Zabezpečenie webstránky SSL certifikátom

Tento článok je pre všetkých majiteľov webstránok (blogerov, eshopákov, firmy, živnostníkov a pod.).

AKTUALIZOVANÉ– od júla 2018 začína prehliadač webstránok Google Chrome, ktorý je jedným z najpoužívanejších na prehliadanie webov na internete, označovať stránky bez SSL certifikátu ako „Nezabezpečené“. Ide hlavne o iniciatívu spoločnosti Google s cieľom zvyšovať bezpečnosť na webe. Určite používate aj vy vyhľadávač Google, ktorý radí webstránky od najvhodnejších. Aby to mohol robiť aj naďalej, jedným z faktorov vhodnosti je už aj zabezpečenie webstránky. Čiže stránky, ktoré sú zabezpečené (majú SSL certifikát – stránka začína HTTPS) sa môžu zobrazovať vyššie v prehliadači a tým ju môže vidieť viac ľudí.

AKTUALIZOVANÉ– od septembra 2018 v prehliadači Chrome už možno vidieť pri niektorých certifikátoch len zelenú ikonku zámku bez slova zabezpečené. Funkcionálne ostáva všetko ako predtým, len to slovíčko sa schovalo asi pre ušetrenie miesta.

Čo je to SSL certifikát?

Ide v jednoduchosti o technicky vyššiu vrstvu zabezpečenia webstránok proti zneužitiu pri prenose dát medzi webstránkou na hostingu a prehliadačom návštevníka. Skratka SSL znamená Secure Sockets Layer. Je to dôležité na každej stránke ale hlavne na tých, na ktorých sa dajú vyplniť nejaké formuláre či iné údaje, realizovať online platby, nákupy (eshopy) a pod. Zabezpečené stránky:

• majú chránenú dátovú komunikáciu s vašimi návštevníkmi- základná prevencia pred odchytom informácií, hesiel,
• sú lepšie hodnotené vo vyhľadávačoch (ako napr. Google), lebo zabezpečenie je jeden zo stále dôležitejších faktorov tzv SEO– optimalizácie stránok pre vyhľadávače, preto ak si dáte robiť SEO, pýtajte sa aj na SSL certifikát,
• zrýchli sa vám načítanie webstránky (taktiež SEO faktor) na dobrých hostingoch napr. s technológiou HTTP/2.

Je moja stránka zabezpečená?

Či je webstránka zabezpečená SSL certifikátom, je možné zistiť podľa toho, či jej URL adresa začína s http (nezabezpečená) alebo https (zabezpečená). Napríklad adresa domény, na ktorej práve ste je https://smartlink.sk. Čiže táto doména je zabezpečená. Prehliadače navyše už zobrazujú pri adrese aj vizuálne väčšinou zeleným písmom informáciu, ktorá stránka je zabezpečená a šedým alebo červeným popisom, ktorá stránka ešte nie je zabezpečená.

Ako získam certifikát?

Najjednoduchšie tak, že sa prihlásite do svojho hostingu (t.z. kde sídli vaša webstránka, prípadne kde ste ju kupovali) a tam nájdete možnosť vybrať si z viacerých certifikátov zabezpečenia. Tie sa delia na platené a bezplatné. Pre drtivú väčšinu stránok by boli niekoľko sto či tisíc-eurové certifikáty pridrahé, preto vznikla iniciatíva za vytvorenie bezplatných SSL certifikátov.

Čo je to Let´s Encrypt?

Jedným z najznámejších certifikátov je Let’s Encrypt SSL certifikát. Je zadarmo. A ten bude pravdepodobne aj vám postačovať, ak nie ste nejaká obrovská firma či banka s priveľmi citlivými online údajmi. Väčšina bezplatných certifikátov (Let’s Encrypt) sa dá priamo u hostingéra získať a nastaviť pár klikmi takmer okamžite a do pár minút máte stránku zabezpečenú. Odporúčame to ale nechať na vášho admina v závislosti na tom, aký redakčný systém na stránke používate (WordPress, Joomla, Drupal, Prestashop, Opencart a pod.). V niektorých treba porobiť zopár dôležitých zmien kódov priamo v redakčnom systéme, inak vám môže prestať fungovať celý web, niektoré podstránky alebo fotky a pod. Pre ukážku nižšie uvádzame zopár príkladov, čo môžu nastať pri nastavovaní certifikátu na najpoužívanejšom redakčnom systéme WordPress.

Ako viem, že mám certifikát úspešne nastavený?

Ak si skontrolujete nasledovné:

• ak otvoríte hlavnú stránku a všetky jej podstránky a začínajú na https,
• ak si otvoríte hlavnú stránku či každú podstránku s http, ale tá sa presmeruje a otvorí nakoniec https verziu,
• ak pri otvorení týchto stránok vidíte vo väčšine prehliadačov zelený zámoček pri URL adrese v prehliadači.

Časté problémy a ich riešenia

Nainštalovali sme certifikát, ale stále sa nezmenila adresa z http na https.
Niekedy treba počkať pár minút či hodín, kým nastane zmena.

Po nainštalovaní certifikátu stále označuje prehliadač môj web ako nezabezpečený či čiastočne zabezpečený.
Môže ísť o to, že obsah stránky (napr. niektoré obrázky) sa načítavajú ešte z nezabezpečenej adresy (http je na začiatku URL obrázka). Stačí ich zmeniť priamo v obsahu stránky (či článkov) na https buď jednotlivo alebo hromadne.

Na hlavnej stránke (homepage) mi už svieti informácia o zabezpečení stránky, ale na niektorých podstránkach stále nie.
Platí to, čo vyššie, ale pre obsah danej podstránky.

V prehliadači sa dá otvoriť moja stránka aj s http (vtedy ju označuje ako nezabezpečenú) aj s https (zabezpečená).
V tomto prípade je potrebné presmerovať http na https napríklad cez tzv. .htaccess súbor. Kontaktujte svojho admina. Po zmene ak zadáte aj adresu s http do prehliadača, automaticky by mala nabehnúť https verzia.

V Googli je moja stránka evidovaná stále s http adresou a nie s https.
Ak je zrealizovaný predchádzajúci krok so súborom .htaccess a prešlo pár dní a Google to stále nezmenil, najlepší spôsob je dať Googlu vedieť zmenu cez nástroj Search Console od Googlu.

Moja webstránka bežiaca na WordPresse po nastavení certifikátu nezobrazuje všetko korektne alebo vykazuje chyby.
Odporúčame urobiť potrebné zmeny v nasledujúcih bodoch:

• nastaviť zmeny URLs v súbore .htaccess
• nastaviť zmeny URLs v súbore config.php
• linkovať interný obsah (videá, fotky, hudbu) z https zdroja
• interné linkovanie medzi stránkami skontrolovať, či sa odkazuje na https variantu
• ak sa načítava obsah externe, napr. písmo z Google Fonts, upraviť odkazovanie na zdroj (väčšinou z header.php alebo functions.php) s https
• skontrolovať, či sa štýlovací súbor CSS alebo napr. JQuery (z functions.php) načítava zo zdroja s https

Prestalo mi správne merať návštevnosť stránky cez Google Analytics.
Upravte nastavenie URL vlastníctva na https a prípadne vložte merací kód znova do stránky.