Defaults.Exposed

Defaults.Exposedการแก้ไข › HTTPS & การ redirect ไปยังการเชื่อมต่อที่ปลอดภัย

วิธีแก้ไข HTTPS & การ redirect ไปยังการเชื่อมต่อที่ปลอดภัย

HTTPS คือ padlock ในแถบเบราว์เซอร์ — มันเข้ารหัสทุกอย่างที่เดินทางระหว่างเว็บไซต์ของคุณและลูกค้าของคุณเพื่อให้ไม่สามารถอ่านหรือถูกดัดแปลงระหว่างทาง การ redirect ไปยังการเชื่อมต่อที่ปลอดภัยทำให้แน่ใจว่าผู้เข้าชมลงบนเวอร์ชันที่เข้ารหัสนั้นอัตโนมัติ แม้แต่เมื่อพวกมันพิมพ์ที่อยู่ของคุณโดยไม่มี 'https://' ทั้งสองนี้เป็นสิ่งพื้นฐานที่สุดที่เว็บไซต์จำเป็นต้องถือว่าปลอดภัยเลย

สรุปสำหรับธุรกิจของคุณ: หากไม่มี HTTPS รหัสผ่าน หมายเลขบัตร และข้อความทุกอย่างที่ลูกค้าส่งถึงคุณข้ามอินเทอร์เน็ตในรูปแบบข้อความที่อ่านได้ และ Chrome, Edge, Safari และ Firefox ทั้งหมดประทับ 'ไม่ปลอดภัย' บนเว็บไซต์ของคุณสำหรับผู้เข้าชมทุกคนก่อนที่พวกมันจะอ่านคำใดๆ หากไม่มีการ redirect แม้แต่เว็บไซต์ที่มีใบรับรองก็ยังปล่อยให้การเข้าชมครั้งแรกไม่ได้รับการปกป้อง ทั้งสองทำให้คุณสูญเสียความไว้วางใจ ยอดขาย และ search ranking — และทั้งสองฟรีในการแก้ไขในไม่กี่นาที

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ HTTPS คือพื้น ไม่ใช่เพดานของความปลอดภัย web — มันคือสิ่งที่ทำให้ padlock ปรากฏขึ้นและสิ่งที่หยุดทุกอย่างที่ลูกค้าของคุณส่งจากการถูกอ่านหรือแก้ไขระหว่างทาง การ redirect ที่บังคับใช้ความปลอดภัยปิดช่องว่างที่ใบรับรองเพียงอย่างเดียวปล่อยไว้: ผู้คนแทบไม่พิมพ์ 'https://' ดังนั้นหากไม่มีการ redirect คำขอแรกของพวกมันเดินทางโดยไม่ได้รับการปกป้องก่อนที่เวอร์ชันที่ปลอดภัยจะโหลด เว็บไซต์ที่ขาดสิ่งเหล่านี้ดูไม่ปลอดภัยต่อผู้เข้าชม จัด ranking ต่ำกว่าในการค้นหา และเปิดเผยข้อมูลลูกค้าจริง — นั่นเป็นเหตุผลที่นี่เป็นความล้มเหลวเดียวที่มีน้ำหนักสูงสุดที่เราให้คะแนน

วิธีแก้ไข ทีละขั้นตอน

  1. รับใบรับรอง. รับใบรับรอง TLS ฟรี — host และ CDN ส่วนใหญ่ออก Let's Encrypt อัตโนมัติ
  2. ติดตั้งและ bind มัน. ใช้ใบรับรองเพื่อให้เว็บไซต์ของคุณให้บริการบน port 443
  3. Redirect HTTP เป็น HTTPS. บังคับคำขอ plain-HTTP ทั้งหมดไปยังเวอร์ชัน HTTPS ด้วย 301 redirect
  4. แก้ไข mixed content. อัปเดตรูปภาพ script หรือลิงก์ใดๆ ที่ยังโหลดผ่าน HTTP เพื่อให้ padlock ไม่เสียหาย
  5. ยืนยันว่ามันทำงาน. ตรวจสอบใหม่เพื่อยืนยันว่าเว็บไซต์ให้บริการ HTTPS ที่ถูกต้องโดยไม่มีข้อผิดพลาด

HTTPS ในคำพูดง่ายๆ

HTTPS คือเวอร์ชันที่ปลอดภัยและเข้ารหัสของเว็บไซต์ของคุณ — อันที่แสดง padlock ในแถบที่อยู่ เมื่อผู้เข้าชมอยู่บน HTTPS ทุกอย่างที่ผ่านระหว่างเบราว์เซอร์ของพวกมันและเว็บไซต์ของคุณ (หน้าที่พวกมันเห็น แบบฟอร์มที่พวกมันกรอก รหัสผ่านของพวกมัน รายละเอียดบัตรของพวกมัน) ถูกเข้ารหัสเพื่อให้ไม่มีใครตรงกลางสามารถอ่านหรือเปลี่ยนแปลงมัน เวอร์ชันธรรมดา HTTP ส่งทั้งหมดนั้นเป็นข้อความที่อ่านได้ที่ใครก็ตามบนเครือข่ายเดียวกันสามารถดักจับ

มีสองส่วนในการทำสิ่งนี้ให้ถูกต้อง และเราตรวจสอบทั้งสอง:

คุณต้องการทั้งสอง ใบรับรองที่ไม่มีการ redirect คือประตูด้านหน้าที่ล็อคซึ่งผู้เข้าชมสามารถเดินรอบได้

ความเสี่ยงทางธุรกิจ

นี่คือสัญญาณพื้นฐานที่สุดว่าเว็บไซต์ปลอดภัยหรือไม่ — และที่สำคัญมันเป็นสิ่งที่ลูกค้าของคุณสามารถเห็นด้วยตัวเอง เบราว์เซอร์สมัยใหม่ทุกตัว (Chrome, Edge, Safari, Firefox) ระบุเว็บไซต์ที่ไม่มี HTTPS ว่า “ไม่ปลอดภัย” ในแถบที่อยู่ และแสดงคำเตือนถ้าใครพยายามพิมพ์ลงในแบบฟอร์ม ผู้เข้าชมของคุณไม่จำเป็นต้องรู้ว่าใบรับรองคืออะไรเพื่อตอบสนองต่อคำนั้น

นอกเหนือจากคำเตือนที่มองเห็นได้ สิ่งนี้ส่งผลต่อสามสิ่งที่เจ้าของให้ความสำคัญโดยตรง: ความไว้วางใจ (ผู้คนละทิ้งเว็บไซต์ที่ดูไม่ปลอดภัย), search ranking (Google ใช้ HTTPS เป็นสัญญาณ ranking มาหลายปีและชอบเว็บไซต์ที่ปลอดภัย) และ การเปิดเผยจริง (ข้อมูลที่ส่งผ่าน HTTP ธรรมดาสามารถถูกอ่านโดยคนอื่นบนเครือข่ายเดียวกันได้จริงๆ) มันยังเป็นชนิดของสิ่งที่ทีมความปลอดภัยของลูกค้าขนาดใหญ่ตรวจสอบในไม่กี่วินาทีระหว่าง due diligence — และการขาดมันสามารถหยุดดีล

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ

เมื่อเบราว์เซอร์เชื่อมต่อกับเว็บไซต์ผ่าน HTTPS สองสิ่งเกิดขึ้น ประการแรก เว็บไซต์นำเสนอใบรับรอง — credential ที่ออกโดยหน่วยงานที่ได้รับความไว้วางใจที่พิสูจน์ว่าเว็บไซต์เป็นสิ่งที่อ้างว่าเป็น ประการที่สอง เบราว์เซอร์และเซิร์ฟเวอร์ตกลงกันบน encryption key และใช้มันในการเข้ารหัสทุกอย่างที่พวกมันแลกเปลี่ยน การตรวจสอบแรกของเรา HTTPS มีอยู่ เพียงแค่ถาม: เราสามารถเชื่อมต่อ TLS ที่ปลอดภัยกับเว็บไซต์ของคุณบน port ที่ปลอดภัยมาตรฐาน (443) และได้รับใบรับรองที่ถูกต้องกลับมาได้ไหม? ถ้าใช่ padlock สามารถปรากฏขึ้นและการเข้ารหัสเปิดอยู่ ถ้าไม่ ไม่มีเวอร์ชันที่ปลอดภัยของเว็บไซต์ของคุณเลย — และนั่นคือความล้มเหลวที่มีน้ำหนักหนักสุดเดียวที่เราให้คะแนน

การตรวจสอบที่สอง forced-secure redirect ครอบคลุมช่องว่างที่ใบรับรองเพียงอย่างเดียวปล่อยไว้ ผู้คนพิมพ์ “yourbusiness.com” ไม่ใช่ “https://yourbusiness.com” คำขอเปล่านั้นไปยังเวอร์ชัน HTTP ธรรมดาก่อน redirect คือคำสั่งหนึ่งบรรทัดที่บอกว่า “ส่งใครก็ตามที่มาถึงในเวอร์ชันที่ไม่ปลอดภัยตรงไปยังอันที่ปลอดภัย” การตรวจสอบของเราถาม: เมื่อเราขอที่อยู่ HTTP ธรรมดาของคุณ เว็บไซต์ของคุณเด้งเราไปยัง HTTPS ไหม? ถ้าทำ ผู้เข้าชมทุกคนจบลงด้วยการได้รับการปกป้องไม่ว่าพวกมันพิมพ์ที่อยู่ของคุณอย่างไร ถ้าไม่ การ hop ที่ไม่ได้รับการปกป้องแรกนั้นพา cookies, ข้อมูลแบบฟอร์ม ในรูปแบบที่อ่านได้

“ดี” ดูเหมือน: ใบรับรองที่ถูกต้องและได้รับความไว้วางใจเพื่อให้ padlock แสดงบนทุกหน้า และ ทุกคำขอ HTTP ธรรมดาถูก redirect อัตโนมัติไปยังเวอร์ชัน HTTPS (โดยเหมาะสมด้วย “301” redirect ถาวร ซึ่งยังผ่าน search ranking ของคุณอย่างสะอาดไปยังที่อยู่ที่ปลอดภัย)

วิธีแก้ไข (ฟรี ~15 นาที)

ส่งส่วนนี้ให้ผู้ดูแลระบบ IT ของคุณหรือ support ของ hosting provider — การแก้ไขฟรี ทั้งสองส่วนนี้ไม่มีค่าใช้จ่าย: ใบรับรองที่เชื่อถือได้ฟรีและต่ออายุตัวเอง และการเปิดการ redirect เป็น setting เดียวบนแพลตฟอร์มส่วนใหญ่ ไม่มีผลิตภัณฑ์แบบเสียเงินที่จำเป็นในการผ่านสิ่งนี้

มีสองสิ่งที่ต้องเปิด บน hosting สมัยใหม่ส่วนใหญ่ การทำอันแรกมักทำให้อันที่สองเป็น toggle คลิกเดียว

1. รับใบรับรองเพื่อให้ HTTPS ทำงาน (padlock)

2. บังคับผู้เข้าชมทุกคนไปยัง HTTPS (การ redirect)

หลังจากทั้งสองเปิดแล้ว ทดสอบมัน: พิมพ์ที่อยู่ของคุณด้วย http:// ธรรมดาข้างหน้าและยืนยันว่าเบราว์เซอร์กระโดดไปยังเวอร์ชัน https:// ที่มี padlock อัตโนมัติ และ padlock แสดงบนหน้าหลักของคุณ

ข้อผิดพลาดทั่วไป

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิค — นี่เป็นสิ่งที่ฉันสามารถจัดการเองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจรายละเอียดใดๆ ทั้งสองส่วนนี้ถูกเปิดโดยผู้ที่ดูแลเว็บไซต์หรือ hosting ของคุณ และบนแพลตฟอร์มสมัยใหม่ส่วนใหญ่มันเป็นใบรับรองฟรีบวก toggle เดียว — มักจะเป็น checkbox ที่ระบุว่า 'ใช้ HTTPS เสมอ' ส่งส่วน 'วิธีแก้ไข' ให้ผู้ดูแลเว็บหรือ support ของ host ของคุณ การแก้ไขไม่มีค่าใช้จ่ายและมักใช้เวลาไม่กี่นาที

ฉันเห็น padlock บนเว็บไซต์ของฉันแล้ว — ฉันเสร็จแล้วไหม?

อาจไม่ padlock หมายความว่าเวอร์ชัน secure (HTTPS) ของคุณมีอยู่ แต่ไม่รับประกันว่าผู้เข้าชมถูกส่งไปที่มัน ถ้าใครพิมพ์ที่อยู่ของคุณโดยไม่มี 'https://' และเว็บไซต์ของคุณไม่ redirect พวกมัน การเชื่อมต่อแรกของพวกมันยังคงไม่ถูกเข้ารหัส การตรวจสอบ padlock และการตรวจสอบ redirect เป็นสองสิ่งที่แยกกัน — คุณต้องการทั้งสอง

ใบรับรองแพงหรือยากต่อการต่ออายุไหม?

ไม่ ใบรับรองฟรีจาก Let's Encrypt ได้รับความไว้วางใจจากทุกเบราว์เซอร์หลักและต่ออายุตัวเองอัตโนมัติ ดังนั้นไม่มีอะไรต้องจำและไม่มีอะไรต้องจ่าย ใบรับรองแบบเสียเงินมีอยู่แต่ไม่มีความปลอดภัยพิเศษสำหรับเว็บไซต์ธุรกิจทั่วไป — การเข้ารหัสเหมือนกัน

เราไม่รับการชำระเงินหรือ login บนเว็บไซต์ของเรา — นี่ยังสำคัญไหม?

ใช่ เบราว์เซอร์ทำเครื่องหมายเว็บไซต์ที่ไม่ใช่ HTTPS ว่า 'ไม่ปลอดภัย' โดยไม่คำนึงถึงสิ่งที่มันทำ ดังนั้นแม้แต่เว็บไซต์ brochure ก็สูญเสียความไว้วางใจและ search ranking HTTPS ยังหยุดใครก็ตามตรงกลางจากการ inject เนื้อหาปลอม pop-up หลอกลวง หรือ malware ลงในหน้าของคุณขณะที่ผู้เข้าชมโหลด

การเปิด forced redirect อาจทำให้เว็บไซต์ของฉันเสียหายไหม?

ปลอดภัยตราบใดที่เวอร์ชัน secure ของคุณทำงานแล้ว — ซึ่งถ้าคุณมีใบรับรองที่ถูกต้อง มันก็ทำงาน วิธีมาตรฐานคือยืนยันว่าเว็บไซต์ของคุณโหลดอย่างถูกต้องผ่าน https:// ก่อน แล้วสลับการ redirect เปิด สิ่งเดียวที่ต้องระวังคือ mixed content (ดูข้อผิดพลาดทั่วไปด้านล่าง) ซึ่งหาและแก้ไขได้ง่าย

อะไรคือความแตกต่างระหว่างสิ่งนี้และ HSTS?

หน้านี้พูดเกี่ยวกับการมี HTTPS เลยและส่งผู้เข้าชมไปที่มัน HSTS เป็นขั้นตอนต่อไปที่บอกเบราว์เซอร์ให้จำว่าเว็บไซต์ของคุณเป็น HTTPS เท่านั้นและปฏิเสธที่จะเชื่อมต่อแบบไม่ปลอดภัยอีกต่อไป มันเสริมสิ่งที่คุณตั้งค่าที่นี่ ทำ HTTPS และการ redirect ให้ถูกต้องก่อน; HSTS สร้างบนนั้น