Szok SSL
Kamil Porembiński
Kamil Porembiński
19.08.2017

Jak ustrzec się przed ostrzeżeniem o niebezpiecznej stronie w Chrome?

Nie od dawna wiadomo, że przeglądarka Chrome będzie pokazywała ostrzeżenia jeżeli wejdziemy na stronę WWW, która nie posiada certyfikatu SSL. W ostatnim czasie Google rozsyła dodatkowe przypomnienia dla twórców witryn, aby włączyli na swoich stronach szyfrowanie SSL. Jak się przed tym ustrzec? Pokażemy jak w prosty sposób można wyposażyć stronę w SSL.

Chrome będzie wyświetlać ostrzeżenia o braku zabezpieczeń

Chrome będzie wyświetlać ostrzeżenia o braku zabezpieczeń


Najnowsza wersja przeglądarki pokaże komunikaty ostrzegawcze na tradycyjnych stronach internetowych, zwłaszcza jeżeli posiadają one jakieś formularze do wypełnienia. Aby się przed tym uchronić należy wyposażyć swoją stronę w certyfikat SSL. Wiele firm hostingowych oferuje w standardzie darmowe certyfikaty SSL. Najczęściej jest to Let’s Encrypt. Jeżeli nasza strona posiada taki certyfikat, należy wymusić by działała cały czas pod szyfrowanym protokołem.

Możemy to uzyskać za pomocą np. pliku .htaccess:

RewriteEngine On
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://TWOJADOMENA.pl/$1 [R,L]

Jeżeli masz stronę, która nie posiada SSLa, skontaktuj się z nami a pomożemy Ci z Twoim problemem za darmo.

Ustawienie WordPressa, aby działał pod SSL

Pierwszym krokiem będzie ustawienie adresu HTTPS dla domeny w panelu administracyjnym WordPressa. Wystarczy, że zamiast http:// wpiszemy https://. Od tego momentu strona będzie działała po SSL.

Ustawienie SSL w WordPress

Jednak to nie wszystko. Należy teraz wymusić, aby strona zawsze włączała się po szyfrowanym połączeniu. Najprościej można zrobić to edytując plik .htaccess i dodając regułki podane wyżej. Można również skorzystać z wielu pluginów, które zrobią to za nas. Przykładowe to:

Jeżeli na naszej stronie pojawi się ostrzeżenie mixed content to znaczy, że jakieś zasoby (java script, css, obrazki) nadal ładowane są na naszej witrynie po http://. Musimy wtedy ręcznie poprawić wszystkie linki na https://.


Strony z włączonym szyfrowaniem SSL ładują się zdecydowanie szybciej niż te bez. Na stronie httpvshttps.com możesz samodzielnie sprawdzić i porównać wyniki HTTP vs HTTPS. Aby wykorzystać możliwości protokołu HTTP/2, należy odwiedzać stronę, która szyfruje połączenie. Firma Akamai przygotowała demo, które pokazuje benefity z tym związane. HTTP/2 zastępuje ponad 15 letni protokół HTTP/1.1. Przeglądarki takie jak Chrome, Firefox, Safari, Opera, IE oraz Edge wymagają SSLa, aby skorzystać z nowego protokołu.

Mity na temat HTTPS

Google jakiś czas temu przygotowało wykład na temat SSLa oraz mitów z nim związanych. Warto zapoznać się z materiałami, które obalają pewne stwierdzenia na temat HTTPS.