Alegerea certificatului HTTPS potrivit pentru site-ul dvs. WordPress

Publicat: 2019-09-27

În postarea noastră anterioară WordPress HTTPS, SSL și TLS – un ghid pentru administratorii de site-uri web, am explicat ce sunt HTTPS și toți ceilalți termeni tehnici și cum funcționează. În acest articol, discutăm despre certificatele HTTPS, despre diferitele modalități în care puteți obține unul pentru site-ul dvs. WordPress și de ce ar trebui sau nu ar trebui să plătiți pentru unul. Să ne scufundăm direct.

Ce este un certificat HTTPS?

Înainte de a putea discuta despre cum și de ce certificatele HTTPS, trebuie să discutăm despre ce este un certificat. Un certificat este folosit pentru:

  • criptați traficul dintre serverul web și browserul web,
  • verificați că serverul web la care sunteți conectat este de fapt cine pretinde că este (un mijloc de identificare).

Un certificat HTTPS (certificat TLS) conține dovada criptografică că o entitate de încredere de către un browser poate garanta identitatea site-ului respectiv. Această entitate este numită Autoritate de Certificare (CA). CA joacă un rol crucial atunci când vine vorba de certificate HTTPS.

Vă puteți gândi la o Autoritate de Certificare similară cu un „oficiu de pașapoarte” care vă verifică în mod independent identitatea și vă oferă un „pașaport” (certificat) pentru a vă dovedi identitatea altora. Cu toate acestea, pentru ca cineva (un browser web) să vă valideze „pașaportul”, trebuie să aibă încredere în „oficiul de pașapoarte” (Autoritatea de Certificare) care a emis „pașaportul” (certificat). Similar cu un pașaport, un certificat va avea caracteristici de securitate încorporate pentru a face dificilă falsificarea .

Cu alte cuvinte, pentru a vă oferi site-ul web prin HTTPS, aveți nevoie de o Autoritate de Certificare care să vă furnizeze un certificat care dovedește identitatea site-ului dvs. WordPress (ești cine spui că ești).

Diferite tipuri de certificate HTTPS

Deși poate să nu fie imediat evident, există 3 tipuri diferite de certificate pe care le puteți obține:

  • Validarea domeniului (DV)
  • Validarea organizației (OV)
  • Validare extinsă (EV).

Certificatele DV sunt de departe cele mai comune certificate. Când obțineți un certificat DV, veți vedea interfața de utilizator obișnuită a browserului la care v-ați aștepta. Rețineți că acest lucru diferă de la browser la browser și chiar de la o versiune de browser la alta, dar, de obicei, veți vedea un lacăt și uneori cuvântul „securizat”.

Certificatele OV sunt mai greu de obținut decât certificatele DV, deoarece necesită mai multă validare. Cu toate acestea, ele sunt rareori folosite. Ele arată exact la fel pentru utilizatorul final, nu oferă beneficii tangibile față de certificatele DV și costă mai mult.

Acest lucru lasă certificatele EV — certificatele de validare extinsă ar trebui să necesite un proces de verificare amănunțit pentru ca o organizație să obțină unul. Sunt considerabil mai scumpe și, în trecut , au fost tratate ușor diferit de către browsere în ceea ce privește interfața lor de utilizare.

Lacăt HTTPS în bara de adrese URL a browserului

Cu toate acestea, în versiunile recente de Chrome, Firefox și Safari, acest indicator a fost mutat într-o secțiune mult mai puțin vizibilă. Acest lucru se datorează în mare măsură faptului că nu există dovezi că certificatele EV transmit un nivel semnificativ de încredere utilizatorilor finali. În unele cazuri, EV poate provoca de fapt mai multă confuzie utilizatorilor finali. Atât de mult, încât marea majoritate a celor mai populare site-uri web de pe Internet trec de la certificate EV la certificate DV.

Certificat HTTPS cu EV

Ce tip de certificat aveți nevoie pentru site-ul dvs. WordPress?

Deci, pe scurt, doriți un certificat de validare a domeniului (DV) pentru site-ul dvs. WordPress. Nu există niciun motiv real pentru care ar trebui să aveți nevoie de un certificat de validare extinsă (EV), mai ales acum că browserele elimină aproape orice avantaj de a deține unul (în plus, sunt și destul de scumpe).

Obținerea unui certificat HTTPS

În mod tradițional, obținerea unui certificat HTTPS însemna plata unei autorități de certificare (CA) a unei taxe anuale pentru aceștia. Procesul a fost manual și destul de enervant pentru administratori.

Sigla Let's Encrypt

Din fericire, în 2012, Mozilla a început să lucreze la ceea ce a devenit cunoscut sub numele de Let's Encrypt ; o autoritate de certificare non-profit condusă de Internet Security Research Group (ISRG). Oferă certificate HTTPS gratuit pentru toată lumea . Nu este de mirare că în câteva luni a devenit cea mai mare CA de pe Internet.

statistici despre certificatele și domeniile HTTPS de la Let's Encrypt

Pe lângă faptul că era pur și simplu un CA gratuit, Let's Encrypt a fost revoluționar, deoarece a fost primul CA care a folosit protocolul ACME. Protocolul ACME permite reînnoirea automată a certificatului. Acest lucru permite Let's Encrypt să creeze certificate cu o durată de viață mai scurtă (90 de zile), ceea ce este mai sigur. De asemenea, administratorii de sistem nu trebuie să-și facă griji cu privire la reînnoirea certificatelor datorită unor instrumente precum Certbot.

Să criptăm limitările certificatelor HTTPS

Deși există mii de articole online despre cum să faceți Let's Encrypt să funcționeze pentru site-ul dvs. WordPress, este important să realizați că ar putea exista cazuri în care este posibil să nu puteți utiliza certificatele acestora. Acest lucru este valabil mai ales dacă plătiți pentru un certificat HTTPS ca parte a planului dvs. de găzduire web sau nu aveți control deplin asupra serverului dvs. web.

În acest caz, verificați dacă puteți utiliza un certificat Let's Encrypt cu asistența pentru clienți a furnizorului dvs. de găzduire înainte de a cheltui bani pe un certificat. În prezent, majoritatea serviciilor de găzduire WordPress acceptă certificatele Let's Encrypt.

Dacă nu este posibil să utilizați un certificat Let's Encrypt cu planul dvs. de găzduire, este posibil fie să aveți nevoie de un certificat HTTPS comercial, fie să utilizați un paravan de protecție online WordPress / serviciu CDN. Cele mai multe dintre ele oferă certificate HTTPS gratuite ca parte a serviciilor lor.

Configurarea WordPress pe HTTPS

Pe lângă obținerea unui certificat HTTPS și activarea HTTPS pe serverul dvs. web, veți dori, de asemenea, să vă asigurați că site-ul dvs. WordPress este configurat și pentru HTTPS. Deși puteți face acest lucru fără a utiliza pluginuri, este probabil mai ușor pentru majoritatea administratorilor WordPress să folosească un plugin popular precum Really Simple SSL. Cu un astfel de plugin, te asiguri că toate linkurile tale indică corect către versiunea HTTPS a site-ului tău.

De asemenea, este important să rețineți că motoarele de căutare tratează site-urile HTTP și HTTPS ca site-uri diferite . Prin urmare, dacă nu ați făcut acest lucru deja, ar trebui să trimiteți și site-ul dvs. HTTPS la Google Search Console.

Sunt certificatele HTTPS gratuite cu adevărat bune?

Mulți proprietari de site-uri WordPress sunt încă sceptici cu privire la utilizarea certificatului HTTPS gratuit de la Let's Encrypt. Unii sunt îngrijorați să înfățișeze o imagine pe care nu o iau în serios în securitate, așa că se tem să-și piardă clienții. Unii alții cred că certificatele HTTPS gratuite nu sunt la fel de bune ca cele plătite. Nu îi dau vina – niciun produs/serviciu bun nu este cu adevărat disponibil gratuit. Cu toate acestea, acesta este un caz diferit.

Let's Encrypt este gratuit pentru tine ca utilizator, dar nu este un proiect gratuit. Ei pot emite certificate HTTPS gratuite datorită sponsorilor precum Google, Facebook, Microsoft, Cisco și mulți alții! Deci, să presupunem că toate aceste mari corporații plătesc pentru certificatul HTTPS al site-ului tău WordPress.

Let's Encrypt este o autoritate de certificare completă. Nu este nimic diferit, mai ales în ceea ce privește capacitățile de criptare, între certificatele TLS gratuite de la Let's Encrypt și unul plătit. Acestea fiind spuse, nu există niciun rău în plata unui certificat HTTPS, dacă puteți justifica costul.

HTTPS face site-ul meu „securizat”?

Din păcate, nimic nu este 100% sigur, iar HTTPS nu face excepție de la această regulă. HTTPS este doar o mică parte din programul de securitate al site-ului dvs. WordPress. Permite:

  • utilizatorii dvs. să se conecteze în siguranță la site-ul dvs. web, fără ca comunicarea lor să fie interceptată de privirile indiscrete pe aceeași rețea.
  • ajută la o parte a provocării constante care este securitatea site-ului web.

Cu toate acestea, nu este un glonț de argint: deși ar trebui, fără îndoială, să implementați și să impuneți HTTPS, aceasta nu înseamnă că ați terminat de securizat site-ul dvs. WordPress.

Ce altceva pot face pentru a mă asigura că site-ul meu WordPress este securizat?

Există multe lucruri pe care le puteți face pentru a îmbunătăți securitatea site-ului dvs. WordPress. Vă recomandăm să începeți cu cele de mai jos:

  • Utilizați un firewall WordPress,
  • Aplicați politici puternice de parole WordPress,
  • Instalați un plugin de monitorizare a integrității fișierelor,
  • Păstrați un jurnal al tuturor modificărilor care au loc pe WordPress,
  • Păstrați la zi nucleul WordPress, toate pluginurile, temele și software-ul pe care le utilizați.