Blog
Szok SSL

Jak ustrzec się przed ostrzeżeniem o niebezpiecznej stronie w Chrome?

Nie od dawna wiadomo, że przeglądarka Chrome będzie pokazywała ostrzeżenia jeżeli wejdziemy na stronę WWW, która nie posiada certyfikatu SSL. W ostatnim czasie Google rozsyła dodatkowe przypomnienia dla twórców witryn, aby włączyli na swoich stronach szyfrowanie SSL. Jak się przed tym ustrzec? Pokażemy jak w prosty sposób można wyposażyć stronę w SSL.

Chrome będzie wyświetlać ostrzeżenia o braku zabezpieczeń

Chrome będzie wyświetlać ostrzeżenia o braku zabezpieczeń


Najnowsza wersja przeglądarki pokaże komunikaty ostrzegawcze na tradycyjnych stronach internetowych, zwłaszcza jeżeli posiadają one jakieś formularze do wypełnienia. Aby się przed tym uchronić należy wyposażyć swoją stronę w certyfikat SSL. Wiele firm hostingowych oferuje w standardzie darmowe certyfikaty SSL. Najczęściej jest to Let’s Encrypt. Jeżeli nasza strona posiada taki certyfikat, należy wymusić by działała cały czas pod szyfrowanym protokołem.

Możemy to uzyskać za pomocą np. pliku .htaccess:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://TWOJADOMENA.pl/$1 [R,L]

Jeżeli masz stronę, która nie posiada SSLa, skontaktuj się z nami a pomożemy Ci z Twoim problemem za darmo.

Ustawienie WordPressa, aby działał pod SSL

Pierwszym krokiem będzie ustawienie adresu HTTPS dla domeny w panelu administracyjnym WordPressa. Wystarczy, że zamiast http:// wpiszemy https://. Od tego momentu strona będzie działała po SSL.

Ustawienie SSL w WordPress

Jednak to nie wszystko. Należy teraz wymusić, aby strona zawsze włączała się po szyfrowanym połączeniu. Najprościej można zrobić to edytując plik .htaccess i dodając regułki podane wyżej. Można również skorzystać z wielu pluginów, które zrobią to za nas. Przykładowe to:

Jeżeli na naszej stronie pojawi się ostrzeżenie mixed content to znaczy, że jakieś zasoby (java script, css, obrazki) nadal ładowane są na naszej witrynie po http://. Musimy wtedy ręcznie poprawić wszystkie linki na https://.


Strony z włączonym szyfrowaniem SSL ładują się zdecydowanie szybciej niż te bez. Na stronie httpvshttps.com możesz samodzielnie sprawdzić i porównać wyniki HTTP vs HTTPS. Aby wykorzystać możliwości protokołu HTTP/2, należy odwiedzać stronę, która szyfruje połączenie. Firma Akamai przygotowała demo, które pokazuje benefity z tym związane. HTTP/2 zastępuje ponad 15 letni protokół HTTP/1.1. Przeglądarki takie jak Chrome, Firefox, Safari, Opera, IE oraz Edge wymagają SSLa, aby skorzystać z nowego protokołu.

Mity na temat HTTPS

Google jakiś czas temu przygotowało wykład na temat SSLa oraz mitów z nim związanych. Warto zapoznać się z materiałami, które obalają pewne stwierdzenia na temat HTTPS.


Dodaj komentarz!

Subscribe
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

6 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
Robert
Robert
19 sierpnia 2017 19:01

Dzięki Kamil! 🙂 Mam w sumie u Was hosting i wsio działa z Let’s Encrypt 😀

Kamil Porembiński
Kamil Porembiński
Reply to  Robert
21 sierpnia 2017 07:52

Mamy Let’s Encrypt, CaCert i inne certyfikaty (już płatne).

Piotr Kostecki
Piotr Kostecki
20 sierpnia 2017 20:28

Ok, tylko SSL…

Cannot Execute Your Request
Details
You can only add a certificate if you own the ip you are using
Info for Admins: Assigning an owned IP

Kamil Porembiński
Kamil Porembiński
Reply to  Piotr Kostecki
21 sierpnia 2017 06:51

Co to za błąd?

Kasia Jańczyk
Kasia Jańczyk
24 sierpnia 2017 07:04

OK działa! Super i dziękuję za pomoc 🙂

trackback
Google udostępnia przeglądarkę Chrome 62 | 🐫The Camels :: SysOps and DevOps from Poland
17 kwietnia 2018 10:43

[…] posiadających swoje strony. W tej wersji pojawiają się nowe komunikaty ostrzegające o stronach, które nie posiadają bezpiecznego połączenia HTTPS (SSL), a mimo to posiadają formularze do wypełnienia przez […]