Dziś krótki wpis prezentujący jak na hostingu MyDevil skonfigurować „kłódeczkę” na naszej witrynie. Rozumiem, że możecie obawiać się iż zabezpieczenie swojej strony protokołem https będzie Was kosztować czas i pieniądze. Okazuje się, że dzięki darmowym certyfikatom od Let’s Encrypt jest to proces bezbolesny, automatyczny (również w zakresie przedłużania ważności certyfikatów) i zupełnie bezpłatny.
Zastrzeżenie – Blog elimu operuje od kilku lat na hostingu MyDevil. Jako zadowolony klient polecam ich usługi od dość dawna. Jeśli właśnie szukacie hostingu to rejestrując się przez mój link partnerski dostaniecie 20% zniżki na pierwszy rok. MyDevil ogłosiło dostępność certyfikatów już ponad rok temu.
Spis treści
Zaczynamy – kopia zapasowa i sprawdzenie dokumentacji
Zanim zaczniemy cokolwiek „dłubać” upewnijmy się, że:
a) mamy aktualną kopię zapasową serwisu, tak na wszelki wypadek
b) Nasz CMS może wymagać specyficznych zmian w konfiguracji – jakich tego dowiecie się z dokumentacji systemu (np. WordPress) lub wpisów na blogach brażnowych (np. tutaj). Może się to wiązać z koniecznością edycji plików konfiguracyjnych lub ustawieniem czegoś na zapleczu przed zmianą adresu – sprawdźcie to zanim zaczniecie faktyczne działania na waszym hostingu.
Do roboty – konfigurujemy SSL na MyDevil
1. Logujemy się do naszego panelu sterowania na MyDevil
2. Przechodzimy na listę stron www i do zakładki „Zarządzaj certyfikatami SSL”
3. wybieramy zarządzaj w sekcji „Adresy IP, które można użyć z SNI”
4. Klikamy „Dodaj certyfikat”
5. Wybieramy „Wygeneruj certyfikat Let’s Encrypt” i domenę, jaką chcemy zabezpieczyć i klikamy „Dodaj”
6. Po kilkunastu sekundach powinniśmy zobaczyć komunikat „Operacja wykonana prawidłowo”
To naprawdę tak proste i zajmuje dwie minuty! Nasza domena będzie już zabezpieczona protokołem SSL. Czeka nas jeszcze trochę pracy ale główny punkt mamy już za sobą.
Uwaga – Bardzo podobnie działa to na Progreso, Zenbox i pewnie wielu innych hostingach. Nie musimy martwić się o odnawianie certyfikatu – dzieje się to automatycznie.
Prace dodatkowe
To jednak nie koniec pracy.
Na koniec może okazać się, że mimo wszystko część treści na naszej stronie (np. niektóre obrazki, style, skrypty itd) nadal serwowana jest z adresu niezawierającego https. Przeglądarka gotowa nam (i naszym odwiedzającym) zakomunikować na przykład tak:
Jeśli nie jesteśmy pewni który element powoduje ten problem wystarczy użyć monitora sieciowego dostępnego w niemal każdej przeglądarce. Pokaże on wszystkie żądania wysyłane do serwera i wyróżni te, które nie są realizowane za pomocą protokołu https:
W celu poprawienia ciągów znaków w bazie danych bardzo przydają się dedykowane pod konkretny CMS narzędzia – na przykład do WordPress będzie to popularny „SAFE SEARCH AND REPLACE ON DATABASE WITH SERIALIZED DATA” który pobierzemy na stronie Interconnect/it. Podczas jego używania podajemy ciąg znaków, którego szukamy i który chcemy w jego miejsce wstawić. Przykładowa konfiguracja może wyglądać jak poniżej. UWAGA – Zamazane miejsca zawierają adres naszej strony – wszak nie chcemy zmienić np. linków zewnętrznych jakie możemy przechowywać w treści naszych wpisów!
b) konieczność pobrania plików (np. skórki) i przejrzenia ich w poszukiwaniu „na stałe” zakodowanych elementów, np. za pomocą Notepad++ podając mu katalog z plikami strony i wybierając opcję „Szukaj w plikach”
Po przejrzeniu tych 2 miejsc (pliki i baza danych) nie powinniśmy być zaskoczeni niczym więcej. Nasze oko powinna ucieszyć „zielona kłódeczka”.
Benefity „mania” SSL
Wdrożenie SSL niesie ze sobą kilka benefitów, w tym:
- GIODO rekomenduje używanie SSL w każdym serwisie, gdzie zachodzi proces przetwarzania danych osobowych,
- poprawa w zakresie SEO,
- poprawa szybkości działania strony z nowymi przeglądarkami (protokół http/2).
Dość szczegółowo o rodzajach SSL i ich zaletach rozpisał się serwis Sprawny Marketing.
Teraz już nie ma wymówki że nie chce nam się, że to trudne, kosztowne itd. Do dzieła! :)