Defaults.Exposed › Opravy
Opravte zabezpečenie svojej domény — bezplatné návody krok za krokom
Zrozumiteľné návody na opravu každého problému, ktorý hodnotíme — SPF, DKIM, DMARC, DNSSEC, TLS, certifikátov a bezpečnostných hlavičiek HTTP. Každý vysvetľuje, čo to je, čo to môže vaše podnikanie stáť a ako presne to u vášho poskytovateľa nastaviť.
- CAA záznamy
CAA záznam je krátka inštrukcia v nastaveniach vašej domény, ktorá uvádza, ktoré certifikačné spoločnosti smú vydávať bezpečnostný certifikát 'zámku' pre váš web. Keď je zapnutý, žiadna iná spoločnosť nemôže ticho vytvoriť platný certifikát vo vašom mene. - CDN / WAF a hosting
Dve čítania inštalatérstva za vašim webom: či sedíte za ochranným štítom (CDN s Web Application Firewallom, ako Cloudflare), ktorý filtruje útoky a absorbuje nárazy prevádzky, a mapa toho, kto skutočne prevádzkuje váš DNS, web a e-mail. Obe sú informatívne v našom hodnotení — neposúvajú vaše hodnotenie — ale popisujú, ako je váš pôvodný server vystavený útoku a výpadku a ako zamotaní sú vaši poskytovatelia. Štít vpredu a rozumne rozdelená sada poskytovateľov je to, ako vyzerajú odolné firmy. - Content-Security-Policy (CSP)
Content Security Policy je bezpečnostné pravidlo, ktoré váš web odovzdáva prehliadaču každého návštevníka, hovoriac mu presne, ktorý kód smie bežať. Bez nej, ak niečo škodlivé niekedy pristane na stránke — cez pole na komentáre, hacknutý plugin alebo skript tretej strany — prehliadač ho spustí slobodne, vrátane kódu, ktorý ticho skimuje čísla kariet a heslá zákazníkov pri ich písaní, kým zámok stále svieti. - DKIM
DKIM je neviditeľná ochranná pečať na každom e-maile, ktorý vaša firma odosiela. Umožňuje poskytovateľovi prijímacej pošty potvrdiť, že e-mail skutočne pochádza od vás a dorazil nezmenený. Bez nej je vaša pošta ľahšie sfalšovateľná, ľahšie pozmeniteľná a s oveľa väčšou pravdepodobnosťou skončí v spame alebo bude priamo odmietnutá. - DMARC (Ochrana pred falšovaním e-mailu)
DMARC je jedno nastavenie, ktoré skutočne hovorí poštovým poskytovateľom sveta BLOKOVAŤ e-maily, ktoré falšujú meno vašej firmy. SPF a DKIM kontrolujú zámky; DMARC rozhoduje, čo sa stane, keď falzifikát neuspeje v kontrole — zahoďte ho, označte alebo nechajte prejsť. Nesprávne nastavené, vaša doména je plne falzifikovateľná; správne nastavené, vydávanie sa za vás zastaví pri doručenej pošte. - DNSSEC
DNSSEC je digitálna pečať na adresári vašej domény. Umožňuje internetu dokázať, že odpoveď na otázku 'kde táto doména žije?' skutočne pochádza od vás a nebola po ceste sfalšovaná. Bez nej môže byť odpoveď sfalšovaná — a vaši návštevníci ticho poslaní niekam inam. - Hlavičky cross-origin izolácie (COOP / CORP / COEP)
Tri voliteľné inštrukcie prehliadača, ktoré kontrolujú, ako iné webové stránky môžu interagovať s vašou — otváranie jej v popupoch, vkladanie jej obrázkov a skriptov alebo sťahovanie jej zdrojov do ich vlastných stránok. Sú to moderné posilnenia, nie nevyhnutné základy, a v našom hodnotení sú informatívne: ich absencia neznižuje vaše hodnotenie. Ale dve bezpečné uzatvárajú tichú phishingovú medzeru a krádež šírky pásma, a opatrný IT tím kupujúceho si všimne, keď sú prítomné. - HSTS (Strict-Transport-Security)
HSTS je jednoriadková inštrukcia, ktorú váš web dáva každému prehliadaču: 'vždy sa ku mne vrát cez bezpečné, šifrované pripojenie — nikdy cez nezabezpečené.' Bez nej môže byť váš zámok ticho odstránený na zdieľanej WiFi a prvá návšteva vašej stránky je odhalená. - HTTPS a nútené bezpečné presmerovanie
HTTPS je zámok v paneli prehliadača — šifruje všetko, čo cestuje medzi vaším webom a zákazníkmi, aby to nemohlo byť čítané alebo pozmenené počas prenosu. Nútené bezpečné presmerovanie zabezpečuje, že návštevníci automaticky pristanú na tejto šifrovanej verzii, aj keď napíšu vašu adresu bez 'https://'. Spolu sú to najzákladnejšie veci, ktoré web potrebuje, aby mohol byť vôbec považovaný za bezpečný. - Moderné šifrovanie (verzia TLS a šifry)
TLS je zámok, ktorý kóduje dáta tečúce medzi vašimi návštevníkmi a vaším webom. Dve veci robia tento zámok dôveryhodným: používanie modernej verzie TLS (nie starých, prelomených) a používanie silných šifier (skutočného receptu kódovania). Táto stránka pokrýva oboje — plus niekoľko súvisiacich nastavení, ktoré neovplyvňujú vaše hodnotenie, ale stojí za to vedieť o nich. - MX záznamy (nastavenie pošty)
MX záznam je smerovník, ktorý hovorí celému svetu, kde doručovať e-maily adresované vašej doméne. Ak chýba alebo je nefunkčný, každá správa poslaná vašej firme — dopyty zákazníkov, resetovanie hesiel, faktúry, zmluvy — sa okamžite vráti odosielateľovi. Bez MX, bez doručenia. - Nastavenie nameserverov (diverzita a SOA)
Vaše nameservery sú adresár, ktorý hovorí celému internetu, kde nájsť váš web a e-mail. Ak všetky sídlia na jednej sieti a tá padne, vaše podnikanie v tom istom okamihu zmizne z internetu — žiadna stránka, žiadny e-mail, nič — a neporiadne nastavenie hodín na tých serveroch môže zanechať zmeny, ktoré urobíte, zaseknuté na dni. - Ochrana pred clickjackingom (X-Frame-Options)
Jednoriadková inštrukcia, ktorá hovorí prehliadačom, aby nedovolili iným webom tajne načítať vašu stránku vo vnútri ich vlastnej. Bez nej môže podvodník skryť vaše skutočné, prihlásené stránky za falošnou stránkou a oklamať vašich zákazníkov, aby klikli na veci, ktoré nikdy nemali — schvaľovanie platby, zmenu hesla, udelenie prístupu. - Ochrana pred MIME-sniffingom (X-Content-Type-Options)
Jednoriadková hlavička, ktorá zabraňuje prehliadačom hádať, čo súbor v skutočnosti je. Bez nej môže súbor, ktorý niekto nahrá na vašu stránku — alebo súbor na vašich vlastných stránkach — prehliadač nesprávne prečítať a spustiť ako kód, čo je presne spôsob, akým niektoré útoky premenia zdanlivo nevinné nahrávanie na spôsob kradnutia relácií zákazníkov. - Podpora IPv6
IPv6 je novšia, oveľa väčšia verzia adresovacieho systému internetu, zavedená preto, lebo stará (IPv4) vyčerpala miesto. Pridanie podpory IPv6 znamená, že váš web a e-mail môžu byť dosiahnuté cez modernú sieť aj cez starú. V našom hodnotení je to informatívne — nemať to neznižuje vaše hodnotenie — ale je to skutočný problém dosahu: rastúca časť mobilných a zahraničných zákazníkov sa pripája cez siete len s IPv6, a dostanú sa k vám plynule len ak ho podporujete. Oprava je zadarmo a žije vo vašom DNS a hostingovom nastavení. - Referrer-Policy
Referrer-Policy je jednoriadková inštrukcia, ktorú váš web odovzdáva prehliadaču každého návštevníka, kontrolujúc, koľko vašej webovej adresy cestuje s nimi, keď kliknú na odkaz na inú stránku. Bez nej je plná adresa ktorejkoľvek stránky, na ktorej boli — vyhľadávacie výrazy, čísla účtov, resetovacie odkazy, cesty interných stránok a všetko ostatné — ticho odovzdaná nasledujúcej stránke, na ktorú pristanú, vrátane inzerentov, analytických firiem a kdekoľvek inam, kam odkaz ukazuje. - Reverzný DNS (PTR)
Reverzný DNS je preukaz totožnosti servera, ktorý odosiela e-mail vašej firmy. Keď poskytovateľ prijímacej pošty, ako Gmail alebo Microsoft 365, vyhľadá, kto stojí za odosielacou adresou a získa meno, ktoré obstojí v overení, vaša pošta vyzerá legitímne. Keď neexistuje žiadny preukaz — alebo sa meno a číslo nezhodujú — vaše skutočné faktúry a ponuky sú zaobchádzané ako podozrivé a ticho zahadené alebo odmietnuté. - SPF (Sender Policy Framework)
SPF je riadok v nastaveniach vašej domény, ktorý určuje, ktoré poštové služby môžu odosielať e-maily v mene vašej firmy. Bez neho môže ktokoľvek na svete poslať e-mail, ktorý vyzerá, akoby pochádzal od vás — a vaše vlastné skutočné e-maily s väčšou pravdepodobnosťou skončia v spame zákazníkov. - Zdravie TLS certifikátu
Váš SSL/TLS certifikát je digitálny preukaz totožnosti, ktorý dokazuje návštevníkovi, že skutočne hovorí s vaším webom — nie s podvodníkom — a napája zámok v prehliadači. Táto kontrola sa zaoberá tým, či je certifikát platný a dôveryhodný, či čoskoro nevyprší a či je postavený na silnej, modernej kryptografii.