Kaip nemokamai pridėti savo svetainę HTTPS per 10 minučių ir kodėl tai reikia padaryti dabar daugiau nei ...

Praėjusią savaitę „Google“ paskelbė, kad liepą atkeliavusi „Chrome 68“ pažymės visus HTTP puslapius kaip „Nesaugius“.

Tai yra stipriausias kol kas nukreiptas žiniatinklis į šifravimą pagal numatytuosius nustatymus ir jo laukė ilgas laikas.

Nors yra daugybė įrodymų, bylojančių, kodėl visi turėtų šokti į HTTPS greitkelį, daugelis žmonių vis dar nemato vertės saugiai aptarnauti savo svetaines.

Kodėl man to reikia tinklaraščiui ?“

Aš jau rašiau apie HTTPS vertę anksčiau, bet norėčiau pakartoti:

  • HTTPS apsaugo vartotojus nuo „Man In the Middle“ atakų.
  • HTTPS reikalingas norint naudotis daugeliu naujų naršyklių funkcijų, pavyzdžiui, „Service Workers“
  • HTTPS veikia SEO

Jei nesate tuo įsitikinę, perskaitykite didmysiteneedhttps.com, kad gautumėte išsamų vaizdą, kodėl kiekviena svetainė turėtų būti saugiai teikiama.

Ir jei vis tiek to nesuprantate, gyvenimas jums bus daug sunkesnis.

Siekdami išvaryti vartotojus nuo nesaugių svetainių, naršyklės sugėdino tam tikrose situacijose nesaugiai teikiamas svetaines.

„Chrome 56“ pradėjo šią tendenciją pažymėdama puslapius neskelbtinais prisijungimo laukais kaip „Nesaugu“, o „Chrome 62“ išplėtė šį įspėjimą visiems HTTP puslapiams, kuriuose buvo bet kokio tipo įvesties laukai. Be to, įspėjimas rodomas visuose HTTP puslapiuose inkognito režimu, neatsižvelgiant į tai, ar juose buvo įvesties laukas, ar ne.

„Firefox“ taip pat įspėja vartotojus, kai jie bando užpildyti nesaugią prisijungimo formą.

Dabar „Chrome“ nusprendė įdėti šį įspėjimą į visus HTTP puslapius. Galų gale, piktograma šalia etiketės „Nesaugu“ pasikeis, o tekstas bus raudonas, kad būtų dar labiau pabrėžta, jog HTTP puslapiais negalima pasitikėti.

Kad vartotojai negalėtų matyti šio įspėjimo jūsų svetainėje, jums tereikia gauti galiojantį SSL sertifikatą. Geros naujienos yra tai, kad tai padaryti nėra taip sunku ar brangu, kaip anksčiau. Tiesą sakant, aš jums parodysiu, kaip nemokamai įdiegti HTTPS į savo svetainę naudojant „Cloudflare“. Ir tai užtruks daug laiko.

Kodėl „Cloudflare“?

„CloudFlare“ gali padėti nemokamai apsaugoti SSL sertifikatą, nepaisant to, kokią serverio infrastruktūrą turite. Tai taip pat veikia svetainėse, kurios priglobtos platformose, kurios neteikia prieigos prie serverio, pvz., „GitHub Pages“, „Ghost“ ir panašių.

Jums nereikia nieko įdiegti ar rašyti jokio kodo. Tai daro tikrai puikią galimybę įdiegti HTTPS savo svetainėje, o sąrankos laikas tiesiogine prasme turėtų užtrukti ne daugiau kaip 10 minučių.

Tai taip pat teikia begalę kitų jūsų svetainės saugumo ir našumo privalumų, kurių čia nenagrinėsiu. Bet aš šiek tiek pakalbėsiu apie tai, kaip viskas veikia, kad galėtumėte gerai suprasti, kaip jis sugeba atlikti visus tuos dalykus.

Kaip veikia „Cloudflare“

„Cloudflare“ yra tiesiai tarp srauto tarp jūsų svetainės lankytojų ir jūsų serverio. Lankytojai gali būti įprasti žmonės, robotai ir robotai (pvz., Paieškos sistemų robotai) ar įsilaužėliai. Veikdama kaip tarpininkas tarp jūsų žiniatinklio serverio ir svetainės lankytojų, „Cloudflare“ padeda filtruoti visą neteisėtą srautą, kad tik geri dalykai patektų.

Dabar jums gali kilti klausimas, ar visa tai gali turėti neigiamos įtakos jūsų svetainės greičiui, tačiau viskas yra priešingai. „Cloudflare“ turi duomenų centrus visame pasaulyje, todėl jis tiesiog naudos artimiausią lankytojui galinį tašką, kuris turėtų padaryti jūsų svetainę daug greitesne nei buvo anksčiau.

Dabar, kai žinome, kaip veikia „Cloudflare“, pažvelkime, kaip sukonfigūruoti svetainę jų infrastruktūroje ir kaip nemokamai patekti į HTTPS. Čia didžiausias dėmesys bus skiriamas funkcijoms, kurias „Cloudflare“ teikia nemokamai, tačiau atkreipkite dėmesį, kad mokami planai taip pat yra su daugybe papildomų funkcijų.

Naujos svetainės sukūrimas

Prisiregistravę „Cloudflare“, pirmiausia turite pridėti domeną ir nuskaityti DNS įrašus.

Baigus nuskaityti, bus rodomi visi domeno DNS įrašai. Galite pasirinkti padomenius, kuriuose norite įjungti „Cloudflare“, ir atlikti visus norimus pakeitimus. Kai būsite pasirengę, spustelėkite „ Tęsti“, kad pereitumėte prie kito veiksmo.

Pasirinkite nemokamą planą ir spustelėkite Tęsti.

Tada turėsite pakeisti savo domeno registratoriaus vardų serverius į „Cloudflare“ teikiamus. Kiekvieno domeno registratoriaus procesas tai šiek tiek skiriasi, todėl pasitarkite su savo domeno registratoriumi.

Štai kaip atrodo Namecheap:

Dabar turite palaukti, kol vardų serverio pakeitimai bus baigti platinti. Po kurio laiko spustelėkite Iš naujo patikrinti vardų serverius, kad sužinotumėte, ar jūsų svetainė dabar aktyvi „Cloudflare“. Tai ilgiausia sąrankos dalis ir gali užtrukti iki 24 valandų, tačiau, mano patirtimi, tai užtruko mažiau nei 5 minutes.

Kai „Cloudflare“ patvirtins jūsų vardų serverio naujinius, jūsų svetainė taps aktyvi šioje paslaugoje.

Jei norite būti tikri, kad jūsų DNS nustatymai išplito visur, „Kas mano DNS“ yra būdas patikrinti, kokį IP adresą jūsų domenas nustato skirtingose ​​vietose.

Taip pat galite naudoti digarba nslookupkomandinėje eilutėje, kad patikrintumėte savo domenų DNS konfigūraciją.

Tokiu būdu galite būti tikri, kad visas srautas, nukreiptas į jūsų domeną, dabar nukreipiamas per „Cloudflare“.

Prieš pradėdami konfigūruoti „Cloudflare“, įsitikinkite, kad jūsų naršyklė nenaudoja senų DNS įrašų iš talpyklos. „Chrome“ ir „Firefox“ galite tai padaryti išvalę naršyklės istoriją.

Gaukite SSL nemokamai

SSL vis dar yra aukščiausios kokybės paslauga ir daugelis sertifikato institucijų prieš išduodamos SSL sertifikatą ima dideles sumas. Tai nėra kažkas, ko galite tiesiog nemokamai gauti visur, tačiau pramonėje tai greitai keičiasi.

Dabar, kai „Cloudflare“ sėdi viduryje žiniatinklio srauto, turėtumėte automatiškai gauti SSL savo domene. Gali praeiti iki 24 valandų, kol pažymėjimas taps aktyvus, tačiau, mano patirtimi, tai užtrunka neilgai.

Kai sertifikatas taps aktyvus, įkelkite savo svetainę į naršyklę. Turėtumėte pamatyti svetainę, teikiamą per HTTPS, ir gražią žalią spyną adreso juostoje.

Jei peržiūrėsite daugiau informacijos apie sertifikatą, pamatysite sertifikatą išduodančią instituciją (mano atveju - „Comodo“) ir galiojimo laiką. Vienas iš puikiausių „Cloudflare“ dalykų yra tai, kad sertifikatas atnaujinamas jums automatiškai, todėl ten nereikia jaudintis.

Skirtumas tarp lanksčios, visos ir visos (griežtos) SSL

„Cloudflare“ leidžia labai lengvai gauti SSL į savo svetainę nemokamai nieko nekonfigūruojant, tačiau tai ne visada tas pats, kas jūsų svetainę teikti per SSL tiesiogiai iš kilmės.

Yra trys „Cloudflare“ SSL diegimai. Pirmasis, kurį gaunate pagal numatytuosius nustatymus, yra „Flexible SSL“. Tokiu atveju srautas yra užšifruotas tarp jūsų svetainės ir „Cloudflare“ vartotojų, tačiau šis šifravimas nevyksta iki pat kilmės serverio. „Cloudflare“ vis tiek kalba su jūsų serveriu per paprastą HTTP.

Tai reiškia, kad bet kuris „Man In The Middle“ (pvz., Tinklo teikėjai) tarp „Cloudflare“ ir jūsų serverio gali matyti srautą. Jei savo svetainėje renkate neskelbtiną informaciją, nenaudokite šios parinkties.

Norėdami šifruoti visą kelią iki kilmės serverio, turite naudoti „Full“ arba „Full (Strict)“ diegimą. Pirmoji reikalauja, kad jūs įdiegtumėte galiojantį sertifikatą savo serveryje, tačiau sertifikato autentiškumas nebus patikrintas, kad galėtumėte išsiversti naudodamiesi savarankiškai pasirašytu sertifikatu. Kita vertus, norint įdiegti visišką (griežtą), reikia įdiegti galiojantį SSL sertifikatą, kurį pasirašė patikima sertifikato institucija.

Jei nenorite įsigyti SSL iš tokių kaip „Comodo“, iš „Cloudflare“ galite gauti nemokamus „Origin CA“ sertifikatus, kuriuos galima naudoti su „Full“ arba „Full“ (griežta) parinktimis, nes „Cloudflare“ jais pasitiki. Tačiau nepamirškite, kad šiais sertifikatais pasitiki tik „Cloudflare“, todėl jie nustos veikti, jei nuspręsite pašalinti savo svetainę iš „Cloudflare“ infrastruktūros.

Jei nekontroliuojate savo serverio aplinkos, tarkime, jei jūsų svetainė priglobta „GitHub“ puslapiuose ar panašiose platformose, negalėsite naudoti „Full“ arba „Full (Strict)“ versijų, o tai reiškia, kad net jei jūsų vartotojai adreso juostoje mato HTTPS srautas nebus užšifruotas iki pat serverio.

Bet tai vis tiek yra didžiulis patobulinimas, palyginti su visai be HTTPS, nes tai apsaugos jūsų vartotojus nuo „Man In The Middled“ kliento pusės.

Stiprinti SSL diegimą

Nesvarbu, kokį SSL diegimą pasirenkate, yra būdų, kaip jį sustiprinti, kad vartotojai niekada negalėtų pasiekti jūsų svetainės per nesaugų HTTP. „Qualys SSL Labs“ yra įrankis, padedantis atlikti SSL konfigūracijos testą, kad būtų galima sužinoti, ar yra ką tobulinti.

Nepaisant to, kad mano domene gaunu A pažymį, jei įsigilinsite į rezultatus, pamatysite, kad raktų mainų ir šifravimo stiprumo pusėje tikrai yra ką tobulinti.

Pažvelkime į keletą dalykų, kuriuos galime padaryti „Cloudflare“, kad sustiprintume savo SSL ir gautume dar aukštesnius įvertinimus.

Priversti HTTPS visur

Išėję į HTTPS, tikrai norite užkirsti kelią vartotojams patekti į jūsų svetainę per nesaugų ryšį. Tai galite padaryti naudodami „Cloudflare“ 301 peradresuodami visą HTTP srautą į HTTPS.

Dalyje Kripto nustatymai raskite parinktį Visada naudoti HTTPS ir įjunkite ją.

Įgalinti griežtą HTTP saugą (HSTS)

Aš jau rašiau apie tai, kaip HSTS praeityje sustiprino jūsų svetainių SSL, bet trumpai apžvelkime tai dar kartą.

Tik 301 nukreipiant HTTP srautą į HTTPS, problema yra ta, kad pradinė nesaugi užklausa vis tiek eina per laidą, o tai reiškia, kad ją gali perskaityti visi, turintys prieigą prie srauto.

HSTS yra atsakymo antraštė, kuri išsprendžia šią problemą sakydama naršyklei, kad ji gali nepateikti nesaugios užklausos svetainei nurodytą laiką.

Taip atrodo antraštė:

strict-transport-security: max-age=31536000

Naršyklė, gavusi šią antraštę, per ateinančias 31 536 000 sekundžių (1 metų vertės) nepateiks nesaugios užklausos jūsų svetainei. Prieš išsiunčiant per tinklą, visos HTTP užklausos bus naujovintos į HTTPS.

Jei norite užkirsti kelią visų padomenių prieigai per HTTP, jums reikės includeSubdomainsdirektyvos. Taip pat galite pridėti preloaddirektyvą, kad naršyklės pardavėjai leistų iškepti jūsų svetainę pačioje naršyklėje kaip tik HTTPS.

strict-transport-security: max-age=31536000; includeSubdomains; preload

Įgalinę HSTS savo domene, galite būti tikri, kad kai kas nors įkels jūsų svetainę per HTTPS, nuo šiol jis galės pasiekti ją tik per saugią schemą.

Taigi prieš įgalindami HSTS savo svetainėje įsitikinkite, kad visas srautas bus teikiamas per HTTPS, kitaip susidursite su problemomis.

Norėdami tai įgalinti „Cloudflare“, eikite į „ Crypto“ nustatymus ir slinkite žemyn į „ HTTP Strict Transport Security“ (HSTS) skyrių. Spustelėkite Keisti HSTS nustatymus, įgalinkite visas susijusias parinktis ir paspauskite Išsaugoti .

Ir tik tuo atveju, jei jums įdomu, naršyklės palaikymas HSTS yra gana geras.

Ištaisykite nesaugių schemų nuorodas

Jei saugiame puslapyje įterpiate pasyvų šaltinį (pvz., Vaizdą), naršyklė vis tiek jį gerai įkrauna. Jis tiesiog nuima žalią spyną iš adreso juostos. Šios klaidos pavyzdį galite pamatyti čia.

Jei patikrinsite naršyklės pultą, pamatysite keletą įspėjimų ar klaidų, nukreipiančių į nesaugiai įdėtą šaltinį. Šiuo atveju taip yra

HTTP image

Norėdami tai išspręsti, tiesiog pakeiskite schemą į HTTPS ir viskas vėl bus gerai.

HTTP image

Jei jūsų svetainėje yra daug nesaugiai įdėto turinio, kiekvieno jų paieška ir taisymas gali būti gana varginantis. Tačiau „Cloudflare“ gali vėl padėti čia naudodama automatinių HTTPS perrašymų funkciją.

Jei norite būti tikri, kad joks jūsų svetainės turinys niekada negali būti teikiamas nesaugiai, apsvarstykite galimybę savo svetainėje įdiegti turinio saugumo politiką.

Dabar pažiūrėkime, kaip pirmiau nurodyti pakeitimai paveikė mūsų SSL laboratorijų ataskaitą. Aš pakartojau testą savo domene ir dabar mes gauname A + įvertinimą.

Jei schemoje patikrinsite atskirus įvertinimus, niekas nepasikeitė, bet mes vis tiek gauname tikrai saugų SSL diegimą nemokamai ir tik per kelias minutes.

„Cloudflare“ nemokamos SSL alternatyvos

Jei nenorite dėl kokių nors priežasčių naudoti „Cloudflare“, yra ir kitų būdų, kaip galite nemokamai gauti savo svetainę naudodami HTTPS. Čia galite išbandyti dvi parinktis:

Užšifruokime

Jei valdote savo serverį, galite greitai įdiegti HTTPS į savo svetainę naudodami „Encrypt“. Jie siūlo nemokamus SSL sertifikatus, kurie galioja tris mėnesius ir gali būti automatiškai atnaujinami.

Net jei neturite prieigos prie serverio, kreipkitės į savo žiniatinklio prieglobą. Kai kurie kompiuteriai leis naudoti „Let's Encrypt SSL“, nesuteikdami prieigos prie apvalkalo.

„Amazon AWS“ sertifikatų tvarkyklė

„Amazon“ taip pat išduoda ir automatiškai atnaujina SSL sertifikatus savo „Amazon Web Services“ (AWS) infrastruktūroje. Tokiu būdu galite nustatyti ir pamiršti HTTPS savo svetainėje, jei naudojate AWS išteklius, pvz., „Cloudfront“.

Nepriklausomai nuo to, kaip įdiegiate HTTPS savo svetainėje, svarbiausia įsitikinti, kad jūs kuo greičiau nustatysite sąranką, kad jūsų vartotojai gautų jos teikiamas saugumo privilegijas ir nepraleistumėte kelių šaunių naršyklių funkcijų, kurios padės kuriate geresnes žiniatinklio patirtį.

Jei jums patiko šis straipsnis, pasidalykite su kitais, kuriems gali būti naudinga jį perskaityti. Beje, atlikite straipsnius apie interneto plėtrą, atlikdami internetinio tinklalapio freshman.tech patikrinimą. Ačiū, kad skaitėte.