V poslednom čase mi často chodia otázky, ako spraviť zelený zámoček v lište prehliadača a pokiaľ to je možné, tak bezplatne. Tento krátky článok je návod, akým spôsobom sa to dá :-)
Na začiatok troche teórie:
Zelený zámok v lište prehliadača sa zobrazí, len ak je pripojenie k web stránke zabezpečené - šifrované, teda beží na protokole https a nie http.
Okrem HTTPS protokolu je potrebné mať vygenerovaný a správne nainštalovaný SSL certifikát. Existujú bezplatné a menej bezpečné certifikáty a platené, bezpečnejšie. Voľba medzi nimi je najmä s ohľadom na účel webu. Pri jednoduchých blogoch a prezentačných stránkach stačí aj bezplatný. Pri rozsiahlych informačných systémoch a e-shopoch, kde sa pravidelne zadávajú citlivé údaje je lepšou voľbou platený kvalitný certifikát.
Po nasadení certifikátu a aplikovaný HTTPS protokolu je potrebné, aby všetky súčasti stránky používali HTTPS protokol. Ak použijeme konfiguráciu servera správne, ale v zdrojovom kóde web stránky budeme volať CSS, JS súbory, alebo obrázky cez HTTP (tzv. Mixed content), výsledkom bude nezabezpečený web.
Na overenie toho, či všetky súbory v kóde stránky sú volané správne je možné použiť túto jednoduchú službu:
Po zadaní URL adresy prebehne validácia a prípadné chyby sú vypísané a programátor môže rovno upravovať zdrojový kód.
Ako postupovať?
3 najčastejšie využívané webhostingové spoločnosti majú priamo v administrácii domén možnosť inštalovať kúpený, alebo použiť bezplatný SSL certifikát.
Administrácia domény Exohosting
Administrácia domény Websupport
Administrácia domény WY
Na záver je dobré spraviť automatické presmerovanie na https protokol aj s prefixom www napríklad cez .htaccess zápis:
RewriteCond %{HTTP_HOST} !^www. [NC]
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]
Treba spomenúť, že weby s korektne nastaveným HTTPS protokolom Google vyhľadávač uprednostňuje pred webmi s HTTP. V praxi sa tiež často stretávam, že bežní ľudia sa notifikácie v prehliadači o tom, že ich spojenie nie je zabezpečené zľaknú a zo stránok radšej odchádzajú. A určite HTTPS je budúcnosť...
Ak máte záujem o konzultáciu k nasadeniu HTTPS a zeleného zámku v lište prehliadača, prípadne potrebujete takto web nakonfigurovať, kontaktujte ma.
Pridať komentár k článku
Peter: mám https ale zamok je šedý, pri anylýze je identifikovany problém s You currently have TLSv1 enabled. This version of TLS is being phased out. This warning won't break your padlock, however if you run an eCommerce site, PCI requirements state that TLSv1 must be disabled by June 30, 2018.