Co je SSL?
SSL (Secure Socket Layer) je bezpečnostní technologie, která vytváří šifrované spojení mezi servery a klienty. Servery jsou v tomto případě obvykle webové servery (což jsou „domácí“ webové stránky) a klienty jsou prohlížeče jako Chrome, Safari, Mozilla a Microsoft Edge. Dalším příkladem by byly poštovní servery a poštovní klienti (v tomto případě jsou servery „domácí“ e-maily a klienty jsou poskytovatelé e-mailových služeb, například Gmail, Yahoo Mail a Outlook).
Technologie SSL je standardní a umožňuje bezpečný přenos citlivých informací, jako jsou rodná čísla, přihlašovací údaje a kreditní karty nebo multiměnová karta informace. Obvykle, když jsou data odesílána mezi prohlížeči nebo webovými servery, jsou v prostém textu, takže je velmi snadné je zachytit někdo jiný.
SSL lze také popsat jako bezpečnostní protokol. Protože protokol popisuje, jak by měl být algoritmus použit, SSL určuje, jaké proměnné pro spoj a přenášená data mohou nebo nemohou být.
Jak SSL funguje?
Všechny prohlížeče mohou komunikovat se zabezpečenými webovými servery prostřednictvím protokolu SSL. K zajištění zabezpečeného připojení je však potřeba certifikát SSL. Když má web platný certifikát SSL, říká se, že je „SSL povoleno“. Bude mít ikonu zámku těsně před adresou URL, zelený adresní řádek a/nebo bude začínat HTTPS, nikoli HTTP.
Je důležité si uvědomit, že po SSL verze 3 byl stávající protokol nahrazen protokolem TLS (Transport Layer Security). Takže stejně jako budeme diskutovat o SSL a neustále na něj odkazovat v tomto článku, budeme diskutovat také o TLS.
SSL i TLS kombinují ověřování a šifrování. Komunikační proces obvykle začíná tím, že klient kontaktuje server odesláním požadavku. Server poté odpoví. S SSL je jedinou stranou, která potřebuje důkaz o ověření, klient. S TLS potřebuje klient i server důkaz o ověření.
Důkaz autentizace zahrnuje použití šifrovacího klíče, což je prvek, který skutečně chrání přenosy po navázání spojení.
S SSL musí uživatel vlastnit platný certifikát, aby mohl ověřit klienta nebo server. Certifikát obsahuje adresu, digitální podpis a dobu platnosti. Certifikát vydávají certifikační autority (CA). Umožňuje šifrovat. Na CA se podíváme o něco později.
Když klient kontaktuje server, tento (server) předloží certifikát. Server poté odešle podrobnosti o certifikátu klientům a potvrdí podrobnosti o certifikátu klienta u vydávající certifikační autority. Jakékoli nesrovnalosti mezi podrobnostmi klientského certifikátu a podrobnostmi, které poskytuje certifikační úřad, nevedou k žádnému spojení.
Certifikát klienta musí být také aktuální a klient také musí zkontrolovat podrobnosti certifikátu serveru před navázáním zabezpečeného připojení.
V zásadě, když mluvíme o konceptu „SSL povoleno“, mluvíme pouze o tom, zda adresa používaná klientem nebo serverem má platný certifikát. Autentizace uživatele je další úrovní zabezpečení, která využívá metody jako uživatelská jména a hesla.
Certifikační proces pro domácí uživatele obvykle řeší prohlížeč uživatele. U serverů je k získání certifikace potřeba databáze certifikátů. Certifikát je poté potřeba stáhnout do databáze a aktivovat.
Kde se nachází certifikát SSL?
Proces kontroly certifikátu SSL je zabudován v prohlížeči klienta nebo v softwaru serveru.
Již dříve jsme zmínili, že certifikáty se používají k ověřování klientů a serverů a vydávají je certifikační autority (CA). CA přijímají žádosti o certifikáty, ověřují aplikace, vydávají certifikáty a uchovávají záznamy o všech informacích týkajících se vydaných certifikátů.
Certifikáty zajišťují, že se lidé nebudou vydávat za lidi, kteří nejsou. CA ověřují totožnost žadatele prostřednictvím digitálního podpisu certifikátu žadatele. Digitální podpis se pak používá ke zjištění pravosti uživatele nebo serveru.
Na které certifikační autority se můžete dívat?
Pojďme šifrovat – Toto je open source CA. Získání certifikátu Ověření domény je zcela zdarma, stejně jako obnovení. Můžete také požádat o několik certifikátů. Je to dobrá volba pro lidi s omezeným rozpočtem.
Symantec – Tato CA má spoustu funkcí, ale je trochu drahá. Můžete požádat o minimálně pět různých certifikátů.
Geotrust – Tato CA má střední ceny a zahrnuje funkce, jako je bezplatné opětovné vydání certifikátu a neomezené serverové licence.
Comodo – Tato CA nabízí bezplatnou zkušební verzi prémiových certifikátů SSL (ověření domény). SSL certifikáty zahrnují záruku.
Digicert – Tento, stejně jako Geotrust, má střední cenové rozpětí a zahrnuje záruku v hodnotě 1 milion USD, kromě bezplatného opětovného vydání a loga, které můžete použít na svých stránkách. K dispozici je pět různých certifikátů.
Proč potřebujete na svém webu SSL certifikát?
Nyní rozumíte konceptu SSL, ale možná se stále ptáte, proč musíte projít potížemi se získáním certifikátu SSL.
Google přesunuto k bezpečnějšímu webu důrazným prosazováním toho, aby weby přijaly šifrování HTTPS. V červenci 2018 Google s vydáním Chrome 68 označí všechny weby HTTP jako „nezabezpečené“:
Příklad z Digicert.
Bezpečné online platby
Pokud vaše webové stránky přijímají kreditní platby a/nebo ukládají finanční informace zákazníka, měli byste používat protokol SSL, abyste ochránili své uživatele před zachycenými informacemi. Poskytovatelé hostingu a společnosti vydávající kreditní karty navíc s vysokou pravděpodobností ukládají SSL jako požadavek.
Důvěra uživatele
Zmínili jsme, že web, který používá SSL, bude mít před adresou URL ikonu zámku, zelený pruh nebo použije HTTPS místo HTTP. Tyto signály ukazují, že váš web je bezpečný, a zvyšují důvěru uživatelů ve váš web.
Rychlejší načítání
Stránky využívající HTTPS se načítají o 83 % rychleji než stránky využívající HTTP. Můžete si udělat svůj vlastní test tady.
Budete však muset použít soukromé okno, abyste zabránili ukládání obrázků do mezipaměti.
Zajištění bezpečnosti procesu přihlášení
SSL vám umožní chránit osobní údaje vašich uživatelů a také jakákoli data, která mohou zadat při používání vašeho webu.
Lepší hodnocení ve vyhledávačích
Weby, které používají certifikáty SSL, budou pravděpodobně mít vyšší hodnocení, protože Google v roce 2014 potvrdil, že HTTPS byl jedním z hodnotících signálů. Další vyhledávače také zahrnuly zabezpečení webových stránek do svého hodnotícího algoritmu.
Jak povolit SSL pro WordPress
Napsali jsme specializovaného průvodce, který vám pomůže nainstalovat SSL pro váš web WordPress.
Certifikát SSL můžete získat zdarma, pokud je vaším CMS WordPress a pokud používáte hostingovou společnost, která nabízí bezplatné certifikáty SSL. Zde jsou někteří oblíbení poskytovatelé hostingu domén, kteří nabízejí bezplatné certifikáty SSL:
Siteground
Dreamhost
GreenGeeks
Bluehost
Hosting InMotion
WPEngine
Tekutý web
Poznámka: Většinu bezplatných SSL certifikátů vydává Let’s Encrypt.
Pokud jste nenainstalovali WordPress do nově zakoupené domény:
Pokud váš poskytovatel webhostingu používá cPanel, budete muset přejít do svého cPanelu a najít Top Application a kliknout na WordPress:
Chcete-li nainstalovat WordPress na svou novou doménu, klikněte na Instalovat:
Nastavte Protokol na https:// nebo https://www
Aktivace SSL, pokud již máte WordPress
Pokud jste si již nainstalovali WordPress a byli jste hostováni některou z výše uvedených společností, můžete si aktivovat certifikát SSL ze svého hostitelského panelu.
Podívejme se na příklad, jak aktivovat SSL na webu WordPress hostovaném společností Inmotion Hosting.
Přejděte na svůj hostingový panel přes Můj účet na CPanel a klikněte na Spravovat bezplatné základní SSL:
Zapněte možnost Povolit bezplatné SSL:
Pokud jste již nainstalovali WordPress a potřebujete aktivovat SSL:
Musíte nastavit WordPress tak, aby vaše adresy URL četly HTTPS místo HTTP. Chcete-li to provést, nainstalujte a aktivujte Opravdu jednoduché SSL zapojit.
Jakmile jej aktivujete, budete dostávat upozornění, abyste zkontrolovali:
– Odkazy HTTP ve vašich souborech .css a .js. Jakékoli HTTP:// byste měli změnit na //.
– Obrázky, šablony stylů nebo skripty z domény bez certifikátu SSL. Měli byste je odstranit nebo je přesunout na svůj vlastní server. Můžete také přejít do nastavení Really Simple SSL umístěných v zásuvných modulech:
Vaše nastavení konfigurace by mělo být zjištěno:
V části Opravdu jednoduchá nastavení SSL by mělo být zaškrtnuto následující:
Před aktivací SSL možná budete muset zálohovat svůj web. Chcete-li to provést, můžete nainstalovat a aktivovat plugin s názvem UpDraftPlus. Má velmi přátelské UX, které vás povede při zálohování vašeho webu.
Jakmile svůj web zazálohujete, vraťte se na Really Simple SSL a klikněte na „pokračujte a aktivujte SSL“.
Měli byste vidět oznámení s nápisem „SSL aktivováno“. Váš web WordPress by nyní měl začínat protokolem HTTPS.
Jak povolit SSL pro Wix
S Wix získáte bezplatný certifikát SSL.
Povolení HTTPS/SSL:
Otevřete hlavní panel a posuňte se do spodní části stránky, dokud neuvidíte HTTPS. Poté klikněte na “Spravovat“:
Klikněte na „Zapněte HTTPS“ (snímek obrazovky ukazuje „Vypnout“ protože již byla povolena) a poté „pokračovat“:
Jak povolit SSL pro Shopify
Shopify poskytuje bezplatné 256bitové certifikáty SSL pro webové stránky, data a obsah na všech způsobilých webech Shopify. Ve skutečnosti je SSL k dispozici na celém webu.
Certifikáty SSL Shopify jsou obvykle standardně aktivovány pro pokladnu obchodu a pro obsah hostovaný na doménách .myshopify.com.
Když povolíte SSL, můžete si všimnout, že budete muset zadat adresu HTTPS (pokud používáte WordPress jako CMS). Možná vás zajímá, jak nastavit, aby vaše adresa URL začínala HTTPS, pokud stále začíná HTTP.
Kromě toho, když přidáte certifikát SSL, musíte zajistit, aby všechny vaše adresy URL HTTP přesměrovávaly na jejich verze HTTPS.
Pojďme se na chvíli podívat na koncept, kterému budeme říkat přesměrování HTTPS.
Proč je přesměrování na HTTPS pro váš web tak důležité?
Před několika lety na tom, zda váš web používal připojení HTTPS nebo HTTP, opravdu moc nezáleželo. Ve skutečnosti bylo hlavním cílem usnadnit dopravu a to je vše. Ale od té doby, co jsme v moderním světě, se věci trochu změnily. Google v červenci 2018 zahrnul HTTPS jako jeden z určujících faktorů hodnocení.
To je opravdu špatná zpráva pro váš web v případě, že jste nepřešli z obvyklého HTTP na šifrovaný HTTPS. Přesměrování na HTTPS má pro váš web a nakonec i pro vaši firmu jako celek velký význam. Níže jsou uvedeny některé z výhod, pojďme se na to podívat!
1. Problém s duplicitním protokolem HTTP nebo HTTPS
Minus přesměrování na HTTPS, vyhledávače vnímají váš web jako více webů s duplicitním obsahem. Váš https://www.example.com může Google považovat za jinou adresu URL než http://www.example.com.
Tady je co Google musí říct: „Preferovaná doména je doména, kterou byste chtěli použít k indexování stránek svého webu (někdy se tomu říká kanonická doména). Odkazy mohou směřovat na váš web pomocí verzí adresy URL s předponou www i bez ní (například http://www.example.com a http://example.com). Preferovaná doména je verze, kterou chcete pro svůj web použít ve výsledcích vyhledávání.“
2. Vysoká bezpečnost přenášených dat
Certifikát TLS/SSL poskytuje maximální šifrování vašich dat. To zabrání hackerům v přístupu k citlivým informacím vaší společnosti. Netřeba dodávat, že je to ve skutečnosti přesměrování na HTTPS, které umožnilo online transakce.
3. Zvyšuje integritu vašich webových stránek
Každý chce být spojován s bezpečnými věcmi. Na rozdíl od minulosti většina prohlížečů v současné době varuje uživatele, kdykoli se pokusí navštívit web, který není šifrován. To by je vyděsilo a nebude to trvat dlouho, než začnete počítat ztráty.
Jak přesměrovat na HTTPS
Aby se vaše adresy URL přesměrovaly na jejich verze HTTPS, musíte upravit soubor .htaccess (hypertextový přístup). Podívejme se na to trochu více
Soubor .htaccess
Soubor .htaccess lze definovat jako konfigurační soubor, který řídí adresář a podadresáře, kde se na serveru nachází.
Soubor .htaccess obsahuje direktivy, jak by se měl server chovat za určitých okolností; například co dělat, když je třeba přepsat adresy URL, když je vyžadováno heslo pro přístup k adresáři, kde se nachází soubor .htaccess, nebo když soubor .htaccess přesměrovává uživatele na jiný indexový soubor. Každý z těchto příkladů ovlivňuje funkci vašeho webu.
Soubor .htaccess můžete upravit na svém počítači a pomocí FTP klienta jej nahrát do počítače nebo k němu přistupovat prostřednictvím cPanelu vašeho poskytovatele služeb.
Všimněte si, že veškerý webový provoz můžete přesměrovat do konkrétní domény nebo složky.
pravidla .htaccess
Při úpravě souboru .htaccess musíte dodržovat některá pravidla. Zde je několik z těchto pravidel:
- Soubor se musí jmenovat pouze „.htaccess“ – poznamenejte si tečku těsně před „h“. Neexistuje žádná přípona souboru .txt nebo .htm.
V tomto bodě se zaměříme na konkrétní pravidlo při provádění různých typů přesměrování:
1. Přesměrování jedné stránky:
Redirect 301 /pagename.php http://www.domain.com/pagename.html:
2. Přesměrování celého webu do podsložky
Přesměrování 301 http://www.domain.com/subfolder/
3. Přesměrování přípony souboru při zachování názvu stránky
Příkladem může být chtít použít příponu .html k použití stejného názvu souboru, ale použít příponu .php:
RedirectMatch 301 (.*).html$ http://www.domain.com$1.php
4. Přesměrování celého webu nebo domény na nový
Přesměrování 301 /http://www.domena.com/
5. Přesměrování podsložky na jiný web
Přesměrování 301 /podsložka http://www.domena.com/
6. Použití přepisování k přesměrování ze staré domény na novou doménu
RewriteEngine zapnutý
RewriteBase /
RewriteRule (.*) http://www.newdomain.com/$1 [R=301,L]
7. Použití přepisování k přesměrování domény na www. umístění v podadresáři
RewriteEngine zapnutý
RewriteBase /
Rewritecond % {HTTP_HOST} ^domena.com [NC]
RewriteRule ^(.*)$ http://www.domain.com/directory/index.html [R=301,NC]
8. Použití přepisování k přesměrování z non-www. na www. subdoména
RewriteEngine zapnutý
RewriteBase /
rewritecond % {http_hostitel} ^domena.com [nc]
RewriteRule ^(.*)$ http://www.domain.com/$1 [r=301,nc]
9. Použití přepisování k přesměrování ze staré domény s podadresářem do nové domény bez podadresáře, která však obsahuje úplnou cestu a řetězec dotazu
Možnosti +FollowSymLinks
RewriteEngine zapnutý
Rewritecond % {REQUEST_URI} ^/subdirname/(.*)$
RewriteRule ^(.*) http://www.katcode.com %1 [R=302,NC]
10. Použití přepisování k přesměrování ze staré domény na novou doménu, která obsahuje úplnou cestu a řetězec dotazu
Možnosti +FollowSymLinks
RewriteEngine zapnutý
RewriteRule ^(.*) http://www.newdomain.com %{REQUEST_URI} [R=302,NC]
11. Přesměrování URL s parametry dotazu a umístění souborů do podadresáře
Příklad by zde byl:
Původní URL: http://www.website.com/sub-dir/index.php?id=3
Nová adresa URL: http://www.website.com/cesta-k-novemu-umístění/
RewriteEngine zapnutý
Rewritecond % {QUERY_STRING} id=3
RewriteRule ^sub-dir/index.php$ /cesta-k-nové-umístění/? [L,R=301]
12. Přepisování a přesměrování URL s parametry dotazu se soubory umístěnými v kořenovém adresáři
Příklad by zde byl:
Původní URL: http://www.website.com/index.php?id=3
Nová adresa URL: http://www.website.com/cesta-k-novemu-umístění/
RewriteEngine zapnutý
Rewritecond % {QUERY_STRING} id=3
RewriteRule ^index.php$ /cesta-k-nové-umístění/? [L,R=301]
To jsou jen některá z běžných pravidel.
Smíšený obsah
Jak jste možná viděli u pravidel .htaccess, pokud nejsou dobře implementována, můžete skončit s tím, čemu říkáme smíšený obsah.
Abyste porozuměli konceptu smíšeného obsahu, musíte pochopit, jak jsou výsledky vyhledávání poskytovány. Když prohlížeč navštíví webovou stránku, požádá o zdroj HTML. Webový server vrátí obsah HTML, který je analyzován a prezentován jako výsledky vyhledávání. Protože jeden soubor HTML nestačí k zobrazení celé kompletní stránky, musí soubor HTML obsahovat odkazy na jiné zdroje (například obrázky nebo videa nebo dokonce soubory Javascript). Další zdroje jsou získávány pomocí samostatných požadavků.
Když je HTML načteno přes zabezpečené připojení HTTPS, ale další zdroje (jako ty právě zmíněné) jsou načteny přes nezabezpečené připojení HTTP, máme scénář se smíšeným obsahem. V těchto případech prohlížeče zobrazí varování, aby návštěvníkovi webu ukázaly, že stránka obsahuje nezabezpečené zdroje.
Prostředky využívající nezabezpečená připojení HTTP se stávají mezerami pro útoky (také označované jako „útoky man-in-the-middle“, při kterých může útočník skutečně ovládat celou webovou stránku. I když je varování předáno uživateli, obvykle příliš pozdě, protože zdroje již byly získány a zabezpečení webové stránky již ohroženo.
Pro webové prohlížeče je bohužel obtížné blokovat smíšený obsah bez ovlivnění funkčnosti webu.
Oprava chyb smíšeného obsahu se proto stává nejchytřejším způsobem, jak se vyhnout útokům. Než však opravíme chyby se smíšeným obsahem, musíme pochopit, jak se zobrazují.
Prohlížeče jako Chrome označí web se smíšeným obsahem jako „nezabezpečený“. Uživatelé mohou vidět obrázek, jako je tento.
Firefox může zobrazit podobný obrázek.
Kromě toho má Chrome rozšíření známé jako HTTPS Mixed Content Locator. Toto můžete přidat do svého prohlížeče Chrome a zkontrolovat, zda se na vašem webu něco zobrazuje. Pokud chcete na webové stránce zobrazit smíšený obsah, můžete také použít nástroje pro vývojáře Chrome.
Oprava chyb se smíšeným obsahem ve WordPressu
Můžete použít Nástroj pro opravu nezabezpečeného obsahu SSL zapojit.
1. Přejděte do Nastavení a poté na Nezabezpečený obsah SSL. Tím nakonfigurujete nastavení pluginu.
2. Vyberte úroveň opravy obsahu.
3. Poté přejděte dolů do části detekce HTTPS. Zde si vyberete, jak detekovat obsah HTTPS na vašem webu.
4. Použijte funkci WordPress jako výchozí možnost.
5. Pokud používáte jiné webové servery, jako je Nginx, můžete vybrat jiné možnosti.
6. Klikněte na „Uložit změny“.
7. Poté můžete zkontrolovat, zda se na vašem webu stále nezobrazují nějaké chybové zprávy se smíšeným obsahem.
8. Pokud stále vidíte nějaké chyby, budete muset znovu upravit úrovně oprav v pluginu.
9. Můžete také spolupracovat se svým vývojářem na opravě chyb smíšeného obsahu.
Jak provést přesměrování HTTPS na vašem webu WordPress
Pokud používáte CMS jako WordPress a nemáte žádné znalosti o běžných open source serverech jako Apache a Ningx, možná budete muset použít plugin jako Easy HTTPS Redirection nebo Really Simple
Běžné problémy s přesměrováním HTTPS
I když je krok směrem k HTTPS opravdu dobrý krok, jak jsme viděli, nesprávná implementace by mohla vyústit v konfrontaci se špatnou stranou Googlu. Podívejme se na některé věci, které je třeba udělat při přesměrování HTTPS:
- Ujistěte se, že jste nastavili verzi webu HTTPS jako preferovanou. Pokud tak neučiníte, budete mít dvě živé verze svého webu, které by mohly duplikovat obsah, což způsobí, že roboti vyhledávačů odvedou dvojnásobnou práci a plýtvají vaším rozpočtem na procházení vyhledávače.
- Zajistěte, aby všechny externí odkazy na váš web směřovaly na verzi HTTPS vaší adresy URL. Pokud odkazy směřují na verzi HTTP i HTTPS, sociální signály a hodnota odkazů se rozdělí na dvě části.
- Přidejte verzi svého webu HTTPS do Google Search Console a Bing Webmaster Tools. Pro první musíte přidat obě verze a poté nastavit preferovanou doménu, jak jsme již diskutovali.
- Zajistěte, aby kanonické značky odkazovaly na verze adresy URL HTTPS.
- Ujistěte se, že verze 301 přesměrování HTTP URL odkazují na verze HTTPS URL.
- Ujistěte se, že váš soubor Sitemap XML obsahuje verze adresy URL HTTPS.
- Ujistěte se, že všechny interní odkazy směřují na verze URL HTTPS.
Pro vysokou bezpečnost webových stránek a uživatelskou důvěru je nezbytné, aby bylo povoleno SSL. Způsobí to výrazné snížení míry okamžitého opuštění a dokonce vám pomůže umístit se výše. Proces povolení SSL může být pro někoho trochu technický, aby jej provedli sami; pokud tomu tak je, může pomoci zapojení zkušeného vývojáře. Pochopení základního konceptu je však důležité.