Hogyan lehet 10 perc alatt ingyen hozzáadni a HTTPS-t a webhelyéhez, és miért kell ezt most megtennie, mint

A múlt héten a Google bejelentette, hogy a júliusban érkező Chrome 68 az összes HTTP-oldalt „Nem biztonságos” -ként jelöli meg.

Ez az eddigi legerősebb mozdulat, amely alapértelmezés szerint a titkosítás felé tereli az internetet, és hosszú ideje várat magára.

Bár rengeteg bizonyíték szól arról, miért kellene mindenkinek felpattannia a HTTPS sávra, sok ember még mindig nem látja értékét, ha biztonságosan szolgálja ki webhelyét.

" Miért van szükségem erre egy bloghoz ?"

Korábban már írtam a HTTPS értékéről, de csak ismétlem:

  • A HTTPS védi a felhasználókat a Man In the Middle támadásokkal szemben.
  • A HTTPS-re a böngészők számos új funkciójának, például a Service Workers-nek van szüksége
  • A HTTPS hatással van a SEO-ra

Ha nem vagy meggyőződve róla, olvassa el a didmysiteneedhttps.com oldalt, hogy teljes képet kapjon arról, miért kell minden webhelyet biztonságosan kiszolgálni.

És ha még mindig nem érted meg, akkor az élet sokkal nehezebbé válik számodra.

Annak érdekében, hogy a felhasználókat elrugaszkodjanak a nem biztonságos webhelyektől, a böngészők bizonyos helyzetekben megszégyenítik a bizonytalanul kiszolgált webhelyeket.

A Chrome 56 ezt a trendet azzal kezdte, hogy az érzékeny bejelentkezési mezőkkel rendelkező oldalakat „Nem biztonságos” -ként jelölte meg, míg a Chrome 62 kiterjesztette ezt a figyelmeztetést minden olyan HTTP-oldalra, amely bármilyen típusú beviteli mezőt tartalmazott. Ezenkívül a figyelmeztetés az összes HTTP oldalon inkognitómódban megjelenik, függetlenül attól, hogy tartalmaznak-e beviteli mezőt vagy sem.

A Firefox figyelmezteti a felhasználókat, amikor nem biztonságos bejelentkezési űrlapot próbálnak kitölteni.

Most a Chrome úgy döntött, hogy ezt a figyelmeztetést a továbbiakban minden HTTP-oldalon elhelyezi. Végül a „Nem biztonságos” címke melletti ikon megváltozik, és a szöveg vörös lesz, hogy még jobban hangsúlyozzák, hogy a HTTP oldalak nem megbízhatók.

Annak megakadályozására, hogy a felhasználók ezt a figyelmeztetést megjelenítsék az Ön webhelyén, csak érvényes SSL tanúsítvány beszerzésére van szükség. A jó hír az, hogy ez nem olyan nehéz vagy drága, mint korábban. Valójában megmutatom, hogyan lehet ingyenesen telepíteni a HTTPS-t a webhelyére a Cloudflare használatával. És egyáltalán nem fog sok időbe telni.

Miért Cloudflare?

A CloudFlare segítséget nyújthat az SSL-tanúsítvány ingyenes biztosításához, függetlenül attól, hogy milyen szerveroldali infrastruktúrával rendelkezik. Olyan webhelyeken is működik, amelyek olyan szervereken vannak tárolva, amelyek nem biztosítanak kiszolgálóhoz való hozzáférést, mint például a GitHub Pages, a Ghost és hasonlók.

Nem kell semmit telepítenie és kódot írnia. Ez igazán nagyszerű lehetőség a HTTPS telepítésére a webhelyén, és a beállítási időnek szó szerint legfeljebb 10 percet kell igénybe vennie.

Számtalan további előnyt nyújt a webhely biztonságában és teljesítményében, amelyekre itt nem térek ki. De beszélek egy kicsit arról, hogy mindez hogyan működik, így jó képet kaphat arról, hogyan képes elvégezni ezeket a dolgokat.

Hogyan működik a Cloudflare

A Cloudflare a webhely látogatói és a szerver közötti forgalom kellős közepén helyezkedik el. A látogatók lehetnek rendszeres emberek, robotok és robotok (például keresőmotor botok) vagy hackerek. Azáltal, hogy a Cloudflare közvetítőként működik a webszerver és a webhely látogatói között, segít kiszűrni az összes törvénytelen forgalmat, hogy csak a jó dolgok menjenek át.

Most arra lehet kíváncsi, hogy mindez hátrányosan befolyásolhatja-e a webhely sebességét, de éppen ellenkezőleg. A Cloudflare az egész világon rendelkezik adatközpontokkal, ezért csak a látogatóhoz legközelebbi végpontot használja, amelynek sokkal gyorsabbá kell tennie a webhelyét, mint korábban volt.

Most, hogy tudjuk, hogyan működik a Cloudflare, vessünk egy pillantást arra, hogy miként állíthatunk be egy webhelyet az infrastruktúrájukra, és hogyan juthatunk el ingyenesen a HTTPS-re. A hangsúly a Cloudflare által ingyen biztosított szolgáltatásokra összpontosít, de vegye figyelembe, hogy fizetett tervek is rendelkezésre állnak egy csomó extra funkcióval.

Új webhely beállítása

Miután feliratkozott a Cloudflare-re, az első dolog egy domain hozzáadása és a DNS-rekordok beolvasása.

A vizsgálat befejezése után a tartomány összes DNS-rekordja megjelenik. Kiválaszthatja azokat az aldomaineket, amelyeken engedélyezni kívánja a Cloudflare funkciót, és elvégezheti a kívánt módosításokat. Ha készen áll, kattintson a Folytatás gombra a folytatáshoz .

Válassza ki az ingyenes tervet, majd kattintson a Folytatás gombra .

Ezután meg kell változtatnia a domain-regisztrátor névszervereit a Cloudflare által biztosítottakra. Ennek folyamata az egyes domainregisztrátorokon kissé eltér, ezért kérdezze meg a domainregisztrátorát.

Így néz ki Namecheap-ben:

Most meg kell várnia, amíg a névszerver változásai befejeződnek. Kattintson egy idő után a Névszerverek újbóli ellenőrzésére, hogy lássa, aktív-e már a webhelye a Cloudflare szolgáltatásban. Ez a beállítás leghosszabb része, és akár 24 órát is igénybe vehet, de tapasztalatom szerint kevesebb, mint 5 percet vett igénybe.

Amint a névszerver frissítéseit a Cloudflare hitelesítette, webhelye aktívvá válik a szolgáltatásban.

Ha teljesen biztos akar lenni abban, hogy a DNS-beállításai mindenhol elterjedtek, a Mi az én DNS-em lehetőséget kínál arra, hogy ellenőrizze, hogy a domainje milyen IP-címre oldja meg a különböző helyeket.

A digvagy nslookupa parancssorban is ellenőrizheti a domainek DNS-konfigurációját.

Így biztos lehet benne, hogy a domainjére irányuló összes forgalom a Cloudflare-on keresztül irányul.

Mielőtt elkezdené konfigurálni a Cloudflare-t, győződjön meg arról, hogy a böngésző nem használja a gyorsítótárából származó régi DNS-rekordokat. A Chrome és a Firefox böngésző előzményeinek törlésével ezt megteheti.

Ingyenes SSL megszerzése

Az SSL továbbra is prémium szolgáltatás, és sok tanúsító hatóság jelentős összegeket számít fel az SSL-tanúsítvány kiadása előtt. Ez nem valami, amit csak ingyen kaphat mindenhol, de ez gyorsan változik az iparban.

Most, hogy a Cloudflare a webes forgalom közepén ül, automatikusan be kell szereznie az SSL-t a domainjére. A tanúsítvány aktívvá válása akár 24 órát is igénybe vehet, de tapasztalataim szerint egyáltalán nem tart sokáig.

Amint a tanúsítvány aktívvá válik, töltse fel webhelyét egy böngészőbe. Látnia kell a webhelyet HTTPS-en keresztül, és egy szép zöld lakatot a címsorban.

Ha további információkat tekint meg a tanúsításról, akkor megjelenik az azt kiadó tanúsító hatóság (esetemben Comodo) és a lejárati dátum. A Cloudflare egyik nagyszerű tulajdonsága, hogy a tanúsítványmegújítás automatikusan megtörténik az Ön számára, így nincs gond.

Különbség a rugalmas, a teljes és a teljes (szigorú) SSL között

A Cloudflare megkönnyíti az SSL ingyen megszerzését a webhelyére anélkül, hogy bármit konfigurálna, de ez nem mindig ugyanaz, mint a webhely SSL-n keresztül történő közvetlen kiszolgálása az eredetből.

A Cloudflare SSL-jének három megvalósítása létezik. Az első, amelyet alapértelmezés szerint kap, a rugalmas SSL. Ebben az esetben a forgalom titkosítva van a webhely felhasználói és a Cloudflare között, de ez a titkosítás nem egészen az origószerverig megy. A Cloudflare továbbra is sima HTTP-n keresztül beszél a szerverével.

Ez azt jelenti, hogy a Cloudflare és a szerver között lévő Man In The Middle (például hálózati szolgáltatók) láthatja a forgalmat. Ha bizalmas információkat gyűjt webhelyén, tartózkodjon ennek a lehetőségnek a használatától.

Ahhoz, hogy a titkosítás egészen az origószerverig legyen, a Teljes vagy Teljes (Szigorú) megvalósítást kell használnia. Az előbbihez érvényes tanúsítvány telepítésére van szükség a szerveren, de a tanúsítvány hitelességét nem ellenőrizzük, így önaláírt tanúsítvánnyal juthat ki. Másrészt a Teljes (szigorú) megvalósításhoz érvényes SSL-tanúsítványt kell telepíteni, amelyet egy megbízható tanúsító hatóság írt alá.

Ha nem szeretne SSL-t vásárolni a Comodo-tól, akkor ingyenes Origin CA tanúsítványokat kaphat a Cloudflare-től, amelyek a Teljes vagy a Teljes (Szigorú) opciókkal együtt használhatók, mivel a Cloudflare megbízik bennük. De ne feledje, hogy ezekben a tanúsítványokban csak a Cloudflare bízik, így leállnak, ha úgy dönt, hogy leveszi webhelyét a Cloudflare infrastruktúrájáról.

Ha nem Ön ellenőrzi a kiszolgáló környezetét, mondjuk, ha webhelyét a GitHub Oldalak vagy hasonló platformok üzemeltetik, akkor nem tudja használni a Teljes vagy Teljes (Szigorú) megvalósítást, ami azt jelenti, hogy bár a felhasználók a címsávban látják a HTTPS-t a forgalom titkosítva nem megy egészen az origószerverig.

De ez még mindig hatalmas előrelépés ahhoz képest, hogy egyáltalán nincs HTTPS, mert megvédi a felhasználókat attól, hogy kliens oldalon a Man In The Middled legyenek.

Az SSL megvalósításának megerősítése

Függetlenül attól, hogy milyen SSL-megvalósítást választott, van mód arra, hogy megerősítse annak biztosítását, hogy a felhasználók soha ne érhessenek el webhelyét nem biztonságos HTTP-n keresztül. A Qualys SSL Labs egy olyan eszköz, amely segít tesztet futtatni az SSL-konfiguráción, hogy lássa, van-e még mit javítani.

Annak ellenére, hogy A-osztályzatot kapok a domainemről, ha belemerít az eredményekbe, látni fogja, hogy a dolgok kulcscsere- és titkosítási erősségén mindenképpen van még mit javítani.

Vessünk egy pillantást néhány dologra, amit megtehetünk a Cloudflare-en belül, hogy megerősítsük SSL-jünket és még magasabbra értékeljük az értékelésünket.

Kényszerítse a HTTPS-t mindenhol

Miután letette a HTTPS-t, mindenképpen meg akarja akadályozni, hogy a felhasználók nem biztonságos kapcsolaton keresztül férjenek hozzá az Ön webhelyéhez. Ezt megteheti a Cloudflare-ben úgy, hogy 301 átirányítja az összes HTTP-forgalmat HTTPS-re.

A Crypto beállításai alatt keresse meg és mindig kapcsolja be a HTTPS használata mindig lehetőséget.

HTTP Strict Transport Security (HSTS) engedélyezése

Írtam arról, hogy a HSTS miként erősíti a webhelyek SSL-jét a múltban, de nézzük át röviden újra.

Csak a 301 HTTP-forgalom HTTPS-re történő átirányításával az a probléma, hogy a kezdeti bizonytalan kérés továbbra is a vezetéken megy keresztül, ami azt jelenti, hogy bárki elolvashatja, aki hozzáfér a forgalomhoz.

A HSTS egy válaszfejléc, amely kijavítja a problémát azzal, hogy elmondja a böngészőnek, hogy előfordulhat, hogy egy meghatározott ideig nem nyújt bizonytalan kérést egy webhelyhez.

Így néz ki a fejléc:

strict-transport-security: max-age=31536000

Amint a böngésző megkapja ezt a fejlécet, a következő 31 536 000 másodpercig (1 év) nem küld bizonytalan kérést a webhelyén. Ehelyett az összes HTTP-kérést belsőleg HTTPS-re frissítik, mielőtt a hálózaton keresztül kiküldenék őket.

Ha meg akarja akadályozni, hogy az összes aldomain HTTP-n keresztül férjen hozzá, akkor szüksége lesz az includeSubdomainsirányelvre. Hozzáadhatja azt az preloadirányelvet is, amely lehetővé teszi, hogy a böngészőgyártók csak HTTPS-ként sütjék be a webhelyet a böngészőbe.

strict-transport-security: max-age=31536000; includeSubdomains; preload

Miután engedélyezte a HSTS-t a domainjén, biztos lehet benne, hogy ha valaki betöltötte webhelyét HTTPS-en keresztül, ezentúl csak a biztonságos rendszeren keresztül férhet hozzá.

Tehát mielőtt engedélyezné a HSTS-t a webhelyén, győződjön meg róla, hogy teljes forgalmát HTTPS-en keresztül fogják kiszolgálni, különben problémákba ütközik.

Ennek engedélyezéséhez a Cloudflare szolgáltatásban lépjen a Crypto beállításokhoz, és görgessen le a HTTP Strict Transport Security (HSTS) szakaszig. Kattintson a HSTS-beállítások módosítása elemre, engedélyezze az összes vonatkozó opciót, és nyomja meg a Mentés gombot .

És csak arra az esetre, ha kíváncsi lennél, a HSTS böngészőtámogatása nagyon jó.

Javítsa a nem biztonságos séma-hivatkozásokat

Ha egy passzív erőforrást (például képet) bizonytalanul ágyaz be egy biztonságos oldalra, a böngésző még mindig jól tölti be. Csak leveszi a zöld lakatot a címsávról. Itt láthat egy példát erre a hibára.

Ha ellenőrzi a böngésző konzolt, látni fog néhány figyelmeztetést vagy hibát, amelyek a bizonytalanul beágyazott erőforrásra utalnak. Ebben az esetben az

HTTP image

Ennek kijavításához csak változtasson sémát HTTPS-re, és minden rendben lesz újra.

HTTP image

Ha a webhelyén sok tartalom van beágyazva, akkor mindegyik megtalálása és javítása meglehetősen unalmas lehet. De a Cloudflare itt is segíthet az Automatikus HTTPS újraírások funkcióval.

Annak érdekében, hogy kétszer biztosak legyünk abban, hogy a webhelye egyetlen tartalmát sem lehet biztonságosan megjeleníteni, fontolja meg a Tartalombiztonsági irányelvek bevezetését a webhelyén.

Most nézzük meg, hogy a fenti változások hogyan befolyásolták az SSL Labs jelentést. Újra lefuttattam a tesztet a domainemen, és most A + minősítést kapunk.

Ha megnézi az egyes besorolásokat a grafikonon, akkor semmi sem változott, de mégis nagyon biztonságos SSL megvalósítást kapunk ingyen és csupán néhány perc alatt.

A Cloudflare ingyenes SSL alternatívái

Ha valamilyen oknál fogva nem kívánja használni a Cloudflare-t, más módon is ingyenesen elérheti webhelyét HTTPS-en. Két lehetőség közül választhat:

Titkosítsuk

Ha rendelkezik a szerver feletti irányítással, akkor a Let Encrypt segítségével gyorsan telepítheti a HTTPS-t a webhelyére. Ingyenes SSL tanúsítványokat kínálnak, amelyek három hónapig tartanak, és automatikusan megújíthatók.

Még akkor is, ha nincs hozzáférése a kiszolgálóhoz, forduljon webtárhelyéhez. Egyes gazdagépek lehetővé teszik a Let Encrypt SSL használatát a shell hozzáférés biztosítása nélkül.

Amazon AWS tanúsítványkezelő

Az Amazon emellett kiadja és automatikusan megújítja az SSL-tanúsítványokat az ügyfelek számára az Amazon Web Services (AWS) infrastruktúráján. Így beállíthatja és elfelejtheti a HTTPS-t a webhelyén, ha olyan AWS-erőforrásokat használ, mint például a Cloudfront.

Függetlenül attól, hogy miként valósítja meg a HTTPS-t a webhelyén, a legfontosabb az, hogy a lehető leghamarabb elvégezze a beállítást, hogy a felhasználók élvezhessék az általa nyújtott biztonsági előnyöket, és ne hagyja ki a böngészők számos jó funkcióját, amelyek segítenek jobb webes élményeket hozhat létre.

Ha tetszett ez a cikk, ossza meg másokkal, akiknek hasznos lehet az olvasása. Egyébként a webfejlesztésről szóló cikkekért nézze meg a blogomat a freshman.tech oldalon. Köszönöm, hogy elolvasta.