Teknisk Marknadsföring, Tjäna pengar på dina Bloggar och Prylar

The Ultimate Guide to SSL – Vad det är, varför det är viktigt och hur man får det

The Ultimate Guide to SSL – Vad det är, varför det är viktigt och hur man får det

Vad är SSL?

SSL (Secure Socket Layer) är en säkerhetsteknik som skapar en krypterad länk mellan servrar och klienter. Servrarna i det här fallet är vanligtvis webbservrar (som är “husets” webbplatser) och klienterna är webbläsare som Chrome, Safari, Mozilla och Microsoft Edge. Ett annat exempel är e-postservrar och e-postprogram (i det här fallet är servrarna “hus”-e-post och klienterna är e-postleverantörer, till exempel Gmail, Yahoo Mail och Outlook).

SSL-teknik är standard och möjliggör känslig information som personliga ID, inloggningsuppgifter och kreditkort eller kort med flera valutor information. Vanligtvis, när data skickas mellan en webbläsare eller webbservrar, är det i vanlig text, vilket gör det mycket enkelt för någon annan att avlyssna.

SSL kan också beskrivas som ett säkerhetsprotokoll. Eftersom protokollet beskriver hur algoritmen ska användas, definierar SSL vilka variabler för länken och data som ska skickas får vara eller inte.

Hur fungerar SSL?

Alla webbläsare kan interagera med säkra webbservrar genom SSL-protokollet. Ett SSL-certifikat krävs dock för att säkerställa en säker anslutning. När en webbplats har ett giltigt SSL-certifikat sägs den vara “SSL-aktiverad”. Den har en låsikon precis före URL:en, ett grönt adressfält och/eller börjar med HTTPS istället för HTTP.

Det är viktigt att notera att efter SSL version 3 ersattes det befintliga protokollet av TLS (Transport Layer Security). Så lika mycket som vi diskuterar SSL och hänvisar till det hela tiden i den här artikeln, diskuterar vi också TLS.

Både SSL och TLS kombinerar autentisering och kryptering. Kommunikationsprocessen börjar vanligtvis med att klienten kontaktar servern genom att skicka en förfrågan. Servern svarar sedan. I SSL är den enda part som behöver autentisering klienten. Med TLS behöver både klient och server autentisering.

Autentiseringscertifikatet använder en krypteringsnyckel, vilket är det element som faktiskt skyddar överföringarna när anslutningen väl har upprättats.

I SSL måste användaren ha ett giltigt certifikat för att autentisera antingen klienten eller servern. Certifikatet innehåller adress, digital signatur och giltighetstid. Certifikatet är utfärdat av certifikatmyndigheter (CA). Aktiverar kryptering. Vi ska titta på CA lite senare.

När klienten kontaktar servern presenterar den (servern) certifikatet. Efter detta skickar servern certifikatinformationen till klienterna och bekräftar klientens certifikatinformation från den utfärdande certifikatutfärdaren. Skillnader mellan uppgifterna i kundcertifikatet och de uppgifter som certifieraren lämnar leder till att förbindelsen inte upprättas.

Klientens certifikat måste också vara uppdaterat, och klienten måste också kontrollera serverns certifikatinformation innan en säker anslutning upprättas.

I grund och botten, när vi talar om termen “SSL-aktiverad”, talar vi bara om huruvida adressen som används av antingen klienten eller servern har ett giltigt certifikat. Användarautentisering är ett annat säkerhetslager som använder metoder som användarnamn och lösenord.

Certifieringsprocessen för inhemska användare hanteras vanligtvis av användarens webbläsare. Servrar behöver en certifikatdatabas för att få ett certifikat. Därefter måste certifikatet laddas upp till databasen och aktiveras.

Var finns SSL-certifikatet?

SSL-certifikatverifieringsprocessen är inbäddad i klientens webbläsare eller serverprogramvara.

Vi nämnde tidigare att certifikat används för att autentisera klienter och servrar och utfärdas av CA. Certifierare accepterar certifikatansökningar, autentiserar ansökningar, utfärdar certifikat och för register över all information om utfärdade certifikat.

Läsa:  Vad är Form 1120? Grunderna i hur man arkiverar formulär 1120-W

Certifikat säkerställer att människor inte utger sig för att vara någon de inte är. Certifierare verifierar sökandens identitet genom att digitalt signera sökandens certifikat. Den digitala signaturen används sedan för att verifiera användarens eller serverns äkthet.

Vilka certifierare kan du överväga?

Låt oss gömma oss – Det här är en öppen källkod CA. Att få ett domänvalideringscertifikat är helt gratis, liksom förnyelse. Du kan också ansöka om flera certifikat. Det är ett bra alternativ för människor med en budget.

Symantec – Den här CA har många funktioner, men den är lite dyr. Du kan ansöka om minst fem olika certifikat.

Geotrust – Denna CA har ett mellanpris och inkluderar funktioner som gratis återutgivning av certifikat och obegränsade serverlicenser.

Comodo – Denna CA erbjuder en gratis provperiod för premium SSL-certifikat (domänvalidering). SSL-certifikat kommer med en garanti.

Digicert – Precis som Geotrust har detta ett mellanpris och inkluderar en garanti på en miljon dollar utöver gratis reposter och en logotyp att använda på din webbplats. Det finns fem olika certifikat tillgängliga.

Varför behöver du ett SSL-certifikat för din webbplats?

Vid det här laget förstår du konceptet med SSL, men du kanske fortfarande undrar varför du behöver bry dig om att skaffa ett SSL-certifikat.

Google gått mot ett säkrare nätverk förespråkar starkt att webbplatser implementerar HTTPS-kryptering. I juli 2018, med lanseringen av Chrome 68, markerar Google alla HTTP-webbplatser som “inte säkra”:

Ett exempel på ett föremål Digicert.

Säkra onlinebetalningar

Om din webbplats accepterar kreditbetalningar och/eller lagrar kundinformation, bör du använda SSL för att skydda dina användare från avlyssnad information. Dessutom är det mycket troligt att värdleverantörer och kreditkortsföretag kräver SSL.

Användarens förtroende

Vi nämnde att webbplatser som använder SSL har en låsikon precis före URL:en, en grön stapel eller använder HTTPS istället för HTTP. Dessa signaler indikerar att din webbplats är säker och ökar användarnas förtroende för din webbplats.

Snabbare laddningstider

Webbplatser som använder HTTPS laddas 83 % snabbare än webbplatser som använder HTTP. Du kan göra ditt eget test här.

Du måste dock använda ett privat fönster för att förhindra bildcache.

Se till att inloggningsprocessen är säker

Med SSL kan du skydda dina användares personliga information, såväl som all information de kan ange när de använder din webbplats.

Bättre ranking i sökmotorer

Webbplatser som använder SSL-certifikat kommer sannolikt att rankas högre, eftersom Google bekräftade 2014 att HTTPS var en av rankingsignalerna. Andra sökmotorer inkorporerade också webbplatssäkerhet i sin rankningsalgoritm.

Hur man aktiverar SSL i WordPress

Vi har skrivit vår egen guide för att hjälpa dig att installera SSL på din WordPress-webbplats.

Du kan få ett gratis SSL-certifikat om WordPress är ditt innehållshanteringssystem och om du använder ett webbhotell som erbjuder gratis SSL-certifikat. Här är några populära domännamnsleverantörer som erbjuder gratis SSL-certifikat:

Siteground

drömvärd

GreenGeeks

Bluehost

InMotion Hosting

WPE-motor

Flytande webb

Obs: De flesta gratis SSL-certifikat utfärdas av Let’s Encrypt.

Om du inte har installerat WordPress på din nyköpta domän:

Om ditt webbhotell använder cPanel måste du gå till cPanel och hitta Top Application och klicka på WordPress:

Klicka på Installera för att installera WordPress på din nya domän:

Ställ in protokollet till antingen https:// eller https://www

Aktivera SSL om du redan har WordPress

Om du redan har installerat WordPress och du är värd hos ett av företagen som nämns ovan, kan du aktivera ditt SSL-certifikat från värdkontrollpanelen.

Låt oss ta ett exempel på hur man aktiverar SSL på en WordPress-webbplats som drivs av Inmotion Hosting.

Gå till din värdkontrollpanel på CPanels Mitt konto-sida och klicka på Hantera gratis grundläggande SSL:

Aktivera Aktivera gratis SSL:

Om du redan har installerat WordPress och behöver aktivera SSL:

Du måste konfigurera WordPress så att dina webbadresser läser HTTPS istället för HTTP. Du kan göra detta genom att installera och aktivera Riktigt enkel SSL ansluta.

Läsa:  Vad gör produktrecensioner så viktiga för e-handel?

När du har aktiverat den får du aviseringar för att kontrollera:

– HTTP-referenser i dina .css- och .js-filer. Ändra någon HTTP:// till //.

– Bilder, stilmallar eller skript från en domän utan SSL-certifikat. Ta bort dessa eller flytta dem till din egen server. Du kan också gå till Really Simple SSL-inställningarna i Plugins-appen:

Din konfiguration bör upptäcka:

I Really Simple SSL Settings bör du kontrollera följande:

Du kan behöva säkerhetskopiera din webbplats innan du aktiverar SSL. Du kan göra detta genom att installera och aktivera ett plugin som heter UpDraftPlus. Den har en mycket vänlig UX som guidar dig när du säkerhetskopierar din webbplats.

Efter att ha säkerhetskopierat din webbplats, gå tillbaka till Really Simple SSL och klicka på “Fortsätt och aktivera SSL”.

Du bör se ett meddelande som säger “SSL Enabled”. Din WordPress-webbplats bör nu börja med HTTPS.

Hur man aktiverar SSL på Wix

Med Wix får du ett gratis SSL-certifikat.

Aktivera HTTPS/SSL:

Gå till din instrumentpanel och scrolla till botten av sidan tills du ser HTTPS. Klicka sedan på “Kontrollera“:

Klicka på “Aktivera HTTPS” (skärmdumpen visar”Släcka” eftersom det redan är aktiverat) följt av “Fortsätta“:

Hur man aktiverar SSL för Shopify

Shopify erbjuder gratis 256-bitars SSL-certifikat för webbsidor, data och innehåll på alla kvalificerade Shopify-webbplatser. Faktum är att SSL är tillgängligt på hela webbplatsen.

Shopifys SSL-certifikat är vanligtvis aktiverade som standard för butiksutcheckning och innehåll som finns på .myshopify.com-domäner.

När du aktiverar SSL kan du upptäcka att du måste ange en HTTPS-adress (om du använder WordPress som ditt CMS). Du kanske undrar hur du får din URL att börja med HTTPS om den fortfarande börjar med HTTP.

När du lägger till ett SSL-certifikat måste du också se till att alla dina HTTP-URL:er omdirigerar till deras HTTPS-versioner.

Låt oss ta en stund för att titta på ett koncept som vi kallar HTTPS Redirection.

Varför är omdirigering till HTTPS så viktigt för din webbplats?

För några år sedan spelade det inte så stor roll om din webbplats använde HTTPS eller HTTP. I själva verket var huvudmålet att underlätta trafiken och det är allt. Men eftersom vi är i den moderna världen har saker och ting förändrats lite. I juli 2018 inkluderade Google HTTPS som en av rankningsfaktorerna.

Detta är riktigt dåliga nyheter för din webbplats om du inte har bytt från vanlig HTTP till krypterad HTTPS. Omdirigering till HTTPS gör stor skillnad för din webbplats och i slutändan hela din verksamhet. Nedan följer några fördelar, låt oss ta en titt!

1. HTTP- eller HTTPS-kopieringsproblem

Minus omdirigeringen till HTTPS kommer sökmotorer att se din webbplats som flera webbplatser med duplicerat innehåll. Google kan behandla din https://www.example.com som en annan webbadress än http://www.example.com.

Här är vad Google Jag måste säga:”Den primära domänen är den du vill använda för att indexera din webbplats sidor (kallas ibland den primära domänen). Länkar kan peka till din webbplats med både www- och icke-www-versioner av webbadressen (till exempel http://www.example.com och http://example.com). Den primära domänen är den version du vill att din webbplats ska använda i sökresultaten.

2. Hög säkerhet för överförda data

Ett TLS/SSL-certifikat ger maximal kryptering av dina data. Detta förhindrar hackare från att komma åt ditt företags känsliga information. Det behöver inte sägas att det faktiskt är omdirigering till HTTPS som har gjort onlineshopping möjlig.

3. Förbättra integriteten på din webbplats

Alla vill bara vara anslutna till säkra saker. Till skillnad från tidigare varnar de flesta webbläsare nu användare när de försöker besöka en webbplats som inte är krypterad. Detta skulle skrämma bort dem och det kommer inte att dröja länge innan du börjar räkna dina förluster.

Läsa:  Web3 och uppkomsten av decentraliserat internet

Hur man omdirigerar till HTTPS

För att dina webbadresser ska omdirigera till deras HTTPS-versioner måste du redigera filen .htaccess (Hypertext Access). Låt oss titta på detta lite närmare

.htaccess-fil

En .htaccess-fil kan definieras som en konfigurationsfil som styr katalogen och underkatalogerna där den finns på servern.

.htaccess-filen innehåller instruktioner om hur servern ska fungera under vissa förhållanden; till exempel vad man ska göra när URL:er behöver skrivas om, när en .htaccess-fil kräver ett lösenord för att komma åt en katalog eller när en .htaccess-fil omdirigerar användare till en annan katalogfil. Vart och ett av dessa exempel kommer att påverka hur din webbplats fungerar.

Du kan redigera .htaccess-filen på din dator och ladda upp den till din dator med en FTP-klient eller komma åt filen via din tjänsteleverantörs cPanel.

Observera att du kan omdirigera all webbtrafik till en specifik domän eller mapp.

.htaccess-regler

Det finns några regler du måste följa när du redigerar din .htaccess-fil. Här är några av dessa regler:

  • Filnamnet kan bara vara “.htaccess” – notera punkten strax före “h”. Det finns ingen .txt eller .htm filtillägg.

Vid det här laget kommer vi att fokusera på en specifik regel när vi utför olika omdirigeringar:

1. Omdirigering av en sida:

Redirect 301 /pagename.php http://www.domain.com/pagename.html:

2. Omdirigera hela webbplatsen till en undermapp

Redirect 301 http://www.domain.com/subfolder/

3. Omdirigera filtillägget samtidigt som sidnamnet behålls

Ett exempel på detta skulle vara att använda .html-taggen för att använda samma filnamn, men att använda .php-taggen:

RedirectMatch 301 (.*).html$ http://www.domain.com$1.php

4. Omdirigera hela webbplatsen eller domänen till en ny

Redirect 301 /http://www.domain.com/

5. Omdirigera en undermapp till en annan webbplats

Omdirigera 301 /undermapp http://www.domain.com/

6. Omskrivning för att omdirigera från gammal domän till ny domän

RewriteEngine på

RewriteBase /

RewriteRule (.*) http://www.newdomain.com/$1 [R=301,L]

7. Använd omskrivning för att omdirigera domänen www. plats i underkatalogen

RewriteEngine på

RewriteBase /

Skriv en andra gång % {HTTP_HOST} ^domain.com [NC]

RewriteRule ^(.*)$ http://www.domain.com/directory/index.html [R=301,NC]

8. Använda en omskrivning för att omdirigera från en icke-www-adress. till www. underdomän

RewriteEngine på

RewriteBase /

rewritecond % {http_host} ^domain.com [nc]

RewriteRule ^(.*)$ http://www.domain.com/$1 [r=301,nc]

9. Använda omskrivning för att omdirigera från en gammal domän med en underkatalog till en ny domän utan underkatalog men som innehåller hela sökvägen och frågesträngen

Alternativ +FöljSymLinks

RewriteEngine på

Skriv om % {REQUEST_URI} ^/underkatalog/(.*)$

RewriteRule ^(.*) http://www.katcode.com %1 [R=302,NC]

10. Omskrivning till omdirigering från gammal domän till ny domän som innehåller fullständig sökväg och frågesträng

Alternativ +FöljSymLinks

RewriteEngine på

RewriteRule ^(.*) http://www.newdomain.com %{REQUEST_URI} [R=302,NC]

11. Omdirigera URL:er med frågeparametrar och placera filer i en underkatalog

Ett exempel på detta skulle vara:

Ursprunglig URL: http://www.website.com/sub-dir/index.php?id=3

Ny URL: http://www.website.com/path-to-new-location/

RewriteEngine på

Skriv om % {QUERY_STRING} id=3

RewriteRule ^sub-dir/index.php$ /path-to-new-location/? [L,R=301]

12. Omskrivning och omdirigering av webbadresser med frågeparametrar med filer placerade i rotkatalogen

Ett exempel på detta skulle vara:

Ursprunglig URL: http://www.website.com/index.php?id=3

Ny URL: http://www.website.com/path-to-new-location/

RewriteEngine på

Skriv om % {QUERY_STRING} id=3

RewriteRule ^index.php$ /path-to-new-location/? [L,R=301]

Detta är bara några av de allmänna reglerna.

Blandat innehåll

Som du kanske har märkt med .htaccess-regler kan du sluta med så kallat blandat innehåll om de inte är väl implementerade.

För att förstå konceptet med blandat innehåll måste du förstå hur sökresultaten levereras. När en webbläsare besöker en webbsida begär den en HTML-resurs. Webbservern returnerar HTML-innehåll, som tolkas och presenteras som sökresultat. Eftersom en HTML-fil inte räcker för att visa hela sidan måste HTML-filen innehålla referenser till andra resurser (till exempel bilder eller videor eller till och med Javascript-filer). Ytterligare resurser efterfrågas med separata förfrågningar.

När HTML-koden laddas över en säker HTTPS-anslutning, men ytterligare resurser (som de nyss nämnda) laddas över en osäker HTTP-anslutning, har vi ett scenario med blandat innehåll. I dessa fall visar webbläsare varningar som indikerar för webbplatsbesökaren att sidan innehåller oskyddade resurser.

Läsa:  Hur man berättar om en webbplats är Nofollow eller Dofollow

Resurser som använder osäkra HTTP-anslutningar blir kryphål för attacker (även kallade “man-in-the-middle-attacker” där angriparen faktiskt kan kontrollera hela webbsidan. Även om en varning vidarebefordras till användaren är det vanligtvis för sent eftersom resurser har redan hämtats och webbplatsens säkerhet har redan äventyrats.

Tyvärr är det svårt för webbläsare att blockera blandat innehåll utan att det påverkar sajtens funktionalitet.

Att felsöka diverse innehåll blir därför det smartaste sättet att undvika attacker. Men innan vi åtgärdar blandat innehållsfel måste vi förstå hur vi visar dem.

Webbläsare som Chrome markerar en webbplats med mer innehåll som “inte säker”. Användare kan se en bild som denna.

Firefox kan visa en bild som denna.

Dessutom har Chrome ett tillägg som kallas HTTPS Mixed Content Locator. Du kan lägga till detta i Chrome för att kontrollera om något dyker upp på din webbplats. Du kan också använda Chrome DevTools om du vill se annat innehåll på en webbsida.

Åtgärda diverse innehållsfel i WordPress

Du kan använda Reparationsverktyg för SSL osäkert innehåll ansluta.

1. Gå till Inställningar och sedan Icke-SSL-innehåll. Detta kommer att konfigurera plugin-inställningarna.

2. Välj nivå för innehållskorrigering.

3. Scrolla sedan ned till avsnittet HTTPS-detektering. Här kan du välja hur din webbplats HTTPS-innehåll upptäcks.

4. Använd WordPress som standardalternativ.

5. Om du använder andra webbservrar som Nginx kan du välja andra alternativ.

6. Klicka på “Spara ändringar”.

7. Du kan sedan kontrollera om din webbplats fortfarande visar blandade felmeddelanden.

8. Om du fortfarande ser fel måste du justera patchnivåerna för plugin-programmet igen.

9. Du kan också arbeta tillsammans med din utvecklare för att fixa buggar med blandat innehåll.

Hur man kör en HTTPS-omdirigering på din WordPress-webbplats

Om du använder ett innehållshanteringssystem som WordPress och inte känner till vanliga servrar med öppen källkod som Apache och Ningx, kan du behöva använda ett plugin som Easy HTTPS Redirection eller Really Simple.

Vanliga HTTPS-omdirigeringsproblem

Även om övergången till HTTPS är riktigt bra, som vi har sett, kan fel implementering få dig på fel sida av Google. Låt oss ta en titt på några av de saker som måste göras under en HTTPS-omdirigering:

  • Se till att du ställer in HTTPS-webbplatsversionen som den föredragna versionen. Om du inte gör det har du två liveversioner av din webbplats som kan duplicera innehåll, vilket gör att sökmotorrobotar gör dubbelt så mycket arbete och slösar bort din budget för sökmotorindexering.
  • Se till att alla externa länkar till din webbplats pekar på HTTPS-versionen av din URL. Om länkar pekar på både HTTP- och HTTPS-versioner delas sociala signaler och länktillgångar på mitten.
  • Lägg till HTTPS-versionen av din webbplats i Google Search Console och Bing Webmaster Tools. I det förra fallet måste du lägga till båda versionerna och sedan ange den domän du vill ha som vi diskuterade tidigare.
  • Se till att de primära taggarna pekar på HTTPS URL-versionerna.
  • Se till att HTTP URL-versionerna av 301-omdirigeringen pekar på HTTPS URL-versionerna.
  • Se till att din XML-webbplatskarta innehåller HTTPS URL-versioner.
  • Se till att alla interna länkar pekar på HTTPS URL-versioner.

Det är viktigt att SSL är aktiverat för att säkerställa hög webbplatssäkerhet och användarförtroende. Det kommer att få din avvisningsfrekvens att sjunka avsevärt och till och med hjälpa dig att rankas högre. Processen för att aktivera SSL kan vara lite teknisk för vissa att göra själva; i så fall kan det hjälpa att ta in en erfaren utvecklare. Det är dock viktigt att förstå det grundläggande konceptet.