s.blog

Oczywiście na wstępie założyłem, że wiesz już co to jest certyfikat SSL i do czego służy oraz w jaki sposób możesz go nabyć.

Adopcja protokołu HTTPS nabiera tempa. Zdecydowany progres widać od momentu, gdy na internetowej scenie pojawił się Let’s Encrypt, oferujący bezpłatne certyfikaty SSL. Tylko od 22 czerwca 2016 roku organizacja ta wydała ponad 5 milionów nowych certyfikatów, z czego blisko 3.8 miliona jest wciąż aktywnych.

le-certs-issued-june-22-2016

źródło: Let’s Encrypt

W chwili pisania tego artykułu, blisko 45% wszystkich stron w Internecie dostarcza treści za pośrednictwem protokołu HTTPS. Między innymi dzięki Let’s Encrypt, migracja do https staje się łatwiejsza i zdecydowanie tańsza niż miało to miejsce jeszcze rok temu. Dodatkowo na zwiększenie poziomu adopcji wpływa fakt, że już dzisiaj wiele z popularnych platform hostingowych umożliwia automatyczna instalację certyfikatu Let’s Encrypt za pomocą kilku kliknięć. Takie rozwiązanie znajdziesz np. w OVH, Zenboxie, HitMe i wielu innych.

Ale jakie są w ogóle zalety takiej migracji?

Zalety migracji do HTTPS

Oprócz podstawowego benefitu jakim jest bezpieczeństwo, witryna pracująca w oparciu o HTTPS zamiast HTTP zyskuje jeszcze w kilku obszarach:

Wydajność – obecna, udoskonalona wersja HTTP/2 jest obsługiwana przez przeglądarki tylko via HTTPS. Czym jest HTTP/2 – zostało zwięźle opisane w artykule na whitepress.pl. Ja przytoczę tu tylko fragment:

HTTP/2 to najnowsza wersja wydanego w 1999 roku protokołu HTTP/1.1 spisanego przez IETF (Internet Engineering Task Force). Protokół HTTP – w dużym uproszczeniu – odpowiada za komunikację serwera z przeglądarką.

Standard HTTP/1.1 przez blisko 20 lat nieco się zestarzał, przez co strony internetowe nie są w stanie wczytywać się tak szybko jak jest to obecnie technologicznie możliwe. Naturalnie istnieje wiele narzędzi oraz obejść, które sprawiają, że strony wczytują się w czasie nawet poniżej sekundy. Jest to jednak spowodowane na przykład stosowaniem serwerów CDN, opóźnianiem ładowania bibliotek ze stron trzecich czy wykorzystywaniem cache przeglądarki.

HTTP/2 mocno bazując na projekcie Google pod nazwą SPDY, stara się aby wczytywanie stron odbywało się błyskawicznie nawet bez wsparcia zewnętrznych narzędzi czy obejść. W dużym uproszczeniu HTTP/2 jest specyfikacją tego, jak powinien komunikować się serwer z przeglądarką w taki sposób, aby dane były przesyłane w jak najszybszy sposób.

SEO – Google ogłosił w 2014 roku że strony, które dostarczają kontent za pośrednictwem HTTPS dostaną kilka punktów więcej w rankingu. W dobie, gdzie na dane słowo kluczowe wprowadzone do wyszukiwarki otrzymujemy conajmniej kilkanaście stron wyników, każdy dodatkowy punkt jest na wagę złota.

Zaufanie – chyba nikt nie zaprzeczy, że dzisiaj nawet mało obeznany w technologii Internauta wie co to jest zielona kłódka na pasku adresowym przeglądarki i że kojarzy się to z bezpieczeństwem. Wdrażając HTTPS oznajmiasz publicznie, że można Twoje treści przeglądać bezpiecznie, a dane osoby odwiedzającej Twój serwis są u Ciebie chronione (oczywiście w zakresie, w jakim zapewnia protokół HTTPS).

A więc jak przekierować HTTP na HTTPS

Poniżej podaję sposób dla dwóch najbardziej popularnych serwerów webowych, czyli Nginx i Apache. Obydwie metody odnoszą się do plików konfiguracyjnych serwera i zakładają, że masz już zainstalowany certyfikat SSL.

Nginx

Jeśli używasz serwera Nginx dodaj poniższy wpis do pliku konfiguracyjnego. Pamiętaj, aby zastąpić ‚domena.pl’ nazwą swojej własnej domeny.

server {
listen 80;
server_name domena.pl www.domena.pl;
return 301 https://domena.pl$request_uri;
}

Zapisz zmiany i przeładuj Nginx. Możesz to zrobić wprowadzając w terminalu poniższe polecenie.

service nginx reload

Następnie przetestuj, czy przekierowanie działa prawidłowo. W tym celu odwiedź swoją stronę wpisując adres od http:// i zobacz, czy zapytanie zostanie przekierowane na https://.

Apache

W przypadku Apache możesz zdefiniować przekierowanie w pliku .htaccess. Plik ten można z reguły znaleźć w katalogu głównym serwera, na którym zainstalowana jest strona www. Jeżeli nie widzisz tego pliku zaznacz w swoim kliencie FTP, aby pokazywał pliki ukryte. Ta metoda może być użyta na serwerze, na którym wykorzystywany jest plik .htaccess, np. w WordPressie.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Powyższą regułę dodaj na początku pliku .htaccess i zapisz zmiany. Następnie odwiedź swoją stronę wpisując adres od http:// i sprawdź czy wszystko działa prawidłowo.

Czy to wszystko?

Może się okazać, że po prawidłowej instalacji certyfikatu i zdefiniowaniu przekierowania przeglądarka nadal nie wyświetla ‚zielonej kłódki’ lub zgłasza błąd certyfikatu. W tej sytuacji musisz przejrzeć zasoby swojej strony i zweryfikować czy nie pojawia się w nich tzw. mixed content, czyli nic innego jak np. zdjęcia, video, skrypty, style css itp., które są pobierane są do serwisu przez niezabezpieczone http://. W tym celu otwórz np. przeglądarkę chrome i wejdź w menu ‚Widok/Programista/Konsola JavaScript’. W okienku, które się wyświetli zobaczysz pliki, które wymagają modyfikacji sposobu ładowania ich na stronę.

Jeśli korzystasz z WordPressa możesz zainstalować jedną z wielu wtyczek, które pomogą Ci w rozwiązaniu tego problemu. Jedną z bardziej popularnych jest ‚SSL Insecure Content Fixer‚.

Podsumowanie

Instalacja certyfikatu SSL i serwowanie treści w ramach swojej witryny może być dzisiaj całkowicie bezpłatne, a wdrożenie całości banalnie proste. Strony działające w oparciu o HTTPS są lepiej pozycjonowane przez Google, są bardziej bezpieczne i wzbudzają większe zaufanie wśród odwiedzających. A więc jeżeli kiedykolwiek zastanawiałeś / zastanawiałaś się nad tym czy warto, to teraz chyba przyszedł już ten najbardziej właściwy moment.


View Comments

There are currently no comments.

Next Post
JUŻ PRAWIE
Świetna decyzja!
Dziękuję Ci za zaufanie, obiecuję go nie nadużyć!

Teraz mamy do zrobienia jeszcze po jednej rzeczy. Ja wysyłam Ci maila z potwierdzeniem, Ty natomiast sprawdzasz swoją skrzynkę i klikasz w link potwierdzający subskrypcję.

Pamiętaj, że potem możesz się wypisać w każdej chwili.
PRZYJACIELE S.BLOGA
Zapraszam Cię do dołączenia do listy przyjaciół s.bloga. To taka forma relacji, w ramach której obiecuję nie marnować Twojego czasu. Będę za to od czasu do czasu informował Cię o nowych wpisach i podrzucał rozmaite prezenty (np. kody zniżkowe).

Dziękuję za Twój czas - Tomek S.
  Nigdy nie udostępnię nikomu Twojego adresu.
I pamiętaj - możesz się wypisać w dowolnym momencie.
Przyjaciele s.bloga
Zapraszam Cię do dołączenia do listy przyjaciół s.bloga. To taka forma relacji, w ramach której obiecuję nie marnować Twojego czasu. Będę za to od czasu do czasu informował Cię o nowych wpisach i podrzucał rozmaite prezenty (np. kody zniżkowe).
Moja obietnica to zero spam-u!
PRZYJACIELE S.BLOGA!
Dołącz do tajemnej listy moich subskrybentów.