Defaults.Exposed › Исправления
Исправьте безопасность своего домена — бесплатные пошаговые руководства
Понятные руководства по устранению каждой проблемы, которую мы оцениваем, — SPF, DKIM, DMARC, DNSSEC, TLS, сертификаты и заголовки безопасности HTTP. Каждое объясняет, что это такое, во что это может обойтись вашему бизнесу и как именно всё настроить у вашего провайдера.
- CDN / WAF и хостинг
Два взгляда на «инженерные сети» за вашим сайтом: стоите ли вы за защитным щитом (CDN с межсетевым экраном веб-приложений, вроде Cloudflare), который фильтрует атаки и поглощает всплески трафика, и карта того, кто реально ведёт ваш DNS, сайт и почту. Оба информационны по нашей оценке — они не двигают оценку, — но они описывают, насколько ваш origin-сервер открыт атакам и сбоям и насколько запутаны ваши провайдеры. Щит впереди и разумно разделённый набор провайдеров — вот как выглядят устойчивые бизнесы. - Content-Security-Policy (CSP)
Политика безопасности контента (CSP) — это правило безопасности, которое ваш сайт вручает браузеру каждого посетителя, указывая ему ровно, какому коду разрешено выполняться. Без неё, если на страницу когда-нибудь попадёт что-то вредоносное — через поле комментариев, взломанный плагин или сторонний скрипт, — браузер свободно его выполнит, включая код, который тихо считывает номера карт и пароли ваших клиентов прямо при наборе, с по-прежнему показанным замком. - DKIM
DKIM — невидимая защищённая от вскрытия печать на каждом письме, которое отправляет ваш бизнес. Она позволяет принимающему почтовому сервису подтвердить, что письмо действительно пришло от вас и дошло без изменений. Без неё вашу почту легче подделать, легче изменить и куда вероятнее, что она попадёт в спам. - DMARC (защита от подделки почты)
DMARC — та самая настройка, которая реально велит почтовым сервисам всего мира БЛОКИРОВАТЬ письма, подделывающие имя вашего бизнеса. SPF и DKIM проверяют замки; DMARC решает, что происходит, когда подделка проверку не проходит, — выбросить, пометить или пропустить. Настроено неверно — ваш домен полностью подделываем; настроено верно — подмена останавливается ещё до почтового ящика. - DNSSEC
DNSSEC — это цифровая печать на адресной книге вашего домена. Она позволяет интернету доказать, что ответ на вопрос «где живёт этот домен?» действительно пришёл от вас и не был подменён по пути. Без неё ответ можно подделать — и ваших посетителей тихо отправят в другое место. - HSTS (Strict-Transport-Security)
HSTS — это однострочная инструкция, которую ваш сайт даёт каждому браузеру: «всегда возвращайся ко мне по защищённому, зашифрованному соединению — никогда по незащищённому». Без неё ваш замок можно тихо сорвать в общей WiFi-сети, а самый первый визит на ваш сайт оказывается под угрозой. - HTTPS и принудительное перенаправление на защищённое соединение
HTTPS — это замок в адресной строке браузера: он шифрует всё, что курсирует между вашим сайтом и клиентами, чтобы это нельзя было прочитать или подменить в пути. Принудительное перенаправление гарантирует, что посетители попадают на зашифрованную версию автоматически, даже когда они вводят адрес без «https://». Вместе это самое базовое, что нужно сайту, чтобы вообще считаться безопасным. - MX-записи (настройка почты)
MX-запись — это указатель, который сообщает остальному миру, куда доставлять письма, адресованные вашему домену. Если она отсутствует или сломана, каждое письмо, отправленное вашему бизнесу — запросы клиентов, сбросы паролей, счета, договоры, — отскакивает прямо отправителю. Нет MX — нет входящих. - Referrer-Policy
Referrer-Policy — это однострочная инструкция, которую ваш сайт передаёт браузеру каждого посетителя, управляя тем, сколько вашего веб-адреса уходит вместе с ним при переходе по ссылке на другой сайт. Без неё полный адрес страницы, на которой он был, — со всеми поисковыми запросами, номерами аккаунтов, ссылками для сброса пароля, внутренними путями — тихо передаётся следующему сайту, на который он попадает, включая рекламодателей, аналитические компании и куда угодно, куда ведёт ссылка. - SPF (Sender Policy Framework — список разрешённых отправителей)
SPF — это строка в настройках вашего домена, которая перечисляет, какие почтовые сервисы имеют право отправлять письма от имени вашего бизнеса. Без неё любой человек в мире может разослать письма, которые выглядят как ваши, — а ваша собственная настоящая почта с большей вероятностью попадёт клиентам в спам. - Заголовки изоляции между сайтами (COOP / CORP / COEP)
Три необязательные инструкции браузеру, которые управляют тем, как другим сайтам разрешено взаимодействовать с вашим — открывать его во всплывающих окнах, встраивать его изображения и скрипты или тянуть его ресурсы в свои страницы. Это современное усиление, а не базовая обязательность, и по нашей оценке они информационные: их отсутствие не понижает оценку. Но два безопасных закрывают тихую дыру для фишинга и кражи трафика, а ИТ-отдел внимательного покупателя заметит их наличие. - Записи CAA
Запись CAA — это короткая инструкция в настройках вашего домена, которая называет, какие сертификационные компании вправе выпускать «замочковый» сертификат безопасности для вашего сайта. С ней никакая другая компания не сможет тихо создать действующий сертификат от вашего имени. - Защита от MIME-угадывания (X-Content-Type-Options)
Однострочный заголовок, который запрещает браузерам угадывать, что на самом деле представляет собой файл. Без него файл, загруженный кем-то на ваш сайт — или файл на ваших собственных страницах, — может быть неверно истолкован браузером и запущен как код, а это ровно тот способ, которым некоторые атаки превращают безобидную с виду загрузку в кражу сессий ваших клиентов. - Защита от кликджекинга (X-Frame-Options)
Однострочная инструкция, которая запрещает браузерам тайно загружать ваш сайт внутрь чужих сайтов. Без неё мошенник может спрятать ваши настоящие, уже авторизованные страницы под фальшивой страницей и заставить клиента нажать то, что он нажимать не собирался, — подтвердить платёж, сменить пароль, выдать доступ. - Настройка nameservers (разнообразие и SOA)
Ваши nameservers — это справочник, который сообщает всему интернету, где найти ваш сайт и почту. Если все они стоят в одной сети и она падает, ваш бизнес в тот же миг исчезает из интернета — нет сайта, нет почты, ничего, — а небрежная настройка часов на этих серверах может оставить вносимые вами изменения зависшими на дни. - Обратный DNS (PTR)
Обратный DNS — это удостоверение сервера, отправляющего почту вашего бизнеса. Когда принимающий сервис вроде Gmail или Microsoft 365 проверяет, кто стоит за отправляющим адресом, и получает имя, которое подтверждается, ваша почта выглядит легитимно. Когда удостоверения нет — или имя и номер не совпадают, — ваши совершенно настоящие счета и предложения считаются подозрительными и тихо уходят в спам или отклоняются. - Поддержка IPv6
IPv6 — это более новая, гораздо более ёмкая версия системы адресации интернета, введённая потому, что в старой (IPv4) кончилось место. Добавление поддержки IPv6 означает, что до вашего сайта и почты можно дотянуться и по современной сети, не только по старой. По нашей оценке это информационная проверка — её отсутствие не понижает оценку, — но это реальный вопрос охвата: растущая доля мобильных и зарубежных клиентов подключается через сети только-IPv6, и они доходят до вас гладко лишь при наличии поддержки. Исправление бесплатно и живёт в вашем DNS и настройках хостинга. - Современное шифрование (версия TLS и шифры)
TLS — это замок, шифрующий данные, что текут между вашими посетителями и сайтом. Две вещи делают этот замок надёжным: использование современной версии TLS (а не старых, сломанных) и использование сильных шифров (собственно рецепта шифрования). Эта страница охватывает обе — плюс несколько связанных настроек, которые не влияют на оценку, но о которых стоит знать. - Состояние TLS-сертификата
Ваш SSL/TLS-сертификат — это цифровое удостоверение, доказывающее посетителю, что он действительно общается с вашим сайтом, а не с самозванцем, и питающее замок в браузере. Эта проверка смотрит, корректен ли и доверен ли сертификат, не вот-вот ли он истечёт и построен ли он на сильной, современной криптографии.