Bezpieczeństwo w Internecie jest krytycznym, a jednak często niedocenianym aspektem sukcesu witryny.
Jeśli zamierzasz prowadzić sklep internetowy lub witrynę handlu elektronicznego, będziesz oczywiście chciał zapewnić klientom, że informacje, które ci podają w tej witrynie, w tym numer karty kredytowej, są przetwarzane w bezpieczny sposób. Bezpieczeństwo stron internetowych nie dotyczy jednak tylko sklepów internetowych. Podczas gdy witryny handlu elektronicznego i wszelkie inne, które zajmują się wrażliwymi informacjami (karty kredytowe, numery ubezpieczenia społecznego, dane finansowe itp.) Są oczywistymi kandydatami do bezpiecznych transmisji, prawda jest taka, że WSZYSTKIE strony internetowe mogą czerpać korzyści z zabezpieczenia.
Aby zabezpieczyć transmisję witryny (zarówno od strony do odwiedzających, jak i od użytkowników z powrotem do serwera WWW), ta strona będzie musiała używać protokołu HTTPS lub protokołu HyperText Transfer z warstwą Secure Sockets Layer lub SSL. HTTPS to protokół do przesyłania zaszyfrowanych danych przez Internet. Gdy ktoś wysyła do Ciebie dane dowolnego rodzaju, w przeciwieństwie do innych poufnych, protokół HTTPS zapewnia bezpieczeństwo transmisji.
Istnieją dwie podstawowe różnice między połączeniem HTTPS a połączeniem HTTP:
- HTTPS łączy się z portem 443, a HTTP z portem 80.
- HTTPS szyfruje dane wysyłane i odbierane przy użyciu protokołu SSL, a protokół HTTP wysyła je jako zwykły tekst.
Większość klientów sklepów internetowych wie, że powinni szukać "https" w adresie URL i szukać ikony kłódki w przeglądarce podczas dokonywania transakcji. Jeśli twoja witryna nie korzysta z HTTPS, stracisz klientów, a także prawdopodobnie otworzysz siebie i swoją firmę do poważnej odpowiedzialności, jeśli twój brak bezpieczeństwa zagraża prywatnym danym. Dlatego prawie każdy sklep internetowy używa obecnie HTTPS i SSL - ale, jak właśnie stwierdziliśmy, korzystanie z bezpiecznej witryny internetowej nie jest już tylko witryną e-commerce.
W dzisiejszym Internecie wszystkie witryny mogą korzystać z użycia SSL. Google faktycznie zaleca to dziś dla witryn jako sposób uwierzytelnienia, że informacje w tej witrynie pochodzą rzeczywiście od tej firmy i nie jest to ktoś, kto próbuje w jakiś sposób sfałszować witrynę. W związku z tym Google nagradza witryny korzystające z protokołu SSL, co jest kolejnym powodem, oprócz poprawy bezpieczeństwa, dodawania go do witryny.
Wysyłanie zaszyfrowanych danych
Jak wspomniano powyżej, HTTP wysyła dane zebrane przez Internet w postaci zwykłego tekstu. Oznacza to, że jeśli masz formularz z prośbą o podanie numeru karty kredytowej, ten numer karty kredytowej może zostać przechwycony przez każdego, kto ma sniffer pakietów. Ponieważ dostępnych jest wiele bezpłatnych narzędzi do programowania snifferów, można to zrobić w ogóle z niewielkim doświadczeniem lub szkoleniem. Poprzez zbieranie informacji przez połączenie HTTP (nie HTTPS), ryzykujesz przechwycenie tych danych, a ponieważ nie są one szyfrowane, używane przez złodzieja.
Co jest potrzebne do hostowania bezpiecznych stron
Jest tylko kilka rzeczy, których potrzebujesz, aby hostować bezpieczne strony w twojej witrynie:
- Serwer sieci Web, taki jak Apache z mod_ssl, który obsługuje szyfrowanie SSL.
- Unikalny adres IP - to właśnie dostawcy certyfikatów używają do sprawdzania bezpiecznego certyfikatu.
- Certyfikat SSL od dostawcy certyfikatu SSL.
Jeśli nie masz pewności co do dwóch pierwszych pozycji, skontaktuj się z dostawcą usług hostingowych. Będą mogli Ci powiedzieć, czy możesz użyć HTTPS na swojej stronie internetowej. W niektórych przypadkach, jeśli korzystasz z usług bardzo taniego dostawcy hostingu, być może będziesz musiał zmienić firmę hostingową lub zaktualizować usługę, z której korzystasz w swojej obecnej firmie, aby uzyskać wymaganą ochronę SSL. W takim przypadku - wprowadź zmianę. Korzyści z używania SSL są warte dodatkowych kosztów ulepszonego środowiska hostingowego.
Po uzyskaniu certyfikatu HTTPS
Po zakupie certyfikatu SSL od renomowanego dostawcy Twój dostawca hostingu będzie musiał skonfigurować certyfikat na swoim serwerze sieciowym, aby za każdym razem, gdy strona jest dostępna za pośrednictwem protokołu https: //, trafia ona na bezpieczny serwer. Po skonfigurowaniu możesz rozpocząć tworzenie stron internetowych, które muszą być bezpieczne. Strony te można zbudować w taki sam sposób jak inne strony, wystarczy, że połączysz się z HTTPS zamiast HTTP, jeśli używasz bezwzględnych ścieżek linków w swojej witrynie do innych stron.
Jeśli masz już stronę, która została zbudowana dla HTTP i zmieniłeś ją na HTTPS, powinieneś również wszystko ustawić. Wystarczy sprawdzić łącza, aby upewnić się, że zaktualizowane są bezwzględne ścieżki, w tym ścieżki do plików obrazów lub innych zasobów zewnętrznych, takich jak arkusze CSS, pliki JS lub inne dokumenty.
Oto kilka wskazówek dotyczących korzystania z HTTPS:
- Wskaż wszystkie formularze internetowe na serwerze https: //. Za każdym razem, gdy łączysz się z formularzami internetowymi w swojej witrynie sieci Web, nawiąż do nich link z pełnym adresem URL serwera, w tym z oznaczeniem https: //. Zapewni to, że zawsze będą one zabezpieczone.
- Stosuj względne ścieżki do obrazów na zabezpieczonych stronach. Jeśli używasz pełnej ścieżki (http: // www …) do obrazów, a te obrazy nie znajdują się na bezpiecznym serwerze, klienci otrzymają komunikaty o błędach, które mówią: "Znaleziono dane o zagrożeniu. Kontynuuj?" Może to być niepokojące, a wiele osób przerwie proces zakupu, gdy to zobaczy. Jeśli użyjesz ścieżek względnych, twoje obrazy zostaną załadowane z tego samego bezpiecznego serwera, co reszta strony.
Oryginalny artykuł Jennifer Krynin. Edytowane przez Jeremy'ego Girarda w dniu 17.07.17.
