Bezpieczeństwo w sieci będzie w 2017 roku w centrum zainteresowania i każda firma działająca online będzie musiała odpowiednio chronić dane użytkowników w swojej witrynie.
Jeśli czytasz ten artykuł, to najprawdopodobniej „padłeś ofiarą” ostatnich zmian w przeglądarkach Firefox i Chrome, które straszą teraz Twoich klientów tym, że Twoja witryna nie jest bezpieczna. Co więcej, jeśli na Twojej stronie znajduje się jakikolwiek formularz, przeglądarka wyświetli dodatkowe ostrzeżenie, które trudno przeoczyć.
Powodem, dla którego na Twojej stronie pojawia się takie ostrzeżenie jest brak szyfrowania danych certyfikatem SSL. W poniższym artykule przeprowadzimy Cię zatem przez proces zamawiania oraz instalacji takiego certyfikatu. Wskażemy Ci również kilka dodatkowych czynności, które powinieneś wykonać, aby Twoja strona www była w pełni zabezpieczona.
Jak zamówić certyfikat SSL?
Nie masz jeszcze certyfikatu SSL? Szczegóły dotyczące wszystkich dostępnych certyfikatów znajdziesz tutaj.
Aby zamówić certyfikat SSL, musisz najpierw wygenerować ciąg znaków CSR. CSR, czyli Certificate Signing Request, to żądanie wystawienia certyfikatu, które jest generowane dla konkretnej domeny. O wygenerowanie CSR możesz zwrócić się do administratora swojego serwera lub skorzystać z naszego generatora CSR.
CSR zawiera takie informacje jak nazwa wnioskującego, adres strony oraz autoryzowany adres e-mail. Zawiera także klucz publiczny (stanowiący część jawną certyfikatu). Taki plik jest następnie przesyłany do wystawcy certyfikatu i na jego podstawie jest generowany certyfikat.
Zachowaj klucz prywatny
Wraz z CSR zawsze w parze generowany jest również klucz prywatny, który jest niezbędny do instalacji certyfikatu. Pamiętaj, żeby go zachować!
Zagubienie klucza prywatnego jest jednym z najczęstszych błędów popełnianych przy zamawianiu certyfikatu. Powtórne wygenerowanie tego samego klucza prywatnego nie jest możliwe. Niezbędne jest w takiej sytuacji ponowne wydanie certyfikatu, ale nie wiąże się ono z uiszczaniem dodatkowych opłat.
Ponowne wydanie certyfikatu
Jeśli zdecydowałeś się na certyfikat RapidSSL, Geotrust czy Symantec, w razie potrzeby na stronie danego wystawcy możesz bezpłatnie zainicjować ponowne wydanie certyfikatu. Wówczas wydany zostaje ten sam certyfikat dla nowego pliku CSR i nowego klucza prywatnego.
Uwierzytelnienie właściciela domeny – nie dostałeś maila?
Aby uzyskać najpopularniejsze certyfikaty, musisz potwierdzić prawa do swojej domeny. Wystawca sprawdza, czy masz prawo nią dysponować, poprzez wysłanie do Ciebie e-maila weryfikacyjnego.
Co zrobić jeśli takiego e-maila nie otrzymałeś? Możesz zainicjować ponowną jego wysyłkę na stronie wybranego przez Ciebie wystawcy.
Pamiętaj, że adres, na który ma być wysłany e-mail potwierdzający musi być w domenie, dla której zamawiasz dany certyfikat SSL. Warto również dodać domenę wystawcy certyfikatu do zaufanych odbiorców w filtrze antyspamowym.
Jak zainstalować certyfikat SSL na serwerze?
Przede wszystkim upewnij się, że serwer, na którym znajduje się Twoja strona internetowa obsługuje certyfikaty SSL. W przeciwnym razie instalacja nie będzie możliwa. Certyfikat można zainstalować za pomocą panelu administracyjnego serwera.
Jeżeli masz konto hostingowe u nas w MSERWIS.pl i zakupisz u nas również certyfikat SSL, to zainstalujemy go dla Ciebie gratis. Na każdym koncie zainstalujesz bez problemu dowolną liczbę certyfikatów SSL dla różnych domen.
Do instalacji certyfikatu potrzebujesz następujących elementów:
- Klucz prywatny, czyli ciąg znaków zawierający na początku BEGIN RSA PRIVATE KEY.
- Certyfikat, czyli ciąg znaków zawierający na początku BEGIN CERTIFICATE. To certyfikat wydany dla Twojej nazwy domeny.
- Certyfikat pośredniczący, również zawierający na początku słowa BEGIN CERTIFICATE. Otrzymasz go razem z certyfikatem od wystawcy i jego instalacja jest niezbędna, aby był zaufany w każdej przeglądarce internetowej.
Podczas instalacji certyfikatu powinieneś zostać poproszony o wprowadzenie tych wszystkich elementów. Następnie otrzymasz potwierdzenie poprawnej instalacji certyfikatu.
Kupno i instalacja to nie wszystko
Oprócz samego kupna i instalacji certyfikatu SSL, musisz wykonać jeszcze kilka bardzo ważnych czynności.
Wymuszenie połączenia szyfrowanego
Po zainstalowaniu certyfikatu SSL wszystkie linki na Twojej stronie już nie będą zaczynały się od http://, ale od https://, co jest niezwykle istotną zmianą. Dlaczego? Dlatego, że dla wyszukiwarki adresy typu http://www.firma.pl/kontakt, oraz https://www.firma.pl/kontakt, to dwa zupełnie różne adresy.
To, że masz zainstalowany na stronie certyfikat SSL to jedno, a to czy użytkownik łączy się z Twoją stroną używając połączenia szyfrowanego, to drugie. Należy zatem wymusić przekierowanie z protokołu http na szyfrowane połączenie https.
Krótko mówiąc, jeśli użytkownik korzysta z protokołu http:// należy go przekierować na stronę tak, by używał https://. Można to zrobić w pliku .htaccess za pomocą modułu rewrite. Zapisujemy to następująco, oczywiście podmieniając nazwę domeny na naszą własną:
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.mserwis.pl/$1 [R,L]
W ten sposób sprawdzamy czy internauta używa protokołu https, a jeśli nie, to dokonujemy przekierowania na identyczny adres jak w pasku adresu, ale tym razem przy wykorzystaniu https.
Takie przekierowanie w .htaccess tworzy przekierowania 301 ze starych adresów URL na odpowiadające im adresy z https://, czyli zarówno ludzie jak i wyszukiwarki trafią tam, gdzie powinni.
Aktualizacja linków
Jeśli zainstalowałeś poprawnie certyfikat SSL, ale widzisz w przeglądarce ostrzeżenie, iż nadal „połączenie nie jest bezpieczne”, oznacza to, że niektóre elementy Twojej strony w dalszym ciągu nie są przesyłane w połączeniu szyfrowanym.
Linki wewnętrzne
Sprawdź, czy linki na Twojej witrynie kierujące do innych podstron, nie zawierają wpisanego protokołu http. Jeśli tak, to musisz je zmienić na https. Jeśli używasz wyłącznie linków względnych, np. „/kontakt.html”, to nie musisz nic robić.
Linki do multimediów i skryptów
Jeżeli na Twojej stronie znajdują się odwołania do zasobów takich jak grafiki bądź skrypty, to pamiętaj, aby ich adresy URL również zaktualizować do https://.
Jeśli na stronie znajdzie się grafika pobierana poprzez http, to przeglądarka jej nie pobierze oraz wyświetli ostrzeżenie, iż na stronie znajduje się mieszana zawartość.
Czasami linki http są ukryte nie tylko w głównym kodzie strony, ale też w plikach JS lub CSS – warto je też przejrzeć.
Aby sprawdzić, czy na Twojej stronie znajdują się jeszcze jakieś niezabezpieczone elementy (tzn. korzystające nadal z protokołu http://), polecamy skorzystać z narzędzia https://www.whynopadlock.com/. Wystarczy podać adres Twojej witryny, a narzędzie przeanalizuje jej zawartość i wskaże, co jeszcze należy zmienić, aby strona była w pełni zabezpieczona.
Linki na zewnętrznych portalach
Kolejnym istotnym krokiem jest zaktualizowanie linków prowadzących do Twojej strony internetowej. Przejrzyj zewnętrzne serwisy, na których znajdują się linki do Twojej strony internetowej. Jeśli masz nad nimi kontrolę (np. oficjalne profile w social media), to zaktualizuj adresy URL do formy z https.
Masz pytanie odnośnie certyfikatów SSL? Zadaj je w komentarzu.
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.