Defaults.Exposed › Naprawy › HTTPS i wymuszone bezpieczne przekierowanie

Jak naprawić HTTPS i wymuszone bezpieczne przekierowanie

HTTPS to kłódka w pasku przeglądarki — szyfruje wszystko, co podróżuje między Twoją stroną a klientami, by nie dało się tego odczytać ani zmienić w drodze. Wymuszone bezpieczne przekierowanie sprawia, że odwiedzający automatycznie trafiają na tę zaszyfrowaną wersję, nawet gdy wpiszą Twój adres bez «https://». Razem są najbardziej podstawową rzeczą, jakiej strona potrzebuje, by w ogóle uchodzić za bezpieczną.

W skrócie dla Twojej firmy: Bez HTTPS każde hasło, numer karty i wiadomość, które klient Ci wysyła, przemierza internet jako czytelny tekst, a Chrome, Edge, Safari i Firefox stemplują Twoją stronę jako «Niezabezpieczona» przy każdym odwiedzającym, zanim przeczyta choć słowo. Bez przekierowania nawet strony z certyfikatem zostawiają pierwszą wizytę bez ochrony. Oba kosztują Cię zaufanie, sprzedaż i pozycję w wyszukiwarce — a oba można naprawić za darmo w kilka minut.

Ile może Cię to kosztować

• Odwiedzający po raz pierwszy widzi duże ostrzeżenie «Niezabezpieczona» w chwili wczytania strony. Większość zakłada, że strona jest fałszywa, zepsuta lub niebezpieczna, i odchodzi do konkurenta — a Ty nawet nie wiesz, że sprzedaż przepadła.
• Klient wpisuje dane karty albo loguje się przez nieszyfrowane połączenie w kawiarni, hotelu czy na lotnisku. Ktoś w tej samej sieci WiFi odczytuje to czystym tekstem, a kolejne oszukańcze obciążenia obarczają winą Ciebie.
• Dział zakupów lub bezpieczeństwa większego klienta przeprowadza szybki skan przed podpisaniem, nie widzi HTTPS albo brakuje wymuszonego bezpiecznego przekierowania i wstrzymuje kontrakt, dopóki nie udowodnisz, że to naprawione.
• Google plasuje Cię poniżej konkurentów serwujących HTTPS, więc po cichu tracisz ruch z wyszukiwarki latami, nigdy nie łącząc tego z tą luką.
• Regulator lub Twój dostawca płatności traktuje wysyłanie danych osobowych lub kart bez szyfrowania jako naruszenie podlegające zgłoszeniu, zamieniając pięciominutową darmową naprawę w problem zgodności.

Dlaczego to ma znaczenie. HTTPS to podłoga, a nie sufit bezpieczeństwa sieciowego — to ono sprawia, że pojawia się kłódka, i powstrzymuje wszystko, co wysyłają Twoi klienci, od odczytania lub zmiany w drodze. Wymuszone bezpieczne przekierowanie zamyka lukę, którą sam certyfikat zostawia otwartą: ludzie niemal nigdy nie wpisują «https://», więc bez przekierowania ich pierwsze żądanie podróżuje bez ochrony, zanim wczyta się bezpieczna wersja. Strona bez którejkolwiek z tych rzeczy wygląda na niebezpieczną dla odwiedzających, plasuje się niżej w wyszukiwarce i wystawia prawdziwe dane klientów — dlatego to najmocniej ważone pojedyncze niezaliczenie, jakie oceniamy.

Czym to jest, prostymi słowami

HTTPS to bezpieczna, zaszyfrowana wersja Twojej strony — ta, która pokazuje kłódkę w pasku adresu. Gdy odwiedzający jest na HTTPS, wszystko, co przechodzi między jego przeglądarką a Twoją stroną (strony, które widzi, formularze, które wypełnia, jego hasła, dane karty), jest zaszyfrowane, by nikt po drodze nie mógł tego odczytać ani zmienić. Zwykła wersja, HTTP, wysyła to wszystko jako czytelny tekst, który każdy w tej samej sieci może przechwycić.

Są dwie części, by zrobić to dobrze, i obie sprawdzamy:

• Czy HTTPS w ogóle jest dostępne? Czy Twoja strona ma działający certyfikat bezpieczeństwa, by bezpieczna wersja z kłódką istniała? To poważniejsza z dwóch — bez niej nie ma żadnego szyfrowania.
• Czy Twoja strona wymusza na odwiedzających przejście na nie? Niemal nikt nie wpisuje „https://” ręcznie. Jeśli ktoś wpisze samą nazwę domeny, jego przeglądarka próbuje najpierw zwykłej wersji HTTP. Wymuszone bezpieczne przekierowanie automatycznie odbija to żądanie do zaszyfrowanej wersji. Bez niego pierwsze chwile każdej wizyty są bez ochrony, nawet gdy masz certyfikat.

Chcesz obojga. Certyfikat bez przekierowania to zamknięte drzwi frontowe, które odwiedzający mogą po prostu obejść.

Stawka biznesowa

To najbardziej podstawowy sygnał tego, czy strona jest bezpieczna — i, co kluczowe, taki, który Twoi klienci mogą zobaczyć sami. Każda współczesna przeglądarka (Chrome, Edge, Safari, Firefox) oznacza stronę bez HTTPS jako „Niezabezpieczona” wprost w pasku adresu i pokazuje ostrzeżenie, gdy ktoś próbuje wpisać coś w formularz. Twoi odwiedzający nie muszą wiedzieć, czym jest certyfikat, by zareagować na to słowo.

Poza widocznym ostrzeżeniem wpływa to na trzy rzeczy, na których właścicielom wprost zależy: zaufanie (ludzie porzucają strony wyglądające na niebezpieczne), pozycję w wyszukiwarce (Google od lat używa HTTPS jako sygnału rankingowego i faworyzuje bezpieczne strony) oraz realne wystawienie (dane wysłane zwykłym HTTP naprawdę mogą zostać odczytane przez innych w tej samej sieci). To również coś, co dział bezpieczeństwa większego klienta sprawdza w sekundy podczas due diligence — a brak tego może wstrzymać transakcję.

Ile może Cię to kosztować

• Cichy odpływ. Potencjalny klient klika z wyniku wyszukiwania lub reklamy, a strona wczytuje się z szarą plakietką „Niezabezpieczona” — albo gorzej, pełnoekranowym ostrzeżeniem. Nie pisze do Ciebie z pytaniem dlaczego; po prostu zamyka kartę i klika następny wynik. Zapłaciłeś za tę wizytę i straciłeś ją, zanim przeczytał słowo, a nic w Twoich statystykach nie mówi dlaczego.
• Przechwycone logowanie lub płatność. Klient loguje się lub finalizuje zakup przez współdzielone WiFi w hotelu czy kawiarni. Ponieważ połączenie nie jest szyfrowane, ktoś w pobliżu przechwytuje jego hasło lub numer karty czystym tekstem. Następujące oszustwo jest zgłaszane jako Twoje naruszenie, a to Ty odbierasz wściekłe telefony i obciążenia zwrotne.
• Transakcja, która utyka. Większy potencjalny klient jest gotów podpisać, ale jego proces zakupowy obejmuje szybką kontrolę bezpieczeństwa Twojej strony. Wraca z oznaczeniem braku HTTPS albo brakującego wymuszonego bezpiecznego przekierowania. Nagle tłumaczysz podstawową lukę bezpieczeństwa zamiast zamykać sprzedaż — a kontrakt czeka albo po cichu idzie do konkurenta, który przeszedł kontrolę.
• Powolny wyciek pozycji. Dwie firmy oferują to samo; jedna serwuje bezpieczne HTTPS, druga nie. Wyszukiwarki podbijają bezpieczną wyżej. Przez miesiące tracisz stały strumyczek darmowego ruchu i nigdy nie łączysz tego z tym jednym ustawieniem.
• Wstrzyknięta treść, której nigdy nie napisałeś. Na nieszyfrowanym połączeniu każdy w środku — podejrzana sieć publiczna, przejęty router — może wstawić fałszywe okienka, oszukańcze oferty lub złośliwe oprogramowanie w Twoje strony, gdy odwiedzający je wczytuje. Dla niego wygląda, jakby zrobiła to Twoja strona.

Czym to właściwie jest

Gdy przeglądarka łączy się ze stroną przez HTTPS, dzieją się dwie rzeczy. Po pierwsze, strona przedstawia certyfikat — poświadczenie wydane przez zaufany urząd, dowodzące, że strona jest tym, za kogo się podaje. Po drugie, przeglądarka i serwer uzgadniają klucz szyfrowania i używają go do zaszyfrowania wszystkiego, co wymieniają. Nasza pierwsza kontrola, HTTPS dostępne, po prostu pyta: czy możemy nawiązać bezpieczne połączenie TLS z Twoją stroną na standardowym bezpiecznym porcie (443) i otrzymać z powrotem ważny certyfikat? Jeśli tak, kłódka może się pojawić, a szyfrowanie jest włączone. Jeśli nie, nie ma w ogóle bezpiecznej wersji Twojej strony — i to najcięższe pojedyncze niezaliczenie, jakie oceniamy.

Druga kontrola, wymuszone bezpieczne przekierowanie, obejmuje lukę, którą sam certyfikat zostawia otwartą. Ludzie wpisują „twojafirma.pl”, a nie „https://twojafirma.pl”. To gołe żądanie idzie najpierw do zwykłej wersji HTTP. Przekierowanie to jednolinijkowa instrukcja mówiąca „wyślij każdego, kto trafi na niebezpieczną wersję, prosto na bezpieczną”. Nasza kontrola pyta: gdy żądamy Twojego zwykłego adresu HTTP, czy Twoja strona odbija nas do HTTPS? Jeśli tak, każdy odwiedzający kończy chroniony, bez względu na to, jak wpisał Twój adres. Jeśli nie, ten pierwszy nieochroniony skok niesie cokolwiek przeglądarka wysyła — pliki cookie, dane formularza — otwartym tekstem.

Jak wygląda „dobrze”: ważny, zaufany certyfikat, by kłódka pokazywała się na każdej stronie, oraz każde zwykłe żądanie HTTP automatycznie przekierowane na wersję HTTPS (najlepiej trwałym przekierowaniem „301”, które też czysto przenosi Twoją pozycję w wyszukiwarce na bezpieczny adres).

Jak to naprawić (za darmo, ~15 minut)

Przekaż tę sekcję swojemu informatykowi lub wsparciu dostawcy hostingu — naprawa jest darmowa. Obie części nic nie kosztują: zaufane certyfikaty są darmowe i odnawiają się same, a włączenie przekierowania to pojedyncze ustawienie na większości platform. Nie ma potrzeby płatnego produktu, by przejść tę kontrolę.

Są dwie rzeczy do włączenia. Na większości współczesnych hostingów wykonanie pierwszej często czyni drugą przełącznikiem na jedno kliknięcie.

1. Zdobądź certyfikat, by HTTPS działało (kłódka).

• Cloudflare: jeśli Twoja strona jest za Cloudflare, SSL jest obsługiwane za Ciebie. Ustaw tryb SSL/TLS na „Full” (lub „Full (strict)”, jeśli serwer źródłowy też ma certyfikat).
• Kreatory stron i hosting zarządzany (Squarespace, Wix, Shopify, Webflow, większość hostingu Microsoft 365 / Google Workspace): HTTPS jest zapewniane automatycznie; po prostu upewnij się, że jest włączone w ustawieniach strony/domeny — zwykle nie ma nic do instalowania.
• Hosting cPanel: otwórz SSL/TLS Status i uruchom AutoSSL, który wydaje darmowy certyfikat Let’s Encrypt.
• Własny serwer (VPS): zainstaluj Let’s Encrypt z Certbotem — sudo certbot --nginx -d twojadomena.pl (lub --apache). Pobiera i instaluje darmowy certyfikat oraz konfiguruje automatyczne odnawianie.
• Cokolwiek innego: skontaktuj się ze wsparciem dostawcy hostingu i poproś o „włączenie darmowego certyfikatu SSL dla mojej domeny”. Niemal wszyscy oferują to bez kosztu.

2. Wymuś na każdym odwiedzającym przejście na HTTPS (przekierowanie).

• Cloudflare: SSL/TLS → Edge Certificates → włącz „Always Use HTTPS”. To całe zadanie.
• Kreatory stron (Squarespace, Wix, Shopify itd.): poszukaj przełącznika „Force HTTPS” lub „Secure (HTTPS)” w ustawieniach strony i włącz go.
• Nginx: dodaj blok serwera na porcie 80 zwracający trwałe przekierowanie — return 301 https://$host$request_uri;.
• Apache (.htaccess): włącz przepisywanie i przekieruj każde żądanie inne niż HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (hosting Windows): zainstaluj moduł URL Rewrite i dodaj regułę przekierowania „HTTP to HTTPS”.

Gdy oba są włączone, przetestuj: wpisz swój adres ze zwykłym http:// z przodu i potwierdź, że przeglądarka automatycznie przeskakuje na wersję https:// z kłódką i że kłódka pokazuje się na Twoich głównych stronach.

Częste błędy

• Certyfikat zainstalowany, ale brak przekierowania. Najczęstsza luka. Widzisz kłódkę, gdy odwiedzasz własną stronę (bo Twoja przeglądarka zapamiętała HTTPS), więc zakładasz, że gotowe — ale nowi odwiedzający, którzy wpisują gołą domenę, wciąż lądują najpierw na HTTP. Zawsze testuj jawnie zwykłą wersję http://.
• Mieszana treść. Twoja strona wczytuje się przez HTTPS, ale ściąga obraz, skrypt lub czcionkę ze starego adresu http://. Przeglądarki albo to blokują, albo degradują kłódkę do ostrzeżenia. Zaktualizuj te odwołania na https:// (lub na linki względne). Większość platform ma raport „mixed content” lub „insecure content”, który je znajduje.
• Tymczasowe (302) przekierowanie zamiast trwałego (301). 302 działa dla odwiedzających, ale mówi wyszukiwarkom, że przenosiny są tymczasowe, więc wartość rankingowa nie przenosi się czysto na bezpieczny adres. Użyj trwałego 301.
• Przekierowanie tylko gołej domeny, nie «www» (lub odwrotnie). Upewnij się, że i twojadomena.pl, i www.twojadomena.pl kończą na HTTPS, inaczej jedna ścieżka wciąż jest wystawiona.
• Dopuszczenie do wygaśnięcia certyfikatu. Wygasły certyfikat rzuca pełnoekranowy błąd przeglądarki, który zatrzymuje odwiedzających na sucho. Darmowe certyfikaty Let’s Encrypt odnawiają się same; jeśli kupiłeś jeden ręcznie, ustaw przypomnienie w kalendarzu z dużym wyprzedzeniem przed wygaśnięciem.

FAQ

Zobacz pytania powyżej — obejmują nietechniczne „czy poradzę sobie sam”, różnicę między posiadaniem kłódki a wymuszeniem przekierowania, koszt i odnawianie certyfikatu, czy strony-wizytówki tego potrzebują oraz jak odnosi się to do HSTS.

Najczęstsze pytania