Sådan tilføjes HTTPS til dit websted gratis på 10 minutter, og hvorfor skal du gøre dette nu mere end ...

I sidste uge meddelte Google, at Chrome 68, der ankom i juli, vil markere alle HTTP-sider som "Ikke sikre".

Dette er den stærkeste skub endnu til at drive internettet mod kryptering som standard og har længe været kommet.

Selv om der er masser af beviser, der taler til, hvorfor alle skal hoppe på HTTPS-vognen, ser mange mennesker stadig ikke værdien ved at betjene deres websteder sikkert.

" Hvorfor har jeg brug for dette til en blog ?"

Jeg har tidligere skrevet om værdien af ​​HTTPS, men bare for at gentage:

  • HTTPS beskytter brugere mod Man In the Middle angreb.
  • HTTPS kræves for at udnytte mange nye funktioner i browsere som f.eks. Servicearbejdere
  • HTTPS påvirker SEO

Hvis du ikke er overbevist, skal du læse doesmysiteneedhttps.com for at få det fulde billede af, hvorfor hvert websted skal serveres sikkert.

Og hvis du stadig ikke får det, så er livet ved at blive meget sværere for dig.

I et forsøg på at køre brugere væk fra usikre websteder har browsere skæmmet websteder, der serveres usikkert i visse sammenhænge.

Chrome 56 startede denne tendens ved at markere sider med følsomme loginfelter som "Ikke sikker", mens Chrome 62 udvidede denne advarsel til alle HTTP-sider, der indeholdt enhver type inputfelt. Derudover vises advarslen på alle HTTP-sider i inkognitotilstand, uanset om de indeholdt et indtastningsfelt eller ej.

Firefox advarer også brugere, når de forsøger at udfylde en usikker loginformular.

Nu har Chrome besluttet at placere denne advarsel på alle HTTP-sider fremover. Til sidst ændres ikonet ved siden af ​​"Ikke sikker" -etiketten, og teksten bliver rød for yderligere at understrege, at HTTP-sider ikke kan stole på.

For at forhindre brugere i at se denne advarsel på dit websted skal du alt få et gyldigt SSL-certifikat. Den gode nyhed er, at det ikke er så svært eller dyrt, som det plejede at være. Faktisk vil jeg vise dig, hvordan du distribuerer HTTPS på dit websted gratis ved hjælp af Cloudflare. Og det tager slet ikke meget tid.

Hvorfor Cloudflare?

CloudFlare kan hjælpe dig med at sikre et SSL-certifikat gratis, uanset hvilken server-infrastruktur du har. Det fungerer også for websteder, der er hostet på platforme, der ikke giver serveradgang, såsom GitHub Pages, Ghost og lignende.

Du behøver ikke at installere noget eller skrive nogen kode. Dette gør det til en rigtig god mulighed for at implementere HTTPS på dit websted, og opsætningstiden bør bogstaveligt talt ikke tage mere end 10 minutter.

Det giver også et utal af andre fordele i sikkerhed og ydeevne på dit websted, som jeg ikke kommer til at dække her. Men jeg vil tale lidt om, hvordan det hele fungerer, så du kan få en god idé om, hvordan det er i stand til at gøre alle disse ting.

Sådan fungerer Cloudflare

Cloudflare sidder lige midt i trafikken mellem besøgende på dit websted og din server. Besøgende kunne være almindelige mennesker, crawlere og bots (såsom søgemaskine-bots) eller hackere. Ved at fungere som en mellemmand mellem din webserver og besøgende på dit websted hjælper Cloudflare med at filtrere al ulovlig trafik ud, så kun de gode ting går igennem.

Nu spekulerer du måske på, om alt det kan have en negativ indvirkning på hastigheden på dit websted, men det er tværtimod. Cloudflare har datacentre over hele kloden, så det bruger bare det nærmeste slutpunkt til din besøgende, hvilket skulle gøre dit websted meget hurtigere, end det var før.

Nu hvor vi ved, hvordan Cloudflare fungerer, lad os se på, hvordan man opsætter et websted på deres infrastruktur, og hvordan man kommer gratis på HTTPS. Fokus her vil være på de funktioner, som Cloudflare giver gratis, men bemærk, at betalte planer også er tilgængelige med en masse ekstra funktioner.

Oprettelse af et nyt sted

Når du har tilmeldt dig Cloudflare, er den første ting at gøre at tilføje et domæne og scanne DNS-posterne.

Når scanningen er afsluttet, vises alle DNS-poster på domænet. Du kan vælge de underdomæner, du vil aktivere Cloudflare på, og foretage de ønskede ændringer. Når du er klar, skal du klikke på Fortsæt for at gå til næste trin.

Vælg den gratis plan, og klik på Fortsæt.

Derefter skal du ændre navneserverne på din domæneregistrator til Cloudflare-leverede. Processen for at gøre dette på hver domæneregistrator er lidt anderledes, så tjek med din domæneregistrator.

Sådan ser det ud i Namecheap:

Nu skal du vente på, at navneserverændringerne er udbredt. Klik på Efterkontrollér Nameservers efter et stykke tid for at se, om dit websted er nu aktiv på CloudFlare. Dette er den længste del af opsætningen og kan tage op til 24 timer, men efter min erfaring tog det mindre end 5 minutter.

Når dine navneserveropdateringer er valideret af Cloudflare, bliver dit websted aktivt på tjenesten.

Hvis du vil være helt sikker på, at dine DNS-indstillinger har spredt sig overalt, giver What's My DNS en måde at kontrollere, hvilken IP-adresse dit domæne løser til forskellige steder.

Du kan også bruge digeller nslookupi kommandolinjen til at bekræfte dine domæner DNS-konfiguration.

På denne måde kan du være sikker på, at al trafik, der går til dit domæne, nu dirigeres gennem Cloudflare.

Før du begynder at konfigurere Cloudflare, skal du sørge for, at din browser ikke bruger de gamle DNS-poster fra dens cache. I Chrome og Firefox kan du gøre dette ved at rydde din browserhistorik.

Få gratis SSL

SSL er stadig en premium-tjeneste, og mange certifikatmyndigheder opkræver betydelige beløb, før de udsteder et SSL-certifikat. Det er ikke noget, du bare kan få gratis overalt, men det ændrer sig hurtigt i branchen.

Nu hvor Cloudflare sidder midt i din webtrafik, skal du automatisk få SSL på dit domæne. Det kan tage op til 24 timer, før certifikatet bliver aktivt, men efter min erfaring tager det slet ikke lang tid.

Når certifikatet bliver aktivt, skal du indlæse dit websted i en browser. Du bør se webstedet serveret via HTTPS og en dejlig grøn hængelås i adresselinjen.

Hvis du får vist flere oplysninger om certifikatet, vil du se certifikatmyndigheden, der har udstedt det (i mit tilfælde Comodo) og udløbsdatoen. En af de store ting ved Cloudflare er, at certifikatfornyelse sker automatisk for dig, så ingen bekymringer der.

Forskel mellem fleksibel, fuld og fuld (streng) SSL

Cloudflare gør det virkelig nemt at få SSL på dit websted gratis uden at konfigurere noget, men det er ikke altid det samme som at betjene dit websted via SSL direkte fra oprindelsen.

Der er tre implementeringer af Cloudflares SSL. Den første, som du får som standard, er Fleksibel SSL. I dette tilfælde krypteres trafik mellem brugerne af dit websted og Cloudflare, men denne kryptering går ikke helt til oprindelsesserveren. Cloudflare taler stadig til din server via almindelig HTTP.

Dette betyder, at enhver mand i midten (såsom netværksudbydere) mellem Cloudflare og din server kan se trafikken. Hvis du indsamler følsomme oplysninger på dit websted, skal du afstå fra at bruge denne mulighed.

For at have kryptering hele vejen til originalserveren skal du bruge fuld eller fuld (streng) implementering. Førstnævnte kræver, at du installerer et gyldigt certifikat på din server, men certifikatets ægthed verificeres ikke, så du kan klare dig med et selvsigneret certifikat. På den anden side kræver fuld (streng) implementering, at du installerer et gyldigt SSL-certifikat, der er underskrevet af en betroet certifikatmyndighed.

Hvis du ikke ønsker at købe SSL fra lignende som Comodo, kan du få gratis Origin CA-certifikater fra Cloudflare, der kan bruges med enten fuld eller fuld (streng) indstillinger, da de er tillid til af Cloudflare. Men husk at disse certs kun er tillid fra Cloudflare, så de stopper med at arbejde, hvis du beslutter at fjerne dit websted fra Cloudflares infrastruktur.

Hvis du ikke kontrollerer dit servermiljø, f.eks. Hvis dit websted er hostet på GitHub Pages eller lignende platforme, kan du ikke bruge fuld eller fuld (streng) implementering, hvilket betyder, selvom dine brugere ser HTTPS i adresselinjen, trafik vil ikke gå hele vejen til oprindelsesserveren krypteret.

Men det er stadig en enorm forbedring i forhold til slet ingen HTTPS, fordi det vil beskytte dine brugere mod at være Man In The Middled på klientsiden.

Styr SSL-implementering

Uanset hvilken SSL-implementering du vælger, er der måder at styrke den for at sikre, at brugerne aldrig kan få adgang til dit websted via usikker HTTP. Qualys SSL Labs er et værktøj, der hjælper dig med at køre en test på din SSL-konfiguration for at se, om der er plads til forbedringer.

Selvom jeg får en A-karakter på mit domæne, vil du se, at der bestemt er plads til forbedringer i Key Exchange og Cipher Strength-siden af ​​tingene, hvis du går ind i resultaterne.

Lad os se på et par ting, vi kan gøre inden for Cloudflare for at styrke vores SSL og få ratings endnu højere.

Tving HTTPS overalt

Når du er gået til HTTPS, vil du helt sikkert forhindre brugere i at få adgang til dit websted via en usikker forbindelse. Du kan gøre dette i Cloudflare ved at 301 omdirigere al HTTP-trafik til HTTPS.

Under Crypto-indstillinger skal du finde indstillingen Brug altid HTTPS og slå den til.

Aktivér HTTP Strict Transport Security (HSTS)

Jeg har skrevet om, hvordan HSTS styrker dine websteder SSL tidligere, men lad os bare gå over det igen kort.

Problemet med kun 301 at omdirigere HTTP-trafik til HTTPS er, at den oprindelige usikre anmodning stadig går over ledningen, hvilket betyder, at den kan læses af alle, der har adgang til trafikken.

HSTS er et svarhoved, der løser problemet ved at fortælle browseren, at det muligvis ikke fremsætter en usikker anmodning til et websted i en bestemt varighed.

Sådan ser overskriften ud:

strict-transport-security: max-age=31536000

Når browseren modtager denne overskrift, fremsætter den ikke en usikker anmodning til dit websted i de næste 31.536.000 sekunder (1 års værdi). I stedet opgraderes alle HTTP-anmodninger internt til HTTPS, inden de sendes ud over netværket.

Hvis du vil forhindre adgang til alle underdomæner via HTTP, skal du bruge includeSubdomainsdirektivet. Du kan også tilføje preloaddirektivet for at tillade browserudbydere at bage dit websted i selve browseren som kun HTTPS.

strict-transport-security: max-age=31536000; includeSubdomains; preload

Når du har aktiveret HSTS på dit domæne, kan du være temmelig sikker på, at når nogen har indlæst dit websted via HTTPS, vil de kun være i stand til at få adgang til dit over det sikre system fremover.

Så inden du aktiverer HSTS på dit websted, skal du sørge for at være sikker på, at al din trafik vil blive serveret via HTTPS, ellers får du problemer.

For at aktivere dette i Cloudflare skal du gå til Crypto- indstillingerne og rulle ned til HTTP Strict Transport Security (HSTS) sektionen. Klik på Skift HSTS-indstillinger, aktiver alle relevante indstillinger, og tryk på Gem .

Og bare hvis du undrer dig, er browsersupport til HSTS ret god.

Fix Usikker ordreferencer

Hvis du integrerer en passiv ressource (f.eks. Et billede) usikkert på en sikker side, indlæser browseren den stadig fint. Det tager bare den grønne hængelås af fra adresselinjen. Du kan se et eksempel på denne fejl her.

Hvis du tjekker browserkonsollen, vil du se nogle advarsler eller fejl, der peger på den ressource, der blev integreret usikkert. I dette tilfælde er det

HTTP image

For at løse dette skal du bare ændre ordningen til HTTPS, og alt går igen.

HTTP image

Hvis du har meget indhold på dit websted indlejret usikkert, kan det være ret kedeligt at finde og rette hver enkelt. Men Cloudflare kan hjælpe dig her igen med funktionen Automatic HTTPS Rewrites.

For at være dobbelt sikker på, at intet indhold på dit websted nogensinde kan serveres usikkert, skal du overveje at implementere en indholdssikkerhedspolitik på dit websted.

Lad os nu se, hvordan ovenstående ændringer har påvirket vores SSL Labs-rapport. Jeg har kørt testen igen på mit domæne, og nu får vi nu en A + -vurdering.

Hvis du tjekker de individuelle vurderinger i grafen, har intet ændret sig, men vi får stadig en rigtig sikker SSL-implementering gratis og på få minutter.

Alternativer til Cloudflare til gratis SSL

Hvis du foretrækker ikke at bruge Cloudflare af en eller anden grund, er der andre måder, du kan få dit websted på HTTPS gratis. Her er to muligheder, du kan prøve:

Lad os kryptere

Hvis du har kontrol over din server, kan du hurtigt implementere HTTPS på dit websted ved hjælp af Let's Encrypt. De tilbyder gratis SSL-certifikater, der varer i tre måneder og kan fornyes automatisk.

Selvom du ikke har serveradgang, skal du kontakte din webhost. Nogle værter giver dig mulighed for at bruge Lad os kryptere SSL uden at give shelladgang.

Amazon AWS Certificate Manager

Amazon udsteder og fornyer også automatisk SSL-certifikater til kunder på sin Amazon Web Services (AWS) infrastruktur. På den måde kan du indstille og glemme HTTPS på dit websted, hvis du bruger AWS-ressourcer som Cloudfront.

Uanset hvordan du implementerer HTTPS på dit websted, er det vigtigste at sikre dig, at du kommer i gang så hurtigt som muligt, så dine brugere får de sikkerhedsfordele, det giver, og du ikke går glip af flere seje funktioner i browsere, der hjælper du skaber bedre weboplevelser.

Hvis du kunne lide denne artikel, skal du dele med andre, der kan have gavn af at læse den. Forresten, tjek min blog på freshman.tech for artikler om webudvikling. Tak for læsningen.