Certyfikat SSL dla twojej strony WWW

Pora na Certyfikat SSL dla twojej strony internetowej! #

Du┼╝o si─Ö ostatnio m├│wi o zabezpieczeniu stron WWW certyfikatem SSL - czyli tzw. zielon─ů k┼é├│dk─ů. O ile sam pomys┼é jest wysoce wskazany, nie tylko ze wzgl─Ödu na bezpiecze┼ästwo ale r├│wnie┼╝ ze wzgl─Ödu na pozycjonowanie (SEO), to wiele stron, tworz─ůc artyku┼éu na ten temat odwo┼éuje si─Ö przede wszystkim do p┼éatnych rozwi─ůza┼ä, podczas gdy istniej─ů bardzo dobre darmowe rozwi─ůzania.

Je┼╝eli masz ma┼é─ů stron─Ö prywatn─ů, firmow─ů, rozpoczynasz sprzeda┼╝ przez internet za pomoc─ů twojej strony, mam dla ciebie jedn─ů rad─Ö. Nie marnuj pieni─Ödzy - nie kupuj certyfikatu SSL zanim nie spr├│bujesz darmowych opcji. Je┼╝eli na ko┼äcu uznasz, ┼╝e potrzebujesz czego┼Ť lepszego, w├│wczas inwestycja b─Ödzie wysoce wskazana.

Przez ca┼éy rok 2016 wdra┼╝a┼éem aktywnie oraz przede wszystkim testowa┼éem w praktyce dzia┼éanie stron poprzez HTTPS (SSL) przy pomocy rozwi─ůzania, kt├│re nie kosztowa┼éo mnie nic (darmowy Certyfikat SSL). Strony, kt├│rymi zarz─ůdzam lub pomagam w zarz─ůdzaniu zorientowane s─ů na sprzeda┼╝y swoich us┼éug, kt├│re z regu┼éy nie pasuj─ů si─Ö w schemat typu ÔÇťKup Teraz > Zap┼éa─ç > Oczekuj na dostaw─ÖÔÇŁ.

I tak, w 2016, wszystkie moje strony, gdy si─Ö je odwiedza, s─ů serwowane ┼Ťci┼Ťle przez HTTPS (SSL) lub jak zwa┼é, tak zwa┼éÔÇŽ zielon─ů k┼é├│deczk─Ö.

Ka┼╝da wizyta na stronie kierowana jest przez bezpieczne po┼é─ůczenie SSL, zabezpieczone za r├│wno po stronie domeny jak i konta hostingowego.

W rezultacie, ca┼éy ruch jest na tyle bezpieczny, na ile mo┼╝e by─ç z tego typu rozwi─ůzaniem.

A wi─Öc, dlaczego by nie spr├│bowa─ç tego na twojej stronie WWW przed wydaniem pieni─Ödzy na co┼Ť, co nie wiemy czy nam si─Ö zwr├│ci?

Mam nadzieje, ┼╝e powy┼╝szy wst─Öp ci─Ö zainteresowa┼é i jeste┼Ť ty, jak i twoja strona gotowa na zmiany szykuj─ůce si─Ö w rok 2017, w kt├│rym to roku, strony serwowane przez HTTPS (SSL), b─Öd─ů (zobaczymy!) traktowane bardziej priorytetowo od tych, serwowanych w mniej bezpieczny spos├│b, jak to mia┼éo miejsce do tej pory.

Nim zaczniemy, jest jedna wada rozwi─ůzania serwowania strony ┼Ťci┼Ťle przez SSL (┼Ťci┼Ťle, czyli ┼╝aden ruch nie jest serwowany przez HTTP, natomiast jest przekierowywany na HTTPS). Je┼╝eli jaki┼Ť kraj narzuca cenzur─Ö na obywateli i pods┼éuchuje ich na ka┼╝dym kroku (sic!), czasem mo┼╝liwe jest, ┼╝e tego typu strony s─ů po prostu niedost─Öpne, z prostego wzgl─Ödu - SSL blokuje poniek─ůd mo┼╝liwo┼Ť─ç permanentnej inwigilacji. Ma to miejsce przede wszystkim w krajach komunistycznych oraz m.in. Chinach. Mam tylko nadzieje, ┼╝e ÔÇťm─ůdrzyÔÇŁ politycy u w┼éadzy w Polsce nie zastosuj─ů tego typu ÔÇťinwigilacji MacierewiczaÔÇŁ i nie b─Ödziemy kolejnym zacofanym krajem w ┼Ťrodku Europy.

A wi─Öc zacznijmy.

Moje rozwi─ůzanie, na kt├│rym bazuj─Ö to przede wszystkim CloudFlare oraz koncie hostingowym z DirectAdmin, kt├│re mo┼╝ecie kupi─ç tutaj.

Dodatkowo, poni┼╝sze dzia┼éania wymagaj─ů co nieco wiedzy zwi─ůzanej z hostingiem, domenami, DNSÔÇÖami oraz certyfikatami SSL.

Du┼╝o si─Ö w ostatnich dniach m├│wi o CloudFlare ze wzgl─Ödu na wyciek danych (tzw. CloudBlead). Niestety, serwuj─ůc 5 milion├│w stron, mo┼╝e si─Ö zda┼╝y─ç nawet najlepszym prosty b┼é─ůd w kodzie, kt├│ry spowoduje ┼╝e 150 stron b─Ödzie indeksowana w wyszukiwarkach tj. Google zawieraj─ůc dane, kt├│re nigdy nie powinny si─Ö tam znale┼║─ç.

Wi─Öcej o CloudBlead mo┼╝esz poczyta─ç tutaj.

Nie polecam czytania polskich t┼éumacze┼ä, gdy┼╝ s─ů one z regu┼éy bardzo stronnicze i polecam odwo┼éanie do ┼║r├│d┼éa - chocia┼╝by na blogu CloudFlare.

Na wst─Öpie musimy za┼éo┼╝y─ç konto na CloudFlare i doda─ç nasz─ů domen─Ö (kt├│r─ů musimy ju┼╝ posiada─ç). Domen─Ö mo┼╝ecie kupi─ç tutaj, b─Öd─ůc w Polsce, lub tutaj, b─Öd─ůc w Wielkiej Brytanii.

Podczas dodawania domeny, CloudFlare przeszuka dotychczasowe wpisy DNS zwi─ůzane z aktualnym wskazaniem na adres IP serwera ze stron─ů, serwerami poczty MX itp. Po zako┼äczeniu wst─Öpnego dodawania, nale┼╝y przejrze─ç bierz─ůce ustawienia i poprawi─ç/doda─ç brakuj─ůce elementy. Czasami wpisy TXT si─Ö nie przenios─ů, wi─Öc nale┼╝y doda─ç je z konfiguracji DNS dla domeny u naszego aktualnego operatora.

add website add website scanning add website scan complete add website verify your dns records

Dalej mamy do wyboru Plan, kt├│ry zawiera r├│wnie┼╝ opcj─Ö darmow─ů, kt├│r─ů wybieramy.

Ostatnim krokiem jest przekierowanie naszej domeny na nowe serwery nazw, tzw. Namservers.

add website select plan add website change nameservers

Od dej pory, wszelkie zmiany w ustawieniach DNS b─Ödzie dokonywa─ç si─Ö z poziomu CloudFlare. Jest to konkurencyjne rozwi─ůzanie do naszego rodzimego, darmowego rozwi─ůzania freedns.42.pl. Dodatkowo, aktualizacja wpis├│w DNS trwa znacznie szybciej pomi─Ödzy du┼╝ymi serwerami nazw (tj. Google, 8.8.8.8) a ni┼╝eli przy zastosowaniu innego rozwi─ůzania.

Na pocz─ůtku nasza domena b─Ödzie ze statusem Pending (Oczekuj─ůcym) do momentu, a┼╝ zmiany w serwerach nazw, DNS dla domeny zostan─ů rozpropagowane na ┼Ťwiatowych serwerach nazw.

W momencie, gdy domena pomy┼Ťlnie przeniesiona, je┼╝eli chodzi o serwer nazw do CloudFlare, nasza us┼éuga b─Ödzie Active (aktywna).

add website status pending add website active

Je┼╝eli poprawnie ustawili┼Ťmy wpisy DNS dla domeny, w├│wczas mo┼╝emy nawet nie zauwa┼╝y─ç ┼╝adnej zmiany w funkcjonowaniu poszczeg├│lnych element├│w wpis├│w DNS a co za tym idzie domeny, strony WWW, poczty w domenie itp.

CloudFlare to nie tylko Certyfikat SSL. SSL to po niek─ůd us┼éuga dodatkowa. CloudFlare s┼éu┼╝y przede wszystkim do buforowania ruchu do strony oraz samej strony (tzw. cache). Powoduje to, ┼╝e strona, poczas wizyty przez odwiedzaj─ůcego serwowana jest ze znacznie szybszych serwer├│w - szczeg├│lnie, gdy tre┼Ť─ç nie zmieni┼éa si─Ö w stosunku z t─ů, dost─Öpn─ů na w┼éa┼Ťciwym koncie hostingowym.

Dodatkowo, CloudFlare ma r├│wnie┼╝ du┼╝o innych opcji, o kt├│rych nale┼╝y po prostu poczyta─ç. Nie b─Öd─Ö ich tutaj omawia┼é, ale je┼Ťli masz jakie┼Ť pytanie, mo┼╝esz ┼Ťmia┼éo wys┼éa─ç do mnie maila.

CloudFlare pozwala wybra─ç, kt├│re wpisy DNS maj─ů by─ç serwowane przez ich serwer buforuj─ůcy, a kt├│re nie. Wpisy, kt├│re chcemy aby by┼éy obj─Öte certyfikatem SSL musz─ů by─ç serwowane przez CloudFlare i ustawienie DNS musi by─ç z tzw. ÔÇťchmurk─ůÔÇŁ.

dns setting cloud

Następnie co nas interesuje to zakładka Crypto.

cloudflare menu bar crypto

W polu SSL mamy do wyboru kilka rozwi─ůza┼ä. Domy┼Ťlnie CloudFlare serwuje stron─Ö przez SSL w trybie Flexible (elastycznym).

Ruch kierowany od odwiedzaj─ůcego do twojej domeny przez HTTPS (ale nie HTTP), kierowany jest na serwer CloudFlare. Tam ÔÇťzak┼éadana jest k┼é├│deczkaÔÇŁ i dalej serwowana do odwiedzaj─ůcego w postaci zaszyfrowanej - zawieraj─ůcej Certyfikat SSL.

Czasami, to rozwi─ůzanie nie jest idealne, je┼╝eli CloudFlare nie posiada zbuforowanej strony, w├│wczas kieruje ruch bezpo┼Ťrednio do serwera i Certyfikat SSL (ÔÇťk┼é├│deczkaÔÇŁ) ┼╝─ůdany jest ze strony konta hostingowego - gdzie nie zawsze mo┼╝e to by─ç ustawione, lub by─ç u┼╝yty samo-podpisywalny certyfikat powoduj─ůcy wy┼Ťwietlenie ostrze┼╝enia w przegl─ůdarce.

O ile to rozwi─ůzanie jest dobre, Full - lub w moim przypadku Full (Strict), jest o wiele leprze.

cloudflare crypto flexible cloudflare crypto ssl list cloudflare crypto full strict

W przypadku Full (strict), certyfikat serwowany przez CloudFlare dodany jest również na serwerze / na koncie hostingowym. Dzięki temu, zarówno CloudFlare jak i serwer może zweryfikować ruch z prawidłowym certyfikatem bez niepotrzebnych ostrzeżeń.

Opcja Full (strict) jednocze┼Ťnie sprawdza, czy certyfikat serwowany przez CloudFlare jest zgodny z certyfikatem na koncie hostingowym. Oba musz─ů pasowa─ç do siebie, aby wszystko dzia┼éa┼éo, dlatego dalej poka┼╝─Ö jak to zrobi─ç.

cloudflare flexible full strict differences

Po pierwsze w zakładce Crypto > SSL wybieramy Full (Strict).

Mo┼╝e to chwilowo “popsu─ç” ruch do naszej strony poprzez HTTPS. Ruch HTTP pozostanie bez zmian (o ile wasza strona jest serwowana przez HTTP).

Nast─Öpnie potrzebujemy Origin Certificate - czyli certyfikat, kt├│ry b─Ödzie serwowany po stronie serwera / konta hostingowego. Certyfikat ten nale┼╝y utworzy─ç.

Crypto > Origin Certificate > Create certificate

Pozostawiaj─ůc domy┼Ťlnie wybrane opcje, upewniamy si─Ö, ┼╝e nasz certyfikat b─Ödzie zawiera┼é nasz─ů g┼é├│wn─ů domen─Ö (bez WWW itp.jpg) oraz tzw. Wildcard, czyli wszystko, co znajdzie si─Ö przed (tj. WWW).

Wa┼╝no┼Ť─ç certyfikatu 15 lat, aby nie zawraca─ç sobie tym g┼éowy.

Po czym przechodzimy dalej (Next).

cloudflare crypto origin certificate cloudflare crypto origin certificate create cloudflare crypto origin certificate create 2 cloudflare crypto origin certificate error safari

Na nast─Öpnej stronie kreatora otrzymamy certyfikat (Origin Certificate) oraz klucz prywatny (Private key).

cloudflare crypto origin certificate pem cloudflare crypto origin certificate pem2 cloudflare crypto origin certificate private key

Kopiujemy oba, certyfikat i klucz do notatnika, jeden pod drugim.

Nast─Öpnie pora na ustawienie certyfikatu na naszym koncie hostingowym.

Logujemy si─Ö do naszego konta hostingowego z dost─Öpem do panelu DirectAdmin.

Wybieramy nasz─ů domen─Ö (je┼╝eli mamy wi─Öcej ni┼╝ jedn─ů).

Nast─Öpnie przechodzimy do Opcji Zaawansowanych (na samym dole) > Certyfikat SSL.

directadmin directadmin select domain directadmin main screen directadmin opcje zaawansowane certyfikat ssl

Tutaj b─Ödziemy mieli kilka opcji do wyboru.

Domy┼Ťlnie b─Ödzie wybrany certyfikat serwera (U┼╝ywaj certyfikatu serwera), ale nas interesuje opcja ÔÇťWklej wst─Öpnie wygenerowany certyfikat i kluczÔÇŁ.

W puste pole wklejamy wcze┼Ťniej skopiowany do notatnika Certyfikat SSL i klucz prywatny po czym wybieramy opcj─Ö Zapisz.

I tak, nasz serwer będzie serwował certyfikat dla ruchu HTTPS zgodny z CloudFlare.

directadmin certyfikat ssl default directadmin certyfikat ssl blank directadmin certyfikat ssl paste directadmin certyfikat ssl success

Je┼╝eli macie problem z dodaniem certyfikatu / klucza, lub wasz dostawca nie udost─Öpnia tej opcji, musicie si─Ö z nim skontaktowa─ç.

Kiedy┼Ť, tego typu zabieg wymaga┼é wykupienie Sta┼éego adresu IP dla konta, co generowa┼éo dodatkowe koszta, jednak┼╝e ju┼╝ od jakiego┼Ť czasu nie ma potrzeby posiadania w┼éasnego adresu IP aby doda─ç certyfikat SSL.

Teraz należało by sprawić, aby nasz ruch na stronę odbywał się tylko przez SSL.

Je┼╝eli u┼╝ywamy Wordpress, nale┼╝y zmieni─ç adres naszej strony z http:// na https:// w Opcjach.

Ustawienia > Og├│lne > Adres Wordpress oraz Adres witryny

wordpress ogolne

Je┼╝eli nasza strona by┼éa serwowana przez jaki┼Ť czas przez HTTP, w├│wczas niekt├│re nasz posty mog─ů zawiera─ç odwo┼éanie do http:// w linkach nawet po zmianie adresu strony na https://.

Niestety, nie ulegnie to automatycznej zmianie i mo┼╝e powodowa─ç wyst─Öpowanie b┼é─Öd├│w zwi─ůzanych z tzw. insecure content, czyli podczas serwowania strony przez HTTPS cz─Ö┼Ť─ç element├│w b─Ödzie serwowana przez HTTP - nie dobrze.

Aby to naprawi─ç, mo┼╝na przej┼Ť─ç do ka┼╝dego z post├│w na stronie i zrobi─ç to r─Öcznie, lub zmieni─ç wpisy w bazie danych SQL.

Wszystkie wpisy http:// nale┼╝y przepisa─ç na https://

Nic strasznego, gdy┼╝ w tym celu przychodzi nam na pomoc wtyczka Better Search Replace.

Po jej zainstalowaniu i uruchomieniu, nale┼╝y wybra─ç Search for (czyli nasz adres strony z http://) oraz Replace with (czyli nasz adress strony z https://).

Zaznaczmy wszystkie tabele naszej bazy danych (Ctrl na pierwszej tabeli, Ctrl+Shift na ostatniej tabeli) i wybieramy Run Search/Replace.

wordpress better search replace wordpress better search replace settings

Nie obawiajcie si─Ö! Plugin jest ustawiony domy┼Ťlnie na tak zwany ÔÇťdry runÔÇŁ, czyli wyszukanie i symulowanie zmiany.

Je┼╝eli jeste┼Ťmy pewni, ┼╝e chcemy dokona─ç ww. zmiany, w├│wczas musimy odznaczy─ç Run as dry run i wybra─ç jeszcze raz Run Search/Replace.

Tyle je┼╝eli chodzi o Wordpress.

Wracaj─ůc do CloudFlare, warto w zak┼éadce Crypto w┼é─ůczy─ç:

  • HSTS
  • Authenticated Origin Pulls
  • Opportunistic Encryption
  • TLS 1.3

cloudflare crypto hsts cloudflare crypto hsts1 cloudflare crypto hsts2 cloudflare crypto other options

Bez wzgl─Ödu na to, czy u┼╝ywamy Wordpress i zmienili┼Ťmy http:// na https://, mo┼╝emy wymusi─ç serwowanie strony przez https:// (w├│wczas, gdy wersja http:// naszej strony nadal jest dozwolona) poprzez ustawienie odpowiedniej regu┼éy w **Page Rules **(wybieramy z g┼é├│wnego menu).

Tworzymy now─ů regu┼é─Ö dla adresu http:// zawieraj─ůcego dwa WildCardÔÇÖy wraz z opcj─ů Always Use HTTPS. Zapisujemy i aktuwujemy (Save and Deploy).

cloudflare page rules

I to by było na tyle.

Nasza strona powinna być serwowana przez HTTPS odrazu, ale warto pozwolić na pełne zmiany do 24h.

Oczywi┼Ťcie, nale┼╝y wyczy┼Ťci─ç r├│wnie┼╝ dane podr─Öczne przegl─ůdarki (chocia┼╝by z u┼╝yciem CCleaner) lub otworzy─ç nasz─ů stron─Ö w trybie Incognito aby zobaczy─ç czy wszystko dzia┼éa tak jak nale┼╝y.

Jeżeli mamy ustawione Google Analytics, należy zadbać o modyfikację ustawień z uwzględnieniem https://

Je┼╝eli u┼╝ywamy Google Search Console (Bing Webmaster Tools, Yandex Webmaster), nale┼╝y doda─ç dodatkow─ů wersj─Ö naszej strony dla adresu https:// jak r├│wnie┼╝ mapy strony w adresie z https://

I to by było już napewno na tyle.

Mam nadzieje ┼╝e pomog┼éem. Je┼╝eli tak, daj zna─ç w komentarzu. Je┼╝eli masz jaki┼Ť problem, r├│wnie┼╝ napisz w komentarzu, a postaram si─Ö pom├│c, o ile b─Öd─Ö m├│g┼é, gdy┼╝ r├│┼╝ni us┼éugodawcy r├│┼╝nie implementuj─ů poszczeg├│lne opcje, dla tego ja polecam sprawdzone rozwi─ůzanie.

Komentarze