A Google 2018 augusztusában bejelentette, hogy azok a weboldalak, amelyek már a HTTPS biztonságos protokollal futnak, azaz rendelkeznek SSL tanúsítvánnyal, egy kisebb előnyben fognak részesülni.

Amellett, hogy régi protokollt használó oldalakat a böngészők ”Nem biztonságos” felirattal látják el, még hátrébb is sorolja majd őket a Google.

 

Épp ezért fontos tudnod, hogy mi a különbség a HTTP és a HTTPS protokoll között, és mire kell odafigyelned az átállást követően.

De még mielőtt belemegyünk a részletekbe fontos tisztázni, hogy miért részesíti előnyben a Google a biztonságos HTTPS-t?

Mi az HTTP protokoll?

A HTTP (HyperText Transfer Protocol) egy adatátviteli forma, a felhasználó és a szerverek között.

Azonban a HTTP-nek mindössze annyi a ”dolga”, hogy az információt A-ból B-be eljuttassa, de azzal nem ”foglalkozik”, hogy ez az adat milyen formában, és kin keresztül  jut el oda.

Tehát, ha az elküldött adatokat útközben illetéktelenek megpróbálják megszerezni, akkor nem fog minket semmilyen biztonsági protokoll megvédeni.

 

Milyen adatokat tudnak megszerezni?

  • Email címek
  • Felhasználó nevek
  • Jelszavak
  • Telefonszámok
  • Bankkártya adatok
  • stb.

Ezt akarja elkerülni a Google, ezért terel minden weboldal tulajdonost abba az irányba, hogy váltson HTPPS-re.

HTTPS protokoll jelentése

A HTTPS (Secure HyperText Transfer Protocol) lényegében egy biztonságos (Secure) protokoll, ami annyit jelent, hogy az adatok mindkét irányban egy titkosított csatornán mozognak.

A védelmet egy úgynevezett SSL (Secure Sockets Layer) tanúsítvány biztosítja, aminek mindössze annyi a feladata, hogy megvédje az adatokat és biztonságossá tegye a kommunikációt.

Tehát a HTTP-t szállítja az adatokat, nem foglalkozik a biztonsággal, az SSL pedig nem foglalkozik az adattal, csak annak a biztonságos szállításával.

HTTPS előnyök

Ahogy azt már fentebb is említettem, a HTTPS-re való átállás jár némi előnnyel,

  • Előrébb sorol a Google
  • Biztonságos fizetés
  • Titkosított kapcsolat

Előrébb sorol a Google

Azt lehet tudni, hogy ha a versenytársadnak nincs SSL tanúsítványa neked pedig igen, akkor nagy az esélye annak, hogy téged fog előrébb sorolni a kereső.

Ugyanis a Google célja, hogy a felhasználók elégedettek legyenek egy keresés alkalmával, azaz olyan találatokat fog megjeleníteni az algoritmus, ami biztonságos és megfelelően kiszolgálja a felhasználói igényeket.

Biztonságos fizetés

A felhasználókat a böngésző azonnal értesíti amint egy olyan weboldalra érkeznek, ami nem rendelkezik a megfelelő SSL tanúsítvánnyal.

Ez bizalmatlanságot, és nagy visszafordulási arányt fog eredményezni, ami semmiképp sem lesz jó hatással a vállalkozásodra, épp ezért érdemes oda figyelned a vásárlók védelmére.

Titkosított kapcsolat

Az SSL tanúsítvánnyal ellátott oldalak információit csakis a célszerver képes lefordítani, ezzel elkerülve, hogy illetéktelenek kezébe kerüljenek az adatok az információ áramlás során.

Ahhoz, hogy a HTTPS-el járó előnyöket biztosítsd a domained számára, el kell döntened, hogy melyik SSL tanúsítvány való neked, most ezeket fogjuk megnézni, és összehasonlítani.

SSL tanúsítvány osztályok

DV (Domain szintű SSL tanúsítvány)                

A domain szintű tanúsítvány csak a webhely védelmét biztosítja, magát a céget nem védi. Ennek ellenére ez is biztonságos, és kellő védelmet nyújt a weboldalad számára. Ilyet tudsz ingyen is telepíteni a weboldaladra, ha még kezdő vagy és nemrég készült el az oldalad, ez bőven elegendő lesz.

OV (Vállalati szintű SSL tanúsítvány)

A vállalati tanúsítvány már a hatóság által aláírt SSL, a domain szintű védelmen kívül már a bankkártyás fizetés is elérhetővé válik az oldaladon és biztos lehetsz abban, hogy a vásárlóid adatai is biztonságban lesznek.

A vállalati OV tanúsítványok nagyságrendileg évente kb. 30. 000 Ft-ba kerülnek.

EV (Kiterjesztett SSL tanúsítvány)

A kiterjesztett SSL tanúsítvány a legbiztonságosabb, itt a cég neve is zöld színnel jelenik meg az URL sávban. Az ilyen tanúsítványok elsősorban a nagyobb méretű cégeknek ajánlott, vagy webshopok számára, ahol napi szinten több 100 tranzakció megy végbe.

A kiterjesztett nagyfokú biztonsággal ellátott EV tanúsítvány jellemzően évente kb. 60. 000 Ft-környékén érhető el a tárhelyszolgáltatóknál.

WordPress SSL beállítása

A HTTPS-re való átállás egy domain átirányítás vagy migrációnak számít, ahol az a célod, hogy minden HTTP-vel rendelkező URL-ed az átállást követően HTTPS protokollal jelenjen meg.

Hogyan zajlik egy ilyen migráció?

Az átállást szerencsére te magad is meg tudod csinálni, ebben a cikkben az ingyenes  let’s encrypt SSL tanúsítvány telepítését nézzük meg lépésről-lépésre.

Ha te esetleg a nagyobb fizetős csomagot választod, akkor a tárhelyszolgáltatód fogja elvégezni annak beállítását, így ezzel nem lesz neked dolgod.

Let’s encrypt

A weboldalad számára egy vállalati szintű védelem plusz költséget jelent, amire az elején nem biztos, hogy van kereted, ilyenkor szokták használni a let’s encrypt SSL tanúsítványt. Természetes, ahogy a vállalkozásod elkezd bevéltet termelni érdemes egy nagyobb fizetős csomagra váltanod.

A let’s encrypt egy ingyenes domain szintű védelmet biztosít 90 napig az oldaladnak, ami azt jelenti, hogy 3 havonta meg kell majd újítanod.

Elsősorban hobbi célokra biztosítja a megfelelő védelmet, de támogatja az összes ismert nagyobb böngésző, mint a Google Chrome, Mozilla Firefox és a Safari.

Let’s encrypt telepítés:

A let’s encrypt telepítését minden esetben a tárhelyszolgáltatód vezérlőpultjában kell elvégezned.

Sajnos ez minden tárhely szolgáltatónál más és más, de ha nem találod meg a vezérlőpulton belül ezt az opciót, akkor csak írj egy üzentet nekik, hogy szeretnéd telepíteni az ingyenes SSL-t.

Fontos, hogy a telepítés megkezdése előtt, csinálj egy biztonsági mentést a WordPress oldaladról, hiszen sosem lehet tudni.

A telepítés után a régi oldalaidat minden esetben át kell irányítanod az új HTTPS-re, ezt megteheted manuálisan is vagy a Really Simple SSL WordPress bővítmény segítségével is.

Really Simple SSL telepítése

A plugin telepítéséhez be kell lépned a WordPress oldalad vezérlőpultjába.

Bővítmények > Új hozzáadás > majd rákeresel a ” really simple ssl”-re

A telepítés és bekapcsolás után készen is a plugin beállítása.

Manuális átirányítás

Ha valamilyen oknál fogva az oldalad nem irányít át HTTPS-re akar manuálisan elvégezheted az átirányításokat.

Ilyenkor az első lépés, hogy ellenőrződ, aktív-e a HTTPS, ezt úgy tudod megtenni, hogy a böngésződ címsorába beírod a https://domain név.hu URL-t és megnézed, hogy így tölt-e be az oldal.

Ha nem jelzi a böngésződ, hogy ”Az oldal nem biztonságos” és betölt, akkor az SSL tanúsítványod aktív!

A szükséges átirányításokat .htaccess fájlban tudod elvégezni, amit a tárhelyed vezérlőpultjában a gyökérkönyvtárban találsz meg.

Mennyi idő múlva lesz aktív az SSL?

Az SSL aktiválás minden esetben a tanúsítvány típusától függ!

Az ingyenesen változat akár már 10-20 perc elteltével is átáll HTTPS-re, míg a nagyobb fizetős SSL csomagok, amit jellemzően cégek igényelnek ennél több időt vesz majd igénybe.

Minél magasabb szintű a hitelesítés annál több időt fog igénybe venni, hiszen ezeket manuálisan bocsájtják ki a tárhelyszolgáltatók.

Ahhoz, hogy továbbra is mérni tudd az oldaladra érkező forgalmat, az új HTTPS protokollal elérhető oldalad URL-ét is hozzá kell adnod, a Google Analytics fiókodhoz, ugyanis ezt a Google külön oldalként kezeli.

Google Analytics tulajdon hozzáadása

Az új tulajdon hozzáadásához be kell lépned a Google analytics felületére. Adminisztrálás > Tulajdon létrehozása > Webhely URL-címe.

SSL tanúsítvány GYIK

  •  Mi az az SSL tanúsítvány?

Az SSL titkosítja az adatokat, ezzel megakadályozva, hogy  illetéktelen kezébe jussanak a bizalmas információk. (pl. bankkártya adatok)

  • Let’s encrypt SSL 90 nap lejárta után visszaáll az oldal HTTP-re?

A fejlesztők a 90. napot megelőzően küldenek egy értesítést, hogy hosszabítsd meg a tanúsítványt, így lényegében bármeddig tudod használni.

  • Mikor kell a fizetős SSL?

Ha csak blogolsz, vagy a szolgáltatásodat reklámozod, akkor szerintem elég az ingyenes is, ha viszont webshopod van akkor természetesen a fizetős verzió az ajánlott.

Összegzés

A HTTPS protokoll ma már elengedhetetlen, ha szeretnénk, hogy az oldalunkra látogató felhasználók bizalmat érezzenek, és ne féljenek megadni a bankkártya adataikat egy fizetés alkalmával.

Gyakran szokott az is hibát eredményezni, hogy bár az oldal elérhető lenne HTTPS-el, de a rajta szereplő képek és linkek még a HTTP verzión vannak. Ezért nem tud átállni, ezt érdemes megnézned, ha ilyet tapasztalsz.

A migráció során fontos, hogy megfelelően végezd el az átirányításokat, hogy elkerüld a forgalom visszaesést. Valamint az átállás után hozz létre új HTTPS tulajdont a Google Analytics felületén, hogy továbbra is figyelemmel tudd kísérni a látogatók érdeklődését.