Bezpieczeństwo online jest niezwykle ważnym, a jednak często niedocenianym aspektem sukcesu witryny internetowej.
Jeśli zamierzasz prowadzić sklep internetowy lub Handel elektroniczny stronie internetowej, oczywiście będziesz chciał zapewnić klientom, że informacje, które podają na tej stronie, w tym numer karty kredytowej, są obsługiwane w bezpieczny sposób. Bezpieczeństwo stron internetowych dotyczy jednak nie tylko sklepów internetowych. Podczas gdy witryny e-commerce i wszelkie inne, które zajmują się informacjami wrażliwymi (karty kredytowe, numery ubezpieczenia społecznego, dane finansowe itp.) są oczywistymi kandydatami do bezpiecznej transmisji, prawda jest taka, że WSZYSTKIE strony internetowe mogą czerpać korzyści z bycia zabezpieczone.
Aby zabezpieczyć transmisję witryny (zarówno ze strony do odwiedzających, jak i od odwiedzających z powrotem do Twojej sieci) serwer), ta witryna będzie musiała korzystać z protokołu HTTPS — lub HyperText Transfer Protocol z Secure Sockets Layer, lub SSL. HTTPS to protokół do przesyłania zaszyfrowanych danych przez Internet. Gdy ktoś wysyła Ci jakiekolwiek dane, inne wrażliwe w inny sposób, protokół HTTPS zapewnia bezpieczną transmisję.
Istnieją dwie podstawowe różnice między działaniem połączenia HTTPS i HTTP:
- HTTPS łączy się na porcie 443, a HTTP na porcie 80.
- HTTPS szyfruje dane wysyłane i odbierane za pomocą SSL, podczas gdy HTTP wysyła je jako zwykły tekst.
Większość klientów sklepów internetowych wie, że podczas dokonywania transakcji powinni szukać „https” w adresie URL i szukać ikony kłódki w przeglądarce. Jeśli Twoja witryna nie korzysta z HTTPS, stracisz klientów, a także prawdopodobnie otworzysz się a twoja firma ponosi poważną odpowiedzialność, jeśli brak bezpieczeństwa narazi na szwank czyjeś prywatne dane. Właśnie dlatego prawie każdy sklep internetowy korzysta dziś z HTTPS i SSL — ale jak już powiedzieliśmy, korzystanie z bezpiecznej witryny nie jest już przeznaczone tylko dla witryn e-commerce.
W dzisiejszej sieci wszystkie witryny mogą korzystać z protokołu SSL. Google faktycznie to zaleca w dzisiejszych witrynach jako sposób na upewnienie się, że informacje w tej witrynie rzeczywiście pochodzą od tej firmy, a nie ktoś, kto próbuje w jakiś sposób sfałszować witrynę. W związku z tym Google nagradza teraz witryny, które używają SSL, co jest kolejnym powodem, oprócz poprawy bezpieczeństwa, aby dodać go do swojej witryny.
Wysyłanie zaszyfrowanych danych
Jak wspomniano powyżej, HTTP wysyła dane zebrane przez Internet w postaci zwykłego tekstu. Oznacza to, że jeśli masz formularz z prośbą o podanie numeru karty kredytowej, ten numer karty kredytowej może zostać przechwycony przez każdego, kto ma sniffer pakietów. Ponieważ dostępnych jest wiele darmowych programów sniffer, może to zrobić każdy, kto ma bardzo małe doświadczenie lub przeszkolenie. Zbierając informacje przez połączenie HTTP (nie HTTPS), ryzykujesz, że dane te mogą zostać przechwycone i wykorzystane przez złodzieja, ponieważ nie są szyfrowane.
Co jest potrzebne do hostowania bezpiecznych stron
Jest tylko kilka rzeczy, których potrzebujesz, aby hostować bezpieczne strony w swojej witrynie:
- Serwer sieciowy, taki jak Apache z mod_ssl, który obsługuje szyfrowanie SSL.
- Unikalny adres IP — tego używają dostawcy certyfikatów do weryfikacji bezpiecznego certyfikatu.
- Certyfikat SSL od Dostawca certyfikatu SSL.
Jeśli nie masz pewności co do pierwszych dwóch elementów, skontaktuj się z dostawcą usług hostingowych. Będą mogli powiedzieć, czy możesz używać HTTPS na swojej stronie internetowej. W niektórych przypadkach, jeśli korzystasz z bardzo taniego dostawcy usług hostingowych, może być konieczne need zmień firmy hostingowe lub uaktualnij usługę, z której korzystasz w swojej obecnej firmie, aby uzyskać potrzebną ochronę SSL. Jeśli tak jest — dokonaj zmiany. Korzyści płynące z używania SSL są warte dodatkowych kosztów ulepszonego środowiska hostingowego.
Po uzyskaniu certyfikatu HTTPS
Po zakupie certyfikatu SSL od renomowanego dostawcy, Twój dostawca usług hostingowych będzie musiał skonfigurować certyfikat na twoim serwerze sieciowym, dzięki czemu za każdym razem, gdy strona jest otwierana za pośrednictwem protokołu https://, trafia w bezpieczny serwer. Po skonfigurowaniu możesz zacząć budować swój strony internetowe które muszą być bezpieczne. Strony te mogą być budowane w taki sam sposób, jak inne strony, wystarczy upewnić się, że łączysz się z HTTPS zamiast HTTP, jeśli używasz w swojej witrynie dowolnych bezwzględnych ścieżek łączy do innych stron.
Jeśli masz już witrynę zbudowaną dla protokołu HTTP, a teraz zmieniłeś na HTTPS, również powinieneś mieć wszystko ustawione. Po prostu sprawdź linki, aby upewnić się, że wszystkie ścieżki bezwzględne są zaktualizowane, w tym ścieżki do plików graficznych lub innych zasobów zewnętrznych, takich jak arkusze CSS, pliki JS lub inne dokumenty.
Oto kilka dodatkowych wskazówek dotyczących korzystania z protokołu HTTPS:
- Wskaż wszystkie formularze sieci Web na serwerze https://. Za każdym razem, gdy łączysz się z formularzami sieci Web w swojej witrynie sieci Web, przyzwyczaj się do łączenia się z nimi za pomocą pełnego adresu URL serwera, w tym oznaczenia https://. Zapewni to, że zawsze będą zabezpieczone.
- Posługiwać się ścieżki względne do obrazów na zabezpieczonych stronach. Jeśli używasz pełnej ścieżki ( http://www...) w przypadku Twoich obrazów, które nie znajdują się na bezpiecznym serwerze, Twoi klienci otrzymają komunikaty o błędach, takie jak: „Znaleziono niezabezpieczone dane. Kontynuować?” Może to być niepokojące i wiele osób zatrzyma proces zakupu, gdy to zobaczą. Jeśli użyjesz ścieżek względnych, Twoje obrazy będą ładowane z tego samego bezpiecznego serwera, co reszta strony.