anda berada di belakang Cloudflare, SSL dikendalikan untuk anda. Tetapkan mod SSL/TLS kepada “Full” (atau “Full (strict)” jika pelayan asal anda juga mempunyai sijil).
Pembina laman web dan pengehosan terurus (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, kebanyakan pengehosan web Microsoft 365 / Google Workspace): HTTPS disediakan secara automatik; hanya pastikan ia diaktifkan dalam tetapan laman/domain anda — biasanya tiada yang perlu dipasang.
Pengehosan cPanel: buka SSL/TLS Status dan jalankan AutoSSL, yang mengeluarkan sijil Let’s Encrypt percuma.
Pelayan anda sendiri (VPS): pasang Let’s Encrypt dengan Certbot — sudo certbot --nginx -d yourdomain.com (atau --apache). Ia mengambil dan memasang sijil percuma dan menyediakan pembaharuan automatik.
Apa-apa yang lain: hubungi sokongan pembekal pengehosan anda dan minta mereka “mengaktifkan sijil SSL percuma untuk domain saya.” Hampir semua menawarkan ini tanpa sebarang kos.

2. Paksa setiap pengunjung ke HTTPS (pengalihan).

Cloudflare: SSL/TLS → Edge Certificates → hidupkan “Always Use HTTPS.” Itulah keseluruhan kerja.
Pembina laman web (Squarespace, Wix, Shopify, dll.): cari togol “Force HTTPS” atau “Secure (HTTPS)” dalam tetapan laman anda dan hidupkannya.
Nginx: tambah blok pelayan pada port 80 yang mengembalikan pengalihan kekal — return 301 https://$host$request_uri;.
Apache (.htaccess): aktifkan penulisan semula dan alihkan sebarang permintaan bukan-HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
IIS (pengehosan Windows): pasang modul URL Rewrite dan tambah peraturan pengalihan “HTTP ke HTTPS”.

Selepas kedua-duanya aktif, ujinya: taip alamat anda dengan http:// biasa di hadapan dan sahkan pelayar melompat ke versi https:// berkunci secara automatik, dan bahawa kunci muncul pada halaman utama anda.

Kesilapan biasa

Sijil dipasang, tetapi tiada pengalihan. Jurang paling biasa. Anda melihat kunci apabila melawati laman anda sendiri (kerana pelayar anda mengingat HTTPS), jadi anda menganggap ia selesai — tetapi pengunjung baru yang menaip domain bare masih mendarat di HTTP dahulu. Sentiasa uji versi http:// biasa secara eksplisit.
Kandungan bercampur. Halaman anda dimuatkan melalui HTTPS tetapi mengambil imej, skrip atau fon dari alamat http:// lama. Pelayar sama ada menyekatnya atau menurunkan taraf kunci kepada amaran. Kemas kini rujukan tersebut kepada https:// (atau kepada pautan relatif). Kebanyakan platform mempunyai laporan “kandungan bercampur” atau “kandungan tidak selamat” yang mencarinya.
Pengalihan sementara (302) dan bukannya kekal (301). 302 berfungsi untuk pengunjung tetapi memberitahu enjin carian pemindahan itu adalah sementara, jadi nilai kedudukan tidak berpindah dengan bersih ke alamat selamat anda. Gunakan 301 yang kekal.
Mengalihkan hanya domain bare, bukan “www” (atau sebaliknya). Pastikan yourdomain.com dan www.yourdomain.com kedua-duanya berakhir pada HTTPS, jika tidak satu laluan masih terdedah.
Membiarkan sijil tamat tempoh. Sijil yang luput membuang ralat pelayar skrin penuh yang menghentikan pengunjung. Sijil Let’s Encrypt percuma memperbaharui secara automatik; jika anda membeli satu secara manual, tetapkan peringatan kalendar jauh sebelum tarikh tamat tempohnya.

Soalan Lazim

Lihat soalan di atas — ia merangkumi “bolehkah saya melakukan ini sendiri” yang bukan-teknikal, perbezaan antara mempunyai kunci dan memaksa pengalihan, kos dan pembaharuan sijil, sama ada laman risalah memerlukannya, dan bagaimana ini berkaitan dengan HSTS.

Soalan Lazim

Saya bukan orang teknikal — adakah ini sesuatu yang boleh saya tangani sendiri?

Anda tidak perlu memahami mana-mana butirannya. Kedua-dua bahagian ini dihidupkan oleh sesiapa yang menjalankan laman web atau pengehosan anda, dan pada kebanyakan platform moden ia adalah sijil percuma ditambah satu togol — selalunya secara harfiah kotak semak berlabel 'Sentiasa gunakan HTTPS'. Berikan bahagian 'Cara membetulkannya' kepada orang web atau sokongan hos anda; pembetulan tidak memerlukan kos dan biasanya mengambil masa beberapa minit.

Saya sudah melihat kunci pada laman saya — sudahkah saya selesai?

Mungkin tidak. Kunci bermakna versi selamat (HTTPS) anda wujud, tetapi ia tidak menjamin bahawa pengunjung diarahkan ke sana. Jika seseorang menaip alamat anda tanpa 'https://' dan laman anda tidak mengalihkan mereka, sambungan pertama mereka masih tidak disulitkan. Semakan kunci dan semakan pengalihan adalah dua perkara berasingan — anda mahu kedua-duanya.

Bukankah sijil mahal atau sukar untuk diperbaharui?

Tidak. Sijil percuma dari Let's Encrypt dipercayai oleh semua pelayar utama dan memperbaharui sendiri secara automatik, jadi tiada yang perlu diingat dan tiada yang perlu dibayar. Sijil berbayar wujud tetapi tidak menawarkan keselamatan tambahan untuk laman web perniagaan biasa — penyulitan adalah sama.

Kami tidak menerima pembayaran atau log masuk pada laman kami — adakah ini masih penting?

Ya. Pelayar menanda mana-mana laman bukan-HTTPS sebagai 'Tidak selamat' tanpa mengira apa yang dilakukannya, jadi walaupun laman risalah kehilangan kepercayaan dan kedudukan carian. HTTPS juga menghalang sesiapa di tengah daripada menyuntik kandungan palsu, pop-up penipuan atau perisian hasad ke halaman anda semasa pengunjung memuatnya.

Bolehkah menghidupkan pengalihan paksa memutuskan laman saya?

Ia selamat selagi versi selamat anda sudah berfungsi — yang, jika anda mempunyai sijil yang sah, ia berfungsi. Pendekatan standard adalah untuk mengesahkan laman anda dimuatkan dengan betul melalui https:// terlebih dahulu, kemudian hidupkan pengalihan. Satu-satunya perkara yang perlu dipantau ialah kandungan bercampur (lihat Kesilapan biasa di bawah), yang mudah dilihat dan diperbetulkan.

Apakah perbezaan antara ini dan HSTS?

Halaman ini adalah tentang mempunyai HTTPS langsung dan menghantar pengunjung ke sana. HSTS adalah langkah selanjutnya yang memberitahu pelayar untuk mengingat bahawa laman anda hanya-HTTPS dan menolak untuk menyambung secara tidak selamat lagi — ia mengeraskan apa yang anda sediakan di sini. Betulkan HTTPS dan pengalihan dahulu; HSTS dibina di atas.