У зв’язку з постійним зростанням глобальних кіберзагроз та посиленням стандартів безпеки Google, як ніколи важливо для власників бізнесу активно захищати свої сайти.
В іншому випадку ви піддаєте ризику себе та своїх клієнтів. Це не добре.
Але є надія! Ви можете показати користувачам, що вони можуть довіряти вам, пропонуючи їм безпечний, зашифрований досвід через щось, що називається Hypertext Transfer Protocol Secure (HTTPS). Щоб використовувати HTTPS, вам потрібно буде придбати сертифікат Secure Sockets Layer (SSL) або Transport Layer Security (TLS), який доводить, що ваш сайт є безпечним. Ми розглянемо це детальніше пізніше.
Цей пост пояснить, що таке SSL/TLS і HTTPS, і обговорить важливість наявності цих функцій на вашому веб-сайті. Потім ми покажемо вам, як впровадити сертифікат SSL/TLS. Давайте розпочнемо!
Вступ до SSL/TLS та HTTPS
SSL та TLS — це сертифікати, які ви можете додати до свого веб-сайту. Вони створюють зашифровані з’єднання між браузерами та веб-серверами. Коли ви відвідуєте сайт, який використовує з’єднання, сертифіковане за допомогою SSL або TLS, тільки цей сайт може отримати доступ до даних, які ви надсилаєте.
SSL є попередником TLS, який зараз вважається застарілим та небезпечним. Однак абревіатура ‘SSL’ часто використовується замінно, коли йдеться про будь-який тип сертифіката. Тому ми будемо називати їх ‘SSL/TLS’.
Для налаштування SSL/TLS вам потрібно встановити сертифікат на ваш сайт. Це запевнить користувачів, що ваш сайт є безпечним. На практиці ваш сайт буде використовувати протокол HTTPS для встановлення з’єднань. Ви можете впізнати його як безпечну версію стандартного HTTP.
Ось як HTTPS захищає ваш сайт
- Шифрування для запобігання перехоплення даних під час процесу обміну.
- Цілісність даних, так що спроби підроблення даних будуть виявлені.
- Автентифікація для запобігання атакам та підвищення довіри користувачів.
SSL/TLS дозволяє вам доставляти ваш сайт за допомогою HTTPS, що забезпечує безпечне, приватне з’єднання між вашим сайтом і вашими користувачами. Якщо URL сайту використовує http://, він не захищений за допомогою SSL/TLS. Однак, якщо він використовує https:// він є захищеним — і вам потрібен сертифікат SSL/TLS, щоб це сталося.
У Google Chrome ви можете ідентифікувати сайти, що надаються через HTTPS, за допомогою значка замка в браузері. Коли відвідувач просить з’єднання з веб-сайтом, сторінка надсилає SSL-сертифікат, який містить відкритий ключ, необхідний для захисту сесії. Потім сервер та браузер вступають у процес, відомий як SSL/TLS-узгодження. Коротко кажучи, комп’ютери спілкуються один з одним, щоб встановити безпечне з’єднання.
Чому сертифікат SSL/TLS є важливим для вашого веб-сайту
Наявність сертифіката SSL/TLS (і, відповідно, обслуговування з’єднання HTTPS) є критично важливою для безпеки вашого веб-сайту. Це гарантує, що ніхто не зможе перехопити або отримати доступ до передачі даних між вашим сервером та браузерами ваших відвідувачів (також відомо як атаки “людина посередник”).
Це не єдині типи атак. Раніше цього року було виявлено уразливість у mitmproxy: відкритому проксі HTTPS, яке дозволяло атаки зі змішуванням HTTP-запитів.
З такою кількістю загроз безпеці в інтернеті, використання протоколу HTTPS є обов’язковим. Насправді, починаючи з липня 2018 року, Google Chrome почав відображати сайти, які використовують HTTP як «небезпечні»:
Втрата довіри Google може серйозно вплинути на ваші позиції в пошуковій системі. Це також може зробити відвідувачів обережними щодо вашого сайту. Адже, якщо їхній браузер попереджає, що ваш сайт може бути небезпечним, ймовірніше, що ви побачите втрату трафіку.
Google почав змінювати свій алгоритм ще у 2014 році, надаючи перевагу сайтам, що використовують сертифікати SSL. Сьогодні він надає їм ще більше значення, заявляючи, що ті, хто має сертифікати SSL, матимуть вищі позиції у ранжуванні порівняно з тими, хто їх не має, навіть коли всі інші фактори однакові.
Ще одна важлива причина для встановлення сертифіката SSL/TLS – це вимога дотримуватися певних стандартів у вашій галузі. Наприклад, у фінансовій галузі необхідно відповідати стандартам безпеки щодо інформації про платежі. Платіжна карткова індустрія (PCI) встановлює настанови, яких мають дотримуватися власники сайтів, щоб безпечно приймати інформацію про кредитні картки на своїх сайтах.
Як зрозуміти, чи використовує ваш сайт SSL/TLS
Важливо переконатися, що ваш сайт використовує сертифікат SSL або TLS. Також суттєво постійно моніторити його, щоб переконатися, що він не закінчився. Звіт Keyfactor виявив, що протягом останніх двох років 81% компаній стикалися з відключенням, пов’язаним з сертифікатами.
Якщо ваш сертифікат несподівано закінчиться, це може поставити під загрозу ваш сайт. Відновлення після збоїв може зайняти години, а тривалий простій може зашкодити вашому бізнесу.
Перевірка чи у вас є дійсний SSL/TLS сертифікат – дуже простий процес. Для початку відкрийте ваш сайт у Google Chrome (або будь-якому іншому браузері). Потім перевірте адресний рядок у верхній частині вашого браузера, щоб побачити, чи використовує ваш сайт http:// чи https://.
Ви також можете побачити кольоровий замок поруч з URL. Якщо колір червоний, то ваш сайт не використовує SSL/TLS. Однак, якщо ваш сайт захищений за допомогою SSL/TLS, ви можете побачити зелений замок:
Однак, не всі сайти з сертифікацією SSL/TLS показують цей значок. Його наявність залежить від типу використаної перевірки (детальніше про це пізніше). Наприклад, деякі сертифікати SSL/TLS показуватимуть простий сірий значок замість цього:
Це означає, що сайт може бути незахищеним, але браузер не може з певністю це визначити. Якщо ваш сайт не здається захищеним за допомогою SSL/TLS, у вас все ще може бути сертифікат. Однак він, скоріш за все, минув, що ви можете перевірити, клацнувши на значок попередження поруч з URL:
Тут ви можете клацнути на посилання Сертифіката, щоб переглянути більше інформації. Наприклад, ми можемо побачити, що цей сайт має сертифікат SSL/TLS, але він минув:
Нарешті, також можливо, що у вас є дійсний та актуальний сертифікат SSL/TLS, але ваш сайт за замовчуванням не використовує його. У цьому випадку вам потрібно змусити ваш сайт переадресувати на HTTPS.
Різні типи SSL-сертифікатів
Якщо ви з’ясували, що ваш сайт не має сертифіката SSL/TLS, вам потрібно його придбати. Однак, перш ніж це зробити, вам потрібно знати, який саме сертифікат ви шукаєте.
SSL/TLS сертифікати існують у багатьох формах, кожна з яких має свої унікальні переваги та недоліки. Щоб отримати один, ваш сайт має бути перевірений Центром сертифікації (CA). Залежно від типу SSL/TLS сертифіката, який ви вирішите купити, ваш сайт потребуватиме перевірки різної інформації.
Ваш вибір сертифіката значною мірою залежить від ваших вимог та бюджету. Давайте розглянемо різні категорії, щоб допомогти вам знайти оптимальний варіант:
Перевірка домену (DV)
Цей тип сертифіката вимагає від вас довести, що у вас є право користуватися певним доменом. Це робить його найменш безпечним варіантом. Однак, це також найдешевший тип сертифіката SSL/TLS, і ви навіть можете отримати його безкоштовно. Його також можна схвалити дуже швидко — навіть протягом кількох хвилин. Рекомендується для менших сайтів, які не обробляють конфіденційні дані, таких як блоги або портфоліо.
Перевірка організації (OV)
Це більш безпечний варіант, який вимагає більш ретельної перевірки вашого сайту. Сертифікаційний центр перевірить вашу організацію, щоб переконатися, що ви є законними та надійними. Як такий, це також трохи дорожче і займе трохи більше часу для отримання. Однак, цей тип сертифіката рекомендується для більших сайтів, які обробляють дані користувачів та здійснюють покупки.
Розширена перевірка (EV)
Це найбезпечніший варіант, але також найбільш витратний і часозатратний. Отримання сертифіката розширеної перевірки передбачає ретельний процес перевірки і зазвичай коштує дорожче, ніж попередній варіант. Це також означає, що на його затвердження йде найбільше часу. Такий тип сертифіката орієнтований на дуже великі сайти з високим трафіком, такі як електронні торговельні платформи та офіційні урядові сайти.
Як ми зазначали раніше, тип сертифіката SSL/TLS, який вам потрібен, повністю залежить від мети і вимог вашого сайту. Ми рекомендуємо вам дізнатися більше про різні рівні сертифікатів, щоб впевнитися, що ви вибираєте правильний варіант.
Де отримати SSL/TLS сертифікат для вашого вебсайту
На цьому етапі ви знаєте, що вам потрібен сертифікат SSL/TLS. Більше того, у вас є уявлення про тип сертифіката, який потрібен вашому сайту. Тепер вам лише потрібно його придбати.
Ви можете отримати сертифікат SSL/TLS від CA, такого як GlobalSign. Крім того, деякі провайдери хостингу пропонують їх як безкоштовні додатки або включають у свої платні плани.
У DreamHost, сертифікати SSL/TLS можуть бути легко додані до вашого сайту з вашої панелі керування. Давайте розглянемо доступні варіанти:
Sectigo-перевірений SSL
Це DV-сертифікат (раніше відомий як Comodo), який коштує 15 доларів на рік. Він гарантує, що ваш сайт відображатиметься в браузерах як повністю захищений. Це робить його найкращим варіантом для комерційних сайтів або сайтів, що обробляють конфіденційні дані.
Let’s Encrypt SSL/TLS
Це ще один безкоштовний DV сертифікат, але більш безпечний, ніж попередній варіант. Сертифікат Let’s Encrypt майже настільки ж безпечний, як Sectigo. Таким чином, він ідеально підходить для менших сайтів, які не обробляють багато особистих даних, наприклад, для блогів.
Якщо у вас вже є акаунт DreamHost, ви можете отримати один із цих сертифікатів, перейшовши до Websites > Secure Certificates у вашій панелі керування. Тут ви побачите всі свої домени та доступні опції SSL/TLS:
Клікніть на кнопку Додати поруч з вашим доменним ім’ям. Це перенаправить вас на сторінку, де ви зможете вибрати безкоштовний SSL сертифікат Let’s Encrypt або платний DV сертифікат Sectigo.
Коли ви вирішите, який варіант найкраще підходить для вашого сайту, натисніть на Вибрати цей сертифікат:
Ваш сайт DreamHost зараз буде захищений SSL/TLS. Будь ласка, зачекайте 15 хвилин для внесення змін на сервер.
Однак, ви можете замислитись: що робити, якщо я хочу використовувати сертифікат SSL/TLS, який я вже придбав в іншому місці? У наступному розділі ми покажемо вам, як встановити сертифікат, придбаний у третьої сторони.
Як встановити SSL/TLS сертифікат на вашому сайті WordPress (2 варіанти)
Якщо ви придбали сертифікат SSL/TLS у зовнішнього CA, вам потрібно підключити його до вашого сайту та встановити. Процес може варіюватися залежно від вашого сайту, вашого веб-хоста та типу обраного сертифіката.
Однак, існує два основні методи встановлення сертифіката SSL/TLS: використання плагіна та вашої панелі керування хостингом. Давайте детальніше розглянемо кожен метод.
Опція 1: Встановіть плагін Really Simple SSL
Один із найпростіших способів додати сертифікат SSL/TLS на ваш сайт – використовувати плагін. Really Simple SSL – це інструмент, який виправдовує свою назву:
Інструмент безкоштовно завантажувати та встановлювати, хоча доступна також преміум версія. Він також надзвичайно простий у використанні, з простим процесом налаштування та зручним інтерфейсом.
Плагін виконає весь процес інсталяції та активації для вас. Все, що вам потрібно, це сертифікат SSL/TLS, і інструмент справляється майже з усім іншим.
Почніть з встановлення та активації Really Simple SSL на вашому сайті WordPress. Потім, на вашій Панель керування з’явиться повідомлення з додатковою інформацією про те, що вам потрібно зробити перед активацією SSL/TLS. Переконайтеся, що ви виконали всі ці кроки перед тим, як продовжити:
Якщо ваш сайт уже має підключений сертифікат SSL/TLS, ви побачите опцію Так, активуйте SSL! Якщо ви натиснете на цю кнопку, плагін встановить та активує ваш сертифікат.
Проте, якщо ви не додали SSL/TLS через вашого веб-хоста, ви побачите повідомлення, яке інформує вас про цей факт. Вам потрібно повернутися до панелі керування або панелі вашого хоста та слідувати їхнім конкретним вказівкам щодо додавання вашого сертифіката.
Після цього ви можете повернутися до своєї панелі керування WordPress і активувати свій сертифікат SSL/TLS:
Під час процесу встановлення інструмент триматиме вас в курсі стану справ. Ви можете переглянути деякі завдання, які вам може все ще потрібно виконати, а також оновити процес у будь-який момент.
Варіант 2: Використання Панелі керування DreamHost
Ми вже показали вам, як DreamHost робить легким процес покупки та активації SSL/TLS сертифіката через вашу панель керування. Ви можете використовувати схожий процес для додавання сертифіката від третьої сторони.
Спочатку вам потрібно увійти в свій обліковий запис і перейти до Websites > Secure Certificates. Потім виберіть вкладку Import a Certificate . На цьому екрані ви зможете встановити сторонній SSL/TLS сертифікат на свій сайт:
Вам потрібно додати сертифікат SSL/TLS, разом з вашим приватним ключем та запитом на підпис сертифіката. Якщо у вас є проміжний сертифікат, вам також потрібно додати цю інформацію сюди. Важливо, щоб усі ці компоненти походили від одного ЦС та були придбані одночасно, інакше вони не будуть сумісними.
Також ви захочете переконатися, що ви включили все, коли додаєте цю інформацію. Наприклад, коли ви вставляєте свій сертифікат, ви також повинні включити рядки —–BEGIN CERTIFICATE—– і —–END CERTIFICATE—– на початку і в кінці відповідно.
Коли ви додали всі необхідні деталі, натисніть на Зберегти зміни. Якщо сертифікат SSL/TLS є дійсним і ви все ввели правильно, він тепер буде активний на вашому сайті.
Ви можете перевірити, чи процес пройшов правильно, використовуючи метод, який ми показали вам раніше. Просто відкрийте ваш сайт в браузері та переконайтеся, що він використовує https:// та має зелений замок поруч із URL (якщо це застосовно). Якщо так, ви успішно додали SSL/TLS до вашого сайту WordPress!
Чи є ризики при переході вашого сайту на HTTPS?
Ризики переходу вашого сайту з HTTP на HTTPS є мінімальними, а переваги значно переважають будь-які потенційні недоліки. Єдиний реальний ризик полягає в тому, що ваш сайт може бути тимчасово недоступним під час процесу. Однак, це зазвичай дуже незначна проблема, яку можна швидко вирішити.
Проте, є деякі речі, на які варто звернути увагу при переході з HTTP на HTTPS. Найкращий спосіб забезпечити безпечний і гладкий перехід – планувати заздалегідь.
Перед початком процесу міграції важливо переконатися, що придбаний вами SSL сертифікат працює. Ви можете зробити це за допомогою інструменту тестування SSL Labs:
Вам також слід створити детальний план міграції та переадресації. 301 переадресація повинна бути встановлена на кожен HTTP URL, що вказує на його HTTPS еквівалент.
Також слід врахувати кілька факторів оптимізації пошукових систем (SEO). Ви маєте переконатися, що ваша XML-карта сайту оновлена і містить тільки ваші HTTPS URL-адреси. Також важливо оновити всі ваші внутрішні посилання, а також будь-які зовнішні посилання, що ведуть на ваш сайт, над якими ви маєте контроль.
Ми також рекомендуємо скористатися допомогою розробника або експерта WordPress для допомоги у процесі міграції. Після завершення міграції перевірте, чи ваша версія HTTPS підключена до ваших рахунків Google Analytics та Search Console.
Майбутнє безпеки вебсайтів
Оскільки інтернет продовжує розвиватися, так само зростає потреба у безпеці вебсайтів. У минулому, оновлення безпеки випускалися за потребою, зазвичай у відповідь на конкретну загрозу або вразливість, яка була виявлена.
Однак сьогоднішній клімат безпеки вебсайтів значно відрізняється. З появою складних атак та нових загроз, що з’являються щодня, власники вебсайтів більше не можуть дозволити собі чекати, поки щось піде не так, щоб вжити заходів.
Замість цього, вони повинні бути проактивними щодо безпеки веб-сайту та завжди шукати нові способи захисту своїх онлайн-активів. Це означає, що потрібно постійно оновлюватись щодо останніх тенденцій безпеки та відстежувати нові оновлення, які можуть допомогти покращити захист вашого веб-сайту.
Майбутнє безпеки веб-сайтів постійно розвивається, і слідкувати за останніми тенденціями та технологіями може бути викликом. У найближчі роки ми очікуємо побачити низку значущих оновлень безпеки, які можуть суттєво вплинути на способи захисту веб-сайтів їхніми власниками. Давайте розглянемо деякі з нових тенденцій, які, на нашу думку, відіграватимуть роль у майбутньому безпеки веб-сайтів.
Перехід за замовчуванням на HTTPS
Одна з найбільших змін, що готується для безпеки вебсайтів, це перехід на HTTPS за замовчуванням. Ця зміна готувалася протягом кількох років, але нарешті починає ставати реальністю.
Google активно просуває цю зміну з 2014 року, і навіть почав надавати перевагу сайтам HTTPS у своїх результатах пошуку. Тому всі вебсайти повинні перейти на HTTPS, якщо хочуть залишатися попереду. Це не тільки допоможе з SEO, але й зробить ваш сайт безпечнішим для ваших користувачів.
Нові функції безпеки доменних імен
Щоб захистити від захоплення доменних імен, Інтернет корпорація з призначених імен і чисел (ICANN) ввела новий набір функцій безпеки для всіх доменів, зареєстрованих після 1 січня 2018 року. Ці функції включають Domain Lock, який запобігає несанкціонованим змінам у записах DNS, та Registrar Lock, який запобігає несанкціонованій передачі домену іншому реєстратору.
Наразі ці заходи безпеки не є обов’язковими. Однак, вони, ймовірно, стануть більш популярними, оскільки можуть значно допомогти у захисті вашого доменного імені від несанкціонованого захоплення.
Ще одна велика зміна, яка відбудеться у 2022 році, це введення Domain Name System Security Extensions (DNSSEC). Цей новий протокол безпеки допоможе захистити DNS сервери від експлуатації та ускладнить зловмисникам підробку DNS записів.
DNSSEC вже використовується деякими з найбільших компаній у світі, включаючи Google, Facebook та Netflix. Це лише питання часу, коли він стане вимогою для всіх веб-сайтів.
Більш складні атаки
Оскільки хакери стають більш винахідливими, ми можемо очікувати на більш складні атаки. Це може включати все, від цільових фішингових атак до масштабних атак Distributed Denial-of-Service (DDoS). Власникам веб-сайтів потрібно бути готовими до цих загроз і мати план відновлення.
Збільшення регуляції
З введенням Загального регламенту захисту даних (GDPR) та інших норм про конфіденційність даних, можна очікувати підвищену увагу до того, як власники вебсайтів збирають та використовують особисті дані. Це може призвести до більш суворих вимог до вебсайтів, а також до більших штрафів для тих, хто не виконає нові регуляції.
Більша обізнаність про ризики безпеки
Оскільки безпека веб-сайтів стає більш загальноприйнятим питанням, ми можемо очікувати, що більше людей почнуть вживати заходів для захисту своєї онлайн-інформації. Це може включати все, від використання надійних паролів до інвестування в продукти та сервіси безпеки веб-сайтів. Залишаючись в курсі останніх тенденцій у сфері безпеки веб-сайтів, ви можете допомогти захистити свій сайт від атак.
Захистіть свій сайт WordPress
Забезпечення безпеки вашого веб-сайту є постійним завданням, і однаково важливо переконатися, що ваші користувачі знають, що можуть вам довіряти. Додавання на ваш сайт SSL/TLS сертифіката та забезпечення безпечних з’єднань через HTTPS може захистити вас та ваші користувачі, одночасно демонструючи всім, що ваш сайт безпечний для використання.
На щастя, існує кілька різних типів сертифікатів SSL/TLS. Знайти сертифікат, який відповідає вашим вимогам, не повинно бути складно, коли ви знаєте, що вам потрібно. Ви навіть можете отримати один через вашого веб-хоста. Більше того, встановлення сертифіката SSL/TLS також є дуже простим, завдяки WordPress та DreamHost.
У DreamHost наші плани включають різноманітні функції керованої безпеки. Ознайомтеся з ними сьогодні, щоб дізнатися більше про те, як DreamHost може оптимізувати безпеку вашого сайту!
Візьміть на себе керування з гнучким VPS хостингом
Ось як пропозиція VPS від DreamHost вирізняється: управління безпекою, цілодобова підтримка клієнтів, інтуїтивно зрозуміла панель, масштабована RAM, необмежена пропускна здатність, необмежене розміщення доменів та SSD місце.
Оберіть свій план VPS