Не так давно Гугл заявил, что будет давать сайтам, использующим SSL, более высокие позиции. Пока этот «бонус» дает порядка 1% прироста в трафике, но в будущем картина сильно изменится. В данной статье мы рассмотрим, что такое SSL и как его использовать на WordPress.
Безопасность обмена информацией в сети обеспечивается за счет применения SSL и HTTPS. Эта технология позволяет защитить свои личные данные от доступа к ним посторонних лиц. Если предполагается, что посетители вашего сайта будут заходить в свою учетную запись или оставлять на сайте свои личные данные (имя, адрес, платежные реквизиты) — вам тоже следует использовать SSL. Без него пользовательские данные не будут защищены.
Оглавление:
При этом фирма получает два ключа — приватный и публичный. Приватный ключ, как пароль, никому не показывается. В отличие от него, публичный ключ находится в открытом доступе.
Оба ключа представляют собой строчки из цифр и букв, которые неким математическим образом соответствуют друг другу. Это чем-то похоже на ключ от двери и дверной замок.
После проверки публичного ключа и указанных вами данных, сертификат подписывается, а ваш сайт получает возможность использовать защищенное SSL-соединение.
Когда пользователь заходит на такой сайт, его публичный сертификат сверяется с приватным ключом. Если все нормально — между сайтом и браузером пользователя создается защищенное соединение.
Адреса сайтов, которые прошли для получения сертификата через процедуру расширенной проверки, в браузере выделяются еще и цветом и могут содержать название компании.
Расширенная проверка подразумевает, что компания предоставила доказательства достоверности своего физического адреса и прочих данных.
Просроченные сертификаты достаточно просто продлеваются. Но лучше продлевать их заблаговременно, когда срок действия еще не вышел.
Если вы используете сертификат, подписанный самостоятельно, Центр сертификации не может подтвердить подлинность ваших ключей шифрования. Большинство современных браузеров доверяет только сертификатам, выпущенным официальными Центрами сертификации. Иногда даже сертификаты, выданные не очень надежными Центрами рассматриваются браузерами, как подписанные самостоятельно.
Сертификат может перестать работать и по другим причинам. Например, из-за устаревшего способа хеширования. Хеширование — это преобразование символов сообщения произвольной длины в более короткое хеш-значение. Оно применяется во многих криптографических протоколах.
Сначала для работы SSL применялось хеширование по технологии SHA0. Потом технология устарела и была заменена на SHA1. Теперь действующим стандартом является SHA2. Когда-нибудь его заменит SHA3.
Сертификат также перестает работать, если он выдан для конкретного домена, но используется на сайте с другим адресом.
Если рядом с адресом сайта появляется замок с желтым треугольником - скорее всего, дело в том, что на его страницах используются ссылки без префикса HTTPS (например, в адресах картинок или ссылках меню вместо HTTPS стоит HTTP).
Чтобы быстро найти причину некорректной работы сертификата, вы можете воспользоваться бесплатным сервисом Why No Padlock. В частности, он помогает находить проблемы, связанные с неправильными адресами картинок и скриптов.
Она должна находиться выше строки с комментарием:
После этого вам понадобится настроить 301-й редирект, чтобы все посетители автоматически перенаправлялись на HTTPS-версию.
Отредактируйте файл .htaccess или создайте его, если он по каким-то причинам еще не создан. В приведенном ниже примере замените mysite.com на имя своего домена. Цифра 80 обозначает порт, через который работает ваш сервер. Если используется другой порт, цифру нужно будет поменять.
Теперь зайдите на сайт и проверьте, все ли работает так, как надо. Если в браузере адрес сайта начинается с HTTPS, а рядом с ним появился зеленый замок — все в порядке.
Заключение
Применение технологии SSL – хороший способ защитить сайт и его посетителей, но не единственный. Существует ряд плагинов, облегчающих установку SSL, но некоторые из них устарели или могут быть несовместимы с актуальной версией WordPress – так что будьте осторожны. Иногда устаревшие плагины работают хорошо, но безопасность — это не та область, в которой можно надеяться на случай.
Безопасность обмена информацией в сети обеспечивается за счет применения SSL и HTTPS. Эта технология позволяет защитить свои личные данные от доступа к ним посторонних лиц. Если предполагается, что посетители вашего сайта будут заходить в свою учетную запись или оставлять на сайте свои личные данные (имя, адрес, платежные реквизиты) — вам тоже следует использовать SSL. Без него пользовательские данные не будут защищены.
Оглавление:
- Что такое SSL?
- Как работает SSL?
- Как выглядят сайты с поддержкой SSL?
- Когда сертификат перестает работать?
- Использование HTTPS в связке с WordPress
Что такое SSL?
Аббревиатура SSL расшифровывается, как Secure Socet Layer – уровень защищенных сокетов. Эту технологию в 1994 году начал внедрять Netscape – как способ обеспечить безопасность обмена данными между сайтом и конечным пользователем. Позже SSL развился до версии 3.0, но все еще содержал ряд уязвимостей. Официальное признание пришло, когда на эту технологию в 1999 году обратил внимание Инженерный совет Интернета. С тех пор SSL начал активно совершенствоваться.Как работает SSL?
Эта технология базируется на шифровании информации, которой сервер обменивается с браузером пользователя. Если перехватить эту информацию, она не будет выглядеть, как осмысленный текст, скорее — как бессвязный, случайный код. Чтобы обеспечить соединение через SSL, владелец сайта должен получить соответствующий сертификат. Выдачей SSL сертификатов занимаются специальные компании — Центры сертификации, а каждый выданный ими сертификат ассоциируется с конкретной фирмой, у которой есть название, адрес, номер телефона и т.д.
При этом фирма получает два ключа — приватный и публичный. Приватный ключ, как пароль, никому не показывается. В отличие от него, публичный ключ находится в открытом доступе.
Оба ключа представляют собой строчки из цифр и букв, которые неким математическим образом соответствуют друг другу. Это чем-то похоже на ключ от двери и дверной замок.
После проверки публичного ключа и указанных вами данных, сертификат подписывается, а ваш сайт получает возможность использовать защищенное SSL-соединение.
Когда пользователь заходит на такой сайт, его публичный сертификат сверяется с приватным ключом. Если все нормально — между сайтом и браузером пользователя создается защищенное соединение.
Как выглядят сайты с поддержкой SSL?
Первое, что отличает такие сайты от других — буквы HTTPS в адресе (вместо HTTP). В адресной строке браузера такие адреса помечаются иконкой с зеленым замком.
Адреса сайтов, которые прошли для получения сертификата через процедуру расширенной проверки, в браузере выделяются еще и цветом и могут содержать название компании.
Расширенная проверка подразумевает, что компания предоставила доказательства достоверности своего физического адреса и прочих данных.
Когда сертификат перестает работать?
Если сертификат SSL оказывается просроченным или не может правильно работать по каким-то другим причинам (например, он — пользовательский, то есть подписан самостоятельно), значок замка рядом с адресом сайта становится красным, а перед пользователем появляется предупреждающее окно.
Просроченные сертификаты достаточно просто продлеваются. Но лучше продлевать их заблаговременно, когда срок действия еще не вышел.
Если вы используете сертификат, подписанный самостоятельно, Центр сертификации не может подтвердить подлинность ваших ключей шифрования. Большинство современных браузеров доверяет только сертификатам, выпущенным официальными Центрами сертификации. Иногда даже сертификаты, выданные не очень надежными Центрами рассматриваются браузерами, как подписанные самостоятельно.
Сертификат может перестать работать и по другим причинам. Например, из-за устаревшего способа хеширования. Хеширование — это преобразование символов сообщения произвольной длины в более короткое хеш-значение. Оно применяется во многих криптографических протоколах.
Сначала для работы SSL применялось хеширование по технологии SHA0. Потом технология устарела и была заменена на SHA1. Теперь действующим стандартом является SHA2. Когда-нибудь его заменит SHA3.
Сертификат также перестает работать, если он выдан для конкретного домена, но используется на сайте с другим адресом.
Если рядом с адресом сайта появляется замок с желтым треугольником - скорее всего, дело в том, что на его страницах используются ссылки без префикса HTTPS (например, в адресах картинок или ссылках меню вместо HTTPS стоит HTTP).
Чтобы быстро найти причину некорректной работы сертификата, вы можете воспользоваться бесплатным сервисом Why No Padlock. В частности, он помогает находить проблемы, связанные с неправильными адресами картинок и скриптов.
Использование HTTPS в связке с WordPress
Когда вы получите сертификат, то сможете использовать его на своем сайте, работающем на WordPress. Не забудьте сделать бэкап перед тем, как настраивать сайт под SSL. Первое, что нужно сделать — отредактировать файл wp-config.php и добавить в него строчку кода, которая будет принудительно использовать SSL для доступа в админку:
Она должна находиться выше строки с комментарием:
После этого вам понадобится настроить 301-й редирект, чтобы все посетители автоматически перенаправлялись на HTTPS-версию.
Отредактируйте файл .htaccess или создайте его, если он по каким-то причинам еще не создан. В приведенном ниже примере замените mysite.com на имя своего домена. Цифра 80 обозначает порт, через который работает ваш сервер. Если используется другой порт, цифру нужно будет поменять.
Теперь зайдите на сайт и проверьте, все ли работает так, как надо. Если в браузере адрес сайта начинается с HTTPS, а рядом с ним появился зеленый замок — все в порядке.
Заключение
Применение технологии SSL – хороший способ защитить сайт и его посетителей, но не единственный. Существует ряд плагинов, облегчающих установку SSL, но некоторые из них устарели или могут быть несовместимы с актуальной версией WordPress – так что будьте осторожны. Иногда устаревшие плагины работают хорошо, но безопасность — это не та область, в которой можно надеяться на случай. 
0 комментариев
Добавить комментарий
