Defaults.Exposed › Виправлення › HTTPS & forced-secure redirect

Як виправити HTTPS & forced-secure redirect

HTTPS — це замок у рядку браузера: він шифрує все, що передається між вашим сайтом і вашими клієнтами, щоб ніхто не міг прочитати або підробити дані в дорозі. Примусове перенаправлення гарантує, що відвідувачі автоматично потрапляють на зашифровану версію, навіть коли вводять вашу адресу без 'https://'. Разом вони є найосновнішою річчю, яка потрібна сайту, щоб взагалі вважатися безпечним.

Висновок для вашого бізнесу: Без HTTPS кожен пароль, номер карти і повідомлення, що клієнт надсилає вам, перетинає інтернет як читаємий текст, і Chrome, Edge, Safari і Firefox позначають ваш сайт 'Не захищено' для кожного відвідувача ще до того, як він прочитає слово. Без перенаправлення навіть сайти із сертифікатом залишають самий перший візит незахищеним. Обидва завдають шкоди довірі, продажам і пошуковому рейтингу — і обидва безкоштовно виправити за хвилини.

Що це може вам коштувати

• Перший відвідувач бачить велике попередження 'Не захищено' відразу після завантаження вашої сторінки. Більшість вирішує, що сайт підроблений, зламаний або небезпечний, і йде до конкурента — а ви навіть не знаєте, що продаж був втрачений.
• Клієнт вводить дані картки або авторизується через незашифроване з'єднання з кафе, готелю або аеропорту. Хтось у тій самій мережі Wi-Fi читає це у вигляді звичайного тексту, і шахрайські списання, що слідують, перекладаються на вас.
• Відділ закупівель або безпеки великого клієнта проводить швидке сканування перед підписанням, бачить відсутність HTTPS або пропущене примусове перенаправлення і призупиняє контракт, поки ви не доведете, що це виправлено.
• Google ставить вас нижче конкурентів, що обслуговують HTTPS, тому ви тихо втрачаєте пошуковий трафік роками, так і не пов'язавши це з цією прогалиною.
• Регулятор або ваш платіжний провайдер вважає надсилання особистих або карткових даних у незашифрованому вигляді звітним порушенням, перетворюючи п'ятихвилинне безкоштовне виправлення на проблему відповідності.

Чому це важливо. HTTPS — це підлога, а не стеля веб-безпеки: саме вона забезпечує появу замку і запобігає читанню або зміні всього, що надсилають ваші клієнти, по дорозі. Примусове перенаправлення закриває прогалину, яку сертифікат залишає відкритою: люди майже ніколи не вводять 'https://', тому без перенаправлення їхній перший запит проходить незахищеним до того, як завантажиться захищена версія. Сайт, якому бракує будь-якого з цих двох аспектів, виглядає небезпечним для відвідувачів, має нижчий рейтинг у пошуку та реально розкриває дані клієнтів.

Що це таке — простими словами

HTTPS — це захищена, зашифрована версія вашого сайту — та, що показує замок у рядку адреси. Коли відвідувач перебуває на HTTPS, все, що передається між їхнім браузером і вашим сайтом (сторінки, форми, паролі, дані карток), шифрується так, що ніхто посередині не може це прочитати або змінити. Звичайна версія, HTTP, надсилає все це як читаємий текст, який будь-хто у тій самій мережі може перехопити.

Щоб правильно налаштувати це, є дві частини, і ми перевіряємо обидві:

• Чи доступний HTTPS взагалі? Чи є у вашого сайту робочий сертифікат безпеки, щоб захищена, із замком версія існувала? Це серйозніше з двох — без нього немає шифрування взагалі.
• Чи примусово направляє ваш сайт відвідувачів на нього? Майже ніхто не вводить «https://» вручну. Якщо хтось вводить просто ваше доменне ім’я, їхній браузер спочатку спробує звичайну HTTP-версію. Примусове перенаправлення автоматично відправляє цей запит на зашифровану версію. Без нього перші моменти кожного відвідування незахищені, навіть якщо у вас є сертифікат.

Вам потрібні обидва. Сертифікат без перенаправлення — замкнені вхідні двері, навколо яких відвідувачі можуть просто обійти.

Ставки для бізнесу

Це найосновніший сигнал того, чи є сайт безпечним — і що важливо, це те, що ваші клієнти можуть бачити самостійно. Кожен сучасний браузер (Chrome, Edge, Safari, Firefox) позначає сайт без HTTPS як «Не захищено» прямо в рядку адреси і показує попередження, якщо хтось намагається заповнити форму. Вашим відвідувачам не потрібно знати, що таке сертифікат, щоб відреагувати на це слово.

Крім видимого попередження, це впливає на три речі, що безпосередньо турбують власників: довіра (люди покидають сайти, що виглядають небезпечними), пошуковий рейтинг (Google використовує HTTPS як сигнал ранжування роками і надає перевагу захищеним сайтам) і реальна вразливість (дані, надіслані через звичайний HTTP, справді можуть бути прочитані іншими в тій самій мережі).

Що це може коштувати вам

• Тихий відмов. Потенційний клієнт переходить із результату пошуку або реклами, і сторінка завантажується з сірим значком «Не захищено» — або, що гірше, з попередженням на весь екран. Він не пише вам, щоб запитати чому; він просто закриває вкладку і клікає наступний результат. Ви заплатили за цей перехід і втратили його до того, як він прочитав слово.
• Перехоплений вхід або платіж. Клієнт авторизується або оформляє замовлення через загальний Wi-Fi у готелі або кафе. Оскільки з’єднання не зашифроване, хтось поруч захоплює їхній пароль або номер картки у вигляді звичайного тексту. Шахрайство, що слідує, сприймається як ваш витік.
• Угода, що зависла. Більший потенційний партнер готовий підписати, але його процес закупівель включає швидку перевірку безпеки вашого сайту. Вона повертається з позначкою відсутності HTTPS або пропущеного примусового перенаправлення. Раптово ви пояснюєте базову прогалину безпеки замість підписання — і контракт чекає.
• Повільний витік рейтингу. Два бізнеси пропонують одне й те саме; один обслуговує захищений HTTPS, інший — ні. Пошукові системи трохи підвищують захищений. Протягом місяців ви втрачаєте постійний потік безкоштовного трафіку і ніколи не пов’язуєте це з одним налаштуванням.
• Вставлений контент, який ви ніколи не писали. На незашифрованому з’єднанні будь-хто посередині — сумнівна публічна мережа, скомпрометований роутер — може вставляти фальшиві спливаючі вікна, шахрайські пропозиції або шкідливе ПЗ у ваші сторінки під час завантаження відвідувачем.

Що це насправді є

Коли браузер підключається до сайту через HTTPS, відбуваються дві речі. По-перше, сайт надає сертифікат — посвідчення, видане довіреним центром, що підтверджує: сайт є тим, за кого себе видає. По-друге, браузер і сервер погоджуються на ключ шифрування і використовують його для шифрування всього, чим обмінюються. Наша перша перевірка, HTTPS доступний, просто запитує: чи можемо ми встановити захищене TLS-з’єднання з вашим сайтом на стандартному захищеному порту (443) і отримати дійсний сертифікат? Якщо так — замок може з’явитися і шифрування увімкнено.

Друга перевірка, примусове перенаправлення, закриває прогалину, що залишає відкритою один лише сертифікат. Люди вводять «yourbusiness.com», а не «https://yourbusiness.com». Цей голий запит спочатку йде до звичайної HTTP-версії. Перенаправлення — це однорядкова інструкція, що каже «відправляйте будь-кого, хто приходить на незахищену версію, прямо на захищену». Наша перевірка запитує: коли ми запитуємо вашу звичайну HTTP-адресу, чи перенаправляє ваш сайт нас на HTTPS?

Як виглядає «добре»: дійсний, довірений сертифікат, щоб замок показувався на кожній сторінці, і кожен звичайний HTTP-запит автоматично перенаправляється на HTTPS-версію (ідеально з постійним перенаправленням «301», що також передає ваш пошуковий рейтинг на захищену адресу).

Як це виправити (безкоштовно, ~15 хвилин)

Передайте цей розділ вашому IT-фахівцю або підтримці вашого хостинг-провайдера — виправлення безкоштовне. Обидві частини нічого не коштують: довірені сертифікати безкоштовні і поновлюються самостійно, а ввімкнення перенаправлення — один перемикач на більшості платформ. Для цього не потрібен жоден платний продукт.

1. Отримайте сертифікат, щоб HTTPS працював (замок).

• Cloudflare: якщо ваш сайт за Cloudflare, SSL обробляється для вас. Встановіть режим SSL/TLS на «Full» (або «Full (strict)», якщо ваш сервер-джерело також має сертифікат).
• Конструктори сайтів і керований хостинг (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder): HTTPS надається автоматично; просто переконайтеся, що він увімкнений у налаштуваннях сайту/домену.
• cPanel хостинг: відкрийте SSL/TLS Status і запустіть AutoSSL.
• Ваш власний сервер (VPS): встановіть Let’s Encrypt з Certbot — sudo certbot --nginx -d yourdomain.com (або --apache).
• Все інше: зверніться до підтримки вашого хостинг-провайдера і попросіть їх «увімкнути безкоштовний SSL-сертифікат для мого домену».

2. Примусово направляйте кожного відвідувача на HTTPS (перенаправлення).

• Cloudflare: SSL/TLS → Edge Certificates → увімкніть «Always Use HTTPS».
• Конструктори сайтів (Squarespace, Wix, Shopify тощо): знайдіть перемикач «Force HTTPS» або «Secure (HTTPS)» у налаштуваннях вашого сайту.
• Nginx: додайте блок сервера на порту 80, що повертає постійне перенаправлення — return 301 https://$host$request_uri;.
• Apache (.htaccess): увімкніть перезапис і перенаправляйте будь-який не-HTTPS запит — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows хостинг): встановіть модуль URL Rewrite і додайте правило перенаправлення «HTTP to HTTPS».

Після ввімкнення обох, протестуйте: введіть вашу адресу зі звичайним http:// спереду і підтвердіть, що браузер автоматично переходить до захищеної https:// версії із замком.

Поширені помилки

• Сертифікат встановлено, але немає перенаправлення. Найпоширеніша прогалина. Ви бачите замок, коли відвідуєте власний сайт (бо ваш браузер запам’ятав HTTPS), тому вважаєте, що все готово — але нові відвідувачі, що вводять голий домен, все одно спочатку потрапляють на HTTP. Завжди явно тестуйте http:// версію.
• Змішаний контент. Ваша сторінка завантажується через HTTPS, але тягне зображення, скрипт або шрифт із старої http:// адреси. Браузери або блокують це, або знижують замок до попередження. Оновіть ці посилання до https:// (або до відносних посилань).
• Тимчасове (302) перенаправлення замість постійного (301). 302 працює для відвідувачів, але каже пошуковим системам, що переміщення тимчасове, тому цінність рейтингу не передається чисто на вашу захищену адресу. Використовуйте постійне 301.
• Перенаправлення тільки голого домену, але не «www» (або навпаки). Переконайтеся, що і yourdomain.com, і www.yourdomain.com закінчуються на HTTPS.
• Дозволяючи сертифікату закінчитись. Прострочений сертифікат видає помилку браузера на весь екран, що зупиняє відвідувачів. Безкоштовні сертифікати Let’s Encrypt автоматично поновлюються; якщо ви купили сертифікат вручну, встановіть нагадування календаря задовго до його закінчення.

FAQ

Дивіться питання вище — вони охоплюють нетехнічний аспект «чи можу я це зробити сам», різницю між наявністю замку і примусовим перенаправленням, вартість і поновлення сертифіката, чи потрібно це брошурним сайтам та як це співвідноситься з HSTS.

FAQ