Blogowanie.xyz
Blogowanie od A do Z
Właśnie czytasz

SSL na blogu – musisz to mieć!

SSL na blogu – musisz to mieć!

Do niedawno to było zalecenie. Dziś w świat poszła informacja, że każda strona internetowa (a blogi na pewno są takimi stronami internetowymi) musi posiadać certyfikat SSL, ponieważ w przeciwnym wypadku Google będzie ostrzegać użytkownika przed taką stroną, jako „potencjalnie niebezpieczną”.

Na początku Google ostrzegało tylko na stronach, na których przekazywane były dane pomiędzy użytkownikiem, a serwerem, a więc na tych stronach, na których były formularze. Komentarze na blogach zazwyczaj dodaje się właśnie w formularzu, a więc niemal każdy wpis blogowy mógłby być z takim ostrzeżeniem, a w przyszłości – na pewno będzie. Zostaje nam jedno wyjście – zainstalować SSL na stronie i blogu. Czasu mamy niewiele, bo do końca września.

Ale co to jest SSL?

SSL to z języka angielskiego Secure Socket Layer, czyli specjalny protokół zaprojektowany do bezpiecznego, bo szyfrowanego przesyłania danych. Szyfrowanie jest na tyle dobre, że właściwie nie ma możliwości odczytania danych nikt podstrony. Ale trzeba pamiętać, że SSL na stronie internetowej zabezpiecza tylko komunikację pomiędzy dwoma komputerami (czyli w naszym przypadku pomiędzy serwerem, a przeglądarką w naszym komputerze). Takie bezpieczeństwo jest ważne na przykład gdy korzystamy z bankowości elektronicznej chroniąc nasz login i hasło do banku, ale też chroniąc nasze dane logowania do poczty email lub numer karty kredytowej przy zakupach w internecie. Strony, które mają wdrożone SSL, są też lepiej oceniane pod kątem SEO, a więc są wyżej w wyszukiwarkach, niż strony bez SSL. W przypadku gdy o to nie zadbamy, to obok adresu naszego bloga w przeglądarce może się pojawić ostrzeżenie, co może skutecznie odstraszyć czytelników.

Informacje na pasku adresu o tym, czy strona jest bezpieczna
Ikony w pasku adresu przeglądarki ostrzegające o bezpieczeństwie strony

Rozróżniamy też kilka rodzajów certyfikatów SSL:

  • Certyfikaty klasy EV (Extended Validation)
  • Certyfikaty klasy OV (Organization Validation)
  • Certyfikaty klasy DV (Domain Validation)

Certyfikaty zazwyczaj wystawiane są dla konkretnej domeny, czyli np. https://www.blogowanie.xyz i https://blogowanie.xyz lub https://przyklad.blogowanie.xyz – to trzy różne adresy, które należy uwzględnić podczas zakupu certyfikatu. Można w jednym certyfikacie uwzględnić te trzy subdomeny, ale trzeba o tym wiedzieć i je wskazać. W większości przypadków wystarczy sama nazwa domeny i nazwa domeny z www. na początku.

Certyfikaty klasy EV (Extended Validation) – są certyfikatami przeznaczonymi dla dużych przedsiębiorstw i banków, ponieważ zanim wydany zostanie certyfikat, to firma go wydająca dokładnie sprawdza podmiot i wszystkie jego dane oraz potwierdzenie własności domeny. Jest on najdroższy ze wszystkich i przeznaczony dla największych, międzynarodowych firm.

Certyfikaty klasy OV (Organization Validation) – przeznaczony jest dla sklepów internetowych i mniejszych firm. Przed wydaniem firma certyfikująca prosi o dane firmy (sprawdza, czy taka firma istnieje), które później będą widniały w certyfikacie oraz o potwierdzenie własności domeny.

Certyfikaty klasy DV (Domain Validation) – jest przeznaczony właściwie dla każdego, dlatego taki certyfikat będzie najlepszy dla naszego bloga. Cena takiego certyfikatu jest także najniższa, ale przede wszystkim taki certyfikat możemy mieć za darmo.

Pamiętać trzeba też, że każdy certyfikat SSL wydawany jest na okres czasu, np. 3 miesiące, rok, 3 lata, a po tym czasie trzeba go odnowić.

Jak wdrożyć SSL na blogu i stronie

Ponieważ skupiamy się na blogach, to opiszę w zasadzie dwa najpopularniejsze rozwiązania – blogi oparte o platformę Blogger oraz WordPress.

Platforma Blogger udostępnia blog zarówno przez http:// jak i https://, ale co najważniejsze umożliwia przełączenie adresu z http:// na https://  w swoim panelu i ustawienie przekierowania tak, żeby osoby odwiedzające blog zawsze wchodziły na adres z https:// Jest to możliwe tylko dla blogów z domeny blogera, czyli dla blogów z końcówką .blogspot.com. Warto to zrobić właściwie od razu, gdy zakładamy tam bloga, ponieważ późniejsze przełączenie niesie za sobą pewne problemy, ale o tym niżej. Starajmy się też zawsze pamiętać o wpisywaniu adresu z https:// na początku.

Gdzie ustawić w blogerze przekierowanie https

Dla platformy WordPress jest już trochę bardziej skomplikowana sytuacja, ponieważ musimy odróżnić usługę WordPress.com umożliwiającą blogowanie podobnie jak Blogger, od samodzielnie postawionej strony internetowej (bloga) zainstalowanej na wykupionym przez nas hostingu i własnej domenie. W pierwszym przypadku, gdy korzystamy z WordPress.com, to właściwie nie trzeba robić nic, ponieważ blogi oparte o WordPress.com są od razu z bezpiecznym adresem https://

Blogi z własną domeną i hostingiem

Można powiedzieć, że blog czy strona internetowa oparta na własnym hostingu i domenie daje najwięcej możliwości, ale wymaga też najwięcej własnego zaangażowania i wiedzy. Ale coś, za coś – mając własny serwer i domenę możemy praktycznie wszystko.

Po pierwsze, należy sprawdzić, czy nasz hosting nie udostępnia darmowego certyfikatu SSL opartego np. o Let’s Encrypt. Jest to darmowa usługa, bardzo popularna usługa, która wymaga jednak dostępu do ustawień serwera. Jego wadą jest to, że wystawiany jest tylko na 3 miesiące, ale dzięki odpowiednim skryptom, certyfikat może być odnowiony i zainstalowany automatycznie. To dlatego warto zadbać o doby hosting. W tym miejscu mogę Wam polecić:

JDM – Idealne miejsce dla Twojego bloga

To na tym hostingu jest blog, który właśnie czytasz, oraz drugi mój blog. Link powyżej jest afiliacyjny, więc będzie miło jeśli skorzystasz z tego linka i założysz konto.

Po drugie należy zakupić własny certyfikat SSL. Te najtańsze, klasy DV mogą kosztować od kilkunastu złotych (w hitme.pl ceny zaczynają się już od 29 PLN za 1 rok) do nawet kilkuset złotych. Certyfikaty klas OV i EV mogą kosztować nawet kilka tysięcy PLN. Jeżeli zdecydujemy się na zakup certyfikatu, to należy przedtem porozumieć się z usługodawcą hostingu, ponieważ do jego zainstalowanie możemy nie mieć (a właściwie prawie nigdy nie mamy) uprawnień – czyli dostępu do użytkownika root. Dopiero gdy uzyskamy wszystkie niezbędne informacje możemy zakupić (lub wygenerować za darmo) certyfikat SSL.

Po trzecie, gdy już certyfikat zostanie zainstalowany lub uruchomiony dla naszej domeny, to w przypadku bloga opartego o WordPress.org i własną domenę, to musimy jeszcze zrobić przekierowanie w pliku .htaccess (gdy nasz hosting obsługuje ten sposób) oraz czeka nas zmiana adresów w panelu bloga. Pogrubioną czcionką dodałem linie, które należy dodać do pliku.
Fragment pliku .htaccess powinien wyglądać mniej więcej tak:

# BEGIN WordPress
 RewriteEngine On
 RewriteBase /
 RewriteRule ^index\.php$ – [L]
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule . /index.php [L]
 
 RewriteCond %{SERVER_PORT} 80
 RewriteRule ^(.*)$ https://www.twojanazwa.com/$1 [R=301,L]

 # END WordPress
Ustawienia adresów w WordPress na https
Pamiętaj, że przed jakąkolwiek zmianą należy wykonać kopię bezpieczeństwa!

Ponieważ te czynności są dość zaawansowane, to o pomoc najlepiej poprosić swój hosting. Ten dobry pomoże i wdroży wszystko za Was. Mam nadzieję, że właśnie taki hosting posiadacie. No i kopia zapasowa, którą na pewno należy zrobić w jakimś stopniu nas chroni.

Mam już SSL, ale co to za błędy?

Podstawowym błędem, który może wystąpić to tak zwany błąd Mixed content”. W momencie, gdy nasza strona już działa w https://, część linków może niestety prowadzić do miejsc jeszcze ze starym adresem. Przeglądarka będzie nas więc ostrzegać, że pomimo posiadania certyfikatu SSL i bezpiecznego połączenia z witryną, to część rzeczy wczytywana jest z niezabezpieczonego źródła.

 

Komunika mixed conntent w przeglądarce

Do wystąpienia takiego komunikatu wystarczy jeden link z http:// zamiast https:// – wszystkie linki należy zmienić, jeżeli to możliwe. Zazwyczaj trzeba to zrobić ręcznie. Ale uwaga! Czasem może się zdarzyć, że pod adresem z https:// dany zasób nie będzie dostępny, wtedy zostaje nam zostawienie go takim, jaki jest lub wgranie na nasz serwer (uwaga na prawa autorskie). Drugim rozwiązaniem dla WordPress jest zastosowanie wtyczki Really Simple SSL, która większości zmian dokona za nas.

Cloudflare

To jeszcze jedna możliwość uzyskania szybko, za darmo i dość prosto szyfrowania SSL na naszej stronie. Jest to usługa typu CDN, która dodatkowo może przyspieszyć naszą stroną opartą o własny hosting z domeną. Jeżeli chcesz dowiedzieć się więcej na temat tej usługi, polub proszę fanpage i zostaw komentarz.


Zdjęcie w nagłówku dzięki: Fabio Lanari (Internet1.jpg by Rock1997 modified.) [GFDL or CC BY-SA 4.0-3.0-2.5-2.0-1.0], via Wikimedia Commons

  • Używam squarespace i SSL mam praktycznie od samego początku

    • A mogę zapytać co skłoniło Cię do squarespace? Bo wydaje mi się, że to płatne rozwiązanie.

      • Testowałem za darmo przez 3 tygodnie i bardzo przypadł mi do gustu. Nie jest też jakoś specjalnie drogi (ok 600 zł rocznie), ma wiele możliwości customizacji, dobrze się pozycjonuje w google a do tego w razie kłopotów serwis technichny działa szybko i sprawnie.

        • 600 PLN? Za hosting płacę 69 PLN rocznie, do tego domena – 49,99 PLN rocznie… nie całe 120 PLN za jednego bloga, a mam takich blogów 2. Gdybyś kiedyś chciał coś zmienić, to to jest właśnie to miejsce, gdzie dowiesz się jak 😉

  • I ja mam SSL od samego początku blogowania 😉

  • Bardzo dobry i wyczerpujący artykuł. Sam, dopiero po podobnym poście dowiedziałem się jak potrzebny jest SSL. Teraz oczywiście używam 😉

    • Marcin, cieszę się że trafiłem na Twój blog, bo niedawno skończyłem xx lat, ale mniej niż 40 😉 i pora o siebie zadbać. Odwdzięczę się wszelaką pomocą techniczną przy blogu 😉

  • Dzięki za ten tekst! Do konca września mówisz… to trzeba się wziąć do roboty 😉 Ciekawe kiedy zrobi się o tym naprawdę głośno.

    • Takie ostrzeżenia są już w przeglądarkach, ale na razie są bardzo subtelne. Od września będą to „wielkie czerwone” komunikaty, to wszyscy zauważą. Firefox też coś podobnego szykuje 😉

  • Ale zaglądałeś do pomocy Hekko? Bo zazwyczaj na takich hostingach potrzeba dowiązania symbolicznego do „private_html” (w panelu) oraz trzeba użyć klucza prywatnego, certyfikatu i CA Root Certificate. Ja sam miałem problem, bo okazało się, że dwa pierwsze elementy trzeba wkleić jako tekst w odpowiednim polu, a CA Root Certificate w jeszcze innym. No i chwila na restart usługi, bo serwer musi załapać. Certyfikat wyrabia się dla każdej domeny z osobna. Są co prawda certyfikaty [wildcard], ale są drogie. Swego czasu udało mi się tak uruchomić SSL na zenbox, ale chwilę potem sami uruchomi odpowiednią usługę. Zawsze możesz użyć Cloudflare 😉

    • No właśnie zaglądałem (ale tam niewiele) i robiłem wszytko wg wskazówek z pomocy i innych opisów znalezionych w necie. Kombinowałem z ustawieniami, wygenerowałem klucz, certyfikat CA Root (u mnie tak samo – dwa w jednym polu i ostatni w innym), wklejałem na różne sposoby, czekałem na restart. Może to kwestia tego, że korzystałem z darmowego z serwisu STARTCOM, ale podobno jest honorowany. Będę jeszcze kombinował, ale przyznaję, że trochę się załamałem. Ambicja nakazuje mi samemu dość co i jak, ale pewnie skonczy się na kontakcie z Hekko i niech oni mnie kierują…

      Tu jeszcze pojawia się problem, że w cPanelu mam tylko jedno wspólne pole na wprowadzenie certyfikatów. Ja to mam ogarnąć dla kilku subdomen niezależnie?

      • Ze swojej strony polecam https://www.sslforfree.com/ – jest również oparta o Let’s Encrypt i według mnie dużo prostsza w obsłudze. Certyfikat generuje się dla każdej domeny, dla której chcesz go mieć i jednym certyfikatem możesz ogarnąć kidaj.ad3.hekko.pl, kidaj.ad3.eu, ale też ich wersje z „WWW”. W sslforfree.com trzeba wpisać wszystkie domeny odzielone spacją. Jedyny kłopot to taki, że trzeba przed wygenerowaniem certyfikatu potwierdzić własność domeny poprzez wgranie odpowiedniego pliku na serwer lub dodanie wpisu w DNS. Późniejsza odnowa certyfikatu jest „na klik”.

        • Zobaczę, dzięki.
          Napisałem też do Hekko. Zobaczę, co odpowiedzą i spróbuję jakoś to wszystko połączyć i moze w końcu zadziała 🙂

  • Słyszałem na spotkaniu dla WordPressowców że strony z certyfikatem działają wolniej. Nie wiem na ile to prawda ale warto pamiętać o optymalizacji przy okazji instalowania certyfikatu.

    • Tak? A słyszeli o http2? Różnice w prędkości są minimalne na niekorzyść SSL, bo stronę trzeba zakodować. Po stronie serwera będzie to kilka milisekund. SSL daje jednak inną przewagę, chociażby wspomniane hhtp2 i usługi typu „push”, które działają tylko z SSL. A jeśli ktoś jeszcze ma wątpliwości to zapraszam na: http://www.httpvshttps.com/

    • Działają wolniej, bo przeglądarka i serwer wykonują dodatkowe czynności – uwierzytelnianie i kodowanie. Chociaż w większości przypadków będzie to raczej niezauważalne. Ale skoro i tak nie mamy wyjścia, to niewiele na to poradzimy. HTTPS musi być i koniec. A optymalizacja przydaje się zawsze 🙂

      • Mówiono to w nawiązaniu do sztuki dla sztuki pod tytułem: 100/100 punktów w Google PageSpeed Insights.
        Strona ponoć zwolniła 4-krotnie względem tego, co było przed SSL. Trochę to dziwne, bo zakładałem raz SSL i nie widziałem takiego dużego zjazdu prędkości.

        Przy okazji mam pytanie. Mój klient chce mieć SSL dla swojej domeny głównej a pod tą domeną w katalogach tawlasniedomena.pl/strona1/ , /strona2/ itp. jest w sumie pewnie 20-30 witryn. Czy podpięcie pod główną protokołu szyfrowanego sprawi, że każda ze stron w katalogu będzie miała ten protokół? Jak to sensowne przygotować, żeby przez kolejny tydzień nie walczyć z mixed content.

        • Certyfikat jest zawsze dla domeny, więc co jest w podkatalogu powinno też być objęte certyfikatem. Jeżeli chodzi o linki, to zawsze możesz użyć https:// w adresach zasobów (jeżeli oczywiście są dostępne) nawet na stronie bez SSL, lub drugie rozwiązanie – wpisywać zasoby bez określenia http czy też https. Linki typu //tawlasniedomena.pl/strona1/ też będą działać. Mixed content zawsze pojawia się gdy na stronie będzie cokolwiek z adresem http. W drugą stronę nic takiego nie będzie.

          A co do Google Page Speed – olej to, bo Google samo przestało tego używać. Dowód? Proszę bardzo – wejdź na https://testmysite.withgoogle.com/intl/en-gb i zobacz kto wspiera testy. Strona należy do Google 😉

    • Nie działają wolniej jeśli jest poprawnie wdrożony a dodatkowo Google premiuje strony z SSL w SEO dostaje dodatkowe punkty.a użycie SSL pozwala użyć protokół http2 który przyspiesza ładowanie strony trzeba tylko szukać hostingu który to oferuje jdm.pl ma to w standardzie

  • Zestresowałam się teraz. Mam bloga na własnej domenie ale bez hostingu. Planowałam przenieść się na WP w październiku (trochę luzu i płatność w tym samym momencie), ale chyba zrobię to wcześniej, bo mój usługodawca oferuje certyfikat za darmo, ale tylko w przypadku zakupionego hostingu. No cóż, życie.

  • Do końca września? 😮 Oops! Nie wiem, czy zdążę wdrożyć, ale na pewno jeszcze poczytam na ten temat ;).

  • Wow! Konkretny wpis na temat SSL.

  • O! Nie miałam pojęcia! Jak to dobrze, że trafiłam na Twój wpis. Kurczę, teraz będzie trzeba się tym zająć. Myślisz, że w Zenbox zrobią to za mnie?

    • Zrobią. Oni mają certyfikat SSL w standardzie od Let’s Encrypt z opcją odnawiania automatycznego. Wpisy w .htaccess też zrobią 😉

  • Ok. Bardzo przydatny wpis. Właśnie obczaiłam jak się u moich dostawców miejsca serwerowego zamawia i „uruchamia” ssl. Z pomocą Twego wpisu pewnie już niedługo i moja strona będzie „bezpieczna” :),

Made with   | Motyw: RWP Start by Bartek - napisałem sobie sam. Copyright © 2014-2017. All right reserved.