Ако събирате някаква чувствителна информация на вашия уебсайт (включително имейл и парола), тогава трябва да сте в безопасност. Един от най-добрите начини да се предпазите е да активирате HTTPS сертификат, известен също като SSL (Secure Sockets Layers), така че цялата информация, която отива към и от вашия сървър, да бъде автоматично криптирана. HTTPS сертификат не позволява на хакерите да хакнат поверителната информация на вашите потребители, докато тя се съхранява в Интернет. Те ще се чувстват в безопасност, когато видят HTTPS сертификат при достъп до вашия сайт - знаейки, че е защитен със сертификат за сигурност.
Предимства на HTTPS сертификат
Най-доброто нещо за SSL сертификат, точно като HTTPS, е, че е лесен за настройка и след като това е направено, ще трябва да насочите хората да използват HTTPS сертификат вместо HTTP. Ако се опитате да получите достъп до сайта си, като поставите https:// пред URL адресите си в момента, ще получите грешка в HTTPS сертификат. Това е така, защото не сте инсталирали HTTPS SSL сертификат. Но не се притеснявайте, ние ще го настроим веднага!
Вашите посетители ще се чувстват по-сигурни на вашия сайт, когато видят HTTPS сертификат при достъп до вашия сайт- знаейки, че е защитен със сертификат за сигурност.
Какво е
HTTP или HTTPS се показва в началото на всеки URL адрес на уебсайт в уеб браузър. HTTP означава Hypertext Transfer Protocol, а S в HTTPS означава Secure. Като цяло, това описва протокола, по който се изпращат данните между вашия браузър и уебсайта, който разглеждате.
Сертификат HTTPS гарантира, че цялата комуникация между вашия браузър и уебсайта, който разглеждате, е криптирана. Това означава, че е безопасно. Само приемащите и изпращащите компютри могат да видят информацията, докато данните се прехвърлят (другите имат достъп до нея, но не могат да я четат). На защитени сайтове уеб браузърът показва икона за заключване в областта на URL адресите, за да ви уведоми.
HTTPS трябва да бъде на всеки уебсайт, който събира пароли, плащания, медицинска информация или други чувствителни данни. Но какво, ако можете да получите безплатен и валиден SSL сертификат за вашия домейн?
Как работи защитата на уебсайта?
За да активирате HTTPS сертификата за сигурност, трябва да инсталирате SSL (Secure Socket Layer). Той съдържа публичния ключ, който е необходим за безопасно стартиране на сесията. Когато бъде поискана HTTPS връзка към уеб страница, сайтът изпраща SSL сертификат към вашия браузър. След това те инициират „SSL ръкостискане“, което включва споделяне на „тайни“за установяване на сигурна връзка между вашия браузър и уебсайта.
Стандартен и разширен SSL
Ако сайтът използва стандартен SSL сертификат, ще видите икона за заключване в URL областта на вашия браузър. Ако се използва сертификат за разширена валидация (EV), адресната лента или URL адресът ще бъдат зелени. EV SSL стандартите са по-добри от SSL стандартите. EV SSL предоставя доказателство за самоличността на собственика на домейна. Получаването на EV SSL сертификат също така изисква от кандидатите да преминат през строга процес на оценка, за да потвърдят тяхната автентичност и собственост.
Какво се случва, ако използвате HTTPS без сертификат?
Дори ако вашият уебсайт не приема или споделя чувствителни данни, има няколко причини, поради които може да искате да имате защитен уебсайт и да използвате безплатен и валиден SSL сертификат за вашия домейн.
Изпълнение. SSL може да подобри времето, необходимо за зареждане на страница.
Оптимизация за търсачки (SEO). Целта на Google е да поддържа интернет безопасен и защитен за всички, а не само за тези, които използват Google Chrome, Gmail и Drive, например. Компанията заяви, че сигурността ще бъде фактор за това как те класират сайтовете в резултатите от търсенето. Засега това не е достатъчно. Въпреки това, ако имате защитен уебсайт, а вашите конкуренти не го правят, вашият сайт може да се класира по-високо, което може да е необходимо, за да се увеличи популярността му от страницата с резултати от търсенето.
Ако вашият сайт не е защитен и събира пароли или кредитни карти, потребителите на Chrome 56 (пуснат януари 2017 г.) ще видят предупреждение, чече сайтът не е безопасен. Посетителите, които не са запознати с технологията (повечето потребители на уебсайтове), може да бъдат разтревожени да видят полето „Грешка на HTTPS сертификат“и да напуснат сайта ви просто защото не разбират какво означава това. От друга страна, ако вашият сайт е защитен, това може да накара посетителите да се чувстват по-спокойни, което ги прави по-склонни да попълнят формуляр за регистрация или да оставят коментар на вашия сайт. Google има дългосрочен план да показва всички HTTP сайтове като несигурни в Chrome.
Къде мога да получа безплатен HTTPS сертификат?
Получавате SSL сертификат от сертифициращ орган. Такива сертификати са валидни за 90 дни, но се препоръчва 60-дневно подновяване. Някои надеждни безплатни източници:
- Cloudflare: Безплатно за лични уебсайтове и блогове.
- FreeSSL: безплатно за организации с нестопанска цел и стартиращи фирми в момента; не може да бъде Symantec, Thawte, GeoTrust или RapidSSL клиент.
- StartSSL: Сертификатите са валидни от 1 до 3 години.
- GoDaddy: Сертификати за проекти с отворен код, валидни за 1 година.
Типът на сертификата и срокът на валидност зависят от източника. Повечето власти предлагат стандартни SSL сертификати безплатно и таксуват за EV SSL сертификати, ако ги предоставят. Cloudflare предлага безплатни и платени планове и различни допълнителни опции.
Какво да имате предвид при получаванеSSL сертификат?
Google препоръчва тук сертификат с 2048-битов ключ. Ако вече имате 1024-битов сертификат, който е по-слаб, препоръчваме да го актуализирате.
Ще трябва да решите дали имате нужда от един, няколко домейна или заместващ сертификат:
- Един сертификат ще се използва за един домейн (напр. www.example.com).
- Сертификатът за няколко домейна ще се използва за множество добре познати домейни (напр. www.example.com, cdn.example.com, example.co.uk).
- Сертификат с уместен знак ще се използва за защитен домейн с много динамични поддомейни (напр. a.example.com, b.example.com).
Как да инсталирам SSL сертификат?
Вашият уеб хост може да инсталира сертификат безплатно или срещу заплащане. Някои хостове всъщност имат опцията да инсталират Let's Encrypt в личния си cPanel, което улеснява нещата. Попитайте текущия си хост или намерете такъв, който предлага директна поддръжка за Let's Encrypt. Ако хостът не предоставя тази услуга, вашата компания за поддръжка на уебсайт или разработчик може да инсталира сертификата вместо вас. Трябва да сте подготвени за факта, че ще трябва да подновявате сертификата много често. Проверете времевата рамка със сертификат.
Какво още трябва да се направи?
След получаване и инсталиране на SSL сертификат, трябва да наложите SSL на сайта. Отново можете да попитате вашия уеб хост, обслужваща компания илиразработчик да извърши това действие. Въпреки това, ако предпочитате да го направите сами и вашият сайт се захранва от WordPress, можете да го направите, като изтеглите, инсталирате и използвате приставката. С последната опция не забравяйте да проверите съвместимостта с вашата версия на WordPress.
Два популярни плъгина за прилагане на SSL: прост SSLWP, наложен SSLSSL плъгин. Не забравяйте да архивирате сайта си и бъдете много внимателни, когато го правите. Ако неправилно конфигурирате нещо, това може да има катастрофални последици: посетителите няма да могат да видят вашия сайт, изображенията няма да се показват, скриптовете няма да се зареждат, което ще повлияе на функционирането на някои неща на вашия сайт, като типография и цветове не се показва правилно.
Трябва да пренасочите потребителите и търсачките към HTTPS страници, като използвате 301 пренасочвания във файла.htaccess в основната папка на сървъра. Файлът.htaccess е невидим файл, така че се уверете, че вашата FTP програма е настроена да показва скрити файлове. Във FileZilla, например, отидете на Server> Принудителен преглед на скрити файлове. FileZilla Преди да добавите пренасочвания, би било добра идея да архивирате вашия.htaccess файл. На сървъра временно преименувайте файла, като премахнете точката (което го прави невидим на първо място), изтеглете файла (който вече ще се вижда на вашия компютър в резултат на премахването на точка), след което добавете точката обратно към това, което е на сървъра.
Промяна на настройкитеGoogle Analytics
След като изпълните тези стъпки, трябва да промените предпочитания си URL адрес във вашия акаунт в Google Анализ, за да покажете HTTPS версията на вашия домейн. В противен случай статистиката за трафика ви ще бъде деактивирана, тъй като HTTP версията на URL адреса се третира като сайт, който е напълно различен от HTTPS версията на сертификата. Google Search Console също третира HTTP и HTTPS като отделни домейни, така че добавете акаунт на HTTPS домейн към тях. Не забравяйте, че когато превключите от HTTP към HTTPS сертификат, ако вашият сайт има специални бутони за достъп, броячът ще бъде нулиран.
