Dlaczego warto wdrożyć certyfikat SSL na stronę?
Jeszcze tego roku Google ma udostępnić nową wersję najpopularniejszej przeglądarki internetowej Google Chrome, oznaczoną numerem 68. Niby nic nowego, bo ciągle nam się aktualizuje oprogramowanie na naszym komputerze czy smartfonie, co zazwyczaj nie wnoszą widocznych zmian. Czy tym razem będzie tak samo? Niekoniecznie! Google ciągle kładzie nacisk na bezpieczeństwo, tym razem odczują to osoby, które nie mają na swoich stronach certyfikatu SSL.
Czym jest SSL (ang. Secure Socket Layer)?
Jest to protokół służący do bezpiecznej transmisji zaszyfrowanego strumienia danych. Krótko mówiąc, protokół SSL jest standardem ochrony w Internecie. Obszerne objaśnienie protokołu można znaleźć w Wikipedii.
Dlaczego warto wdrożyć certyfikat na stronę?
Certyfikat chroni użytkowników naszej witryny. Zabezpiecza (poprzez szyfrowanie) poufne dane, które podawane są przez odwiedzających stronę. Jest to bardzo ważne m.in. w przypadku sklepów internetowych czy firm, którym zależy na wypełnionych formularzach. Użytkownik czuje dużo większe zaufanie widząc wszelkie informację wysyłane przez przeglądarkę internetową o tym, iż strona jest bezpieczna.
Jak w łatwy sposób sprawdzić czy strona korzysta z bezpiecznego protokołu SSL?
Najłatwiejszym sposobem jest sprawdzenie adresu URL w przeglądarce. Przy stronach zabezpieczonych certyfikatem SSL adres rozpoczyna się od HTTPS:// (więcej informacji: https://pl.wikipedia.org/wiki/HTTPS), w przypadku stron niezabezpieczonych domena rozpoczyna się od HTTP://.
Warto pamiętać, iż nie każda domena rozpoczynająca się od HTTPS jest bezpieczna! Dlaczego?
Zabezpieczając stronę protokołem SSL należy pamiętać, że elementy, które są wyświetlane na naszej stronie internetowej również powinny pochodzić z bezpiecznego źródła zabezpieczonego certyfikatem. Oznacza to, że w przypadku gdy na stronie mamy certyfikat SSL, nasza domena wyświetla się od HTTPS, a w kodzie strony wyświetlana jest grafika z adresu rozpoczynającego się poprzez HTTP to nasza strona w dalszym ciągu wyświetla się jako częściowo niebezpieczna.
Jak widzimy na powyższym przykładzie, strona rozpoczyna się od HTTPS, jednak wchodząc w szczegóły widzimy, że certyfikat jest wdrożony, aktualny, jednak strona wyświetla się jako częściowo niebezpieczna.
W takim przypadku bardzo pomocne jest narzędzie, które pozwoli nam określić co musimy na stronie poprawić, aby była ona całkowicie bezpieczna: https://www.whynopadlock.com/
Jak korzystać z narzędzia Why No Padlock?
Otwieramy stronę z powyższego adresu. W polu Secure Address podajemy adres URL naszej strony internetowej wraz z HTTPS. Następnie zaznaczamy weryfikację “Nie jestem robotem” i klikamy Test Page.
Czekamy chwilę, aż nasza strona zostanie przeanalizowania i otrzymujemy gotowy raport, składający się z trzech tabel.
Test information – znajdziemy tutaj informacje ogólne odnośnie adresu URL testowanej strony internetowej, czas w którym test został wykonany, oraz link do przeglądanego raportu, który można udostępnić osobie opiekującej się naszą witryną.
SSL Connection – test weryfikujący certyfikat SSL, sprawdza m.i.n czy certyfikat jest aktualny. Warto również spojrzeć na rubrykę z Expiration Date, gdzie mamy informację do kiedy nasz certyfikat jest aktywny.
Mixed Content – dotarliśmy do miejsca, które interesuje nas najbardziej. Tutaj dowiemy się co należy poprawić na stronie internetowej, aby wyeliminować błędy i w pełni cieszyć się bezpieczną stroną z certyfikatem SSL. Kontynuując przykład o który się opieramy, narzędzie wskazuje nam:
Z powyższego widać, że dwie grafiki new1.jpg i new2.jpg pobierane są z adresu bez certyfikatu SSL.Rozwiązanie tego jest bardzo proste. Wystarczy w kodzie źródłowym strony zamienić adres z HTTP na HTTPS, bądź po prostu skrócić ścieżkę grafik do “/grafika/new1.jpg”.
Gdzie warto zakupić certyfikat?
Certyfikat najlepiej zakupić u usługodawcy serwera, na którym mamy stronę internetową. W większości firm hostingowych posiadają oni instrukcję jak certyfikat wdrożyć samodzielnie, a w przypadku problemów znakomicie znają panel zarządzania serwerem i na pewno będą w stanie pomóc.
Dowiedz się jak, wdrożyć nową wersję GA4 i zarządzać jej ustawieniami.
O czym jeszcze warto pamiętać?
Po wdrożonym certyfikacie i sprawdzeniu strony internetowej czy jest całkowicie bezpieczna należy dokonac przekierowań, aby nie doszło do sytuacji, że nasza strona będzie działa pod adresem z HTTP i HTTPS. Użytkownicy muszą być automatycznie przekierowani na domenę zabezpieczoną certyfikatem SSL.