Defaults.Exposed › Popravki › HTTPS in prisilna varna preusmeritev

Kako popraviti HTTPS in prisilna varna preusmeritev

HTTPS je ključavnica v naslovni vrstici brskalnika — šifrira vse, kar potuje med vašo spletno stranjo in vašimi strankami, da tega ni mogoče prebrati ali spremeniti med prenosom. Prisilna varna preusmeritev zagotavlja, da obiskovalci samodejno pristanejo na šifrirani različici, tudi ko vtipkajo vaš naslov brez 'https://'. Skupaj sta najpomembnejša osnova, ki jo spletna stran potrebuje, da se sploh šteje za varno.

Bistvo za vaše podjetje: Brez HTTPS vsako geslo, številko kartice in sporočilo, ki vam ga pošlje stranka, prečka internet kot berljivo besedilo, Chrome, Edge, Safari in Firefox pa označijo vašo stran kot 'Ni varno' za vsakega obiskovalca, preden prebere eno samo besedo. Brez preusmeritve celo strani s certifikatom pustijo prvo obisko nezaščiteno. Oboje vam stane zaupanje, prodajo in iskalno uvrstitev — in oboje je brezplačno popraviti v minutah.

Kaj vas to lahko stane

Prvič obiskovalec takoj ob nalaganju strani vidi opozorilo 'Ni varno'. Večina predpostavi, da je stran lažna, pokvarjena ali nevarna, in odide h konkurentu — vi pa nikoli niti ne veste, da je bila prodaja izgubljena.
Stranka vnese podatke kartice ali se prijavi prek nešifrirane povezave iz kavarne, hotela ali letališča. Nekdo v istem omrežju WiFi to prebere v navadnem besedilu, lažne obremenitve, ki sledijo, pa se pripisujejo vam.
Nabavna ali varnostna ekipa večjega naročnika pred podpisom opravi hiter pregled in vidi, da ni HTTPS ali manjka prisilna varna preusmeritev, ter zamrzne pogodbo, dokler ne dokažete, da je to popravljeno.
Google vas uvršča nižje od konkurentov, ki strežejo HTTPS, zato tiho izgubite iskalni promet let brez da bi to kdaj povezali s to vrzeljo.
Regulator ali vaš plačilni ponudnik obravnava pošiljanje osebnih ali kartičnih podatkov nešifrirano kot prijavljivo napako, kar pet-minutni brezplačni popravek spremeni v problem skladnosti.

Zakaj je to pomembno. HTTPS je temelj, ne strop spletne varnosti — je tisto, kar povzroči, da se ključavnica pojavi in kar prepreči, da bi bilo vse, kar pošiljajo vaše stranke, prebrano ali spremenjeno na poti. Prisilna varna preusmeritev zapolni vrzel, ki jo sam certifikat pušča odprto: ljudje skoraj nikoli ne vtipkajo 'https://', zato brez preusmeritve njihova prva zahteva potuje nezaščitena, preden se šifrirana različica sploh naloži. Stran brez katerega koli od teh izgleda nevarna za obiskovalce, se uvršča nižje v iskanju in izpostavlja resnične podatke strank — zato je to najtežje ocenjeno neuspešno preverjanje, ki ga ocenjujemo.

Kaj to je v preprostem jeziku

HTTPS je varna, šifrirana različica vaše spletne strani — tista, ki v naslovni vrstici prikazuje ključavnico. Ko je obiskovalec na HTTPS, je vse, kar potuje med njihovim brskalnikom in vašo stranjo (strani, ki jih vidijo, obrazci, ki jih izpolnijo, gesla, podrobnosti kartice), šifrirano, tako da ga nihče vmes ne more prebrati ali spremeniti. Navadna različica, HTTP, pošilja vse to kot berljivo besedilo, ki ga kdorkoli v istem omrežju lahko prestreže.

Obstajata dva dela, da to pravilno nastavimo, in oba preverjamo:

Ali je HTTPS sploh na voljo? Ali ima vaša stran delujoč varnostni certifikat, tako da varna, ključavnico prikazujoča različica obstaja? To je resnejše od obeh — brez tega sploh ni šifriranja.
Ali vaša stran prisili obiskovalce nanjo? Skoraj nihče ne vtipka “https://” z roko. Če nekdo vtipka le ime vaše domene, njihov brskalnik najprej poskusi navadno HTTP različico. Prisilna varna preusmeritev samodejno preusmeri to zahtevo na šifrirano različico. Brez nje so prve sekunde vsakega obiska nezaščitene, četudi imate certifikat.

Hočete oboje. Certifikat brez preusmeritve je zaklenjena vhodna vrata, ki jih obiskovalci preprosto obhodijo.

Poslovne implikacije

To je najpomembnejši signal o tem, ali je spletna stran varna — in ključnega pomena, da ga vaše stranke vidijo same. Vsak sodobni brskalnik (Chrome, Edge, Safari, Firefox) označi stran brez HTTPS kot “Ni varno” v naslovni vrstici in prikaže opozorilo, če kdo poskusi vnesti kaj v obrazec. Vaši obiskovalci ne potrebujejo vedeti, kaj je certifikat, da bi reagirali na to besedo.

Poleg vidnega opozorila to vpliva na tri stvari, ki jih lastniki neposredno skrbijo: zaupanje (ljudje opuščajo strani, ki izgledajo nevarne), iskalna uvrstitev (Google že leta uporablja HTTPS kot signal uvrstitve) in resnična izpostavljenost (podatki, poslani prek navadnega HTTP, so dejansko berljivi za druge v istem omrežju).

Kaj vas to lahko stane

Tiho odhajanje. Potencialna stranka klikne iz iskanja ali oglasa in stran se naloži z sivim znakom “Ni varno” — ali, slabše, s celostranskim opozorilom. Ne pošljejo vam e-pošte, da bi vprašali zakaj; preprosto zaprejo zavihek in kliknejo naslednji rezultat. Za to obisko ste plačali in ga izgubili, preden so prebrali eno besedo.
Prestrežena prijava ali plačilo. Stranka se prijavi ali zaključi nakup na skupnem omrežju WiFi v hotelu ali kavarni. Ker povezava ni šifrirana, nekdo v bližini ujame njeno geslo ali številko kartice v navadnem besedilu. Prevara, ki sledi, se poroča kot vaša kršitev in vi sprejemate jezne klice in vračila.
Zaustavljeni posel. Večji potencialni naročnik je pripravljen za podpis, a njihov nabavni proces vključuje hiter varnostni pregled vaše spletne strani. Poroča o odsotnosti HTTPS ali manjkajoče prisilne varnostne preusmeritve. Nenadoma razlagujete osnovno varnostno vrzel namesto zaključevanja — in pogodba čaka ali tiho gre h konkurentu, ki je prestalo preverjanje.
Počasno uhajanje uvrstitve. Dve podjetji ponujata isto stvar; eno streže varni HTTPS in eno ne. Iskalniki rahlo dvignejo varno. Skozi mesece izgubite enakomerno reko brezplačnega prometa in tega nikoli ne povežete s to eno nastavitvijo.
Vstavljena vsebina, ki je niste napisali. Na nešifrirani povezavi kdorkoli vmes — slabo javno omrežje, ogrožen usmerjevalnik — lahko vstavi lažne pojavne okente, prevarantske ponudbe ali zlonamerno programje v vaše strani, medtem ko jih obiskovalec nalaga. Za tega obiskovalca izgleda, kot da je vaša stran to storila.

Kaj to dejansko je

Ko se brskalnik poveže s spletno stranjo prek HTTPS, se zgodita dve stvari. Prvič, stran predstavi certifikat — poverilnico, ki jo je izdal zaupanja vreden organ in ki dokazuje, da je stran tista, za katero trdi, da je. Drugič, brskalnik in strežnik se dogovorita za šifrirni ključ in ga uporabita za šifriranje vsega, kar si izmenjujeta. Naše prvo preverjanje, HTTPS na voljo, preprosto vpraša: ali lahko vzpostavimo varno TLS povezavo z vašo stranjo na standardnih varnih vratih (443) in dobimo nazaj veljaven certifikat? Če da, se ključavnica prikaže in šifriranje je vklopljeno. Če ne, vaša stran sploh nima varne različice.

Drugo preverjanje, prisilna varna preusmeritev, pokriva vrzel, ki jo sam certifikat pušča odprto. Ljudje vtipkajo “vasepodjetje.com”, ne “https://vasepodjetje.com”. Ta gola zahteva gre najprej na navadno HTTP različico. Preusmeritev je navodilo ene vrstice, ki pravi “pošljite vsakogar, ki prispe na nevarno različico, takoj na varno.” Naše preverjanje vpraša: ko zahtevamo vaš navadni HTTP naslov, ali nas vaša stran preusmeri na HTTPS?

Kako izgleda “dobro”: veljaven, zaupanja vreden certifikat, da se ključavnica prikazuje na vsaki strani, in vsaka zahteva navadnega HTTP je samodejno preusmerjena na HTTPS različico (po možnosti s trajno “301” preusmeritev, ki prav tako prenese vašo iskalno uvrstitev čisto na varni naslov).

Kako to popraviti (brezplačno, ~15 minut)

Posredujte ta razdelek vaši IT osebi ali podpori vašega ponudnika gostovanja — popravek je brezplačen. Oba dela tega ne staneta nič: zaupanja vredni certifikati so brezplačni in se samodejno obnavljajo, vklop preusmeritve pa je ena nastavitev na večini platform. Za prestop tega preverjanja ni potreben noben plačljiv izdelek.

Obstajata dve stvari za vklop. Na večini sodobnega gostovanja to, da naredite prvega, pogosto naredi drugega enkratni klik.

1. Pridobite certifikat, da HTTPS deluje (ključavnica).

Cloudflare: če je vaša stran za Cloudflare, je SSL zagotovljen za vas. Nastavite način SSL/TLS na “Full” (ali “Full (strict)”, če ima vaš izvorni strežnik prav tako certifikat).
Gradniki strani in upravljano gostovanje (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, večina Microsoft 365 / Google Workspace spletnega gostovanja): HTTPS je zagotovljen samodejno; samo prepričajte se, da je omogočen v nastavitvah vaše strani/domene.
cPanel gostovanje: odprite SSL/TLS Status in zaženite AutoSSL, ki izda brezplačen certifikat Let’s Encrypt.
Vaš lastni strežnik (VPS): namestite Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasadomena.com (ali --apache). Pridobi in namesti brezplačni certifikat ter nastavi samodejno obnavljanje.
Karkoli drugega: kontaktirajte podporo vašega ponudnika gostovanja in jih prosite, da “omogočijo brezplačni SSL certifikat za mojo domeno.” Skoraj vsi to ponujajo brez stroškov.

2. Prisilite vsakega obiskovalca na HTTPS (preusmeritev).

Cloudflare: SSL/TLS → Robni certifikati → vklopite “Vedno uporabljaj HTTPS.” To je vse.
Gradniki strani (Squarespace, Wix, Shopify itd.): v nastavitvah vaše strani poiščite preklop “Prisiliti HTTPS” ali “Varno (HTTPS)” in ga vklopite.
Nginx: dodajte blok strežnika na vratih 80, ki vrne trajno preusmeritev — return 301 https://$host$request_uri;.
Apache (.htaccess): omogočite prepisovanje in preusmerite vsako zahtevo, ki ni HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
IIS (gostovanje Windows): namestite modul URL Rewrite in dodajte pravilo preusmeritve “HTTP v HTTPS”.

Po obeh vklopljenih testirajte: vtipkajte vaš naslov z navadnim http:// spredaj in potrdite, da brskalnik skoči na ključavnico https:// različice samodejno.

Pogoste napake

Certifikat nameščen, a brez preusmeritve. Najpogostejša vrzel. Ključavnico vidite, ko obiščete lastno stran (ker si je brskalnik zapomnil HTTPS), zato predpostavite, da je opravljeno — a novi obiskovalci, ki vtipkajo golo domeno, še vedno najprej pristanejo na HTTP. Vedno izrecno preizkusite navadno http:// različico.
Mešana vsebina. Vaša stran se naloži prek HTTPS, a posnema sliko, skript ali pisavo s starega http:// naslova. Brskalniki jo bodisi blokirajo ali znižajo ključavnico na opozorilo. Posodobite te reference na https:// (ali na relativne povezave). Večina platform ima poročilo o “mešani vsebini”, ki jih najde.
Začasna (302) preusmeritev namesto trajne (301). 302 deluje za obiskovalce, a iskalnim strojem pove, da je selitev začasna, zato se vrednost uvrstitve ne prenese čisto na vaš varni naslov. Uporabite trajno 301.
Preusmerjati le golo domeno, ne “www” (ali obratno). Prepričajte se, da tako vasadomena.com kot www.vasadomena.com končata na HTTPS, sicer je ena pot še vedno izpostavljena.
Pustiti certifikat poteči. Potekel certifikat vrže celostransko napako brskalnika, ki popolnoma ustavi obiskovalce. Brezplačni certifikati Let’s Encrypt se samodejno obnavljajo; če ste ročno kupili enega, si nastavite opomnik dobro pred potekom.

Pogosta vprašanja

Glejte zgornja vprašanja — pokrivajo netehničen “ali to urezim sam”, razliko med ključavnico in prisilno preusmeritev, stroške certifikata in obnavljanje, ali brošurne strani to potrebujejo in kako se to nanaša na HSTS.

Pogosta vprašanja

Nisem tehničen — ali se s tem ukvarjam sam?

Podrobnosti vam ni treba razumeti. Obe polovici tega vklopi tisti, ki vodi vašo spletno stran ali gostovanje, in na večini sodobnih platform je to brezplačen certifikat in en sam preklop — pogosto dobesedno potrditveno okence z oznako 'Vedno uporabljaj HTTPS'. Razdelek 'Kako to popraviti' posredujte vaši spletni osebi ali podpori gostitelja; popravek ne stane nič in navadno traja minute.

Na svoji strani že vidim ključavnico — ali sem zaključil?

Morda ne. Ključavnica pomeni, da vaša varna (HTTPS) različica obstaja, ne zagotavlja pa, da so obiskovalci nanjo napoteni. Če nekdo vtipka vaš naslov brez 'https://' in vaša stran ne preusmeri, je njegova prva povezava še vedno nešifrirana. Preverjanje ključavnice in preverjanje preusmeritve sta dve ločeni stvari — hočete oboje.

Ali ni certifikat drag ali težko obnovljiv?

Ne. Brezplačni certifikati od Let's Encrypt so zaupani v vsakem večjem brskalniku in se samodejno obnavljajo, zato si ni treba ničesar zapomniti in nič plačati. Plačljivi certifikati obstajajo, a za tipično poslovno spletno stran ne nudijo dodatne varnosti — šifriranje je identično.

Na naši strani ne izvajamo plačil ali prijav — ali je to še vedno pomembno?

Da. Brskalniki označijo vsako stran brez HTTPS kot 'Ni varno', ne glede na to, kaj dela, zato celo brošurna stran izgubi zaupanje in iskalno uvrstitev. HTTPS prav tako preprečuje komurkoli med potjo vstavljati lažno vsebino, prevarantske pojavne oglase ali zlonamerno programje v vaše strani, medtem ko jih obiskovalci nalagajo.

Ali bi vklop prisilne preusmeritve pokvaril mojo stran?

Je varno, dokler vaša varna različica že deluje — kar, če imate veljaven certifikat, dela. Standardni pristop je najprej potrditi, da se stran pravilno naloži prek https://, nato vklopiti preusmeritev. Edina stvar, ki jo je treba opazovati, je mešana vsebina (glejte Pogoste napake spodaj), ki jo je enostavno opaziti in popraviti.

Kakšna je razlika med tem in HSTS?

Ta stran govori o tem, da HTTPS sploh imate in da nanj pošljete obiskovalce. HSTS je nadaljnji korak, ki brskalnikom naroča, naj si zapomnijo, da je vaša stran samo HTTPS, in zavrnejo kakršno koli nezaščiteno povezavo — utrdi to, kar ste tu nastavili. Najprej pravilno nastavite HTTPS in preusmeritev; HSTS gradi na vrhu.