Как сделать зеленым значок https

Как бесплатно получить SSL, как настроить протокол https, как получить зеленый замок в адресной строке

Свершилось! На волне полу-принудительного тренда от Google по переводу сайтов на защищенное соединение https с подключением SSL сертификата, через GoGetSSL перевел данный сайт на https, получил зеленый замок в адресной строке и все это абсолютно бесплатно и очень быстро.

Ниже инструкция, как зарегистрировать Comodo Trial SSL при помощи GoGetSSL на примере домена моей вечно верстающейся визитки artstudios.ru

Регистрация на GoGetSSL

Если у вас уже есть аккаунт в данной системе, то первый шаг можно пропустить

Пробовал найти ссылку на регистрацию, но ничего не получилось. Есть только вход. Отсюда сделал выводы, что регистрация в системе проходит на этапе первой регистрации сертификата. В верхнем меню в красном блоке COMODO выбираем наш сертификат FREE SSL и жмем на него.

Далее нажимаем зеленую кнопку NEW ORDER и на открывшейся странице настраиваем параметры нового заказа.

Так как я частное лицо, то, соответственно, выбрал PRIVATE CUSTOMER, остальное не трогал.

На следующем этапе система предлагает войти в существующий аккаунт или создать новый. Создаем новый или входим в существующий. Примитивный английский, ничего сложного нет. В номере телефона (+) ставить не нужно.

Поздравляю. Вы одновременно создали аккаунт в GoGetSSL и оформили заявку на SSL сертификат. Осталось совсем чуть-чуть! Справа в сайдбаре выбираем Manage SSL Sertificates и попадаем на список наших сертификатов. Нажимаем оранжевую кнопку GENERATE.

Генерация сертификата

Если у вас уже есть здесь аккаунт, то в этом же разделе вверху нажимаем NEW ORDER и попадаем на список всех сертификатов, находим Comodo Trial SSL и нажимаем на зеленую кнопку ORDER. Все, вы оформили заказ на сертификат. Дальше мы попадаем на страницу генерации (см. выше).

Теперь нам необходимо создать публичный CSR ключ. Напротив поля для его ввода есть ссылка на онлайн генератор. Идем туда.

Здесь нам необходимо заполнить данные владельца домена. Все формально, проверяться не будет. Заполняем все поля. Организации в моем случае нет, поэтому решил написать — частный клиент.

Получив два ключа, копируем верхний и вставляем в поле на предыдущей странице, вкладку пока не закрывайте, приватный ключ еще понадобится. Жмем далее и попадаем на верификацию домена.

Существует несколько способов это сделать. Почта у меня на на хостинге стоит дополнительных денег, поэтому больше подходит для меня HTTP-верификация — загрузка файла.

Жмем далее, попадаем на создание администратора домена (бывает и такое, что владелец и админ — разные люди). В моем случае, просто дублирую свои данные. Не забываем отметит галочку.

Жмем далее и получаем сообщение, что все прошло успешно и процесс пошел. Идем в Manage SSL! напротив сертификата появилась анимация Processing.

Примерно через 5-10 минут она станет такой же, как и остальные — ACTIVE. Заходим внутрь и скачиваем наш сертификат.

Настройка домена

Вот и все. дальше все зависит от вашего хостера. У моего остается зайти в управление доменами и загрузить для него 5 получившихся файлов. Сертификат, 3 промежуточных сертификата и ключ!

После открытия https идем в Яндекс. Вебмастер в настройки переездов и ставим галочку на добавить https и только теперь можно настраивать принудительный редирект на https. В зависимости от хостинга код может отличаться. В саппорте хостинга подсказали такое:

Источник

«Зелёные замочки» в разных браузерах

Протокол HTTPS обеспечивает безопасное зашифрованное соединение браузера интернет-пользователя с веб-сервером, что очень важно при пересылке конфиденциальной информации: учётных данных, паспортных данных, номеров банковских карт и т. п.

Очевидно, нужно информировать пользователя о статусе соединения, чтобы он знал и понимал, насколько безопасны его действия.

Большинство современных браузеров так или иначе отображают тип текущего протокола: HTTP или HTTPS. Но делают они это по-разному!

Обычно сведения о типе соединения представлены в адресной строке браузера.

Примеры отображения типа соединения в браузерах Chrome, Firefox, Opera и Internet Explorer приведены в следующей таблице.

HTTP	HTTPS
http://example.com	https://example.com
Chrome
FireFox
Opera
Internet Explorer

HTTPS

В протоколе HTTPS используется SSL-сертификаты, которые позволяют зашифровать данные, пересылаемые через интернет. Они бывают разных типов.

SSL-сертификаты всех указанные типов обеспечивают надёжное шифрование данных. Отличаются они уровнем проверки владельца домена.

Сертификатом типа DV можно подтвердить домен, зарегистрированный частным лицом, а сертификаты типов OV и EV выдаются только для доменов, зарегистрированных организациями.

SSL-сертификат типа DV — самый распространённый. Он подтверждает тот факт, что посетитель находится на сайте в указанном домене, а не перенаправлен на какой-то иной сайт.

HTTPS / SSL DV
Chrome
Firefox
Opera
Internet Explorer

Очевидно, в приведённых примерах наиболее заметная индикация защищённого соединения — в браузере Google. А наименее заметная — в Internet Explorer, в котором значок закрытого замка из серого превращается в жёлтый только, если пользователь навёл на него указатель.

Вполне приемлемой можно признать индикацию защищённого соединения в браузерах Firefox и Opera. В Opera она — компактнее, но нет текстового отображения протокола.

SSL-сертификат типа OV выдаётся только организациям, то есть по сравнению с сертификатом типа DV, он подтверждает не только домен, но и его владельца. Это может быть весьма актуальным, например, при посещении интернет-магазина. К сожалению, в настоящее время соединение по сертификату типа OV отображается браузерами так же, как и соединение по сертификату DV.

Чтобы узнать, какой организации принадлежит домен, пользователь должен посмотреть свойства сертификата. Это возможность доступна всем посетителям сайта, но большинству из них воспользоваться ей будет сложно.

Остаётся надеяться на то, что разработчики веб-браузеров обратят внимание на эту проблему и найдут ей оптимальное решение.

SSL-сертификат типа EV обычно имеют очень крупные организации, так как процедура его получения довольно сложная, дорогая и трудоёмкая.

При посещении веб-сайта, защищённого сертификатом типа EV, в адресной строке отображается название организации, на которую зарегистрирован домен.

Обычно название организации или вся адресная строка окрашены зелёным цветом, поэтому этот вид сертификата иногда называют сертификатом с «зелёной строкой».

HTTPS / SSL EV
Chrome
Firefox
Opera
Internet Explorer

Как известно, на вкус и цвет товарища нет. Нам представляется оптимальным способ отображения соединения по сертификату типа EV в браузере Opera.

В браузере Internet Explorer отображение наименее компактное, но зелёное поле адресной строки впечатляет. Кроме того, там представлен значок организации.

Ошибки HTTPS

Мы рассказали о случаях, когда при посещении сайта устанавливается защищённое соединение по протоколу HTTPS.

Иногда при таком соединении могут возникать ошибки. Причин тому может быть несколько.

Незначительные ошибки

Последнее время распространились ошибки, связанные с неполной защитой содержания страниц. Например, владелец сайта защитил свой сайт и свою страницу сертификатом, но включил в содержание страницы изображение с другого, незащищённого, сайта. В результате, несмотря на полную защиту основного содержания страницы, соединение становится менее конфиденциальным.

Ещё хуже ситуация, когда из стороннего источника в состав страницы включается активное содержание, например, скрипты JavaScript.

Такого рода ошибки не помещают установлению соединения по протоколу HTTPS, и желанная страница будет отображена. При этом, большинство браузеров сообщит об обнаруженной проблеме специальным значком.

Chrome
Firefox
Opera
Internet Explorer

Значительная ошибка

Как уже было сказано, в протоколе HTTPS используются криптографические сертификаты SSL, которые имеют ряд параметров, например, имя издателя сертификата, имя получателя, защищённый домен и другие. Эти параметры должны соответствовать определённым правил, нарушение которых может привести к тому, что защищённое соединение не будет установлено, и содержимое веб-страницы не будет отображено.

Наиболее простым примером критической ошибки является окончание срока действия сертификата. Ниже приведены сообщения браузеров об этой ошибке.

Chrome
Firefox
Opera
Internet Explorer

Заключение

Проблема наглядного, удобного, полного и своевременного информирования пользователя о статусе его соединения с веб-сайтом — не праздная и не надуманная. От того, насколько пользователь понимает, в каком соединении он посещает сайт, зависит его безопасность и конфиденциальность.

Источник

HTTPS не значит «безопасность»

IT Безопасность

Apr 22, 2018 · 3 min read

Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!

Но мы сейчас скаже м вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.

Безопасное соединение не значит безопасный сайт

Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».

Шифрование — это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица — провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.

Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.

Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.

Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.

А что, если замочек не зеленый?

В целом бывает еще два варианта. Если замочка нет вообще — это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» — просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит — их может кто-нибудь подсмотреть.

Второй вариант — перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант — обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.

Что нужно помнить, чтобы не попасться на удочку

Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.

Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.

Источник

Как перевести сайт на HTTPS и подключить SSL сертификат на WordPress

Приветствую вас на блоге inetsovety.ru. Из этой статьи вы узнаете, как перевести сайт на HTTPS и подключить SSL сертификат безопасности. Перед вами будет пошаговый план действий, если вы решили самостоятельно изменить http на https у своего сайта на ВордПресс, который уже давно работает и проиндексирован поисковыми системами.

Заказ сертификата

Выпуск и подключение бесплатного SSL сертификата от Let’s Encrypt выполняется в течении 5-30 минут. Дождитесь его подключения, после чего продолжайте настраивать редиректы для перехода на https и вносить изменения в файлы сайта.

Сразу же после выпуска бесплатный SSL сертификат от Let’s Encrypt будет подключен к сайту.

Проверьте доступность сайта по протоколам HTTP и HTTPS в разных браузерах. Если все открывается, начинаем по шагам настраивать перенаправление на https.

Внимание! Возможны проблемы с отображением некоторых элементов дизайна сайта. Это происходит из-за их загрузки по старому протоколу «http». Как это исправить будет рассказано дальше.

Далее я дам вам наглядные инструкции, как подключить сертификат от Let’s Encrypt на двух хостингах, которыми я пользуюсь – Бегет и Макхост. Если Вас не утраивает ваш хостер, можете переехать на любой из этих хостингов и получить 20% скидку на оплату, подробнее по ссылке https://inetsovety.ru/skidki/

Подключение SSL сертификата на Beget

В панели управления переходим в раздел «Домены и поддомены». Кликаем по кнопочке с надписью «SSL» у нужного домена:

Вы получите сообщение, что заявка получена. Сообщение об выполнении заявки придет на ваш имейл.

На хостинге Бегет в выходной день воскресенье заявку на выпуск сертификата выполнили в течении 21 минуты.

Установка SSL сертификата на Макхост

В меню слева выберите «Сайты» и в списке установленных откройте панель управления. В горизонтальном меню кликните по значку с надписью «Настройки и PHP». И перейдите по ссылке «Выпустить сертификата Let’s Encrypt SSL»:

На следующем этапе укажите домен, будьте внимательны, не ошибитесь с адресом! И нажмите на кнопку «Заказать»:

Вас перенаправит на страницу, на которой вы сможете отслеживать, когда статус обработки заявки будет выполнен. Процесс занимает 10-20 мин.

Как http поменять на https у внутренних ссылок

Начальный этап перевода сайта на https – настройка ссылок внутри сайта. Работа ссылок внутренней перелинковки между страницами, загрузка изображений, видео, подключение внешних скриптов должны осуществляться, используя протокол на https.

Этот этап самый трудоемкий и ответственный, и занимает больше всего времени и требует предельной внимательности.

Обязательно! Прежде чем приступить к манипуляциям с сайтом, сделайте бэкап базы данных и файлов сайта.

Абсолютные и относительные ссылки

Прежде чем приступать, разберемся в чем разница между этими двумя типами.

По умолчанию все ссылки на сайте имеют абсолютные. Как вместо http сделать https? Вариантов два:

Установите и активируйте плагин Search Regex. В меню инструменты выберите его. Я поступлю следующим образом – заменю протокол в ссылках на https, и не буду их менять на относительные:

Таким образом, мы изменили ссылки на внутренние страницы, изображения и другие подгружаемые медиа-файлы на сайте.

Замена протокола в URL на сайте

В самом начале статьи был описан способ изменения ссылок внутри статьи на изображения и ссылки. Но у нас еще остались неизмененные ссылки на внутренние файлы (CSS-стили, JavaScript-библиотеки и другие адреса, включающие название домена со старым протоколом).

Устанавливаем плагин Velvet Blues Update URLs. В меню «Инструменты» перейдите по «Update URLs». На странице указываем адреса для замены, не потеряйте слеш в конце URL.

Отметьте птичками пункты настроек замены, как на изображении ниже:

Запустите процесс автозамены, кликом по кнопке «Update URLs NOW».

После проведенных действий отключите и удалите оба плагина, они нам больше не нужны.

Как правильно переехать на https и настроить редиректы

Если при попытке войти в админку сайта, вас перебросило на страницу с ошибкой, что страница не найдена. Напишите в тех поддержку, или сами попробуйте исправить ситуацию, добавив в файл wp-config.php, находящийся в корне сайта, следующую строчку:

Если у вас подключены плагины защиты и кеширования, отключите их на время работ.

Изменяем протокол сайта в админке

Чтобы перевести сайт на https, в административной панели сайта, выбери в меню слева раздел «Настройки» и перейдите в «Общие настройки».

Найдите строки «Адрес WordPress (URL)» и «Адрес сайта (URL)», где указан URL сайта с протоколом http. Добавляем букву «s» и получаем нужный нам протокол https в ссылке. Чтобы изменения вступили в силу, нажмите на кнопку «Сохранить изменения».

Правки в robots.txt

Чтобы переход на https на WordPress был корректным, в файле robots.txt мы изменяем три директивы.

Первое – указываем протокол https в директиве Hosts. Это мы делаем специально для поисковой системы Яндекс.

Второе – вносим изменения в ссылки на карту сайта, добавив букву «s».

Должно получиться вот так:

Host: https://inetsovety.ru
Sitemap: https://inetsovety.ru/sitemap.xml.gz
Sitemap: https://inetsovety.ru/sitemap.xml

Сохраняем изменения в файле.

Прописываем 301 редирект на HTTPS в htaccess

Поскольку я настраивала 301 редирект на HTTPS на хостинга Бегет и Макхост, я увидела, что коды переадресация на https у этих хостеров разные. Здесь я не буду приводить их. Рекомендую вам написать в службу поддержки хостера и вы получите от техподдержки ответ со ссылкой на код переадресации на https.

Важно! Проверьте работу редиректа. Введите в адресную строку браузера ссылку на ваш сайт с протоколом HTTP, если произошло автоматическое перенаправление на HTTPS. Значит, все работает корректно.

Возможные ошибки переезде сайта на https

Если вы смогли сделать защищенное соединение для сайта без ошибок, это подтвердит отображение зеленого значка в виде закрытого замка слева в адресной строке.

Если этого значка нет, одной из причин является наличие смешанного содержимого на странице. Что это такое? Это значит, что на странице имеются ссылки с HTTP протоколом. Нам предстоит найти их и заменить в них протокол на HTTPS. Тогда содержание страницы будет полностью защищено.

Чтобы посмотреть исходный код страницы нажмите комбинацию клавиш «CTRL+U». Далее «CTRL+ F», чтобы появилась строка поиска по содержимому страницы. В строку поиска вводим «http://» (без кавычек) и просматриваем подсвеченные результаты.

Важный момент! Браузеры блокируют отображение незащищенного контента на странице.

Если поиск предыдущим способом ничего не показывает, а значок упорно твердит, что на странице есть незащищенный контент. Используем следующий метод. У меня это браузер Мозилла. Кликаем правой кнопкой мыши по странице и выбираем в меню «Исследовать элемент». Внизу экрана появляется поле для просмотра кода элементов страницы, но нас интересует вкладка «Консоль», именно на ней показываются ошибки смешанного содержимого mixed content:

Чаще всего находятся ссылки на изображения лого в шапке или в футере на дополнительные страницы. Измените протоколы у этих урлов, чтобы полноценно перейти на https с http.

Важно! Проверьте в разных браузерах (Mozilla Firefox, Google Chrome) отображение значка, свидетельствующего о защищенном содержании страницы. Откройте не только главную, но и внутренние ссылки (рубрики, страницы, посты).

Также, есть сервис проверки корректности работы SSL https://www.sslshopper.com/ssl-checker.html

Зеленые отметки говорят о том, что все настроено правильно.

Переезд сайта в Google и Яндекс Вебмастер

Переезд на https в Гугл Вебмастер подразумевает два действия. Добавляем в Search Console Google сайт с протоколом HTTPS. В моем случае для подтверждения прав собственности на сайт не потребовалось, поскольку файл уже был загружен на хостинг при добавлении http версии сайта.

Все что нужно нам сделать в панели Вебмастера Гугл для добавленного сайта – добавить ссылку на карту сайта на новом протоколе. Для этого зайдите в раздел «Сканирование» и выберите «Файлы Sitemap». С соответствующее поле добавьте ссылку на sitemap.xml.

Инструкцию по работе с Инструментом Гугл Вебмастер смотрите по ссылке https://inetsovety.ru/google-search-console/

В Яндекс Вебмастере для http версии, сообщаем о переходе на HTTPS. В меню находим «Индексирование» и переходим по ссылке «Переезд сайта». Здесь поставьте птичку у пункта «Добавить HTTPS» и сохраните изменения.

Подтвердите права на его управление. Если у вас добавлена http версия, то проверочный файл уже есть на хостинге и просто нажмите проверить.

Как и в случае с Гугл Вебмастером, добавляем ссылку на sitemap.xml в разделе «Индексирование» пункт «Файлы Sitemap»:

Важно! Если у HTTP-версии сайта были следующие дополнительные настройки, обязательно перенесите их на HTTPS-версию:

Переход на HTTPS в Яндекс и замена главного зеркала занимает несколько недель.

Теперь вы знаете, как подключить https и настроить необходимые редиректы на WordPress. Если вы все сделали правильно, то не потеряете позиции и трафик с поисковых систем. Желаю вам удачно переехать на https и только роста трафика после установки защищенного протокола. На этом у меня все. Делитесь своими историями, перехода и задавайте вопросы в комментариях ниже.

Источник