Certyfikat bezpieczeństwa domeny
Certyfikat SSL jeszcze kilka lat temu najczęściej spotykany był na stronach związanych z bankowością czy rozbudowanych portalach. Można go poznać po charakterystycznej kłódeczce przy adresie strony internetowej.
Adres witryny, która posiada certyfikat bezpieczeństwa rozpoczyna się od https. Certyfikat ten m.in. chroni witrynę przed wyłudzeniami danych osobowych (np. osób składających zamówienie w sklepie internetowym i podających swoje dane). Dziś implementacja certyfikatu SSL jest niemal oczywistą kwestią dla każdego, kto posiada własną stronę internetową.
Dlaczego certyfikat SSL nie działa?
Często po implementacji certyfikatu nasza witryna nadal nie wyświetla się jako zabezpieczona. Najczęstszą przyczyną tego błędu jest tzw. mixed content. Mixed content polega na tym, że połączenie z naszą stroną jest bezpieczne, ale zasoby (np. obrazy, wideo, arkusze stylów, skrypty) ładowane są przez niezabezpieczone połączenie (HTTP).
Jak zlokalizować (mixed content)?
Istnieje kilka sposobów, które pomogą nam znaleźć niezabezpieczone zasoby:
1. Konsola w narzędziach deweloperskich
Najlepszym i najszybszym sposobem będzie sprawdzenie konsoli w narzędziach deweloperskich (zakładka Console). Konsola zwróci nam wszystkie błędy związane z funkcjonowaniem strony, jak również nasz mixed content.
Aby przejść do konsoli klikamy klawisz F12, następnie prawym przyciskiem myszy klikamy w dowolne miejsce na stronie, a następnie Zbadaj.
2. Narzędzia przeglądarki
By odnaleźć mixed content na naszej stronie wystarczy, że w narzędziach naszej przeglądarki wybierzemy Więcej narzędzi -> Narzędzia dla deweloperów (Ctrl + Shift + I dla przeglądarki Chrome).
3. Narzędzie WhyNoPadlock
Możemy również skorzystać z specjalnego narzędzia – www.whynopadlock.com, które zostało stworzone do weryfikacji i odnajdywania przyczyn niepełnego zabezpieczenia.
Czym jest WhyNoPadlock?
WhyNoPadlock to niezwykle przydatne darmowe narzędzie dostępne dla wszystkich.
Po przeprowadzeniu testu naszej strony otrzymamy krótki raport o stanie certyfikatu oraz strony.
W raporcie otrzymujemy następujące informacje:
– jaki typ certyfikatu posiadamy,
– czy na naszej stronie zostało ustawione wymuszenie adresów https:// (Force HTTPS),
– czy certyfikat SSL został poprawnie zainstalowany,
– czy certyfikat pasuje do domeny,
– z jakiego protokołu korzystamy,
– czy na naszej stronie znajdują się zasoby korzystające z niezabezpieczonego połączenia (najczęstszy błąd).
Jak pozbyć się mixed content?
Ustaliliśmy jak odnaleźć, które zasoby powodują, że nasza witryna nie jest w pełni bezpieczna, a więc co dalej? Wiele zależy od tego jak dużo nieprawidłowych zasobów udało nam się znaleźć.
Jeżeli posiadamy skrypty prowadzące po adresie http://, zwykle wystarczy podmiana linku (skorzystanie z wersji zabezpieczonej – jeśli ten sam skrypt znajduje się pod zabezpieczonym adresem).
W przypadku stron opartych na WordPressie możemy w dużym stopniu ułatwić sobie rozwiązanie tego problemu – wystarczy instalacja wtyczki, która zmieni nam wszystkie adresy z http:// na https:// (np. Really Simple SSL).
Jeżeli uda nam się doprowadzić wszystkie zasoby poprzez https// nasza strona będzie w pełni bezpieczna. Oznaką pełnego bezpieczeństwa powinna być ikonka kłódki obok naszego adresu.
I like it when individuals come together and share ideas. Great blog, keep it up!
Hi there! I could have sworn I’ve visited your blog before but after browsing through a few of the articles I realized it’s new to me. Regardless, I’m certainly happy I found it and I’ll be bookmarking it and checking back often!
I have to thank you for the efforts you’ve put in penning this site. I’m hoping to see the same high-grade content from you in the future as well. In fact, your creative writing abilities has encouraged me to get my own site now 😉
Having read this I believed it was really informative. I appreciate you spending some time and energy to put this informative article together. I once again find myself personally spending way too much time both reading and commenting. But so what, it was still worthwhile!
Great info. Lucky me I discovered your website by accident (stumbleupon). I’ve saved as a favorite for later.
Very good article. I definitely appreciate this website. Thanks!