Kung mangolekta ka ng anumang sensitibong impormasyon sa iyong website (kabilang ang email at password), kailangan mong maging ligtas. Isa sa mga pinakamahusay na paraan upang panatilihing ligtas ang iyong sarili ay ang paganahin ang isang HTTPS certificate, na kilala rin bilang SSL (Secure Sockets Layers), upang ang lahat ng impormasyong papunta at mula sa iyong server ay awtomatikong ma-encrypt. Pinipigilan ng isang HTTPS certificate ang mga hacker sa pag-hack ng kumpidensyal na impormasyon ng iyong mga user habang ito ay naka-imbak sa Internet. Magiging ligtas sila kapag nakakita sila ng HTTPS certificate kapag ina-access ang iyong site - alam nilang pinoprotektahan ito ng isang security certificate.
Mga pakinabang ng isang HTTPS certificate
Ang pinakamagandang bagay tungkol sa isang SSL certificate, tulad ng HTTPS, ay madali itong i-set up, at kapag tapos na iyon, kakailanganin mong idirekta ang mga tao na gumamit ng HTTPS certificate sa halip na HTTP. Kung susubukan mong i-access ang iyong site sa pamamagitan ng paglalagay ng https:// sa harap ng iyong mga URL ngayon, makakakuha ka ng HTTPS certificate error. Ito ay dahil hindi ka nag-install ng HTTPS SSL certificate. Ngunit huwag mag-alala, ise-set up namin ito kaagad!
Madarama ng iyong mga bisita na mas ligtas sa iyong site kapag nakakita sila ng HTTPS certificate kapag ina-access ang iyong site- alam na protektado ito ng isang sertipiko ng seguridad.
Ano ang
Ang HTTP o HTTPS ay ipinapakita sa simula ng bawat URL ng website sa isang web browser. Ang HTTP ay nangangahulugang Hypertext Transfer Protocol at ang S sa HTTPS ay nangangahulugang Secure. Sa pangkalahatan, inilalarawan nito ang protocol kung saan ipinapadala ang data sa pagitan ng iyong browser at ng website na iyong tinitingnan.
Tinutiyak ng HTTPS certificate na ang lahat ng komunikasyon sa pagitan ng iyong browser at ng website na iyong tinitingnan ay naka-encrypt. Nangangahulugan ito na ito ay ligtas. Tanging ang pagtanggap at pagpapadala ng mga computer lamang ang makakakita ng impormasyon habang inililipat ang data (maa-access ito ng iba, ngunit hindi ito mabasa). Sa mga secure na site, ang web browser ay nagpapakita ng icon ng lock sa lugar ng URL upang abisuhan ka.
Ang HTTPS ay dapat nasa anumang website na nangongolekta ng mga password, pagbabayad, impormasyong medikal o iba pang sensitibong data. Ngunit paano kung makakakuha ka ng libre at wastong SSL certificate para sa iyong domain?
Paano gumagana ang proteksyon sa website?
Upang paganahin ang sertipiko ng seguridad ng HTTPS, kailangan mong i-install ang SSL (Secure Socket Layer). Naglalaman ito ng pampublikong susi na kinakailangan upang ligtas na simulan ang session. Kapag hiniling ang koneksyon ng HTTPS sa isang web page, nagpapadala ang site ng SSL certificate sa iyong browser. Pagkatapos ay magsisimula sila ng "SSL handshake", na kinabibilangan ng pagbabahagi ng "mga sikreto" para magkaroon ng secure na koneksyon sa pagitan ng iyong browser at ng website.
Standard at Extended SSL
Kung gumagamit ang site ng karaniwang SSL certificate, makakakita ka ng icon ng lock sa lugar ng URL ng iyong browser. Kung ginamit ang Extended Validation (EV) certificate, magiging berde ang address bar o URL. Ang mga pamantayan ng EV SSL ay higit na mataas sa mga pamantayan ng SSL. Nagbibigay ang EV SSL ng patunay ng pagkakakilanlan ng may-ari ng domain. Ang pagkuha ng EV SSL certification ay nangangailangan din ng mga aplikante na dumaan sa isang mahigpit na proseso ng pagsusuri upang i-verify ang kanilang pagiging tunay at pagmamay-ari.
Ano ang mangyayari kung gumamit ka ng HTTPS nang walang certificate?
Kahit na hindi tumatanggap o nagbabahagi ng sensitibong data ang iyong website, may ilang dahilan kung bakit maaaring gusto mong magkaroon ng secure na website at gumamit ng libre at wastong SSL certificate para sa iyong domain.
Pagganap. Maaaring pahusayin ng SSL ang tagal ng pag-load ng page.
Search engine optimization (SEO). Ang layunin ng Google ay panatilihing ligtas at secure ang internet para sa lahat, hindi lang sa mga gumagamit ng Google Chrome, Gmail, at Drive, halimbawa. Sinabi ng kumpanya na ang seguridad ay magiging isang kadahilanan sa kung paano nila niraranggo ang mga site sa mga resulta ng paghahanap. Sa ngayon ay hindi pa ito sapat. Gayunpaman, kung mayroon kang secure na website at wala ang iyong mga kakumpitensya, maaaring mas mataas ang ranggo ng iyong site, na maaaring kailanganin upang mapataas ang katanyagan nito mula sa page ng mga resulta ng paghahanap.
Kung hindi secure ang iyong site at nangongolekta ng mga password o credit card, ang mga user ng Chrome 56 (inilabas noong Enero 2017) ay makakakita ng babala nana ang site ay hindi ligtas. Maaaring maalarma ang mga bisitang hindi pamilyar sa teknolohiya (karamihan sa mga user ng website) na makakita ng kahon na "error sa certificate ng HTTPS" at umalis sa iyong site dahil lang hindi nila naiintindihan ang ibig sabihin nito. Sa kabilang banda, kung secure ang iyong site, maaari nitong gawing mas komportable ang mga bisita, na ginagawang mas malamang na punan nila ang isang form sa pagpaparehistro o mag-iwan ng komento sa iyong site. May pangmatagalang plano ang Google na ipakita ang lahat ng HTTP site bilang hindi secure sa Chrome.
Saan ako makakakuha ng libreng HTTPS certificate?
Nakatanggap ka ng SSL certificate mula sa isang awtoridad sa certificate. Ang mga naturang sertipiko ay may bisa sa loob ng 90 araw, ngunit inirerekomenda ang isang 60-araw na pag-renew. Ilang maaasahang libreng mapagkukunan:
- Cloudflare: Libre para sa mga personal na website at blog.
- FreeSSL: libre para sa mga nonprofit at startup sa ngayon; hindi maaaring Symantec, Thawte, GeoTrust, o RapidSSL client.
- StartSSL: Ang mga certificate ay may bisa sa loob ng 1 hanggang 3 taon.
- GoDaddy: Mga sertipiko para sa mga open source na proyekto, valid sa loob ng 1 taon.
Ang uri ng sertipiko at panahon ng validity ay nakadepende sa pinagmulan. Karamihan sa mga awtoridad ay nag-aalok ng mga karaniwang SSL certificate nang libre at may bayad para sa EV SSL certificate kung ibibigay nila ang mga ito. Nag-aalok ang Cloudflare ng libre at bayad na mga plano at iba't ibang karagdagang opsyon.
Ano ang dapat isaalang-alang kapag tumatanggapSSL certificate?
Inirerekomenda ng Google ang isang certificate na may 2048-bit na key dito. Kung mayroon ka nang 1024-bit na certificate na mas mahina, inirerekomenda nitong i-update ito.
Kakailanganin mong magpasya kung kailangan mo ng isa, maraming domain o isang wildcard na certificate:
- Isang certificate ang gagamitin para sa isang domain (hal. www.example.com).
- Gagamitin ang multi-domain certificate para sa maraming kilalang domain (hal. www.example.com, cdn.example.com, example.co.uk).
- Wildcard certificate ay gagamitin para sa isang secure na domain na may maraming dynamic na subdomain (hal. a.example.com, b.example.com).
Paano ako mag-i-install ng SSL certificate?
Maaaring mag-install ng certificate ang iyong web host nang libre o may bayad. Ang ilang mga host ay talagang may opsyon na i-install ang Let's Encrypt sa kanilang personal na cPanel, na nagpapadali sa mga bagay. Tanungin ang iyong kasalukuyang host o maghanap ng isa na nag-aalok ng direktang suporta para sa Let's Encrypt. Kung hindi ibinibigay ng host ang serbisyong ito, maaaring i-install ng iyong kumpanya sa pagpapanatili ng website o developer ang certificate para sa iyo. Dapat kang maging handa para sa katotohanan na kailangan mong i-renew ang sertipiko nang madalas. Suriin ang timeframe gamit ang certificate.
Ano pa ang kailangang gawin?
Pagkatapos makakuha at mag-install ng SSL certificate, kailangan mong ipatupad ang SSL sa site. Muli, maaari mong tanungin ang iyong web host, kumpanya ng serbisyo, odeveloper upang maisagawa ang pagkilos na ito. Gayunpaman, kung mas gusto mong gawin ito sa iyong sarili at ang iyong site ay pinapagana ng WordPress, magagawa mo ito sa pamamagitan ng pag-download, pag-install at paggamit ng plugin. Sa huling opsyon, tiyaking suriin ang pagiging tugma sa iyong bersyon ng WordPress.
Dalawang sikat na SSL enforcement plugin: simpleng SSLWP, enforced SSLSSL plugin. Tiyaking i-back up ang iyong site at maging maingat kapag ginagawa ito. Kung mali ang pag-configure mo ng isang bagay, maaari itong magkaroon ng mapaminsalang kahihinatnan: hindi makikita ng mga bisita ang iyong site, hindi magpapakita ang mga larawan, hindi maglo-load ang mga script, na makakaapekto sa kung paano gumagana ang ilang bagay sa iyong site, gaya ng typography at mga kulay hindi nagpapakita ng maayos. paraan.
Kailangan mong i-redirect ang mga user at search engine sa mga pahina ng HTTPS gamit ang 301 redirect sa.htaccess file sa root folder sa server. Ang.htaccess file ay isang invisible na file, kaya siguraduhing nakatakda ang iyong FTP program na magpakita ng mga nakatagong file. Sa FileZilla, halimbawa, pumunta sa Server> Force view ng mga nakatagong file. FileZillaBago, bago magdagdag ng mga pag-redirect, magandang ideya na i-back up ang iyong.htaccess file. Sa server, pansamantalang palitan ang pangalan ng file sa pamamagitan ng pag-alis ng tuldok (na ginagawa itong invisible sa unang lugar), i-download ang file (na makikita na ngayon sa iyong computer bilang resulta ng pag-alis ng tuldok), pagkatapos ay idagdag ang tuldok pabalik sa kung ano ang nasa server.
Baguhin ang mga settingGoogle Analytics
Pagkatapos makumpleto ang mga hakbang na ito, kailangan mong baguhin ang iyong gustong URL sa iyong Google Analytics account upang ipakita ang HTTPS na bersyon ng iyong domain. Kung hindi, idi-disable ang iyong mga istatistika ng trapiko dahil ang HTTP na bersyon ng URL ay ituturing na ganap na naiibang site mula sa HTTPS na bersyon ng certificate. Itinuturing din ng Google Search Console ang HTTP at HTTPS bilang magkahiwalay na mga domain, kaya magdagdag ng HTTPS domain account dito. Tandaan, kapag lumipat ka mula sa HTTP patungo sa HTTPS certificate, kung ang iyong site ay may mga espesyal na pindutan ng pag-access, ang counter ay ire-reset.