Kuinka lisätä HTTPS verkkosivustollesi ilmaiseksi 10 minuutissa ja miksi sinun täytyy tehdä tämä nyt enemmän kuin…

Viime viikolla Google ilmoitti, että heinäkuussa saapuva Chrome 68 merkitsee kaikki HTTP-sivut Ei suojattuiksi.

Tämä on vahvin törmäys, joka on vielä ajanut webin kohti salausta oletusarvoisesti, ja se on ollut kauan aikaa.

Vaikka on olemassa paljon todisteita, jotka puhuvat siitä, miksi kaikkien pitäisi hypätä HTTPS-vaunuun, monet ihmiset eivät vieläkään näe arvoa palvella sivustojaan turvallisesti.

" Miksi tarvitsen tätä blogia varten ?"

Olen kirjoittanut HTTPS: n arvosta aiemmin, mutta vain toistamaan:

  • HTTPS suojaa käyttäjiä Man In the Middle -hyökkäyksiltä.
  • HTTPS: ää tarvitaan monien uusien ominaisuuksien hyödyntämiseen selaimissa, kuten huoltotyöntekijät
  • HTTPS vaikuttaa hakukoneoptimointiin

Jos et ole varma, lue osoitteesta didmysiteneedhttps.com saadaksesi täydellisen kuvan siitä, miksi jokaista verkkosivustoa tulisi palvella turvallisesti.

Ja jos et vieläkään saa sitä, niin elämä on tulossa sinulle paljon vaikeampaa.

Selaimet ovat yrittäneet ajaa käyttäjiä pois epävarmoista sivustoista tietyissä yhteyksissä häpäisemään epävarmasti palvelettuja verkkosivustoja.

Chrome 56 aloitti trendin merkitsemällä arkaluontoisilla kirjautumiskentillä olevat sivut Ei suojatuksi, kun taas Chrome 62 laajensi tämän varoituksen kaikkiin HTTP-sivuihin, jotka sisälsivät minkä tahansa tyyppisen syötekentän. Lisäksi varoitus näytetään kaikilla HTTP-sivuilla incognito-tilassa riippumatta siitä, sisälsivätkö ne syöttökentän vai eivät.

Firefox varoittaa myös käyttäjiä, kun he yrittävät täyttää epävarma kirjautumislomake.

Nyt Chrome on päättänyt sijoittaa tämän varoituksen kaikille tuleville HTTP-sivuille. Lopulta ”Ei suojattu” -tunnisteen vieressä oleva kuvake muuttuu ja teksti muuttuu punaiseksi korostaakseen edelleen, että HTTP-sivuihin ei voida luottaa.

Jotta estät käyttäjiä näkemästä tätä varoitusta verkkosivustollasi, tarvitset vain kelvollisen SSL-varmenteen. Hyvä uutinen on, että niin tekeminen ei ole niin vaikeaa tai kallista kuin ennen. Itse aion näyttää sinulle, kuinka HTTPS otetaan käyttöön sivustollesi ilmaiseksi Cloudflaren avulla. Ja se ei vie paljon aikaa ollenkaan.

Miksi Cloudflare?

CloudFlare voi auttaa suojaamaan SSL-varmenteen ilmaiseksi riippumatta siitä, mikä palvelinpuolen infrastruktuuri sinulla on. Se toimii myös sivustoilla, joita isännöidään alustoilla, jotka eivät tarjoa palvelinkäyttöä, kuten GitHub Pages, Ghost ja muut tykkäykset.

Sinun ei tarvitse asentaa mitään tai kirjoittaa mitään koodia. Tämä tekee HTTPS: n käyttöönotosta todella upean vaihtoehdon verkkosivustollesi, ja asennusajan pitäisi kirjaimellisesti kestää enintään 10 minuuttia.

Se tarjoaa myös lukemattomia muita etuja verkkosivustosi turvallisuudessa ja suorituskyvyssä, joita en aio käsitellä tässä. Mutta puhun vähän siitä, miten se kaikki toimii, jotta voit saada hyvän käsityksen siitä, miten se pystyy tekemään kaikki nämä asiat.

Kuinka Cloudflare toimii

Cloudflare istuu keskellä liikennettä verkkosivustosi kävijöiden ja palvelimesi välillä. Vierailijat voivat olla tavallisia ihmisiä, indeksoijia ja botteja (kuten hakukoneiden botteja) tai hakkereita. Toimimalla välittäjänä verkkopalvelimesi ja sivustosi kävijöiden välillä Cloudflare auttaa suodattamaan kaiken laittoman liikenteen siten, että vain hyvät asiat kulkevat läpi.

Nyt saatat miettiä, voisiko kaikella sillä olla haitallinen vaikutus verkkosivustosi nopeuteen, mutta se on päinvastoin. Cloudflarella on palvelinkeskuksia ympäri maailmaa, joten se käyttää vain kävijääsi lähintä päätepistettä, jonka pitäisi tehdä sivustostasi paljon nopeampi kuin ennen.

Nyt kun tiedämme kuinka Cloudflare toimii, katsotaanpa, miten verkkosivusto asetetaan heidän infrastruktuuriinsa ja miten päästä HTTPS: ään ilmaiseksi. Tässä keskitytään niihin ominaisuuksiin, joita Cloudflare tarjoaa ilmaiseksi, mutta huomaa, että maksettuja suunnitelmia on saatavana myös joukko lisäominaisuuksia.

Uuden sivuston perustaminen

Kun olet rekisteröitynyt Cloudflareen, ensimmäinen asia on lisätä verkkotunnus ja skannata DNS-tietueet.

Kun tarkistus on valmis, kaikki verkkotunnuksen DNS-tietueet näytetään. Voit valita aliverkkotunnukset, joissa haluat ottaa Cloudflaren käyttöön, ja tehdä haluamasi muutokset. Kun olet valmis, siirry seuraavaan vaiheeseen valitsemalla Jatka .

Valitse ilmainen suunnitelma ja napsauta Jatka.

Seuraavaksi sinun on vaihdettava verkkotunnuksesi rekisteröintipalvelimen nimipalvelimet Cloudflare-palvelimiin. Prosessi tämän tekemiseen jokaisella verkkotunnuksen rekisteröijällä on hieman erilainen, joten tarkista asia verkkotunnuksen rekisteröijältä.

Näin se näyttää Namecheapissa:

Nyt sinun on odotettava nimipalvelimen muutosten lopettamista. Napsauta Tarkista nimipalvelimet hetken kuluttua nähdäksesi, onko sivustosi nyt aktiivinen Cloudflaressa. Tämä on asennuksen pisin osa ja voi kestää jopa 24 tuntia, mutta kokemukseni mukaan se kesti alle 5 minuuttia.

Kun Cloudflare on vahvistanut nimipalvelimen päivitykset, sivustosi aktivoituu palvelussa.

Jos haluat olla täysin varma, että DNS-asetuksesi ovat levinneet kaikkialle, Mikä on minun DNS tarjoaa tapaa tarkistaa, mihin IP-osoitteeseen verkkotunnuksesi päättää eri sijainneissa.

Voit myös käyttää digtai nslookupkomentorivillä vahvistaaksesi verkkotunnusten DNS-määritykset.

Näin voit olla varma, että kaikki verkkotunnukseesi menevä liikenne ohjataan nyt Cloudflaren kautta.

Ennen kuin aloitat Cloudflaren määrittämisen, varmista, että selaimesi ei käytä välimuistin vanhoja DNS-tietueita. Chromessa ja Firefoxissa voit tehdä tämän tyhjentämällä selaimen historian.

SSL: n hankkiminen ilmaiseksi

SSL on edelleen premium-palvelu, ja monet varmentajaviranomaiset veloittavat merkittäviä summia ennen SSL-varmenteen myöntämistä. Sitä ei voi ostaa ilmaiseksi kaikkialta, mutta se muuttuu nopeasti teollisuudessa.

Nyt kun Cloudflare istuu keskellä verkkoliikennettäsi, sinun pitäisi saada SSL verkkotunnukseesi automaattisesti. Sertifikaatin aktivoituminen voi kestää jopa 24 tuntia, mutta kokemukseni mukaan se ei kestä kauan.

Kun varmenne aktivoituu, lataa sivustosi selaimella. Sinun pitäisi nähdä sivusto, jota käytetään HTTPS: n kautta, ja mukava vihreä lukko osoiterivillä.

Jos tarkastelet lisätietoja sertistä, näet sen myöntäneen varmentajan (minun tapauksessani Comodo) ja vanhenemispäivän. Yksi Cloudflaren hienoimmista asioista on se, että sertifikaatin uusiminen tapahtuu automaattisesti sinulle, joten siellä ei tarvitse huolehtia.

Ero joustavan, täyden ja täyden (tiukan) SSL: n välillä

Cloudflare tekee SSL: n saamisesta sivustollesi todella helppoa määrittämättä mitään, mutta se ei aina ole sama kuin sivuston tarjoaminen SSL: n kautta suoraan alkuperästä.

Cloudflaren SSL: ää on toteutettu kolmella tavalla. Ensimmäinen, jonka oletuksena saat, on joustava SSL. Tässä tapauksessa liikenne on salattu sivustosi käyttäjien ja Cloudflaren välillä, mutta tämä salaus ei mene aina lähtöpalvelimeen. Cloudflare puhuu edelleen palvelimellesi tavallisen HTTP: n kautta.

Tämä tarkoittaa sitä, että jokainen Cloudflareen ja palvelimesi välinen Man In The Middle (kuten verkkopalveluntarjoaja) voi nähdä liikenteen. Jos keräät arkaluontoisia tietoja verkkosivustollasi, älä käytä tätä vaihtoehtoa.

Jotta saisit salauksen aina lähtöpalvelimeen, sinun on käytettävä Täysi tai Täysi (Tiukka) -toteutusta. Edellinen edellyttää, että asennat kelvollisen varmenteen palvelimellesi, mutta varmenteen aitoutta ei varmenneta, jotta voit tulla toimeen itse allekirjoittamalla varmenteella. Toisaalta Täysi (Tiukka) -toteutus edellyttää, että asennat kelvollisen SSL-varmenteen, jonka luotettu varmentaja on allekirjoittanut.

Jos et halua ostaa SSL: ää Comodon kaltaisilta, saat Cloudflarelta ilmaisia ​​Origin CA -sertifikaatteja, joita voidaan käyttää joko Täysi- tai Täysi (Tiukka) -vaihtoehtojen kanssa, koska Cloudflare luottaa niihin. Mutta pidä mielessä, että Cloudflare luottaa näihin varmenteisiin, joten ne lakkaavat toimimasta, jos päätät poistaa verkkosivustosi pois Cloudflaren infrastruktuurista.

Jos et hallitse palvelinympäristöäsi, esimerkiksi jos sivustosi isännöi GitHub-sivuilla tai vastaavilla alustoilla, et voi käyttää Täysi- tai Täysi (Tiukka) -toteutuksia, mikä tarkoittaa, että vaikka käyttäjät näkevät osoitepalkissa HTTPS: n, liikenne ei mene kokonaan alkuperäispalvelimeen salattuina.

Mutta se on silti valtava parannus verrattuna lainkaan HTTPS: ään, koska se suojaa käyttäjiäsi olemasta Man In The Middled asiakaspuolella.

Vahvista SSL-toteutusta

Riippumatta siitä, minkä SSL-toteutuksen valitset, on tapoja vahvistaa sitä, jotta käyttäjät eivät koskaan pääse sivustoosi suojaamattoman HTTP: n kautta. Qualys SSL Labs on työkalu, joka auttaa sinua suorittamaan SSL-kokoonpanosi testin, jotta näet onko parantamisen varaa.

Vaikka saan verkkotunnukselleni A-arvosanan, jos tutkit tuloksia, huomaat, että avainten vaihto- ja salausvahvuus-puolella on ehdottomasti parantamisen varaa.

Tarkastellaan muutamia asioita, joita voimme tehdä Cloudflaressa SSL: n vahvistamiseksi ja luokitusten nostamiseksi entisestään.

Pakota HTTPS kaikkialle

Kun olet siirtynyt HTTPS: ään, haluat ehdottomasti estää käyttäjiä pääsemästä sivustoosi epävarman yhteyden kautta. Voit tehdä tämän Cloudflare-palvelussa 301 ohjaamalla kaiken HTTP-liikenteen HTTPS: ään.

Etsi Salausasetukset-kohdasta Käytä aina HTTPS- vaihtoehto ja kytke se päälle.

Ota käyttöön HTTP Strict Transport Security (HSTS)

Olen kirjoittanut siitä, kuinka HSTS vahvistaa sivustojesi SSL: ää aikaisemmin, mutta käydään se läpi lyhyesti lyhyesti.

Vain 301 HTTP-liikenteen uudelleenohjauksen HTTPS: ään ongelma on, että alkuperäinen epävarma pyyntö menee edelleen langan yli, mikä tarkoittaa, että kuka tahansa, jolla on pääsy liikenteeseen, voi lukea sen.

HSTS on vastausotsikko, joka korjaa ongelman kertomalla selaimelle, että se ei välttämättä pyydä turvattomia pyyntöjä verkkosivustolle tietyn ajan.

Näin otsikko näyttää:

strict-transport-security: max-age=31536000

Kun selain vastaanottaa tämän otsikon, se ei pyydä turvattomia pyyntöjä sivustollesi seuraavien 31 536 000 sekunnin ajan (yhden vuoden arvoinen). Sen sijaan kaikki HTTP-pyynnöt päivitetään sisäisesti HTTPS: ään, ennen kuin ne lähetetään verkon kautta.

Tarvitset includeSubdomainsdirektiivin, jos haluat estää kaikkien aliverkkotunnusten pääsyn HTTP: n kautta . Voit myös lisätä preloaddirektiivin, jotta selaimen myyjät voivat paistaa sivustosi itse selaimessa olevan vain HTTPS.

strict-transport-security: max-age=31536000; includeSubdomains; preload

Kun olet ottanut HSTS: n käyttöön verkkotunnuksessasi, voit olla varma, että kun joku on ladannut verkkosivustosi HTTPS: n kautta, hän pystyy pääsemään siihen pääsemään vasta suojatun järjestelmän kautta.

Joten ennen kuin otat HSTS: n käyttöön sivustollasi, varmista, että olet varma, että kaikki liikenteesi palvelevat HTTPS: ää, muuten kohtaat ongelmia.

Ota tämä käyttöön Cloudflaressa siirtymällä salausasetuksiin ja vierittämällä alas HTTP Strict Transport Security (HSTS) -osioon. Napsauta Muuta HSTS-asetuksia, ota kaikki asiaankuuluvat vaihtoehdot käyttöön ja paina Tallenna .

Ja vain siinä tapauksessa, että mietit, selaimen tuki HSTS: lle on melko hyvä.

Korjaa epävarmat järjestelmäviitteet

Jos upotat passiivisen resurssin (kuten kuvan) turvallisesti suojatulle sivulle, selain lataa sen edelleen hienosti. Se vain poistaa vihreän lukon osoiteriviltä. Näet esimerkin tästä virheestä täällä.

Jos tarkistat selainkonsolin, näet joitain varoituksia tai virheitä, jotka viittaavat epävarmaan upotettuun resurssiin. Tässä tapauksessa se on

HTTP image

Voit korjata tämän muuttamalla mallin HTTPS: ksi ja kaikki on jälleen hyvin.

HTTP image

Jos sivustossasi on paljon sisältöä, joka on upotettu turvattomasti, jokaisen löytäminen ja korjaaminen voi olla varsin tylsiä. Mutta Cloudflare voi auttaa sinua täällä jälleen automaattisen HTTPS-uudelleenkirjoitustoiminnon avulla.

Jos haluat olla varma siitä, että mitään verkkosivustosi sisältöä ei voida koskaan tarjota turvattomasti, harkitse Sisällön suojauskäytännön käyttöönottoa sivustollasi.

Katsotaan nyt, kuinka yllä olevat muutokset ovat vaikuttaneet SSL Labs -raporttiin. Olen suorittanut testin uudelleen verkkotunnuksellani, ja nyt saamme A + -arvosanan.

Jos tarkistat yksittäiset luokitukset kaaviosta, mikään ei ole muuttunut, mutta saamme silti todella turvallisen SSL-toteutuksen ilmaiseksi ja muutamassa minuutissa.

Vaihtoehdot Cloudflarelle ilmaiseksi SSL: lle

Jos et halua käyttää Cloudflarea jostain syystä, on muita tapoja saada verkkosivustosi HTTPS: ään ilmaiseksi. Tässä on kaksi vaihtoehtoa, joita voit kokeilla:

Salataan

Jos hallitset palvelinta, voit ottaa HTTPS: n käyttöön sivustollasi Let's Encrypt -toiminnon avulla. Ne tarjoavat ilmaisia ​​SSL-varmenteita, jotka kestävät kolme kuukautta ja jotka voidaan uusia automaattisesti.

Vaikka sinulla ei ole palvelimen käyttöoikeuksia, tarkista asia verkko-isännältäsi. Jotkut isännät antavat sinun käyttää Let's Encrypt SSL: ää tarjoamatta kuoren käyttöoikeuksia.

Amazon AWS Certificate Manager

Amazon myös antaa ja päivittää SSL-varmenteet asiakkailleen Amazon Web Services (AWS) -infrastruktuurissaan. Näin voit asettaa ja unohtaa HTTPS: n sivustollesi, jos käytät AWS-resursseja, kuten Cloudfront.

Huolimatta siitä, miten otat HTTPS: n käyttöön verkkosivustollasi, tärkeintä on varmistaa, että asennat asetukset mahdollisimman pian, jotta käyttäjät saavat sen tarjoamat tietoturvaedut ja et menetä useita selaimissa olevia hyödyllisiä ominaisuuksia, jotka auttavat luot parempia verkkokokemuksia.

Jos pidit tästä artikkelista, jaa se muiden kanssa, jotka saattavat hyötyä sen lukemisesta. Muuten, tarkista blogini osoitteessa freshman.tech verkkosivujen kehittämistä koskevia artikkeleita. Kiitos lukemisesta.