Defaults.Exposed › Opravy › HTTPS a nútené bezpečné presmerovanie

Ako opraviť HTTPS a nútené bezpečné presmerovanie

HTTPS je zámok v paneli prehliadača — šifruje všetko, čo cestuje medzi vaším webom a zákazníkmi, aby to nemohlo byť čítané alebo pozmenené počas prenosu. Nútené bezpečné presmerovanie zabezpečuje, že návštevníci automaticky pristanú na tejto šifrovanej verzii, aj keď napíšu vašu adresu bez 'https://'. Spolu sú to najzákladnejšie veci, ktoré web potrebuje, aby mohol byť vôbec považovaný za bezpečný.

Podstata pre vaše podnikanie: Bez HTTPS každé heslo, číslo karty a správa, ktorú vám zákazník pošle, prechádza cez internet ako čitateľný text, a Chrome, Edge, Safari a Firefox označujú váš web 'Nezabezpečené' pre každého návštevníka skôr, než prečíta jediné slovo. Bez presmerovania dokonca weby, ktoré certifikát majú, nechávajú prvú návštevu nechránenú. Oboje vás stojí dôveru, predaj a umiestnenie vo vyhľadávaní — a oboje je zadarmo opraviť za pár minút.

Čo vás to môže stáť

• Nový návštevník vidí veľké upozornenie 'Nezabezpečené' hneď po načítaní vašej stránky. Väčšina predpokladá, že stránka je falošná, rozbíta alebo nebezpečná a odíde ku konkurentovi — a vy ani neviete, že predaj bol stratený.
• Zákazník zadáva svoje údaje o karte alebo sa prihlasuje cez nešifrované pripojenie z kaviarne, hotela alebo letiska. Niekto na rovnakej WiFi to číta v čistom texte a podvodné poplatky, ktoré nasledujú, sa pripisujú vám.
• Nákupné alebo bezpečnostné oddelenie väčšieho klienta spustí rýchlu kontrolu pred podpisom, neuvidí HTTPS alebo chýbajúce nútené bezpečné presmerovanie a zaparkuje zmluvu, kým to nedokážete opraviť.
• Google vás hodnotí nižšie ako konkurentov, ktorí HTTPS poskytujú, takže roky ticho strácate vyhľadávací výkon bez toho, aby ste to s touto medzerou spojili.
• Regulátor alebo váš platobný poskytovateľ považuje odosielanie osobných alebo kartem súvisiacich údajov nešifrovane za oznamovateľné zlyhanie, pričom päťminútovú bezplatnú opravu mení na problém s dodržiavaním predpisov.

Prečo na tom záleží. HTTPS je spodná hranica, nie strop, webovej bezpečnosti — je to to, čo spôsobí, že sa objaví zámok a čo zabraňuje čítaniu alebo zmene všetkého, čo vaši zákazníci posielajú. Nútené bezpečné presmerovanie uzatvára medzeru, ktorú samotný certifikát necháva otvorenú: ľudia takmer nikdy nepíšu 'https://', takže bez presmerovania ich prvý požiadavok cestuje nechránený, kým sa vôbec nenačíta zabezpečená verzia.

Čo to je, v jednoduchých slovách

HTTPS je zabezpečená, šifrovaná verzia vašej webovej stránky — tá, ktorá zobrazuje zámok v adresnom riadku. Keď je návštevník na HTTPS, všetko, čo prechádza medzi ich prehliadačom a vaším webom (stránky, ktoré vidia, formuláre, ktoré vypĺňajú, ich heslá, ich údaje o karte), je kódované tak, aby ho nikto medzi ne nemohol čítať ani meniť. Obyčajná verzia, HTTP, posiela všetko ako čitateľný text, ktorý môže zachytiť ktokoľvek na rovnacej sieti.

Kontrolujeme dve časti správneho nastavenia:

• Je HTTPS vôbec dostupný? Má vaša stránka fungujúci bezpečnostný certifikát, aby existovala zabezpečená, zamknutá verzia? Toto je závažnejšie z dvoch — bez toho vôbec neexistuje šifrovanie.
• Núti vaša stránka návštevníkov na ňu? Takmer nikto nepíše “https://” ručne. Ak niekto napíše len vaše doménové meno, ich prehliadač najprv skúsi obyčajnú HTTP verziu. Nútené bezpečné presmerovanie automaticky odrazí tento požiadavok na šifrovanú verziu. Bez neho sú prvé momenty každej návštevy nechránené, aj keď certifikát máte.

Chcete oboje. Certifikát bez presmerovania je zamknuté predné dvere, okolo ktorých môžu návštevníci jednoducho obísť.

Obchodné dôsledky

Toto je najzákladnejší signál toho, či je web bezpečný — a čo je rozhodujúce, je to niečo, čo vaši zákazníci môžu sami vidieť. Každý moderný prehliadač (Chrome, Edge, Safari, Firefox) označuje stránku bez HTTPS “Nezabezpečené” priamo v adresnom riadku a zobrazuje upozornenie, ak sa niekto pokúsi zadať do formulára. Vaši návštevníci nepotrebujú vedieť, čo je certifikát, aby reagovali na toto slovo.

Okrem viditeľného upozornenia to ovplyvňuje tri veci, na ktorých vlastníci priamo záleží: dôvera (ľudia opúšťajú stránky, ktoré vyzerajú nebezpečne), umiestnenie vo vyhľadávaní (Google roky používa HTTPS ako signál hodnotenia) a skutočná expozícia (dáta odosielané cez obyčajné HTTP skutočne môžu byť čítané inými na tej istej sieti).

Čo vás to môže stáť

• Tichý odchod. Potenciálny zákazník klikne z výsledku vyhľadávania alebo reklamy a stránka sa načíta so sivým odznakom “Nezabezpečené” — alebo ešte horšie, celostránkovým upozornením. Nepíšu vám, aby sa opýtali prečo; jednoducho zatvoria záložku a kliknú na ďalší výsledok. Zaplatili ste za tú návštevu a stratili ste ju skôr, než prečítali jediné slovo.
• Zachytené prihlásenie alebo platba. Zákazník sa prihlási alebo pokladní, kým je na zdieľanej WiFi v hoteli alebo kaviarni. Pretože pripojenie nie je šifrované, niekto v blízkosti zachytí ich heslo alebo číslo karty v čistom texte. Podvod, ktorý nasleduje, sa hlási ako vaše porušenie a vy odpovedáte na nahnevané hovory a vrátenie peňazí.
• Obchod, ktorý viazne. Väčší potenciálny zákazník je pripravený podpísať, ale ich nákupný proces zahŕňa rýchlu bezpečnostnú kontrolu vašej webovej stránky. Vráti sa s upozornením na žiadne HTTPS alebo chýbajúce nútené bezpečné presmerovanie. Zrazu vysvetľujete základnú bezpečnostnú medzeru namiesto uzatvárania — a zmluva čaká, alebo ticho ide ku konkurentovi, ktorý prešiel kontrolou.
• Pomalý únik umiestnenia. Dve firmy ponúkajú to isté; jedna poskytuje bezpečné HTTPS a jedna nie. Vyhľadávače jemne uprednostňujú tú bezpečnú. Mesiacmi strácate stabilný prúd bezplatnej prevádzky.
• Vložený obsah, ktorý ste nikdy nenapísali. Na nešifrovanom pripojení môže ktokoľvek v strede — zákerná verejná sieť, kompromitovaný router — vložiť falošné vyskakovacie okná, podvodné ponuky alebo malvér do vašich stránok, keď ich návštevník načíta.

Ako to opraviť (zadarmo, ~15 minút)

Odovzdajte túto sekciu svojmu IT pracovníkovi alebo podpore hostingového poskytovateľa — oprava je zadarmo. Obidve časti tohto nič nestoja: dôveryhodné certifikáty sú zadarmo a obnovia sa automaticky, a zapnutie presmerovania je jedno nastavenie na väčšine platforiem. Na absolvovanie tohto testu nie je potrebný žiadny platený produkt.

1. Získajte certifikát, aby HTTPS fungoval (zámok).

• Cloudflare: ak je vaša stránka za Cloudflare, SSL sa spravuje za vás. Nastavte režim SSL/TLS na “Full” (alebo “Full (strict)” ak váš pôvodný server tiež má certifikát).
• Stavitelia webov a spravovaný hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder): HTTPS sa poskytuje automaticky; len sa uistite, že je povolený v nastaveniach vašej stránky/domény.
• cPanel hosting: otvorte Stav SSL/TLS a spustite AutoSSL.
• Vlastný server (VPS): nainštalujte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasadomena.com.

2. Núťte každého návštevníka na HTTPS (presmerovanie).

• Cloudflare: SSL/TLS → Okrajové certifikáty → zapnite “Vždy používať HTTPS”. To je celá práca.
• Stavitelia webov: vyhľadajte prepínač “Vynútiť HTTPS” alebo “Bezpečné (HTTPS)” v nastaveniach stránky.
• Nginx: pridajte blok servera na porte 80, ktorý vráti permanentné presmerovanie — return 301 https://$host$request_uri;.
• Apache (.htaccess): povolte prepisovanie a presmerujte akýkoľvek non-HTTPS požiadavok — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): nainštalujte modul URL Rewrite a pridajte pravidlo presmerovania “HTTP na HTTPS”.

Po zapnutí oboch otestujte to: napíšte svoju adresu s obyčajným http:// pred ňou a potvrďte, že prehliadač skočí na zaistený https:// verzia automaticky a že zámok sa zobrazí na vašich hlavných stránkach.

Bežné chyby

• Certifikát nainštalovaný, ale žiadne presmerovanie. Najčastejšia medzera. Vidíte zámok, keď navštevujete vlastnú stránku (pretože váš prehliadač si pamätal HTTPS), takže predpokladáte, že je hotovo — ale noví návštevníci, ktorí napíšu holú doménu, stále pristávajú najprv na HTTP. Vždy explicitne otestujte obyčajnú http:// verziu.
• Zmiešaný obsah. Vaša stránka sa načítava cez HTTPS, ale sťahuje obrázok, skript alebo písmo zo starej adresy http://. Prehliadače to buď zablokujú alebo znížia zámok na upozornenie. Aktualizujte tieto referencie na https:// (alebo na relatívne odkazy).
• Dočasné (302) presmerovanie namiesto permanentného (301). 302 funguje pre návštevníkov, ale hovorí vyhľadávacím nástrojom, že presun je dočasný, takže hodnota umiestnenia sa čisto neprenáša na vašu bezpečnú adresu. Použite permanentné 301.
• Presmerovanie len holej domény, nie “www” (alebo naopak). Uistite sa, že vasadomena.com aj www.vasadomena.com skončia na HTTPS.
• Nechanie certifikátu vypršať. Zaniknutý certifikát hodí celostránkovú chybu prehliadača, ktorá zastaví návštevníkov. Bezplatné certifikáty Let’s Encrypt sa automaticky obnovia; ak ste si kúpili jeden ručne, nastavte si kalendárnu upomienku dostatočne pred jeho vypršaním.

FAQ