Якщо ви збираєте будь-яку важливу інформацію на своєму веб-сайті (включаючи електронну пошту та пароль), то вам потрібно бути в безпеці. Один з кращих способів убезпечити себе – включити HTTPS сертифікат, також відомий як SSL (рівні захищених сокетів), щоб вся інформація, що надходить на ваш сервер і виходить з нього, автоматично шифрувалась. HTTPS сертифікат запобігає злом хакерами конфіденційної інформації користувачів при зберіганні неї в інтернеті. Вони будуть почувати себе в безпеці, коли побачать HTTPS сертифікат при доступі до вашого сайту, – знаючи, що він захищений сертифікатом безпеки.
Переваги HTTPS сертифіката
Найкраще в SSL сертифікат, як і HTTPS – це те, що його просто налаштувати, і як тільки це буде зроблено, вам потрібно буде направити людей на використання сертифіката HTTPS, а не HTTP. Якщо ви намагаєтеся отримати доступ до свого сайту, розмістивши https: //перед вашими URL прямо зараз, ви отримаєте повідомлення про помилку HTTPS сертифіката. Це тому, що ви не встановили SSL сертифікат HTTPS. Але не хвилюйтеся – ми проведемо налаштування прямо зараз! Ваші відвідувачі будуть почувати себе безпечніше на вашому сайті, коли вони побачать HTTPS сертифікат при доступі до вашого сайту - знаючи, що він захищений сертифікатом безпеки.
Що таке HTTPS?
HTTP або HTTPS відображаються на початку кожного URL-адреси веб-сайту в веб-браузері. HTTP – це протокол передачі гіпертексту, а S HTTPS – Secure. Загалом, це описує протокол, по якому дані передаються між вашим браузером і веб-сайтом, який ви переглядаєте.
Сертифікат HTTPS гарантує, що вся зв'язок між браузером і веб-сайтом, який ви переглядаєте, зашифрована. Це означає, що це безпечно. Тільки приймають і відправляють комп'ютери можуть бачити інформацію при передачі даних (інші можуть отримати до неї доступ, але не зможуть її прочитати). На захищених сайтах веб-браузер відображає значок замку в області URL-адреси, щоб повідомити вас. HTTPS повинен бути на будь-якому веб-сайті, який збирає паролі, платежі, медичну інформацію або інші конфіденційні дані. Але що, якщо ви можете отримати безкоштовний і дійсний сертифікат SSL для свого домену?
Як працює захист веб-сайту?
Щоб включити сертифікат безпеки HTTPS, вам необхідно встановити SSL (Secure Socket Layer). Він містить відкритий ключ, який необхідний для безпечного початку сеансу. Коли запитується HTTPS-з'єднання з веб-сторінкою, сайт відправляє сертифікат SSL в ваш браузер. Потім вони ініціюють «рукостискання SSL», яке включає в себе поділ «секретів» для встановлення безпечного з'єднання між вашим браузером і веб-сайтом.
Стандартний та розширений SSL
Якщо сайт використовує стандартний сертифікат SSL, ви побачите значок замку в області URL-адреси браузера. Якщо використовується сертифікат розширеної перевірки (EV), адресна рядок або URL-адресу будуть зеленими. Стандарти EV SSL перевершують стандарти SSL. EV SSL забезпечує посвідчення особи власника домену. Сертифікат EV SSL також вимагає від претендентів пройти суворий процес оцінки, щоб підтвердити їх достовірність і право власності.
Що буде якщо використовувати HTTPS без сертифіката?
Навіть якщо ваш веб-сайт не приймає і не передає конфіденційні дані, існує кілька причин, за якими ви можете захотіти мати захищений веб-сайт і використовувати безкоштовний і дійсний сертифікат SSL для свого домену. Подання. SSL може поліпшити час, необхідний для завантаження сторінки. Пошукова оптимізація (SEO). Мета Google полягає в тому, щоб інтернет був безпечною і безпечним для всіх, а не тільки для тих, хто використовує Google Chrome, Gmail і Диск, наприклад. Компанія заявила, що безпека буде фактором того, як вони ранжирують сайти результати пошуку. Поки що цього мало. Однак, якщо у вас є захищений веб-сайт, а ваші конкуренти цього не роблять, ваш сайт може отримати більш високий ранг, що може бути необхідно для збільшення його популярності зі сторінки результатів пошуку. Якщо ваш сайт не захищений і він збирає паролі або кредитні картки, користувачі Chrome 56 (випущеного в січні 2017 року) будуть бачити попередження про те, що сайт небезпечний. Відвідувачі, не знайомі з технологією, (більшість користувачів веб-сайту) можуть бути стурбовані, побачивши вікно «помилка HTTPS сертифіката», і залишити ваш сайт, просто тому, що не розуміють, що це означає. З іншого боку, якщо ваш сайт захищений, це може зробити відвідувачів більш невимушеними, що підвищить ймовірність того, що вони заповнять реєстраційну форму або залишать коментар на вашому сайті. У Google є довгостроковий план, щоб показати всі HTTP-сайти як небезпечні в Chrome.
Де можна отримати безкоштовний HTTPS сертифікат?
Ви отримуєте SSL-сертифікат центру сертифікації. Такі сертифікати дійсні протягом 90 днів, але рекомендується продовження на 60 днів. Деякі надійні безкоштовні джерела:
Cloudflare: безкоштовний для особистих сайтів і блогів. FreeSSL: безкоштовний для некомерційних організацій і стартапів на даний момент; не може бути клієнтом Symantec, Thawte, GeoTrust або RapidSSL. StartSSL: сертифікати дійсні протягом від 1 до 3 років. GoDaddy: сертифікати для проектів з відкритим вихідним кодом, дійсні протягом 1 року. Тип сертифіката, термін його дії залежать від джерела. Більшість органів влади пропонують стандартні сертифікати SSL безкоштовно і стягують плату за сертифікати EV SSL, якщо вони їх надають. Cloudflare пропонує безкоштовні та платні плани і різні додаткові опції.
Що потрібно враховувати при отриманні сертифіката SSL?
Тут Google рекомендує сертифікат з 2048-бітним ключем. Якщо у вас вже є 1024-бітний сертифікат, який слабкіше, він рекомендує його оновити. Вам потрібно буде вирішити, чи потрібен вам один, кілька доменів або груповий сертифікат: Один сертифікат буде використовуватись для одного домену (наприклад, www.example.com). Многодоменный сертифікат буде використовуватись для кількох добре відомих доменів (наприклад, www.example.com, cdn.example.com, example.co.uk). Сертифікат символ узагальнення знака буде використовуватися для безпечного домену з багатьма динамічними субдоменами (наприклад, a.example.com, b.example.com).
Як встановити сертифікат SSL?
Ваш веб-хостинг може встановити сертифікат безкоштовно чи за окрему плату. У деяких хостів фактично є опція установки let's Encrypt в своєму особистому кабінеті cPanel, що спрощує роботу. Запитайте у свого поточного хоста або знайдіть той, який пропонує пряму підтримку let's Encrypt. Якщо хост не надає цю послугу, ваша компанія з обслуговування веб-сайту або розробник можуть встановити сертифікат для вас. Ви повинні бути готові до того, що вам доведеться оновлювати сертифікат дуже часто. Перевірте таймфрейм з сертифікатом.
Що ще потрібно зробити?
Після отримання та встановлення SSL-сертифікату вам необхідно примусово застосувати SSL на сайті. Знову ж таки, ви можете попросити ваш веб-хост, компанію з обслуговування або розробника виконати дану дію. Однак, якщо ви віддаєте перевагу робити це самостійно, і ваш сайт працює на WordPress, ви можете зробити це шляхом завантаження, установки і використання плагіна. При останньому варіанті обов'язково перевіряйте сумісність з вашою версією WordPress. Два популярних плагіна для примусового використання SSL: простий SSLWP, примусовий SSLSSL-плагін. Обов'язково створіть резервну копію свого сайту та будьте дуже обережні при виконанні цього. Якщо ви неправильно налаштували що-то, це може мати плачевні наслідки: відвідувачі не зможуть побачити ваш сайт, зображення не відображаються, скрипти не завантажуються, що вплине на те, як деякі речі на вашому сайті функціонують, наприклад, типографіка і кольору не відображаються належним чином. Вам потрібно перенаправляти користувачів і пошукові системи на HTTPS-сторінки за допомогою 301 переадресації у файлі .htaccess в кореневій папці на сервері. Файл .htaccess є невидимим файлом, тому переконайтеся, що ваша програма FTP налаштована на показ прихованих файлів. У FileZilla, наприклад, перейдіть в розділ Сервер> Примусовий перегляд прихованих файлів. FileZillaBefore, перш ніж додавати переадресації, було б непогано створити резервну копію файлу .htaccess. На сервері тимчасово перейменуйте файл, видаливши період (що і робить його невидимим в першу чергу), скачайте файл (який тепер буде видно на вашому комп'ютері в результаті видалення періоду), потім додайте період в тому, що на сервері.
Зміна налаштувань Google Analytics
Після виконання цих дій вам необхідно змінити кращий URL-адресу в свого облікового запису Google Analytics, щоб відобразити HTTPS версію вашого домену. В іншому випадку статистика вашого трафіку буде відключена, тому що версія URL-адреси HTTP сприймається як зовсім інший сайт з версії HTTPS сертифіката. Консоль Google Search Console розглядає HTTP і HTTPS також як окремі домени, тому додайте в неї обліковий запис домену HTTPS. Пам'ятаєте, коли ви переключаєтеся з HTTP HTTPS сертифікат, якщо на вашому сайті є кнопки спеціального доступу, лічильник буде скинутий.