Ako na svojoj web stranici prikupljate bilo kakve osjetljive podatke (uključujući e-poštu i lozinku), morate biti sigurni. Jedan od najboljih načina da se zaštitite je da omogućite HTTPS certifikat, također poznat kao SSL (Secure Sockets Layers), tako da sve informacije koje idu na i s vašeg poslužitelja budu automatski šifrirane. HTTPS certifikat sprječava hakere da hakiraju povjerljive podatke vaših korisnika dok su pohranjeni na Internetu. Osjećat će se sigurno kada vide HTTPS certifikat kada pristupaju vašoj web-lokaciji - znajući da je zaštićena sigurnosnim certifikatom.
Prednosti HTTPS certifikata
Najbolja stvar u vezi s SSL certifikatom, baš kao i HTTPS-om, je to što ga je lako postaviti, a nakon što to učinite, morat ćete usmjeriti ljude da koriste HTTPS certifikat umjesto HTTP-a. Ako sada pokušate pristupiti svojoj web-lokaciji tako što ćete staviti https:// ispred svojih URL-ova, dobit ćete pogrešku HTTPS certifikata. To je zato što niste instalirali HTTPS SSL certifikat. Ali ne brinite, odmah ćemo to postaviti!
Vaši posjetitelji će se osjećati sigurnije na vašoj web-lokaciji kada vide HTTPS certifikat prilikom pristupa vašoj web-lokaciji- znajući da je zaštićen sigurnosnim certifikatom.
Što je
HTTP ili HTTPS prikazuje se na početku svakog URL-a web stranice u web pregledniku. HTTP je skraćenica za Hypertext Transfer Protocol, a S u HTTPS-u znači Secure. Općenito, ovo opisuje protokol kojim se podaci šalju između vašeg preglednika i web stranice koju gledate.
HTTPS certifikat osigurava da je sva komunikacija između vašeg preglednika i web stranice koju gledate šifrirana. To znači da je sigurno. Samo računala koja primaju i šalju mogu vidjeti informacije dok se podaci prenose (drugi im mogu pristupiti, ali ih ne mogu čitati). Na sigurnim web-lokacijama, web-preglednik prikazuje ikonu zaključavanja u području URL-a kako bi vas obavijestio.
HTTPS bi trebao biti na bilo kojoj web stranici koja prikuplja lozinke, plaćanja, medicinske podatke ili druge osjetljive podatke. Ali što ako možete dobiti besplatni i važeći SSL certifikat za svoju domenu?
Kako funkcionira zaštita web stranice?
Da biste omogućili HTTPS sigurnosni certifikat, morate instalirati SSL (Secure Socket Layer). Sadrži javni ključ koji je potreban za siguran početak sesije. Kada se zatraži HTTPS veza s web-stranicom, web-mjesto šalje SSL certifikat vašem pregledniku. Zatim pokreću "SSL rukovanje", što uključuje dijeljenje "tajni" za uspostavljanje sigurne veze između vašeg preglednika i web stranice.
Standardni i prošireni SSL
Ako web-mjesto koristi standardni SSL certifikat, vidjet ćete ikonu zaključavanja u URL području vašeg preglednika. Ako se koristi certifikat Extended Validation (EV), adresna traka ili URL bit će zeleni. EV SSL standardi su superiorniji od SSL standarda. EV SSL pruža dokaz identiteta vlasnika domene. Dobivanje EV SSL certifikata također zahtijeva od kandidata da prođu kroz rigorozni proces evaluacije kako bi potvrdili svoju autentičnost i vlasništvo.
Što se događa ako koristite HTTPS bez certifikata?
Čak i ako vaša web-lokacija ne prihvaća ili ne dijeli osjetljive podatke, postoji nekoliko razloga zašto biste možda željeli imati sigurnu web-lokaciju i koristiti besplatni i važeći SSL certifikat za svoju domenu.
Izvedba. SSL može poboljšati vrijeme potrebno za učitavanje stranice.
Optimizacija za tražilice (SEO). Googleov cilj je da internet bude siguran i siguran za sve, a ne samo za one koji koriste Google Chrome, Gmail i Drive, na primjer. Tvrtka je rekla da će sigurnost biti čimbenik u tome kako rangiraju stranice u rezultatima pretraživanja. Za sada to nije dovoljno. Međutim, ako imate sigurnu web stranicu, a vaši konkurenti nemaju, vaša stranica može biti više rangirana, što bi moglo biti potrebno za povećanje njezine popularnosti na stranici s rezultatima pretraživanja.
Ako vaša stranica nije sigurna i prikuplja lozinke ili kreditne kartice, korisnici Chromea 56 (izdan u siječnju 2017.) vidjet će upozorenje dada je stranica nesigurna. Posjetitelji koji nisu upoznati s tehnologijom (većina korisnika web-mjesta) mogu biti uznemireni kada vide okvir "Pogreška HTTPS certifikata" i napuste vašu stranicu jednostavno zato što ne razumiju što to znači. S druge strane, ako je vaša stranica sigurna, posjetitelji se mogu osjećati lagodnije, zbog čega će vjerojatnije ispuniti obrazac za registraciju ili ostaviti komentar na vašoj web-lokaciji. Google ima dugoročni plan za prikazivanje svih HTTP stranica kao nesigurnih u Chromeu.
Gdje mogu dobiti besplatni HTTPS certifikat?
Primate SSL certifikat od tijela za izdavanje certifikata. Takve potvrde vrijede 90 dana, ali se preporuča obnavljanje od 60 dana. Neki pouzdani besplatni izvori:
- Cloudflare: besplatno za osobne web stranice i blogove.
- FreeSSL: trenutno besplatno za neprofitne organizacije i startupe; ne može biti Symantec, Thawte, GeoTrust ili RapidSSL klijent.
- StartSSL: Certifikati vrijede 1 do 3 godine.
- GoDaddy: Certifikati za projekte otvorenog koda, vrijede godinu dana.
Vrsta certifikata i razdoblje valjanosti ovise o izvoru. Većina nadležnih tijela nudi standardne SSL certifikate besplatno i naplaćuje EV SSL certifikate ako ih daju. Cloudflare nudi besplatne i plaćene planove te razne dodatne opcije.
Što treba uzeti u obzir pri primanjuSSL certifikat?
Google ovdje preporučuje certifikat s 2048-bitnim ključem. Ako već imate 1024-bitni certifikat koji je slabiji, preporučuje se da ga ažurirate.
Morat ćete odlučiti trebate li jednu, više domena ili zamjenski certifikat:
- Jedan certifikat će se koristiti za jednu domenu (npr. www.example.com).
- Potvrda s više domena koristit će se za više poznatih domena (npr. www.example.com, cdn.example.com, example.co.uk).
- Wildcard certifikat će se koristiti za sigurnu domenu s mnogo dinamičkih poddomena (npr. a.example.com, b.example.com).
Kako instalirati SSL certifikat?
Vaš web domaćin može instalirati certifikat besplatno ili uz naknadu. Neki domaćini zapravo imaju opciju instaliranja Let's Encrypt u svoj osobni cPanel, što olakšava stvari. Pitajte svog trenutnog domaćina ili pronađite onoga koji nudi izravnu podršku za Let's Encrypt. Ako domaćin ne pruža ovu uslugu, vaša tvrtka za održavanje web stranice ili programer mogu instalirati certifikat umjesto vas. Morate biti spremni na činjenicu da ćete certifikat morati vrlo često obnavljati. Provjerite vremenski okvir s certifikatom.
Što još treba učiniti?
Nakon dobivanja i instaliranja SSL certifikata, morate nametnuti SSL na web mjestu. Opet, možete pitati svog web hosta, uslužnu tvrtku iliprogramer da izvrši ovu radnju. Međutim, ako to radije radite sami, a vaše web mjesto pokreće WordPress, to možete učiniti preuzimanjem, instaliranjem i korištenjem dodatka. Uz potonju opciju, svakako provjerite kompatibilnost sa svojom verzijom WordPressa.
Dva popularna dodatka za provođenje SSL-a: jednostavan SSLWP, nametnuti SSLSSL dodatak. Svakako napravite sigurnosnu kopiju svoje stranice i budite vrlo oprezni pri tome. Ako nešto pogrešno konfigurirate, to može imati katastrofalne posljedice: posjetitelji neće moći vidjeti vašu stranicu, slike se neće prikazati, skripte se neće učitati, što će utjecati na funkcioniranje nekih stvari na vašoj web-lokaciji, kao što su tipografija i boje ne prikazuje se ispravno. način.
Morate preusmjeriti korisnike i tražilice na HTTPS stranice koristeći 301 preusmjeravanje u datoteci.htaccess u korijenskoj mapi na poslužitelju. Datoteka.htaccess je nevidljiva datoteka, stoga provjerite je li vaš FTP program postavljen tako da prikazuje skrivene datoteke. U FileZilla, na primjer, idite na Server> Prisilni prikaz skrivenih datoteka. FileZilla Prije nego što dodate preusmjeravanja, bilo bi dobro napraviti sigurnosnu kopiju svoje.htaccess datoteke. Na poslužitelju, privremeno preimenujte datoteku uklanjanjem točke (što je čini nevidljivom), preuzmite datoteku (koja će sada biti vidljiva na vašem računalu kao rezultat uklanjanja točke), a zatim vratite točku na ono što je na poslužitelju.
Promijenite postavkeGoogle Analytics
Nakon dovršetka ovih koraka, morate promijeniti željeni URL na svom Google Analytics računu kako biste prikazali HTTPS verziju svoje domene. U suprotnom, vaša statistika prometa bit će onemogućena jer se HTTP verzija URL-a tretira kao potpuno drugačija stranica od HTTPS verzije certifikata. Google Search Console također tretira HTTP i HTTPS kao zasebne domene, stoga im dodajte račun za HTTPS domenu. Zapamtite, kada se prebacite s HTTP na HTTPS certifikat, ako vaša stranica ima posebne gumbe za pristup, brojač će se poništiti.
