10 szükséges lépés webhelye átalakítására HTTP-ről HTTPS-re

By | július 29, 2018

(2018. július 29.) Az SSL / TLS tanúsítványok beüzemeltetése a honlapon és annak biztonságossá tétele elkerülhetelen, ugyanakkor nem bonyolult. Célszerű azonban óvatosan eljárni, figyelembe véve az összes ehhez kapcsolódó szempontot. Az alábbi cikk arra hivatott, hogy segítse az olvasót úgy telepíteni a webhelyen, hogy a folyamat komplikációk nélkül történjen.

1. lépés – Mérje fel az oldal biztonsági kockázatait

Az első lépésben érdemes feltérképeznie az összes webcímet (URL-eket) és megbizonyosodnia arról, hogy képesek a HTTPS-vel működni, amennyiben szükség esetén módosítani akarná azokat. A weboldalra mutató linkek szerkesztése meglehetősen egyszerű, és egy webmester segítségével könnyen megteheti; Ha a hivatkozások relatívak (lásd az 5. lépést), akkor a hivatkozások egyáltalán nem szükségesek. Ha a webhely forráskódjában a hivatkozásokban „kemény „HTTP “-t használ, akkor kérje meg a webmesterét, hogy a hivatkozásokat közvetlenül az adatbázisban változtassa meg.

A saját tartalmak mellett meg kell vizsgálnia a külső tartalmakat és mindent, amit a honlap kívülről tölt be. Itt a HTTPS-nek a tartalomforrás oldalán kell dolgoznia, és ez nem feltétlenül mindig magától értetődő. Ha a HTTPS nem érhető el, vegyes tartalommal találkozhat, amelyről bővebben az ötödik lépésnél olvashat.

A webhely elemzésénél értékelnie kell az összes külső eszközt, plugint és bővítményt is. Kapcsolja ki azokat, amikre nem feltétlenül van szüksége. Preferálja a nyílt Opensource megoldásokat, és ne használjon olyan kiegészítőket, amelyek nem frissülnek rendszeresen, így az esetleges biztonsági kockázatok nincsenek bennük kijavítva.

2. lépés – Biztonsági másolat készítése

Készítsen biztonsági másolatot honlapjáról minden nagyobb módosítás előtt, így a tanúsítvány telepítése előtt is. Elméletileg nem lehet gond, de ismerve Murphy törvényeit, jobb biztosra menni.

A biztonsági mentésről ajánlott a webhoszting szolgáltatóval vagy a rendszergazdával konzultálnia; a szolgáltató biztonsági másolatot készít és helyreállítja a játékot, mert automatizált eszközökkel rendelkezik. A rendszergazda vagy a webmester manuálisan készíthet biztonsági mentést az internetről.

3. lépés – Válassza ki a megfelelő tanúsítványt

A tanúsítvány megszerzése egyszerű. Az SSLmarket.hu alapján válasszon tanúsítványt az ellenőrzés fajtája, a hitelesítés szintje és az ár alapján . Mégha a legolcsóbb SSL / TLS tanúsítványt, a RapidSSL-t is választja, akkor sem követ el hibát, webhelye tökéletesen megbízható és biztonságos lesz. Amennyiben a választáshoz tanácsra van szüksége, ne habozzon használni az SSL/TLS tanúsítványkiválasztó varázslót . Ha a címsáv mellett szeretné megjeleníteni zöld színnel a vállalat nevét (lásd a www.SSLmarket.hu címet), válassza valamelyik bővített ellenőrzésű EV tanúsítványt. 

Az SSLmarket bármely SSL/TLS tanúsítványával az oldal teljes mértékben megbízható lesz minden böngészőben, valamint a látogatók nem fognak hibaüzenetet vagy „Nem biztonságos” figyelmeztetést kapni.

4. lépés – Az SSL / TLS tanúsítvány beszerzése és telepítése

Az újonnan kiállított SSL/TLS tanúsítványt e-mailben kapja meg, majd következik a telepítés.Amennyiben a telepítést önmaga fogja elvégezni, akkor bizonyára hasznára válhat az SSLmarket súgójának ezen része.

A telepítéshez hozzá kell férnie a webhely szerveréhez, és a legjobb ha ezt a rendszergazda végzi, aki az ehhez szükséges tapasztalattal rendelkezik. Komplikációk lehetnek például a webszerver meghibásodása esetén.

A megfelelő webhoszter lehetővé teszi a tanúsítvány telepítését a szolgáltatás adminisztrációján keresztül – NemzetHost.hu -n  parkoló honlapok kérésre ingyenes BasicSSL-t igényelhetnek.

5. lépés – tüntesse el a vegyes tartalmat

Vegyes tartalomnak minősül minden, ami a nem biztonságos HTTP protokollon keresztül töltődik be. Olyan statikus elemeknél, mint például a képek esetében, a böngésző ezeket a webhely titkosításának kihagyásának minősíti és a böngésző ilyenkor Nem biztonságos jellel figyelmeztet. Aktív elemeket, mint például a szkriptek, a legtöbb jelenlegi böngésző blokkolni fog. A vegyes tartalom tehát azt eredményezi, hogy a látogató biztonsági figyelmeztetést fog látni böngészőjében, ami bizalmát és biztonságérzetét csökkenti, vagy az adott elem blokkolva lesz, nem fogja látni a webhelyen, ami negatív hatással lesz a webhely használhatóságára.

A Firefox figyelmeztet a vegyes tartalomra a címsor melletti ikonnal

Ha minden elemet beágyaz egy weboldalba, akkor használja a relatív URL-címeket, és ne specifikálja a HTTP vagy HTTPS protokollokat közvetlenül a HTML hivatkozásokban.

6. lépés – Tartsa be a biztonsági előírásoknak való megfelelést

Az SSL/TLS tanúsítványok a webhelye mindössze eszköze a látogató biztonságérzetének elnyeréséhez. Egyedül nem határozza meg a webhely biztonságát. Ezért fontos az aktuális biztonsági ajánlások és standardok betartása.

A helyes gyakorlat példája az olyan régi SSL protokollok leállítása, amelyek már nem minősülnek biztonságosnak, valamint csak a biztonságos TLS protokollok használata. Hasonló következetességgel kell eljárni a webhely titkosításának beállításakor a szerveren. A hibás telepítés teljesen degredáhatja a webhely biztonságát, és így a tanúsítvány is feleslegessé tenné.

Az aktuális biztonsági fenyegetések és trendek nyomon követése és megítélése komoly feladat és gyakorlatilag a legtöbb tulajdonosnak nincs erre ideje. A rendszergazdák legalább figyelik az aktuális kiberbiztonsággal kapcsolatos eseményeket. Érdemes használni olyan eszköz használata, amely kiszámítja a biztonsági kockázatokat Ön helyett, például az SSLlabs.com tesztje. A teszt megmutatja a webhely biztonsági állapotát, és pontosan megmutatja a megoldandó gyengepontokat. Ezzel az eszközzel a webhely biztonságosra állítható.

7. lépés – irányítsa át a HTTP-t a HTTPS-re

A tanúsítvány telepítése után a legfontosabb lépés a HTTP átirányítása a HTTPS-re. Az átirányítást manuálisan kell elvégezni (a tanúsítvány telepítése után az átirányítás nem automatikus), ezért meg kell kérnie erre a szerver rendszergazdáját, vagy a webhoszting szolgáltatót.

Amennyiben az átirányítás nem történik meg, úgy a látogatók HTTP protokollt fognak használni (ha nem írják felül manuálisan a HTTPS-címet), és ez esetben tanúsítvány többé-kevésbé felesleges a webhelyen. A SEO szempontjából szükséges az átirányítás, amely a 301-es állapotkóddal történik. Ennek hiányában a Google két azonos változatot fog látni az adott webhelyből, és a webhelyértékelés pontjai megosztásra kerülnek közöttük, vagyis jelentősen lerontja a SEO-t.

8. lépés – HSTS támogatottság

A HSTS rövidítés jelentése HTTP Strict Transport Security. Ez egy HTTP fejléc-kiterjesztés, amely biztosítja, hogy minden HTTPS-forgalom biztonságos legyen. Általánosságban elmondható, hogy a HSTS telepítése után már nem lesz lehetséges, hogy a webhelyre valaki egy nem biztonságos HTTP protokollon keresztül “jusson be”.

A HSTS használatához jó tanúsítvány menedzselésre szükség, mert amennyiben egy tanúsítvány lejár az oldalon, akkor minden látogató látni fogja ezt a hibát. Az SSLmarket.hu ügyfelei figyelmeztető e-mailt kapnak a lejáró tanúsítványokról, néhányszor egy konkrét tanúsítvány lejárati idejéről és lehetőségük van a tanúsítvány megújítását (renew) automatikusra állítani (autorenew), amelyhez akár automatizált fizetést is beállíthatnak. Ezzel elkerülhető a lejárattal járó esetleges figyelmetlenség. Természetesen a rendszergazda nem felejtheti el a megújított tanúsítvány telepítését a régi helyére.

A HSTS mechanizmussal együtt gyakran említik a HPKP kiegészítő technológiát. Ez a nyilvános kulcs (vagyis a tanúsítványok) nyilvános definíciója, amely a webhelyen használható. Hozzá lehet adni a HSTS-en keresztül elérhető domainek listájához a böngészőben. A gyakorlatban ez egy nagyon veszélyes eszköz. Használatát kifejezetten nem ajánljuk, mert működésképtelenné teheti webhelyét a kifizetett időtartamra. Jellemzően az érvényességet 31536000 másodpercre állítják be, ami egy év (!).

9. lépés – Tegye biztonságossá a sütiket

Tegye biztonságossá a webhelyén használt sütiket (cookies). A sütik kifejezést bizonyára ismeri a szinte összes webhelyen felugró zavaró ablakok miatt, amelyek a sütik használatának beleegyezését kérik. Ezek olyan kis fájlok, amelyek a látogatóról szolgálnak információkkal és segítik annak beazonosítását.

Biztosítania kell, hogy a szerver részéről biztonságos sütik legyenek használva. Ez garantálja a “HttpOnly” és a “Secure” zászlót; egy biztonságos süti azt jelenti, hogy az a HTTPS használatával „átkerül” az ügyfélhez, és az adatok nem lehallgathatóak. A biztonság következő szintjén lehetőség nyílik a sütik titkosítására. A látogatók részéről nem kerülnek mentésre szöveges fájl formájában, hanem azok titkosítva lesznek. Ezzel elkerülhetővé válik a felhasználók bejelentkezési adatainak ellopása a webhelyről.

10. lépés – Az URL egyik formáját használja, és ellenőrizze a SEO eszközöket

A hetedik lépésben átirányította webhelyét a HTTP-ről a HTTPS-re. Ez nem csak a biztonság, hanem a SEO miatt is fontos. A HTTP és a HTTPS-n egyaránt elérhető oldal két különálló tartalom a keresőmotorok számára (így duplikált tartalomnak fogja látni). Ez semmiképp se jó. Hasonló problémát okozhat a WWW-s és a www nélküli honlapok párhuzamos működése; a duplikált tartalmat itt is átirányítással szükséges megszüntetni. Duplikált oldalak keletkezhetnek az URL végi perjel megléte vagy hiánya okán is (pl. WordPress és más kiadói rendszerek).

A Google Analyticset bizonyára Ön is használja, ebben a HTTP és a HTTPS webhely két különböző hosztnévként jelenhet meg, amely befolyásolhatja a Google Analytics és a SEO működését is. Csakúgy a név-domain.hu, mint a www.név-domain.hu alakjában. Miután a HTTP átirányítása megtörtént HTTPS-s URL alakra, győződjön meg róla, hogy az Ön által használt SEO eszközök csak egy domain alakot használnak.