Spraw sobie darmowy SSL w 10minut. Google faworyzuje bezpieczne strony HTTPS

, , , , , , , 0

Jeśli masz swoją swoją stronę internetową, pewnie zetknąłeś się z pojęciem certyfikatu SSL. O ile jeszcze kilka lat temu o kwestiach bezpieczeństwa myślały tylko sklepy i banki, o tyle wartość naszych danych wzrosła do tego stopnia, że stała się cenną walutą. Co za tym idzie – transakcje na walutach należy zabezpieczać. Świat wirtualny zadrżał za sprawą Google, który rozpoczął wojnę z niebezpiecznymi stronami dyskryminując strony niezabezpieczone certyfikatem. Dlatego nie ważne, czy prowadzisz sklep z milionowymi obrotami, blog czy stronę mikro przedsiębiorstwa – powinieneś zaopatrzyć się w certyfikat bezpieczeństwa, choćby darmowy.

 

Cały proces trwa 10 minut plus 24-godzinne oczekiwanie na weryfikację certyfikatu.

 

Czym jest certyfikat SSL

To protokół bezpieczeństwa danych wprowadzanych na stronie internetowej. Przesyłając zaszyfrowane informacje uniemożliwia odczytanie ich przez osoby trzecie. Wchodząc na stronę www wysyłamy zapytanie o bezpieczeństwo, w odpowiedzi wyświetla nam się oryginalna treść strony uzupełniona o zweryfikowaną tożsamość domeny i jej właściciela. Weryfikacja domeny dotyczy każdego certyfikatu, jednak użytkownik zobaczy zweryfikowaną firmę tylko w najbardziej złożonym certyfikacie SSL EV. Certyfikatów szukamy w ofercie naszych dostawców usług lub w firmach niezależnych.

 

typy:
SSL DV (Domain Validation) – weryfikacja domeny. Tani lub całkiem darmowy SSL. Niektóre firmy hostingowe dołączają go do swoich pakietów. Koszt 0-150zł rocznie
SSL OV (Organization Validation) – weryfikacja domeny i właściciela. Koszt 200-1000zł rocznie
SSL EV (Extended Validation) – weryfikacja domeny, właściciela i adresu firmy. Koszt powyżej 1000zł rocznie

 

UWAGA: Pamiętaj, że jeden certyfikat SSL chroni domenę, nie hosting. Oznacza to, że mając trzy adresy www potrzebujesz trzech certyfikatów.

 

Co mi grozi?

Dla osób tworzących zbiory danych osobowych brak SSL jest nieodpuszczalny ze względu na wymogi GIODO. Nie mówi o tym wprost, ale w art. 36 ust. czytamy:
„Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”
Protokół HTTPS jest właśnie tym środkiem bezpieczeństwa. W maju 2018 roku w życie wchodzi RODO, które jeszcze bardziej rygorystycznie obchodzić się będzie z tworzeniem zbiorów danych osobowych ale o tym innym razem. Brak certyfikatu nie będzie już prawdopodobnie tylko niekorzystny ale i nielegalny. co jeszcze?

 

Gorsze pozycjonowanie SEO w wyszukiwarce Google. jeśli napiszesz artykuł o „szkoleniu kierowców” i ktoś inny napisze swój na identyczną frazę w domencie https, to wyraźnie wyżej umieszczony będzie posiadacz certyfikatu.

 

Prawda jest taka, żę Google już od kilku lat stosuje w swoim algorytmie faworyzowanie stron rozpoczynających się od HTTPS zamiast HTTP. Jednak przez fakt wysokich cen i trudności technicznych, mało kto się tym przejął. Lokalny lakiernik samochodowy nie przejmował się, czy jego strona jest bezpieczna, czy nie. To się jednak zmieni, przez wzgląd na to, co zrobiło Google.

 

Co zrobiło Google?

Google postanowiło zamienić marchewkę na kij. Rozesłało właścicielom stron informację o tym, że mają czas do października, by zaopatrzyć się w certyfikaty SSL. Ich brak miał się odbić na rankingu (krążą spekulacje, że zaostrzył algorytm faworyzujący domeny https) i na uświadamianiu użytkowników, że strona na której się znajdują jest niebezpieczna.

 

 

Wspomniana wersja google chrome pojawiła się 18 października. Zauważyłem jednak, że mało kto wziął to sobie do serca i zaopatrzył się choćby w darmowy SSL, stąd moje postanowienie, by o tym napisać. Mnóstwo szumu i zero echa, bo skala groźby do konsekwencji była przesadzona. Dla większości certyfikaty okazały się niemałym, zbędnym wydatkiem. Zaś strona techniczna i darmowy SSL przerosła umiejętności oszczędnych. Na szczęście pewne kroki można uprościć i uratować naszą pozycję w rankingu 10 minutową operacją na otwartym organizmie.

 

 

To dopiero początek walki o bezpieczeństwo, którą Google wszczęło. Z założenia każda strona powinna być zweryfikowana i zabezpieczona, nawet jeśli nie pobiera danych lub są to podstawowe formularze. Docelowo komunikat może zostać podkreślony agresywnym kolorem skutecznie odstraszającym odbiorców twojej strony.

 

 

Jak zdobyć darmowy SSL?

Przede wszystkich zacznij od sprawdzenia, czy twój usługodawca nie udostępnia takiej usługi za darmo. Wtedy wystarczy ją uruchomić.
Nie omówię też płatnych alternatyw, ponieważ jest ich masa, każdy działa inaczej i przede wszystkim posiadają własny support.
Niektóre hostingi nie współpracują z zewnętrznymi certyfikatami lub przepuszczają tylko kilka. Taki też posiadam ja, dlatego podaję instrukcję, która powinna zadziałać dla większości hostingów.
Alternatywnie zapoznaj się też z: sslforfree.com, letsencrypt.com, freessl.com

 

  1. Zarejestruj się na cloudflare.
  2. Dodaj do bazy adres swojej strony. Najlepiej w wersji www i bez www, jak na zrzucie ekranu poniżej. Kliknij „Scan DNS Records”. Po udanym skanie „Continue setup”.
  4. Jeśli nie wiesz czym są rekordy DNS, to od razu kliknij „Continue”.Wybierz darmowy SSL: „Free Website”.
  6. Czas na coś bardziej technicznego – musisz podmienić adresy DNS swojej domeny na te proponowane przez cloudflare.

  7. Wyjaśnienie: W uproszczeniu służy to temu, że użytkownicy przekierowywani są na twoją stronę przez pewnego rodzaju bramkę ochrony. Tam następuje weryfikacja witryny i użytkownik może przejść dalej z zapewnieniem, że jego dane są szyfrowane i niewidoczne dla osób trzecich.

    Zaloguj się do panelu usługodawcy u którego kupiłeś domenę. W moim przypadku ovh.pl i znajdź zakładkę związaną z adresami DNS. Pamiętaj, że twój panel będzie się różnił od poniższego zrzutu ekranu.

     

     

  8. Użyj opcji edycji serwerów DNS lub ich dodawania/usuwania by wykonać podmianę zaproponowaną przez cloudflare. Zapisujemy. To wszystko jeśli chodzi o dostawcę domeny.
  9. Wróć do cloudflare i „Continue”, gdzie w kolejnym kroku poza podsumowaniem i informacją o 24h oczekiwania na weryfikację, posiadamy kilka opcji edycji.
  11. Wybierz „SSL: Full”
  12. W pierwszym bloku SSL wybierz z rozwijanej listy „Flexible”, to znacząco ułatwia otrzymanie certyfikatu i jest wystarczające, jeśli nie wykorzystujemy na stronie wrażliwych danych.
  14. Zmień ustawienie bloku „Always use HTTPS” na „On” oraz „Automatic HTTPS Rewrites” na „On”

  15.  

    Certyfikat będzie gotowy w 24h. Jeśli korzystasz z wordpressa potrzebujesz jeszcze pewnej wtyczki. Tą czynność wykonaj najlepiej po aktywacji certyfikatu, kiedy na twoim koncie cloudflare pojawi się:
  17.  UWAGA: Pamiętaj by przed każdą operacją na wordpressie wykonać kopię zapasową, by łatwo powrócić do zdrowej wersji strony gry coś pójdzie nie tak. Ten dobry nawyk nie dotyczy tylko tej operacji. Ja używam do tego celu wtyczki UpdraftPlus.
      1. Przejdź do panelu administracyjnego wordpressa i zainstaluj wtyczkę Really Simple SSL

    1. Po zainstalowaniu i aktywacji pojawi się u góry strony komunikat. Klikamy „Go ahead, active SSL!”

    I gotowe. Strona dumnie obwieszcza, że jesteśmy bezpieczni.

     

    Jeśli spodobał Ci się artykuł wyślij go dalej. Zadbaj by twoi znajomi nie tracili użytkowników, w końcu to tylko 10min pracy!

     

    FAQ

    Certyfikat nie działa na wszystkich podstronach

    Ten problem spędził mi sen z powiek. Na stronie wszystkie adresy zmieniają się automatycznie z http na https. Nie we wszystkie pluginy udaje się jednak ingerować. Każdy element na stronie, który będzie zawierał adres http niweluje wiarygodność certyfikatu. W moim przypadku wszystkie grafiki na stronie wstawione są przez „themify builder” w sekcjach. posiadały one stary adres http. Jeśli masz podobny problem zdiagnozuj źródło i dopisz „s” ręcznie.

    Mój hosting nie akceptuje certyfikatu cloudflare

    Niestety nie wszystkie hostingi ułatwiają współpracę z organizacjami zewnętrznymi. Jeśli certyfikat cloudflare jest odrzucany, musisz przyjrzeć się innym stronom z darmowymi certyfikatami wymienionymi w artykule. Niestety prawdopodobnie będą to trudniejsze metody wymagające ingerencji w kod źródłowy twojej strony.

0 0 votes
Article Rating
Subscribe
Powiadom o
guest

Protected with IP Blacklist CloudIP Blacklist Cloud

0 komentarzy
Inline Feedbacks
View all comments

Related Posts

wpDiscuz