כיצד להוסיף HTTPS לאתר שלך בחינם תוך 10 דקות, ומדוע אתה צריך לעשות זאת כעת יותר מ ...

תִכנוּת

בשבוע שעבר הודיעה גוגל כי Chrome 68, המגיע ביולי, יסמן את כל דפי ה- HTTP כ"לא מאובטחים ".

זהו הדחיפה החזקה ביותר שעדיין מביאה את האינטרנט לעבר הצפנה כברירת מחדל והיא כבר זמן רב.

למרות שיש המון ראיות המדברות מדוע כולם צריכים לקפוץ על עגלת HTTPS, הרבה אנשים עדיין לא רואים את הערך לשרת את האתרים שלהם בצורה מאובטחת.

" למה אני צריך את זה בשביל בלוג ?"

כתבתי בעבר על הערך של HTTPS, אך רק כדי לחזור על כך:

  • HTTPS מגן על משתמשים מפני התקפות Man In the Middle.
  • HTTPS נדרש למנף תכונות חדשות רבות בדפדפנים כגון עובדי שירות
  • HTTPS משפיע על SEO

אם אינך משוכנע, קרא את הקובץ doesmysiteneedhttps.com כדי לקבל את התמונה המלאה מדוע יש להגיש כל אתר באופן מאובטח.

ואם אתה עדיין לא מקבל את זה, אז החיים עומדים להיות הרבה יותר קשים עבורך.

במטרה להרחיק משתמשים מאתרים חסרי ביטחון, דפדפנים מביישים אתרי אינטרנט המוגשים בצורה לא בטוחה בהקשרים מסוימים.

Chrome 56 התחיל את המגמה הזו על ידי סימון דפים עם שדות כניסה רגישים כ"לא מאובטח "בעוד ש- Chrome 62 הרחיב אזהרה זו לכל דפי ה- HTTP שהכילו כל סוג של שדה קלט. בנוסף, האזהרה מוצגת בכל דפי ה- HTTP במצב גלישה בסתר ללא קשר לשאלה אם הם מכילים שדה קלט או לא.

Firefox מזהיר משתמשים גם כאשר הם מנסים למלא טופס כניסה לא בטוח.

כעת Chrome החליט למקם אזהרה זו בכל דפי ה- HTTP בהמשך. בסופו של דבר, הסמל שליד התווית "לא מאובטח" ישתנה והטקסט יהפוך לאדום כדי להדגיש עוד כי לא ניתן לסמוך על דפי HTTP.

כדי למנוע ממשתמשים לראות אזהרה זו באתר שלך, כל מה שאתה צריך כדי לקבל אישור SSL תקף. החדשות הטובות הן, שעשייה זו אינה קשה או יקרה כמו פעם. למעשה אני אראה לך כיצד לפרוס HTTPS באתר שלך בחינם באמצעות Cloudflare. וזה בכלל לא ייקח הרבה זמן.

למה Cloudflare?

CloudFlare יכול לעזור לך לאבטח אישור SSL בחינם ללא קשר לתשתית בצד השרת שיש לך. זה עובד גם באתרים שמתארחים בפלטפורמות שאינן מספקות גישה לשרתים כגון GitHub Pages, Ghost וכדומה.

אינך צריך להתקין דבר או לכתוב קוד כלשהו. זה הופך את זה לאופציה נהדרת באמת לפרוס HTTPS באתר שלך וזמן ההתקנה צריך לקחת ממש לא יותר מ -10 דקות.

זה גם מספק מספר עצום של יתרונות אחרים באבטחה ובביצועים של האתר שלך, אשר לא אעמוד כאן. אבל אני אדבר קצת על איך כל זה עובד כדי שתוכלו להבין מושג כיצד הוא מסוגל לעשות את כל הדברים האלה.

איך עובד Cloudflare

Cloudflare יושב ממש באמצע התנועה בין מבקרים באתר שלך לשרת שלך. המבקרים יכולים להיות בני אדם רגילים, סורקים ובוטים (כגון בוטים של מנועי חיפוש) או האקרים. בכך שהוא משמש כמתווך בין שרת האינטרנט שלך למבקרים באתר שלך, Cloudflare עוזר לסנן את כל התעבורה הלא לגיטימית כך שרק הדברים הטובים יעברו.

עכשיו אתה אולי תוהה אם כל זה יכול להשפיע לרעה על מהירות האתר שלך, אבל זה בדיוק ההפך. ל- Cloudflare יש מרכזי נתונים בכל רחבי העולם, כך שהיא פשוט תשתמש בנקודת הקצה הקרובה ביותר למבקר שלך, מה שאמור להפוך את האתר שלך להרבה יותר מהיר ממה שהיה קודם.

עכשיו, כשאנחנו יודעים איך Cloudflare עובד, בואו נסתכל כיצד להתקין אתר על התשתית שלהם וכיצד להגיע ל- HTTPS בחינם. המיקוד כאן יהיה על התכונות ש- Cloudflare מספקת בחינם, אך שימו לב שתוכניות בתשלום זמינות גם עם שלל תכונות נוספות.

הקמת אתר חדש

לאחר ההרשמה ל- Cloudflare, הדבר הראשון שיש לעשות הוא להוסיף דומיין ולסרוק את רשומות ה- DNS.

לאחר השלמת הסריקה, כל רשומות ה- DNS בדומיין יוצגו. אתה יכול לבחור את תת-הדומיינים שברצונך להפעיל בהם את Cloudflare ולבצע את כל השינויים הרצויים. לאחר שתהיה מוכן, לחץ על המשך כדי לעבור לשלב הבא.

בחר את התוכנית החינמית ולחץ על המשך.

לאחר מכן, יהיה עליך לשנות את שרתי השמות ברשם התחום שלך לבעלי Cloudflare. התהליך לעשות זאת בכל רשם דומיינים שונה במקצת, לכן בדוק אצל רשם הדומיינים שלך.

כך זה נראה ב- Namecheap:

כעת עליך להמתין עד שהשינויים בשרת השמות יסתיימו בהפצה. לחץ על בדוק שוב שרת שמות לאחר זמן מה כדי לראות אם האתר שלך פעיל כעת ב- Cloudflare. זהו החלק הארוך ביותר בהתקנה ויכול לארוך עד 24 שעות, אך מניסיוני זה לקח פחות מ -5 דקות.

לאחר שאומתו עדכוני שרת השמות שלך על ידי Cloudflare, האתר שלך הופך פעיל בשירות.

אם אתה רוצה להיות בטוח לחלוטין שהגדרות ה- DNS שלך התפשטו בכל מקום, מה ה- DNS שלי מספק דרך לבדוק לאיזו כתובת IP הדומיין שלך פותר במקומות שונים.

ניתן גם להשתמש digאו nslookupבשורת הפקודה כדי לוודא תצורת DNS התחומים שלך.

בדרך זו, אתה יכול להיות בטוח שכל התעבורה שעוברת לדומיין שלך מנותבת כעת דרך Cloudflare.

לפני שתתחיל להגדיר את התצורה של Cloudflare, ודא שהדפדפן שלך לא משתמש ברשומות ה- DNS הישנות מהמטמון שלו. ב- Chrome וב- Firefox, אתה יכול לעשות זאת על ידי ניקוי היסטוריית הדפדפן שלך.

קבלת SSL בחינם

SSL הוא עדיין שירות פרימיום ורשויות אישורים רבות גובות סכומים משמעותיים לפני הנפקת אישור SSL. זה לא משהו שאתה יכול פשוט לקבל בחינם בכל מקום, אבל זה משתנה במהירות בתעשייה.

עכשיו שיש לך את Cloudflare יושב באמצע תעבורת האינטרנט שלך, אתה צריך לקבל SSL על הדומיין שלך באופן אוטומטי. זה יכול לקחת עד 24 שעות עד שהאישור יהיה פעיל, אבל מניסיוני זה לא לוקח הרבה זמן בכלל.

לאחר שהאישור הופך פעיל, טען את האתר שלך בדפדפן. אתה אמור לראות את האתר מוגש באמצעות HTTPS ומנעול ירוק יפה בסרגל הכתובות.

אם תראה מידע נוסף אודות האישור תראה את רשות האישורים שהנפיקה אותו (קומודו במקרה שלי) ואת תאריך התפוגה. אחד הדברים המצוינים ב- Cloudflare הוא שחידוש האישורים נעשה באופן אוטומטי עבורך ולכן אין דאגות שם.

ההבדל בין SSL גמיש, מלא ומלא (קפדני)

Cloudflare מקל מאוד על קבלת SSL באתר שלך בחינם מבלי להגדיר שום דבר, אך זה לא תמיד זהה לשרת את האתר שלך באמצעות SSL ישירות מהמקור.

יש שלוש יישומים של ה- SSL של Cloudflare. הראשון, שאתה מקבל כברירת מחדל, הוא SSL גמיש. במקרה זה, התנועה מוצפנת בין המשתמשים באתר שלך ל- Cloudflare אך הצפנה זו אינה עוברת עד לשרת המקור. Cloudflare עדיין מדבר אל השרת שלך באמצעות HTTP רגיל.

פירוש הדבר שכל איש באמצע (כגון ספקי רשת) בין Cloudflare לשרת שלך יכול לראות את התנועה. אם אתה אוסף מידע רגיש באתר שלך, הימנע משימוש באפשרות זו.

על מנת לקבל הצפנה עד לשרת המקור, עליך להשתמש ביישום מלא או מלא (קפדני). לשעבר נדרש ממך להתקין אישור תקף על השרת שלך, אך האימות של האישור לא יאומת כדי שתוכל להסתדר עם אישור בחתימה עצמית. מצד שני, היישום המלא (הקפדני) מחייב אותך להתקין אישור SSL תקף שנחתם על ידי רשות אישורים מהימנה.

אם אינך מעוניין לרכוש SSL מכמות Comodo, תוכל לקבל אישורי Origin CA בחינם מ- Cloudflare, בהם ניתן להשתמש באפשרויות המלאות או המלאות (קפדניות), שכן Cloudflare מהימנה עליהם. אך יש לזכור כי Cloudflare מהימנים רק על הצרכים הללו ולכן הם יפסיקו לעבוד אם תחליט להוריד את האתר שלך מהתשתית של Cloudflare.

אם אינך שולט בסביבת השרת שלך, נניח אם האתר שלך מתארח בדפי GitHub או בפלטפורמות דומות, לא תוכל להשתמש ביישומים מלאים או מלאים (קפדניים) כלומר המשתמשים שלך רואים HTTPS בשורת הכתובת, התנועה לא תעבור עד לשרת המקור המוצפן.

אבל זה עדיין שיפור עצום בהשוואה ללא HTTPS כלל מכיוון שהוא יגן על המשתמשים שלך מפני להיות Man In The Middled בצד הלקוח.

לחזק את הטמעת SSL

לא משנה באיזו יישום SSL תבחרו, יש דרכים לחזק אותו כדי לוודא שמשתמשים לעולם לא יוכלו לגשת לאתר שלכם באמצעות HTTP לא בטוח. מעבדות SSL של Qualys הוא כלי שעוזר לך להריץ בדיקה על תצורת ה- SSL שלך כדי לראות אם יש מקום לשיפור.

למרות שאני מקבל ציון A בדומיין שלי, אם תעמוד בתוצאות תראה שיש בהחלט מקום לשיפור בצד חילופי המפתח ובחיזוק הצופן.

בואו נסתכל על כמה דברים שאנחנו יכולים לעשות בתוך Cloudflare כדי לחזק את ה- SSL שלנו ולהעלות את הדירוגים עוד יותר.

כפה על HTTPS בכל מקום

לאחר שתעבור ל- HTTPS, אתה בהחלט רוצה למנוע ממשתמשים לגשת לאתר שלך דרך חיבור לא בטוח. אתה יכול לעשות זאת ב- Cloudflare על ידי 301 להפנות מחדש את כל תעבורת ה- HTTP ל- HTTPS.

תחת הגדרות Crypto, מצא את האפשרות השתמש תמיד ב- HTTPS והפעל אותה.

אפשר אבטחת תחבורה קפדנית של HTTP (HSTS)

כתבתי על האופן שבו HSTS מחזק את אתרי ה- SSL שלך בעבר, אבל בוא נעבור על זה שוב בקצרה.

הבעיה עם הפניית 301 תעבורת HTTP בלבד ל- HTTPS היא שהבקשה הראשונית הלא בטוחה עדיין עוברת על הכבל, מה שאומר שהיא יכולה להיקרא על ידי כל מי שיש לו גישה לתנועה.

HSTS הוא כותרת תגובה שמתקנת את הבעיה על ידי כך שהיא אומרת לדפדפן שהוא עלול שלא להגיש בקשה לא בטוחה לאתר למשך זמן מוגדר.

כך הכותרת נראית:

strict-transport-security: max-age=31536000

ברגע שהדפדפן יקבל כותרת זו, הוא לא יגיש בקשה לא בטוחה לאתר שלך למשך 31,536,000 השניות הבאות (שווי של שנה אחת). במקום זאת, כל בקשות ה- HTTP ישודרגו באופן פנימי ל- HTTPS לפני שיישלחו לרשת.

אם ברצונך למנוע גישה לכל תת-הדומיינים באמצעות HTTP, תזדקק includeSubdomainsלהנחיה. אתה יכול גם להוסיף את preloadההנחיה כדי לאפשר לספקי דפדפנים לאפות את האתר שלך בדפדפן עצמו כ HTTPS בלבד.

strict-transport-security: max-age=31536000; includeSubdomains; preload

לאחר שהפעלת HSTS בדומיין שלך, אתה יכול להיות די בטוח שברגע שמישהו נטען את האתר שלך באמצעות HTTPS, הוא יוכל לגשת אליו רק באמצעות התוכנית המאובטחת מעתה.

לכן לפני שתפעיל HSTS באתר שלך, ודא שאתה בטוח שכל התעבורה שלך תוגש באמצעות HTTPS אחרת תיתקל בבעיות.

כדי לאפשר זאת ב- Cloudflare, עבור אל הגדרות הקריפטו וגלול מטה לקטע HTTP Strict Transport Security (HSTS) . לחץ על שנה הגדרות HSTS, הפעל את כל האפשרויות הרלוונטיות ולחץ על שמור .

ורק למקרה שאתה תוהה, תמיכת הדפדפן ב- HSTS היא די טובה.

תקן הפניות לתכנית לא מאובטחת

אם אתה משלב משאב פסיבי (כגון תמונה) בצורה לא בטוחה בדף מאובטח, הדפדפן עדיין טוען אותו בסדר גמור. זה פשוט מוריד את המנעול הירוק משורת הכתובת. תוכל לראות דוגמה לשגיאה זו כאן.

אם תבדוק את קונסולת הדפדפן, תראה כמה אזהרות או שגיאות המצביעות על המשאב שהוטמע בצורה לא בטוחה. במקרה זה זה

HTTP image

כדי לתקן זאת, פשוט שנה את התוכנית ל- HTTPS והכל יהיה בסדר.

HTTP image

אם יש לך הרבה תוכן באתר שלך משובץ בצורה לא בטוחה, מציאה ותיקון של כל אחד מהם יכול להיות מייגע למדי. אבל Cloudflare יכול לעזור לך כאן שוב עם תכונת ה- HTTPS rewrites האוטומטית.

כדי להיות בטוחים פעמיים שאף פעם לא ניתן להציג תוכן באתר שלך בצורה לא בטוחה, שקול ליישם מדיניות אבטחת תוכן באתר שלך.

עכשיו בואו נראה כיצד השינויים הנ"ל השפיעו על דוח מעבדות ה- SSL שלנו. ערכתי את הבדיקה מחדש בדומיין שלי ועכשיו אנו מקבלים דירוג A +.

אם אתה בודק את הדירוגים האישיים בגרף, שום דבר לא השתנה, אך אנו עדיין מקבלים יישום SSL מאובטח בחינם ובדקות ספורות.

חלופות ל- Cloudflare בחינם SSL

אם אתה מעדיף לא להשתמש ב- Cloudflare מסיבה כלשהי, ישנן דרכים אחרות בהן תוכל להעלות את האתר שלך ל- HTTPS בחינם. להלן שתי אפשרויות שתוכל לנסות:

בואו להצפין

אם יש לך שליטה על השרת שלך, תוכל לפרוס במהירות HTTPS באתר שלך באמצעות Let's Encrypt. הם מציעים אישורי SSL בחינם שנמשכים שלושה חודשים וניתנים לחידוש אוטומטי.

גם אם אין לך גישה לשרת, פנה למארח האינטרנט שלך. מארחים מסוימים יאפשרו לך להשתמש ב Let's Encrypt SSL מבלי לספק גישה למעטפת.

מנהל תעודות AWS של אמזון

אמזון גם מנפיקה ומחדשת אוטומטית אישורי SSL ללקוחות בתשתית שירותי האינטרנט של אמזון (AWS). בדרך זו, אתה יכול להגדיר ולשכוח HTTPS באתר שלך אם אתה משתמש במשאבי AWS כגון Cloudfront.

לא משנה איך אתה מיישם HTTPS באתר שלך, הדבר החשוב ביותר הוא לוודא שאתה מקבל הגדרה בהקדם האפשרי, כך שהמשתמשים שלך יקבלו את יתרונות האבטחה שהיא מספקת ולא תחמיץ כמה תכונות מגניבות בדפדפנים שיעזרו אתה יוצר חוויות אינטרנט טובות יותר.

אם אהבת את המאמר הזה, שתף עם אחרים שעשויים להפיק תועלת מקריאתו. אגב, עיין בבלוג שלי ב- freshman.tech למאמרים בנושא פיתוח אתרים. תודה שקראת.