В глобальной сети мошенники и хакеры ежедневно пытаются украсть личную информацию. В прошлом самым популярным методом похищения считался фишинг. Злоумышленник подменяет оригинальный сайт, и данные от пользователя попадают в его руки (пароли, номера карт, личные сообщения и т. п.). Чтобы решить эту проблему создали защищенное HTTPS соединение. Поэтому администраторов сайтов часто волнует вопрос, как создать и настроить защищенное соединение https.
Что такое HTTPS и зачем оно нужно
Перед переводом сайта на HTTPS соединение следует разобраться, что это такое и как оно работает. HTTPS является защищенным вариантом HTTP протокола (Hypertext Transfer Protocol), в нем передаются необходимые данные для работы страниц (название браузера, разрешение экрана, наличие Cookie и т. п.).
HTTP используется разработчиками для передачи и получения переменных, без этого протокола сайты не смогут функционировать. Все файлы, передаваемые через HTTP, ранее можно было легко перехватить при помощи поддельного сайта (фишинг).
Подобным методом ранее воровались пароли, логины, номера карт, тайные сообщения и другая важная информация. Чтобы защитить пользователей от фишинга, были придуманы SSL сертификаты и проверка их подлинности перед началом обмена информацией.
HTTPS надо обязательно использовать на банковских сайтах или в онлайн магазинах. Если на этих ресурсах отсутствует цифровой сертификат, то браузер запретит соединение, и высветится предупреждение об опасности. Как следствие, сайт потеряет доверие своих пользователей.
Что такое SSL/TLS сертификат
Главным нововведением в HTTPS является обязательное применение цифрового SSL сертификата. Это файл, в котором хранится вся информация (IP адрес сервера, страна сайта, E-mail владельца и т. п.). Цифровой документ находится в зашифрованном виде на сервере сайта и на сервере центра сертификации (GoDaddy, Comodo и т. п.). При каждом соединении эти файлы сравниваются, и если они одинаковы, то соединение продолжается. Иначе появляется предупреждение безопасности.
Многим читателям неизвестно, как сделать защищенное соединение https. Первым действием потребуется получить SSL сертификат у проверенного центра. Существуют разные типы данных документов:
- DV – подтверждают только домен (для небольших сайтов и блогов).
- OV – проверяется домен и организация.
- EV – расширенная проверка (появится зеленая полоса и замочек в браузере).
Наиболее предпочтительным для магазинов и банков считается EV вариант. Дальше идут дополнительные уточнения в виде:
- SGC (поддерживает старые браузеры).
- Wildcard (поддержка субдоменов).
- SAN (альтернативные домены в одном сертификате).
- IDN (поддержка национальных доменов www).
Для большинства сайтов достаточно использовать DV SSL сертификат. Он стоит недорого и гарантирует защиту от фишинга.
Как перевести сайт на защищенное соединение
Все чаще владельцев онлайн бизнеса интересует, как создать защищенное соединение https. Для этих действий придется внести некоторые изменения в программный код страниц. Наиболее важным является написать дополнительное правило в .htaccess файл. В нем хранится код, предназначенный для настройки Apache веб-сервера.
Большинство хостингов позволяют через панель управления настроить SSL сертификат для сервера. Подробнее о том, как это сделать, уточняйте у своего поставщика услуг. Весь процесс перевода сайта можно разделить на следующие этапы:
- Получение SSL сертификата.
- Установка сертификата на сервер.
- Изменение внутренних ссылок сайта.
- Настройка redirect на 301 порт.
- Изменение Hosts в robots.txt.
Если используются платные хостинги типа beget, то обратитесь в службу поддержки с сертификатом, и все дальнейшие действия выполнят работники сервиса. Наиболее сложным этапом при ответе на вопрос, как сделать https соединение, является настройка редиректа .htaccess, так как большинство скриптов не помогают.
Получение сертификата и его установка на сервер
Теоретически разобрались, как сделать https соединение, перейдем к действиям. Первым этапом необходимо получить SSL сертификат у одного из проверенных центров. В интернете можно найти множество различных вариантов в разном ценовом диапазоне. В нынешнее время для получения бесплатного документа существует 2 центра:
- WoSign.
- Startssl.
Остальные сервисы требуют оплаты. Сумма зависит от типа сертификата и его дополнительных особенностей (мультидоменность, поддержка старых браузеров и т. п.). Центры сертификации:
- Reg.ru.
- Godaddy.
- Hostland.
- Symantec.
- Comodo.
- GlobalSign.
- Thawte.
Кроме того, некоторые хостинги предоставляют своим пользователям SSL сертификаты при покупке определенного тарифного плана. На сайте сертификации подробно расписывают необходимые действия. Но вся процедура состоит из следующих этапов:
- генерация CSR запроса;
- заполнение почты сайта (admin@[адрес сайта]);
- заполнение информации о владельце домена (для EV и OV документа).
CSR запрос включает в себя общие данные для проверки (доменное имя, организация, город, область, страна). После заполнения информации пользователь получает 2 кода (секретный ключ и CSR код), обязательно сохраните их в отдельный документ. Отправьте данный код для получения SSL сертификата и подождите его выдачу от центра.
Теперь перейдите на сайт хостинга и найдите раздел «SSL сертификат» или же обратитесь в поддержку. Потребуется предоставить информацию о CSR коде, приватном ключе и сертификате. Не забудьте включить поддержку SSL в панели хостинга.
Как создать https соединение на постоянной основе
После размещения файла на сервере нужно провести внутреннюю настройку сайта. Потребуется настроить редирект и изменить все внутренние ссылки с абсолютных на относительные.
То есть вместо http://site.ru/img/bg.png установить: //site.ru/img/bg.png.
Нужно убрать HTTP из названий ссылок. Если сомневаетесь, то позовите WEB-программиста или фрилансера, он быстро это настроит. Выискивать ссылки можно через редактор кода в каждом файле или же найти всю информацию через поиск в PhpMyAdmin.
После настройки ссылок нужно указать поисковикам об изменении. Откройте файл robots.txt и в строчке Host: вместо HTTP поставьте HTTPS.
Вместо http://example.ru вставьте: https://example.ru.
После изменения поискового файла настроим автоматическое перенаправление сайта с HTTP на HTTPS. Перед дальнейшими действиями проверьте доступность сайта на HTTPS протоколе. Если все прошлые действия выполнены правильно, то ошибок возникнуть не должно.
Для автоматического перенаправления на безопасное соединение вставьте этот скрипт в .htacess файл, некоторым помогает:
RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]
Но в большинстве случаев этот метод не работает. В этих ситуациях обратитесь к администратору хостинга, он сумеет внести правильные настройки. Редирект начнет работать после перезапуска сервера, как правило, в течение 24 часов.
Кроме того потребуется изменить настройки в панели вебмастера "Яндекс" или Google. Потребуется в разделе настроек индексирования перейти в пункт главного зеркала и установить HTTPS. Кроме того, потребуется перенести:
- sitemap.xml;
- исключения URL;
- геолокацию;
- ссылки Disawov Tool для Гугла.
После этого остается подождать окончания переиндексации. В этот период активность на сайте уменьшится, но потом все стабилизируется.
Как сделать https соединение в WordPress
Современные блоги и порталы в основном работают на WordPress, им для перехода на https потребуется выполнить те же действия (получить сертификат, изменить ссылки и т. п.). Но у них есть набор встроенных плагинов, которые выполнят все действия за владельца:
- easy HTTPS Redirection;
- HTTPS (SSL).
Первый заменяет ссылки, а второй позволяет указать SSL сертификат. Кроме того, перейдите в раздел параметры->общие. Здесь нужно изменить URL и указать HTTPS протокол. Позаботьтесь, чтобы старые страницы тоже имели защищенное соединение. После изменения ссылок проведите настройку редиректа и измените файл robots.txt.
Больше не должно возникать вопросов, как сделать https соединение на сайте. На большинстве хостингов для включения защитного режима нужно лишь написать в техподдержку. Они назначат специалиста, и он сам выполнит настройку.
