Kuidas lisada HTTPS oma veebisaidile 10 minutiga tasuta ja miks peate seda tegema nüüd rohkem kui…

Eelmisel nädalal teatas Google, et juulis saabuv Chrome 68 märgistab kõik HTTP-lehed olekuks „Pole turvaline”.

See on seni kõige tugevam nügimine, mis veebi vaikimisi krüptimise suunas suunab, ja see on olnud kaua aega ees.

Kuigi on palju tõendeid, mis räägivad sellest, miks kõik peaksid HTTPS-i vagunile hüppama, ei näe paljud inimesed ikkagi väärtust oma saitide turvalisel teenindamisel.

" Miks ma seda blogi jaoks vajan ?"

Olen varem kirjutanud HTTPS-i väärtusest, kuid lihtsalt kordamiseks:

  • HTTPS kaitseb kasutajaid Man In the Middle rünnakute eest.
  • HTTPS on vajalik paljude uute funktsioonide kasutamiseks brauserites, näiteks teenusetöötajad
  • HTTPS mõjutab SEO-d

Kui te pole selles veendunud, lugege saiti didmysiteneedhttps.com, et saada täielik ülevaade, miks peaks iga veebisaiti turvaliselt teenima.

Ja kui sa ikka ei saa, siis läheb elu sinu jaoks palju raskemaks.

Püüdes kasutajaid ebaturvalistest saitidest eemale juhtida, on brauserid häbistanud teatud kontekstides ebaturvaliselt pakutavaid veebisaite.

Chrome 56 alustas seda suundumust märkides tundlike sisselogimisväljadega lehed olekuks „Pole turvaline”, samal ajal kui Chrome 62 laiendas seda hoiatust kõigile HTTP-lehtedele, mis sisaldasid mis tahes tüüpi sisestusvälju. Lisaks kuvatakse hoiatus kõigil HTTP-lehtedel inkognito režiimis, olenemata sellest, kas need sisaldasid sisendvälja või mitte.

Firefox hoiatab kasutajaid ka siis, kui nad üritavad täita ebaturvalist sisselogimisvormi.

Nüüd otsustas Chrome selle hoiatuse edaspidi kõigile HTTP-lehtedele paigutada. Lõpuks muutub sildi „Pole turvaline” kõrval olev ikoon ja tekst muudetakse punaseks, et veelgi rõhutada, et HTTP-lehti ei saa usaldada.

Selleks, et kasutajad ei saaks seda hoiatust teie veebisaidil näha, on vaja vaid kehtivat SSL-sertifikaati. Hea uudis on see, et see pole nii raske ega kallis kui varem. Tegelikult näitan teile, kuidas saab Cloudflare'i abil oma saidil tasuta HTTPS-i juurutada. Ja see ei võta üldse palju aega.

Miks Cloudflare?

CloudFlare aitab teil SSL-sertifikaati tasuta turvata, hoolimata sellest, milline serveripoolne infrastruktuur teil on. See töötab ka saitide jaoks, mis on hostitud platvormidel, mis ei paku serverile juurdepääsu, näiteks GitHubi lehed, Ghost ja muud sarnased.

Teil pole vaja midagi installida ega koodi kirjutada. See muudab HTTPS-i juurutamise oma veebisaidile tõesti suurepäraseks võimaluseks ja seadistusaeg peaks sõna otseses mõttes võtma mitte rohkem kui 10 minutit.

See pakub ka hulgaliselt muid eeliseid teie veebisaidi turvalisuse ja toimivuse osas, mida ma siin ei käsitle. Aga ma räägin natuke sellest, kuidas see kõik töötab, et saaksite hea ülevaate sellest, kuidas see kõiki neid asju teha suudab.

Kuidas Cloudflare töötab

Cloudflare asub otse liikluse keskel teie veebisaidi külastajate ja teie serveri vahel. Külastajad võivad olla tavalised inimesed, roomikud ja robotid (näiteks otsingumootorite robotid) või häkkerid. Toimides vahendajana veebiserveri ja saidi külastajate vahel, aitab Cloudflare kogu ebaseadusliku liikluse välja filtreerida, nii et läbi läheb vaid hea kraam.

Nüüd võite mõelda, kas see kõik võib teie veebisaidi kiirusele kahjulikult mõjuda, kuid see on vastupidi. Cloudflare'il on andmekeskused kogu maailmas, nii et see kasutab lihtsalt teie külastajale lähimat lõpp-punkti, mis peaks teie saidi muutma palju kiiremaks kui see oli varem.

Nüüd, kui me teame, kuidas Cloudflare töötab, vaatame, kuidas seadistada veebisait nende infrastruktuuris ja kuidas saada tasuta HTTPS-i. Siin keskendutakse funktsioonidele, mida Cloudflare pakub tasuta, kuid pange tähele, et tasulised plaanid on saadaval ka hulga lisafunktsioonidega.

Uue saidi seadistamine

Pärast Cloudflare'is registreerumist tuleb kõigepealt lisada domeen ja skannida DNS-kirjed.

Kui skannimine on lõpule jõudnud, kuvatakse kõik domeenis olevad DNS-kirjed. Saate valida alamdomeenid, millel soovite Cloudflare'i lubada, ja teha kõik soovitud muudatused. Kui olete valmis, klõpsake järgmise sammu juurde liikumiseks Jätka .

Valige tasuta plaan ja klõpsake nuppu Jätka.

Järgmisena peate muutma oma domeeni registripidaja nimeserverid Cloudflare pakutavateks. Protsess, kuidas seda iga domeeni registripidajal teha, on veidi erinev, nii et pöörduge oma domeeni registripidaja poole.

Namecheapis näeb välja järgmine:

Nüüd peate ootama, kuni nimeserveri muudatused levitamise lõpetavad. Klõpsake mõne aja pärast nupul Kontrolli nimeservereid , et näha, kas teie sait on nüüd Cloudflare'is aktiivne. See on seadistuse pikim osa ja see võib võtta kuni 24 tundi, kuid minu kogemuse järgi võttis see aega vähem kui 5 minutit.

Kui Cloudflare on teie nimeserveri värskendused kinnitanud, muutub teie sait teenuses aktiivseks.

Kui soovite olla täiesti kindel, et teie DNS-i seaded on levinud kõikjal, pakub Mis on minu DNS-i viis kontrollida, millise IP-aadressi teie domeen erinevates asukohtades lahendab.

Domeenide DNS-i konfiguratsiooni kontrollimiseks võite kasutada ka käsureal digvõi nslookup.

Nii võite olla kindel, et kogu teie domeeni suunduv liiklus suunatakse nüüd läbi Cloudflare.

Enne Cloudflare'i konfigureerimise alustamist veenduge, et teie brauser ei kasutaks oma vahemälu vanu DNS-kirjeid. Chrome'is ja Firefoxis saate seda teha, kui tühjendate oma brauseri ajaloo.

SSL-i hankimine tasuta

SSL on endiselt esmaklassiline teenus ja paljud sertifikaadiasutused võtavad enne SSL-sertifikaadi väljaandmist märkimisväärseid summasid. See pole midagi, mida saate lihtsalt igal pool tasuta saada, kuid see muutub tööstuses kiiresti.

Nüüd, kui Cloudflare istub keset veebiliiklust, peaksite oma domeeni saama SSL-i automaatselt. Sertifikaadi aktiveerumiseks võib kuluda kuni 24 tundi, kuid minu kogemuse järgi ei võta see üldse kaua aega.

Kui sertifikaat muutub aktiivseks, laadige oma sait brauserisse. Peaksite nägema saidi serveerimist HTTPS-i kaudu ja kena rohelist tabalukku aadressiribal.

Kui vaatate sertifikaadi kohta lisateavet, näete sertifikaadi väljastanud asutust (minu puhul Comodo) ja aegumiskuupäeva. Cloudflare'i üks suur asi on see, et sertifikaatide uuendamine toimub teie jaoks automaatselt, nii et seal pole muret.

Erinevus paindliku, täis- ja täieliku (range) SSL-i vahel

Cloudflare muudab teie saidile SSL-i saamise tasuta ilma midagi seadistamata, kuid see ei ole alati sama, mis teie saidi serveerimine SSL-i kaudu otse päritolust.

Cloudflare'i SSL-i on kolm rakendust. Esimene, mille vaikimisi saate, on paindlik SSL. Sel juhul on teie saidi ja Cloudflare'i kasutajate vahel liiklus krüpteeritud, kuid see krüptimine ei lähe täielikult algserverisse. Cloudflare räägib endiselt teie serveriga tavalise HTTP kaudu.

See tähendab, et kõik Cloudflare'i ja teie serveri vahelised Man In The Middle (näiteks võrguteenuse pakkujad) näevad liiklust. Kui kogute oma veebisaidil tundlikku teavet, hoiduge selle valiku kasutamisest.

Krüpteerimiseks kuni algserverini peate kasutama rakendust Täielik või Täielik (range). Esimene nõuab, et installiksite oma serverisse kehtiva sertifikaadi, kuid sertifikaadi autentsust ei kontrollita, nii et saate ise allkirjastatud sertifikaadiga hakkama. Teisest küljest nõuab täielik (range) juurutamine teil kehtiva SSL-sertifikaadi installimist, millele on alla kirjutanud usaldusväärne sertifikaadiasutus.

Kui te ei soovi SSL-i osta Comodo sarnastelt, saate Cloudflare'ilt tasuta päritolu CA-sertifikaadid, mida saab kasutada kas täis- või täisvalikute (range), kuna Cloudflare neid usaldab. Kuid pidage meeles, et neid sertifikaate usaldab ainult Cloudflare, nii et nad lakkavad töötamast, kui otsustate oma veebisaidi Cloudflare'i infrastruktuurist välja viia.

Kui te ei kontrolli oma serverikeskkonda, öelge, kui teie sait on hostitud GitHubi lehtedel või muudel sarnastel platvormidel, ei saa te kasutada rakendusi Täielik või Täielik (range), mis tähendab, et isegi kui teie kasutajad näevad aadressiribal HTTPS-i, liiklus ei lähe krüptituna kogu algserverisse.

Kuid see on ikkagi tohutu edasiminek võrreldes HTTPS-i puudumisega, sest see kaitseb teie kasutajaid kliendi poolel Man In The Middledi eest.

Tugevdage SSL-i juurutamist

Sõltumata sellest, millise SSL-i juurutamise valisite, on olemas viise, kuidas seda tugevdada, tagamaks, et kasutajad ei pääseks teie saidile kunagi ebaturvalise HTTP kaudu. Qualys SSL Labs on tööriist, mis aitab teil SSL-konfiguratsiooni testida, et näha, kas on veel arenguruumi.

Isegi kui saan oma domeenile hinde A, näete tulemuste uurimisel, et asjade võtmevahetuse ja krüptitugevuse osas on kindlasti arenguruumi.

Vaatame mõningaid asju, mida saame Cloudflare'is teha, et oma SSL-i tugevdada ja reitingud veelgi kõrgemaks saada.

Sundige HTTPS-i kõikjal

Kui olete HTTPS-i läinud, soovite kindlasti takistada kasutajatel teie saidile juurdepääsu ebaturvalise ühenduse kaudu. Seda saab teha Cloudflare'is, suunates kogu HTTP-liikluse HTTPS-i 301-ga.

Krüptoseadete alt leidke valik Kasuta alati HTTPS ja lülitage see sisse.

Luba HTTP range transport Security (HSTS)

Olen varem kirjutanud, kuidas HSTS teie saitide SSL-i tugevdab, kuid vaatame selle lühidalt uuesti üle.

Ainult 301 HTTP-liikluse HTTPS-i suunamise probleem on see, et esialgne ebaturvaline taotlus läheb ikkagi üle traadi, mis tähendab, et seda võiksid lugeda kõik, kellel on juurdepääs liiklusele.

HSTS on vastuse päis, mis lahendab selle probleemi, öeldes brauserile, et see ei pruugi määratud aja jooksul veebisaidile ebaturvalist päringut esitada.

Nii näeb päis välja:

strict-transport-security: max-age=31536000

Kui brauser selle päise kätte saab, ei esita ta teie saidil järgmise 31 536 000 sekundi jooksul (1 aasta väärtuses) ebaturvalist taotlust. Selle asemel värskendatakse kõik HTTP-päringud enne võrgu kaudu väljasaatmist sisemiselt HTTPS-iks.

Kui soovite takistada kõigi alamdomeenide juurdepääsu HTTP kaudu, vajate includeSubdomainsdirektiivi. Samuti saate preloaddirektiivi lisada, et brauseri müüjad saaksid teie saidi küpsetada ainult brauserisse, kuna see on ainult HTTPS.

strict-transport-security: max-age=31536000; includeSubdomains; preload

Kui olete HSTS-i oma domeenis lubanud, võite olla üsna kindel, et kui keegi on teie veebisaidi HTTPS-i kaudu laadinud, saab ta edaspidi sellele juurdepääsu kasutada ainult turvalise skeemi kaudu.

Nii et enne HSTS-i lubamist oma saidil veenduge, et olete kindel, et kogu teie liiklus toimub HTTPS-i kaudu, vastasel juhul tekivad probleemid.

Et võimaldada seda CloudFlare minge Crypto seaded ja kerige HTTP range Transport Turvalisus (kiirrongid) sektsioonis. Klõpsake nuppu Muuda HSTS-i seadeid, lubage kõik asjakohased valikud ja vajutage Salvesta .

Ja igaks juhuks, kui mõtlete, on HSTS-i brauseritugi üsna hea.

Parandage ebaturvalised skeemiviited

Kui manustatate passiivset ressurssi (näiteks pilti) turvaliselt turvalisele lehele ebaturvaliselt, laadib brauser selle siiski suurepäraselt. See võtab aadressiribalt lihtsalt rohelise tabaluku. Selle vea näite leiate siit.

Kui kontrollite brauseri konsooli, näete mõningaid hoiatusi või vigu, mis osutavad ebaturvaliselt manustatud ressursile. Sel juhul on

HTTP image

Selle parandamiseks lihtsalt muutke skeem HTTPS-iks ja kõik on jälle hästi.

HTTP image

Kui teie saidil on ebaturvaliselt manustatud palju sisu, võib iga selle leidmine ja parandamine olla üsna tüütu. Kuid Cloudflare aitab teid siin uuesti funktsiooniga Automaatne HTTPS-i ümberkirjutamine.

Olge topelt kindel, et teie veebisaidi sisu ei saa kunagi ebaturvaliselt esitada, kaaluge oma saidil sisuturbepoliitika rakendamist.

Nüüd vaatame, kuidas ülaltoodud muudatused on mõjutanud meie SSL-i laborite aruannet. Olen oma domeenis testi uuesti teinud ja nüüd saame A + hinnangu.

Kui kontrollite graafikus olevaid individuaalseid reitinguid, pole midagi muutunud, kuid ikkagi saame tasuta ja vaid mõne minutiga tõeliselt turvalise SSL-i rakenduse.

Cloudflare'i tasuta SSL-i alternatiivid

Kui eelistate Cloudflare'i mingil põhjusel mitte kasutada, on ka muid võimalusi, kuidas oma veebisait HTTPS-i tasuta saada. Siin on kaks võimalust, mida saate proovida.

Krüpteerime

Kui teil on oma serveri üle kontroll, saate rakenduse Let's Encrypt abil oma saidil kiiresti HTTPS-i juurutada. Nad pakuvad tasuta SSL-sertifikaate, mis kestavad kolm kuud ja mida saab automaatselt uuendada.

Isegi kui teil pole serverile juurdepääsu, pöörduge oma veebihalduri poole. Mõni host lubab teil kasutada SSL-i krüptimist ilma shellile juurdepääsu pakkumata.

Amazoni AWS-i sertifikaatide haldur

Samuti väljastab Amazon oma Amazon Web Services (AWS) infrastruktuuris klientidele SSL-sertifikaate ja uuendab neid automaatselt. Nii saate oma saidil HTTPS-i seadistada ja selle unustada, kui kasutate AWS-i ressursse, näiteks Cloudfront.

Sõltumata sellest, kuidas HTTPS-i oma veebisaidil juurutate, on kõige olulisem veenduda, et saaksite seadistamise võimalikult kiiresti teha, et teie kasutajad saaksid selle pakutavaid turvalisuse eeliseid ja te ei jätaks kasutamata mitmeid brauserite lahedaid funktsioone, mis aitavad loote paremaid veebikogemusi.

Kui teile see artikkel meeldis, jagage seda teistega, kellele võib selle lugemine kasulik olla. Muide, vaadake veebiarenduse artikleid minu ajaveebist aadressil freshman.tech. Täname lugemast.