Ваш повний посібник з SSL/TLS та HTTPS

В умовах постійно зростаючих глобальних кіберзагроз та посилення стандартів безпеки Google, як ніколи важливо для власників бізнесу вживати активних заходів для захисту своїх сайтів.

В іншому випадку ви піддаєте ризику як себе, так і своїх клієнтів. Це недобре.

Але є надія! Ви можете показати користувачам, що вони можуть вам довіряти, пропонуючи їм захищений, шифрований досвід за допомогою чогось, що називається Протокол захищеної передачі гіпертексту (HTTPS). Щоб використовувати HTTPS, вам потрібно придбати сертифікат Secure Sockets Layer (SSL) або Transport Layer Security (TLS), який доводить, що ваш сайт безпечний. Ми розглянемо це детальніше пізніше.

Цей пост пояснить, що таке SSL/TLS та HTTPS, а також обговорить важливість наявності цих функцій на вашому сайті. Потім ми покажемо вам, як імплементувати сертифікат SSL/TLS. Почнімо!

Вступ до SSL/TLS та HTTPS

SSL та TLS — це сертифікати, які ви можете додати до свого веб-сайту. Вони створюють зашифровані з’єднання між браузерами та веб-серверами. Коли ви відвідуєте сайт, який використовує з’єднання, сертифіковане за допомогою SSL або TLS, лише цей сайт може отримати доступ до даних, які ви відправляєте.

SSL є попередником TLS, який зараз вважається застарілим та небезпечним. Однак абревіатура “SSL” часто використовується як замінник, коли йдеться про будь-який тип сертифіката. Тому ми будемо називати їх “SSL/TLS”.

Для налаштування SSL/TLS вам потрібно встановити сертифікат на вашому сайті. Це переконає користувачів у безпеці вашого сайту. На практиці ваш сайт використовуватиме протокол HTTPS для встановлення з’єднань. Ви можете впізнати це як безпечну версію стандартного HTTP.

Ось як HTTPS захищає ваш сайт

1. Шифрування для запобігання перехоплення даних під час обміну.
2. Цілісність даних, щоб зробити помітними спроби їх зміни.
3. Аутентифікація для запобігання атакам і зміцнення довіри користувачів.

SSL/TLS дозволяють вам надавати ваш сайт за допомогою HTTPS, що забезпечує безпечне, приватне з’єднання між вашим сайтом та вашими користувачами. Якщо URL сайту використовує http://, він не захищений SSL/TLS. Однак, якщо він використовує https://, він є безпечним — і для цього потрібен сертифікат SSL/TLS.

У Google Chrome ви можете ідентифікувати сайти, які обслуговуються через HTTPS, за допомогою значка замка в браузерній панелі. Коли відвідувач запитує з’єднання з веб-сайтом, сторінка відправляє SSL-сертифікат, який містить публічний ключ, необхідний для захисту сесії. Потім сервер та браузер вступають у процес, відомий як SSL/TLS-рукостискання. Коротко кажучи, комп’ютери спілкуються між собою, щоб встановити безпечне з’єднання.

Чому сертифікат SSL/TLS важливий для вашого вебсайту

Наявність сертифіката SSL/TLS (а відповідно, надання з’єднання HTTPS) є критично важливою для безпеки вашого вебсайту. Це гарантує, що ніхто не зможе перехопити або отримати доступ до передачі даних між вашим сервером та браузерами ваших відвідувачів (також відомо як атаки “людина посередині”).

Це не єдині типи атак. Раніше цього року було виявлено вразливість в mitmproxy: відкритому HTTPS проксі, яке могло б дозволити атаки з перехопленням HTTP-запитів.

З такою кількістю загроз безпеки в інтернеті, використання протоколу HTTPS є обов’язковим. Насправді, починаючи з липня 2018 року, Google Chrome почав позначати сайти, які використовують HTTP як “не захищені”:

Втрата довіри Google може суттєво вплинути на ваші позиції в пошукових системах. Це також може змусити відвідувачів уникати вашого сайту. Адже, якщо їхній браузер попереджає, що ваш сайт може бути небезпечним, ймовірніше, що ви зіткнетеся із зниженням трафіку.

Google почав змінювати свій алгоритм ще у 2014 році на користь сайтів, які використовують сертифікати SSL. Сьогодні він надає їм ще більше значення, заявляючи, що сайти з сертифікатами SSL матимуть вищий рейтинг, ніж ті, що без них, навіть коли всі інші фактори однакові.

Ще одна важлива причина для встановлення сертифіката SSL/TLS полягає в тому, що ви перебуваєте у галузі, яка вимагає дотримання певних стандартів. Наприклад, у фінансовій індустрії вимагається відповідність стандартам безпеки щодо інформації про платежі. Платіжна карткова індустрія (PCI) встановлює вимоги, яких мають дотримуватися власники сайтів, щоб безпечно приймати інформацію про кредитні картки на своїх вебсайтах.

Як дізнатися, чи використовує ваш сайт SSL/TLS

Важливо переконатися, що ваш сайт використовує сертифікат SSL або TLS. Також суттєво постійно моніторити його, щоб переконатися, що він не закінчився. Звіт Keyfactor показав, що протягом останніх двох років 81% компаній зіткнулися з відключенням через проблеми з сертифікатами.

Якщо ваш сертифікат несподівано закінчиться, це може поставити під загрозу ваш сайт. Відновлення може зайняти години, а тривалий простій може зашкодити вашому бізнесу.

Перевірка, чи маєте ви дійсний SSL/TLS сертифікат, є дуже простим процесом. Щоб розпочати, відкрийте свій веб-сайт у Google Chrome (або в будь-якому іншому браузері). Потім перевірте адресний рядок у верхній частині вашого браузера, щоб побачити, чи використовує ваш сайт http:// або https://.

Ви також можете побачити кольоровий замок поруч з URL. Якщо колір червоний, то ваш сайт не використовує SSL/TLS. Однак, якщо ваш сайт захищений за допомогою SSL/TLS, ви можете побачити зелений замок:

Проте, не всі сайти з сертифікатом SSL/TLS показують цей значок. Його наявність залежить від типу використаної валідації (більше про це пізніше). Наприклад, деякі сертифікати SSL/TLS відображатимуть простий сірий значок:

Це означає, що сайт може бути незахищеним, але браузер не може з упевненістю це встановити. Якщо ваш сайт не здається захищеним за допомогою SSL/TLS, у вас все ще може бути сертифікат. Однак, швидше за все, він вже не дійсний, що ви можете перевірити, натиснувши на попереджувальний значок поруч з URL:

Тут ви можете натиснути на посилання сертифіката, щоб переглянути більше інформації. Наприклад, ми можемо побачити, що цей сайт має сертифікат SSL/TLS, але він минув:

Наостанок, також можливо, що у вас є дійсний актуальний сертифікат SSL/TLS, але ваш сайт за замовчуванням не використовує його. У такому випадку, вам потрібно змусити ваш сайт переадресувати на HTTPS.

Різні типи SSL-сертифікатів

Якщо ви дізналися, що на вашому сайті немає SSL/TLS сертифіката, вам потрібно буде його придбати. Однак, перш ніж це зробити, вам потрібно знати, який тип сертифіката ви шукаєте.

Сертифікати SSL/TLS існують у різних формах, кожна з яких має свої унікальні переваги та недоліки. Для їх отримання ваш сайт повинен бути перевірений Уповноваженим Центром Сертифікації (CA). Залежно від типу сертифіката SSL/TLS, який ви вирішите купити, ваш сайт буде перевірений на різну інформацію.

Ваш вибір сертифіката значною мірою залежить від ваших вимог та бюджету. Давайте розглянемо різні категорії, щоб допомогти вам знайти опцію, яка найкраще підходить для вас:

Перевірка домену (DV)

Цей тип сертифіката вимагає доведення вашого права на використання певного домену. Це робить його найменш безпечним варіантом. Проте, це також найдешевший тип сертифіката SSL/TLS, і ви навіть можете отримати його безкоштовно. Ви також можете отримати його схвалення дуже швидко — навіть протягом хвилин. Рекомендується для менших сайтів, які не обробляють конфіденційні дані, таких як блоги або портфоліо.

Перевірка організації (OV)

Це більш безпечний варіант, який вимагає більш ретельної перевірки вашого сайту. Сертифікаційний орган перевірить вашу організацію, щоб переконатися, що ви є законними та надійними. Як наслідок, це також трохи дорожче і займе більше часу для отримання. Однак цей тип сертифіката рекомендується для більших сайтів, які обробляють дані користувачів та здійснюють покупки.

Розширена перевірка (EV)

Це найбезпечніший варіант, але водночас найбільш витратний та часомісткий. Отримання сертифікату з розширеною перевіркою передбачає ретельний процес перевірки і зазвичай коштує дорожче, ніж попередній варіант. Це також означає, що його схвалення займе найбільше часу. Такий тип сертифіката орієнтований на дуже великі сайти з високим трафіком, такі як торгівельні платформи та офіційні урядові сайти.

Як ми зазначали раніше, тип сертифіката SSL/TLS, який вам потрібен, повністю залежить від мети та вимог вашого сайту. Ми рекомендуємо вам дізнатися більше про різні рівні сертифікатів, щоб переконатися, що ви вибираєте правильний варіант.

Де отримати SSL/TLS сертифікат для вашого сайту

На цьому етапі ви вже знаєте, що вам потрібен сертифікат SSL/TLS. Більше того, у вас є уявлення про тип сертифіката, який потрібен вашому сайту. Тепер вам просто потрібно його придбати.

Ви можете отримати сертифікат SSL/TLS від CA, наприклад, GlobalSign. Крім того, деякі провайдери хостингу пропонують їх як безкоштовні додатки або включені у платні плани.

У DreamHost сертифікати SSL/TLS можна легко додати на ваш сайт з вашої панелі керування. Давайте розглянемо доступні опції:

Sectigo-перевірений SSL

Це сертифікат DV (раніше відомий як Comodo), який коштує $15 на рік. Він гарантує, що ваш сайт буде відображатися в браузерах як повністю захищений. Це робить його найкращим варіантом для комерційних сайтів або сайтів, що обробляють конфіденційні дані.

Let’s Encrypt SSL/TLS

Це ще один безкоштовний сертифікат DV, але більш безпечний, ніж попередній варіант. Сертифікат Let’s Encrypt майже такий же безпечний, як Sectigo. Таким чином, він ідеально підходить для менших сайтів, які не обробляють багато особистих даних, наприклад, для блогів.

Якщо у вас вже є обліковий запис DreamHost, ви можете отримати один з цих сертифікатів, перейшовши до Websites > Secure Certificates у вашій панелі керування. Тут ви побачите всі свої домени та доступні варіанти SSL/TLS:

Клікніть на кнопку Add поруч з вашим доменним ім’ям. Це перенаправить вас на екран, де ви зможете вибрати між безкоштовним SSL сертифікатом Let’s Encrypt або платним DV сертифікатом Sectigo.

Коли ви вирішите, який варіант найкраще підходить для вашого сайту, натисніть на Вибрати цей сертифікат:

Ваш сайт DreamHost тепер захищено за допомогою SSL/TLS. Будь ласка, дозвольте 15 хвилин на те, щоб зміни були застосовані на сервері.

Проте, ви можете замислитись: що, якщо я хочу використовувати сертифікат SSL/TLS, який я вже придбав деінде? У наступному розділі ми покажемо вам, як встановити сертифікат, який було куплено у третьої сторони.

Як встановити SSL/TLS сертифікат на вашому сайті WordPress (2 варіанти)

Якщо ви купили SSL/TLS сертифікат від зовнішнього CA, вам потрібно буде підключити його до вашого сайту та встановити. Процес може варіюватись залежно від вашого сайту, вашого веб-хоста та типу обраного сертифіката.

Однак існує два основних методи встановлення сертифіката SSL/TLS: за допомогою плагіна та панелі керування хостингом. Давайте детальніше розглянемо кожен метод.

Опція 1: Встановити плагін Really Simple SSL

Один із найпростіших способів додати сертифікат SSL/TLS на ваш сайт – використовувати плагін. Really Simple SSL — це інструмент, який відповідає своїй назві:

Інструмент безкоштовний для завантаження та встановлення, хоча доступна також преміум-версія. Він також надзвичайно простий у використанні, з простим процесом налаштування та зручним інтерфейсом.

Плагін виконає весь процес інсталяції та активації для вас. Все, що вам потрібно, це сертифікат SSL/TLS, і інструмент обробить практично все інше.

Почніть з встановлення та активації Really Simple SSL на вашому сайті WordPress. Потім, на вашій панелі керування з’явиться повідомлення з додатковою інформацією про те, що вам потрібно зробити перед активацією SSL/TLS. Переконайтеся, що ви виконали всі ці кроки перед тим, як продовжити:

Якщо на вашому сайті вже підключено сертифікат SSL/TLS, ви побачите опцію Так, активуйте SSL! Якщо ви натиснете цю кнопку, плагін встановить та активує ваш сертифікат.

Однак, якщо ви не додали SSL/TLS через вашого веб-хоста, ви побачите повідомлення, що інформує вас про цей факт. Вам потрібно повернутися до панелі керування або панелі вашого хоста і слідувати їх конкретним вказівкам щодо додавання вашого сертифіката.

Після цього ви можете повернутися до панелі керування WordPress і активувати свій SSL/TLS сертифікат:

Під час процесу інсталяції інструмент триматиме вас у курсі стану. Ви можете переглянути деякі завдання, до яких вам може знадобитися ще повернутися, а також оновити процес у будь-який момент.

Опція 2: Використання панелі керування DreamHost

Ми вже показали вам, як DreamHost дозволяє легко купити та активувати SSL/TLS сертифікат з вашої панелі керування. Ви можете використати схожий процес для додавання сертифіката від третьої сторони.

Спочатку вам потрібно увійти до свого акаунта та перейти до Websites > Secure Certificates. Потім виберіть вкладку Import a Certificate . На цьому екрані ви зможете встановити SSL/TLS сертифікат від стороннього постачальника на свій сайт:

Вам потрібно додати сертифікат SSL/TLS, разом з вашим приватним ключем та запитом на підпис сертифіката. Якщо у вас є проміжний сертифікат, вам також потрібно буде додати цю інформацію сюди. Важливо, щоб усе це походило від тієї ж CA та було придбано одночасно, інакше вони не будуть сумісними.

Також вам слід переконатися, що ви включаєте все, коли додаєте цю інформацію. Наприклад, коли ви вставляєте свій сертифікат, ви також повинні включити рядки —–BEGIN CERTIFICATE—– і —–END CERTIFICATE—– на початку та в кінці відповідно.

Коли ви додали всі необхідні дані, натисніть на Зберегти зміни. Якщо сертифікат SSL/TLS дійсний і ви все ввели правильно, він тепер буде активний на вашому сайті.

Ви можете перевірити, чи процес пройшов правильно, використовуючи метод, який ми показали вам раніше. Просто зайдіть на свій сайт у браузері та переконайтеся, що він використовує https:// та має зелений замок поруч із URL (якщо це актуально). Якщо так, ви успішно додали SSL/TLS до свого веб-сайту WordPress!

Чи є ризики при переході вашого сайту на HTTPS?

Ризики переходу вашого сайту з HTTP на HTTPS є мінімальними, а переваги значно перевищують будь-які потенційні недоліки. Єдиний реальний ризик полягає в тому, що ваш сайт може бути тимчасово недоступним під час процесу. Однак, це зазвичай дуже незначна проблема, яка може бути швидко вирішена.

Тим не менш, є кілька речей, на які варто звернути увагу при переході з HTTP на HTTPS. Найкращий спосіб забезпечити безпечний, плавний перехід – планувати заздалегідь.

Перш ніж розпочати процес міграції, важливо переконатися, що куплений вами SSL сертифікат працює. Ви можете зробити це, використовуючи інструмент тестування SSL Labs:

Ви також захочете створити детальний план міграції та переадресації. 301 переадресація має бути встановлена на кожній HTTP-URL, яка вказує на її HTTPS-еквівалент.

Також є кілька факторів оптимізації пошукових систем (SEO), які потрібно врахувати. Вам слід переконатися, що ваша XML-карта сайту оновлена та містить лише ваші HTTPS URL-адреси. Також важливо оновити всі ваші внутрішні посилання, а також будь-які зовнішні посилання, що ведуть на ваш сайт, над якими у вас є контроль.

Ми також рекомендуємо звернутися за допомогою до розробника або експерта WordPress для допомоги у процесі міграції. Після завершення міграції перевірте, щоб ваша версія HTTPS була підключена до ваших рахунків Google Analytics та Search Console.

Майбутнє безпеки веб-сайтів

Оскільки інтернет продовжує розвиватися, так само зростає потреба в безпеці вебсайтів. У минулому, оновлення безпеки випускалися за потребою, зазвичай у відповідь на конкретну загрозу або вразливість, яка була виявлена.

Проте сьогоднішній клімат безпеки веб-сайтів значно відрізняється. З появою складних атак та нових загроз, що з’являються щодня, власники веб-сайтів більше не можуть дозволити собі чекати, поки щось піде не так, щоб вжити заходів.

Замість цього, їм потрібно бути проактивними щодо безпеки вебсайту та завжди шукати нові способи захисту своїх онлайн-активів. Це означає постійне оновлення знань про останні тенденції в сфері безпеки та уважне стеження за новими оновленнями, які можуть допомогти покращити захист вашого вебсайту.

Майбутнє безпеки веб-сайтів постійно розвивається, і слідкувати за останніми тенденціями та технологіями може бути викликом. У найближчі роки ми очікуємо побачити низку важливих оновлень безпеки, які можуть мати значний вплив на спосіб захисту веб-сайтів їхніми власниками. Давайте розглянемо деякі нові тенденції, які, на нашу думку, відіграватимуть роль у майбутньому безпеки веб-сайтів.

Перехід за замовчуванням на HTTPS

Одна з найбільших змін, які чекають на безпеку веб-сайтів, – це перехід на HTTPS за замовчуванням. Ця зміна готується вже кілька років, але нарешті починає ставати реальністю.

Google активно спонукає до цієї зміни з 2014 року та навіть почав надавати перевагу сайтам HTTPS у своїх результатах пошуку. Тому всі вебсайти повинні перейти на HTTPS, якщо вони хочуть залишатися попереду. Це не тільки допоможе з SEO, але й зробить ваш сайт безпечнішим для ваших користувачів.

Нові функції безпеки доменних імен

Щоб захистити від захоплення доменних імен, Інтернет-корпорація з призначення імен і номерів (ICANN) запровадила новий набір функцій безпеки для всіх доменів, зареєстрованих після 1 січня 2018 року. Ці функції включають блокування домену, яке запобігає несанкціонованим змінам у записах DNS, та блокування реєстратора, яке перешкоджає несанкціонованій передачі домену іншому реєстратору.

Наразі ці заходи безпеки не є обов’язковими. Однак, вони, ймовірно, стануть популярнішими, оскільки можуть значно допомогти у захисті вашого доменного імені від незаконного перехоплення.

Ще одна велика зміна, яка настає у 2022 році, це запровадження Domain Name System Security Extensions (DNSSEC). Цей новий протокол безпеки допоможе захистити сервери DNS від використання зловмисниками та ускладнить атакувальникам підробку записів DNS.

DNSSEC вже використовується деякими з найбільших компаній у світі, включаючи Google, Facebook та Netflix. Це лише питання часу, коли воно стане вимогою для всіх веб-сайтів.

Більш складні атаки

Оскільки хакери стають кмітливішими, ми можемо очікувати на більш витончені атаки. Це може включати все, від цілеспрямованих фішингових атак до масштабних атак Distributed Denial-of-Service (DDoS). Власникам сайтів потрібно бути готовими до цих загроз та мати план відновлення.

Посилене регулювання

З введенням Загального регламенту про захист даних (GDPR) та інших правил захисту даних можна очікувати посиленого контролю за тим, як власники веб-сайтів збирають і використовують особисті дані. Це може призвести до більш жорстких вимог до веб-сайтів, а також до більших штрафів для тих, хто не дотримується нових правил.

Підвищена обізнаність щодо ризиків безпеки

Оскільки безпека веб-сайтів стає більш актуальною проблемою, можна очікувати, що все більше людей будуть вживати заходів для захисту своєї онлайн-інформації. Це може включати все, від використання надійних паролів до інвестування в продукти та послуги безпеки веб-сайтів. Залишаючись у курсі останніх тенденцій у сфері безпеки веб-сайтів, ви можете допомогти захистити свій сайт від атак.

Захистіть ваш вебсайт WordPress

Забезпечення безпеки вашого сайту є постійною вимогою, і так само важливо переконатися, що ваші користувачі знають, що вони можуть вам довіряти. Додавання до вашого сайту SSL/TLS сертифіката та забезпечення безпечних з’єднань через HTTPS дозволяє захистити себе і своїх користувачів, одночасно гарантуючи, що всі знають, що ваш сайт безпечний для використання.

На щастя, існує кілька різних типів сертифікатів SSL/TLS. Знайти сертифікат, який відповідає вашим вимогам, не повинно бути складно, якщо ви знаєте, що вам потрібно. Ви навіть можете отримати його через вашого веб-хоста. Більше того, встановлення сертифіката SSL/TLS також є дуже простим, завдяки WordPress та DreamHost.

У DreamHost наші плани включають різноманітні функції керованої безпеки. Ознайомтесь з ними сьогодні, щоб дізнатися більше про те, як DreamHost може оптимізувати захист вашого сайту!