Jak uzyskać bezpłatny, ważny certyfikat SSL dla swojej witryny WordPress
Opublikowany: 2017-03-03Uzyskanie bezpłatnego certyfikatu SSL
1. Co to jest HTTPS?
2. Jak działa bezpieczeństwo witryny?
3. Dlaczego warto zdobyć certyfikat SSL?
4. Gdzie otrzymam darmowy certyfikat SSL?
5. Co muszę wziąć pod uwagę przy zdobywaniu certyfikatu SSL?
6. Jak zainstalować certyfikat SSL?
7. Co jeszcze muszę zrobić?
1. Co to jest HTTPS?
„HTTP” lub „HTTPS” pojawia się na początku adresu URL każdej witryny w przeglądarce internetowej. HTTP oznacza protokół Hyper Text Transfer Protocol , a litera S w HTTPS oznacza bezpieczny. Ogólnie rzecz biorąc, opisuje to protokół, za pomocą którego dane są przesyłane pomiędzy Twoją przeglądarką a przeglądaną witryną.
HTTPS zapewnia, że cała komunikacja między Twoją przeglądarką a przeglądaną witryną jest szyfrowana. Oznacza to, że jest bezpieczny. Tylko komputery odbierające i wysyłające mogą widzieć informacje podczas przesyłania danych (inni mogliby potencjalnie uzyskać do nich dostęp, ale nie byliby w stanie ich odczytać). W przypadku bezpiecznych witryn przeglądarka internetowa wyświetla ikonę kłódki w obszarze adresu URL, aby Cię o tym powiadomić.
HTTPS powinien znajdować się na każdej stronie internetowej, która zbiera hasła, płatności, informacje medyczne lub inne wrażliwe dane. A co by było, gdybyś mógł otrzymać darmowy i ważny certyfikat SSL dla swojej domeny?
2. Jak działa bezpieczeństwo witryny?
Aby włączyć HTTPS, musisz zainstalować certyfikat SSL (Secure Socket Layer). Certyfikat zawiera klucz publiczny, który jest niezbędny do bezpiecznego rozpoczęcia sesji. Gdy wymagane jest połączenie HTTPS ze stroną internetową, witryna wyśle certyfikat SSL do Twojej przeglądarki internetowej. Twoja przeglądarka i witryna inicjują następnie „uzgadnianie protokołu SSL”, które obejmuje udostępnienie „tajemnic” w celu ustanowienia bezpiecznego połączenia między przeglądarką a witryną.
Standardowy vs rozszerzony SSL
Jeśli witryna korzysta ze standardowego certyfikatu SSL, w obszarze adresu przeglądarki pojawi się ikona kłódki (patrz zrzut ekranu). Jeśli korzysta z certyfikatu SSL z rozszerzoną weryfikacją (EV), pasek adresu lub adres URL będzie zielony. Standardy EV SSL przewyższają standardy SSL. EV SSL zapewnia pewność tożsamości właściciela domeny. Uzyskanie certyfikatu EV SSL wymaga również od wnioskodawców przejścia rygorystycznego procesu oceny w celu potwierdzenia ich autentyczności i własności.
3. Dlaczego warto zdobyć certyfikat SSL?
Nawet jeśli Twoja witryna nie pobiera i nie przesyła wrażliwych danych, istnieje kilka powodów, dla których możesz chcieć mieć bezpieczną witrynę i ubiegać się o bezpłatny i ważny certyfikat SSL dla swojej domeny.
- Wydajność. SSL może skrócić czas ładowania strony.
- Optymalizacja wyszukiwarek (SEO). Zamiarem Google jest, aby Internet był bezpiecznym doświadczeniem dla wszystkich – nie tylko tych, którzy korzystają na przykład z przeglądarki Google Chrome, Gmaila i Dysku. Firma stwierdziła, że bezpieczeństwo będzie czynnikiem wpływającym na pozycję witryn w wynikach wyszukiwania. Na razie jest mały. Jeśli jednak masz bezpieczną witrynę internetową, a Twoi konkurenci nie, Twoja witryna może zająć wyższą pozycję w rankingu, co może być czynnikiem decydującym o przewadze potrzebnej do uzyskania kliknięcia ze strony wyników wyszukiwania.
- Zaufanie. Jeśli Twoja witryna nie jest bezpieczna i zbiera hasła lub karty kredytowe, użytkownicy przeglądarki Chrome w wersji 56 (wydanej w styczniu 2017 r.) zobaczą ostrzeżenie, że witryna nie jest bezpieczna (patrz zrzut ekranu poniżej). Osoby nieobeznane z technologią (większość użytkowników witryny) mogą się zaniepokoić, gdy to zobaczą i opuszczą witrynę tylko dlatego, że nie rozumieją, co to oznacza. Z drugiej strony, jeśli Twoja witryna jest bezpieczna, może to uspokoić odwiedzających i zwiększyć prawdopodobieństwo, że wypełnią formularz rejestracyjny lub zostawią komentarz w Twojej witrynie. Google ma długoterminowy plan, aby wyświetlać w przeglądarce Chrome wszystkie witryny HTTP jako niezabezpieczone.
4. Gdzie otrzymam darmowy certyfikat SSL?
Certyfikat SSL otrzymujesz od urzędu certyfikacji. Niektóre wiarygodne, bezpłatne źródła to:
- Let's Encrypt: certyfikaty ważne 90 dni, zalecane odnowienie po 60 dniach
- Cloudflare: bezpłatnie dla osobistych stron internetowych i blogów
- FreeSSL: obecnie bezpłatny dla organizacji non-profit i startupów; nie może być klientem firm Symantec, Thawte, GeoTrust ani RapidSSL
- StartSSL: certyfikaty ważne od 1 do 3 lat
- GoDaddy: certyfikaty bezpłatne dla projektów open source, ważne przez 1 rok
Rodzaj certyfikatu i długość jego ważności różnią się w zależności od organu. Większość urzędów oferuje standardowe certyfikaty SSL bezpłatnie, a za certyfikaty EV SSL pobiera opłaty, jeśli je udostępniają. Cloudflare oferuje bezpłatne i płatne plany oraz różne opcje dodatków.
5. Co muszę wziąć pod uwagę przy zdobywaniu certyfikatu SSL?
Google zaleca certyfikat z kluczem 2048-bitowym. Jeśli masz już certyfikat 1024-bitowy, który jest słabszy, zalecają jego aktualizację.
Musisz zdecydować, czy potrzebujesz certyfikatu pojedynczego, wielodomenowego czy z symbolem wieloznacznym:
- Pojedynczy certyfikat będzie przeznaczony dla jednej domeny (np. www.example.com).
- Certyfikat wielodomenowy będzie przeznaczony dla wielu dobrze znanych domen (np. www.example.com, cdn.example.com, example.co.uk).
- Certyfikat wieloznaczny dotyczy bezpiecznej domeny z wieloma dynamicznymi subdomenami (np. a.example.com, b.example.com).
6. Jak zainstalować certyfikat SSL?
Twój usługodawca hostingowy może zainstalować certyfikat bezpłatnie lub za opłatą. Niektóre hosty faktycznie mają opcję instalacji Let's Encrypt w swoim panelu kontrolnym cPanel, co ułatwia wykonanie jej samodzielnie. Zapytaj swojego obecnego hosta lub znajdź takiego, który oferuje bezpośrednie wsparcie dla Let's Encrypt. Jeśli Twój usługodawca hostingowy nie świadczy tej usługi, certyfikat może zainstalować firma zajmująca się obsługą Twojej witryny internetowej lub programista.
Należy spodziewać się konieczności odnawiania certyfikatu co jakiś czas. Sprawdź ramy czasowe w urzędzie certyfikacji.
Aby wdrożenie było najłatwiejsze, po prostu nawiąż współpracę z w pełni zarządzanym dostawcą hostingu, a on zajmie się wszystkim za Ciebie. Jedno szybkie zgłoszenie do pomocy technicznej i gotowe!
7. Co jeszcze muszę zrobić?
Wymuś SSL
Po uzyskaniu i zainstalowaniu certyfikatu SSL musisz wymusić SSL na stronie. Ponownie możesz poprosić o to swojego usługodawcę hostingowego, firmę konserwacyjną lub programistę. Jeśli jednak wolisz zrobić to sam, a Twoja witryna znajduje się w WordPressie, możesz to zrobić pobierając, instalując i korzystając z wtyczki.
Korzystając z wtyczki pamiętaj o sprawdzeniu jej zgodności z posiadaną wersją WordPressa, recenzjach oraz instrukcji instalacji. Dwie popularne wtyczki wymuszające SSL to:
- Naprawdę prosty protokół SSL
- WP Force SSL
Najpierw wykonaj kopię zapasową swojej witryny i zachowaj szczególną ostrożność podczas jej wykonywania. Jeśli coś źle skonfigurujesz, może to mieć tragiczne konsekwencje:
- odwiedzający nie mogą zobaczyć Twojej witryny,
- obrazy nie wyświetlają się,
- skrypty nie ładują się, co może mieć wpływ na działanie niektórych elementów Twojej witryny,
- typografia i kolory nie są wyświetlane prawidłowo.
Skonfiguruj przekierowania 301 po stronie serwera
Musisz przekierować użytkowników i wyszukiwarki na strony HTTPS poprzez przekierowania 301 w pliku .htaccess w folderze głównym na serwerze. Plik .htaccess jest plikiem niewidocznym, więc upewnij się, że Twój program FTP jest ustawiony na wyświetlanie ukrytych plików. Na przykład w FileZilla przejdź do Serwer > Wymuś pokazywanie ukrytych plików (patrz zrzut ekranu).
Przed dodaniem przekierowań dobrze byłoby wykonać kopię zapasową pliku .htaccess. Na serwerze zmień tymczasowo nazwę pliku usuwając kropkę (to przede wszystkim czyni go niewidocznym), pobierz plik (który będzie teraz widoczny na Twoim komputerze w wyniku usunięcia kropki), a następnie dodaj kropkę z powrotem do tego na serwerze.
Zmień ustawienia analityczne
Po wykonaniu tych kroków będziesz musiał zmienić preferowany adres URL na swoim koncie Google Analytics, aby wyświetlać wersję HTTPS Twojej domeny. W przeciwnym razie statystyki ruchu będą wyłączone, ponieważ wersja HTTP adresu URL będzie postrzegana jako zupełnie inna witryna niż wersja HTTPS.
Google Search Console również traktuje HTTP i HTTPS jako osobne domeny, więc dodaj domenę HTTPS do tego konta.
Pamiętaj, że po przejściu z HTTP na HTTPS, jeśli masz włączone przyciski udostępniania społecznościowego w swojej witrynie, liczba udostępnień zostanie zresetowana.
I w ten sposób instalujesz bezpłatny i ważny certyfikat SSL dla swojej domeny oraz szyfrujesz swoje dane, aby były bezpieczne. Certyfikaty SSL są częścią przyszłości bezpieczeństwa WordPressa, więc zdobądź swój lub daj się ponieść epoce kamienia łupanego.
Chcesz podzielić się swoją opinią lub dołączyć do rozmowy? Dodaj swoje komentarze na Twitterze.
Zapisz Zapisz
Zapisz Zapisz