Certyfikat bezpieczeństwa domeny
Certyfikat SSL jeszcze kilka lat temu najczęściej spotykany był na stronach związanych z bankowością czy rozbudowanych portalach. Można go poznać po charakterystycznej kłódeczce przy adresie strony internetowej.
Adres witryny, która posiada certyfikat bezpieczeństwa rozpoczyna się od https. Certyfikat ten m.in. chroni witrynę przed wyłudzeniami danych osobowych (np. osób składających zamówienie w sklepie internetowym i podających swoje dane). Dziś implementacja certyfikatu SSL jest niemal oczywistą kwestią dla każdego, kto posiada własną stronę internetową.
Dlaczego certyfikat SSL nie działa?
Często po implementacji certyfikatu nasza witryna nadal nie wyświetla się jako zabezpieczona. Najczęstszą przyczyną tego błędu jest tzw. mixed content. Mixed content polega na tym, że połączenie z naszą stroną jest bezpieczne, ale zasoby (np. obrazy, wideo, arkusze stylów, skrypty) ładowane są przez niezabezpieczone połączenie (HTTP).
Jak zlokalizować (mixed content)?
Istnieje kilka sposobów, które pomogą nam znaleźć niezabezpieczone zasoby:
1. Konsola w narzędziach deweloperskich
Najlepszym i najszybszym sposobem będzie sprawdzenie konsoli w narzędziach deweloperskich (zakładka Console). Konsola zwróci nam wszystkie błędy związane z funkcjonowaniem strony, jak również nasz mixed content.
Aby przejść do konsoli klikamy klawisz F12, następnie prawym przyciskiem myszy klikamy w dowolne miejsce na stronie, a następnie Zbadaj.
2. Narzędzia przeglądarki
By odnaleźć mixed content na naszej stronie wystarczy, że w narzędziach naszej przeglądarki wybierzemy Więcej narzędzi -> Narzędzia dla deweloperów (Ctrl + Shift + I dla przeglądarki Chrome).
3. Narzędzie WhyNoPadlock
Możemy również skorzystać z specjalnego narzędzia – www.whynopadlock.com, które zostało stworzone do weryfikacji i odnajdywania przyczyn niepełnego zabezpieczenia.
Czym jest WhyNoPadlock?
WhyNoPadlock to niezwykle przydatne darmowe narzędzie dostępne dla wszystkich.
Po przeprowadzeniu testu naszej strony otrzymamy krótki raport o stanie certyfikatu oraz strony.
W raporcie otrzymujemy następujące informacje:
– jaki typ certyfikatu posiadamy,
– czy na naszej stronie zostało ustawione wymuszenie adresów https:// (Force HTTPS),
– czy certyfikat SSL został poprawnie zainstalowany,
– czy certyfikat pasuje do domeny,
– z jakiego protokołu korzystamy,
– czy na naszej stronie znajdują się zasoby korzystające z niezabezpieczonego połączenia (najczęstszy błąd).
Jak pozbyć się mixed content?
Ustaliliśmy jak odnaleźć, które zasoby powodują, że nasza witryna nie jest w pełni bezpieczna, a więc co dalej? Wiele zależy od tego jak dużo nieprawidłowych zasobów udało nam się znaleźć.
Jeżeli posiadamy skrypty prowadzące po adresie http://, zwykle wystarczy podmiana linku (skorzystanie z wersji zabezpieczonej – jeśli ten sam skrypt znajduje się pod zabezpieczonym adresem).
W przypadku stron opartych na WordPressie możemy w dużym stopniu ułatwić sobie rozwiązanie tego problemu – wystarczy instalacja wtyczki, która zmieni nam wszystkie adresy z http:// na https:// (np. Really Simple SSL).
Jeżeli uda nam się doprowadzić wszystkie zasoby poprzez https// nasza strona będzie w pełni bezpieczna. Oznaką pełnego bezpieczeństwa powinna być ikonka kłódki obok naszego adresu.
hey there and thank you for your information – I have certainly picked up
anything new from right here. I did however expertise a few technical issues using this site, since I experienced to
reload the website many times previous to I could get it to load correctly.
I had been wondering if your web host is OK? Not that I am complaining,
but sluggish loading instances times will very frequently affect your placement in google and could damage your
high-quality score if ads and marketing with Adwords.
Well I am adding this RSS to my e-mail and could look out for
a lot more of your respective intriguing content.
Ensure that you update this again very soon..
Lista escape room
I was examining some of your posts on this site and I think this site is really instructive!
Keep on putting up..