Wybór odpowiedniego certyfikatu HTTPS dla Twojej witryny WordPress
Opublikowany: 2019-09-27W naszym poprzednim poście WordPress HTTPS, SSL i TLS – przewodnik dla administratorów stron internetowych, wyjaśniliśmy, czym jest HTTPS i wszystkie inne terminy techniczne oraz jak to działa. W tym artykule omawiamy certyfikaty HTTPS, różne sposoby, w jakie możesz je zdobyć dla swojej witryny WordPress oraz dlaczego powinieneś lub nie powinieneś za nie płacić. Zanurzmy się od razu.
Co to jest certyfikat HTTPS?
Zanim będziemy mogli omówić jak i dlaczego certyfikaty HTTPS, musimy najpierw omówić, czym jest certyfikat. Certyfikat służy do:
- szyfrowanie ruchu pomiędzy serwerem WWW a przeglądarką internetową,
- sprawdź, czy serwer sieciowy, z którym jesteś połączony, jest rzeczywiście tym, za kogo się podaje (środkiem identyfikacji).
Certyfikat HTTPS (certyfikat TLS) zawiera dowód kryptograficzny, że podmiot, któremu zaufała przeglądarka, może ręczyć za tożsamość tej witryny. Ta jednostka nazywana jest urzędem certyfikacji (CA). Urzędy certyfikacji odgrywają kluczową rolę, jeśli chodzi o certyfikaty HTTPS.
Możesz pomyśleć o urzędzie certyfikacji podobnym do „biura paszportowego”, które niezależnie weryfikuje twoją tożsamość i zapewnia „paszport” (zaświadczenie), aby udowodnić twoją tożsamość innym. Jednak, aby ktoś (przeglądarka internetowa) mógł potwierdzić Twój „paszport”, musi zaufać „urządowi paszportowemu” (Organ certyfikacji), który wydał „paszport” (certyfikat). Podobnie jak paszport, certyfikat będzie miał wbudowane zabezpieczenia, które utrudnią sfałszowanie .
Innymi słowy, aby obsługiwać swoją witrynę przez HTTPS, potrzebujesz urzędu certyfikacji, który dostarczy Ci certyfikat potwierdzający tożsamość Twojej witryny WordPress (jesteś tym, za kogo się podajesz).
Różne typy certyfikatów HTTPS
Chociaż może to nie być od razu oczywiste, istnieją 3 różne rodzaje certyfikatów, które możesz uzyskać:
- Walidacja domeny (DV)
- Walidacja organizacji (OV)
- Rozszerzona walidacja (EV).
Certyfikaty DV są zdecydowanie najczęstszymi certyfikatami. Po uzyskaniu certyfikatu DV zobaczysz typowy interfejs użytkownika przeglądarki, którego oczekujesz. Pamiętaj, że różni się to w zależności od przeglądarki, a nawet wersji przeglądarki, ale zwykle zobaczysz kłódkę, a czasem słowo „bezpieczne”.
Certyfikaty OV są trudniejsze do uzyskania niż certyfikaty DV, ponieważ wymagają większej walidacji. Jednak rzadko są używane. Wyglądają dokładnie tak samo dla użytkownika końcowego, nie zapewniają żadnych wymiernych korzyści w porównaniu z certyfikatami DV i kosztują więcej.
Pozostawia to certyfikaty EV — certyfikaty Extended Validation mają wymagać dokładnego procesu weryfikacji, aby organizacja mogła go uzyskać. Są one znacznie droższe i historycznie były traktowane przez przeglądarki nieco inaczej pod względem interfejsu użytkownika.
Jednak w ostatnich wersjach Chrome, Firefox i Safari wskaźnik ten został przeniesiony do znacznie mniej widocznej sekcji. Wynika to w dużej mierze z faktu, że nie ma dowodów na to, że certyfikaty EV dają użytkownikom końcowym jakikolwiek znaczący poziom zaufania. W niektórych przypadkach EV może w rzeczywistości powodować większe zamieszanie wśród użytkowników końcowych. Do tego stopnia, że zdecydowana większość najpopularniejszych witryn internetowych przechodzi z certyfikatów EV na certyfikaty DV.
Jakiego rodzaju certyfikatu potrzebujesz do swojej witryny WordPress?
Krótko mówiąc, potrzebujesz certyfikatu weryfikacji domeny (DV) dla swojej witryny WordPress. Nie ma prawdziwego powodu, dla którego powinieneś potrzebować certyfikatu Extended Validation (EV), zwłaszcza teraz, gdy przeglądarki praktycznie usuwają wszelkie zalety jego posiadania (a ponadto są dość drogie).
Uzyskanie certyfikatu HTTPS
Tradycyjnie uzyskanie certyfikatu HTTPS oznaczało uiszczenie rocznej opłaty za ich urząd certyfikacji (CA). Proces był ręczny i dość irytujący dla administratorów.
Na szczęście w 2012 roku Mozilla rozpoczęła prace nad czymś, co stało się znane jako Let's Encrypt ; urząd certyfikacji non-profit prowadzony przez Internet Security Research Group (ISRG). Zapewnia wszystkim certyfikaty HTTPS bezpłatnie . Nic dziwnego, że w ciągu kilku miesięcy stał się największym CA w Internecie.
Oprócz tego, że był po prostu darmowym CA, Let's Encrypt był rewolucyjny, ponieważ był pierwszym CA, który używał protokołu ACME. Protokół ACME umożliwia automatyczne odnawianie certyfikatu. Dzięki temu Let's Encrypt może tworzyć certyfikaty o krótszym okresie życia (90 dni), co jest bezpieczniejsze. Ponadto administratorzy systemu nie muszą się martwić o odnowienie swoich certyfikatów dzięki narzędziom takim jak Certbot.
Zaszyfrujmy ograniczenia certyfikatów HTTPS
Chociaż istnieją tysiące artykułów online, jak sprawić, by Let's Encrypt działał w Twojej witrynie WordPress, ważne jest, aby zdać sobie sprawę, że mogą wystąpić przypadki, w których możesz nie być w stanie korzystać z ich certyfikatów. Jest to szczególnie ważne, jeśli płacisz za certyfikat HTTPS w ramach swojego hostingu lub nie masz pełnej kontroli nad swoim serwerem internetowym.
W takim przypadku sprawdź, czy możesz użyć certyfikatu Let's Encrypt w obsłudze klienta dostawcy usług hostingowych, zanim wydasz pieniądze na certyfikat. Obecnie większość usług hostingowych WordPress obsługuje certyfikaty Let's Encrypt.
Jeśli nie jest możliwe użycie certyfikatu Let's Encrypt z twoim planem hostingowym, możesz potrzebować komercyjnego certyfikatu HTTPS lub potencjalnie możesz skorzystać z zapory internetowej WordPress / usługi CDN. Większość z nich oferuje w ramach swoich usług bezpłatne certyfikaty HTTPS.
Ustawianie WordPressa na HTTPS
Oprócz uzyskania certyfikatu HTTPS i włączenia HTTPS na swoim serwerze internetowym, upewnij się również, że Twoja witryna WordPress jest również skonfigurowana na HTTPS. Chociaż możesz to zrobić bez użycia wtyczek, prawdopodobnie większości administratorów WordPressa będzie łatwiej korzystać z popularnej wtyczki, takiej jak Really Simple SSL. Dzięki takiej wtyczce upewniasz się, że wszystkie Twoje linki poprawnie wskazują wersję HTTPS Twojej witryny.
Należy również zauważyć, że wyszukiwarki traktują witryny HTTP i HTTPS jako różne witryny. Dlatego, o ile jeszcze tego nie zrobiłeś, powinieneś również przesłać swoją witrynę HTTPS do Google Search Console.
Czy darmowe certyfikaty HTTPS są naprawdę dobre?
Wielu właścicieli witryn WordPress nadal sceptycznie podchodzi do korzystania z bezpłatnego certyfikatu HTTPS firmy Let's Encrypt. Niektórzy obawiają się przedstawiania obrazu, że nie traktują bezpieczeństwa poważnie, więc obawiają się utraty klientów. Niektórzy uważają, że darmowe certyfikaty HTTPS nie są tak dobre, jak płatne. Nie obwiniam ich – żaden dobry produkt/usługa nie jest tak naprawdę dostępna za darmo. To jednak inny przypadek.
Let's Encrypt jest darmowy dla Ciebie jako użytkownika, ale nie jest to darmowy projekt. Mogą wydawać darmowe certyfikaty HTTPS dzięki sponsorom takim jak Google, Facebook, Microsoft, Cisco i wielu innym! Załóżmy więc, że wszystkie te duże korporacje płacą za certyfikat HTTPS Twojej witryny WordPress.
Let's Encrypt to w pełni rozwinięty urząd certyfikacji. Nie ma nic innego, zwłaszcza jeśli chodzi o możliwości szyfrowania, pomiędzy bezpłatnymi certyfikatami TLS od Let's Encrypt a płatnym. Powiedziawszy to, nie ma nic złego w płaceniu za certyfikat HTTPS, jeśli możesz uzasadnić koszt.
Czy protokół HTTPS sprawia, że moja witryna jest „bezpieczna”?
Niestety nic nie jest w 100% bezpieczne, a HTTPS z pewnością nie jest wyjątkiem od tej reguły. HTTPS to tylko niewielka część programu zabezpieczającego witrynę WordPress. To pozwala:
- Twoi użytkownicy, aby bezpiecznie łączyć się z Twoją witryną bez przechwytywania ich komunikacji przez wścibskie spojrzenia w tej samej sieci.
- pomaga w części stałego wyzwania, jakim jest bezpieczeństwo witryny.
Nie jest to jednak srebrna kula: chociaż bez wątpienia powinieneś wdrożyć i egzekwować HTTPS, nie oznacza to, że skończyłeś zabezpieczać swoją witrynę WordPress.
Co jeszcze mogę zrobić, aby moja witryna WordPress była bezpieczna?
Jest wiele rzeczy, które możesz zrobić, aby poprawić bezpieczeństwo swojej witryny WordPress. Zalecamy zacząć od poniższych:
- Użyj zapory WordPress,
- Egzekwuj silne zasady haseł WordPress,
- Zainstaluj wtyczkę do monitorowania integralności plików,
- Prowadź dziennik wszystkich zmian, które zachodzą na WordPressie,
- Aktualizuj rdzeń WordPressa, wszystkie wtyczki, motywy i oprogramowanie, z którego korzystasz.