Securitatea a devenit o problemă tot mai mare pe internet, iar pentru a rezolva această problemă s-au inventat conexiunile SSL. Am mai abordat pe scurt acest subiect în articolul meu despre securitatea website-urilor.
Dacă ai un website, în special un magazin online, atunci un certificat SSL îți va fi de foarte mare ajutor. Fără o conexiune criptată, diferiți intermediari s-ar putea conecta la comunicațiile dintre utilizatori și server, pentru a fura informații precum adrese de e-mail, parole și chiar informațiile cardurilor bancare.
Cei de la Google au conștientizat și ei problema securității și au decis să răsplătească website-urile care folosesc criptări SSL.
Deci, oficial vorbind, dacă ai SSL pe website, vei avea un mic avantaj SEO. Pentru ca totul să fie în regulă iar tu să beneficiezi de acest avantaj, website-ul tău trebuie să dețină un certificat SSL valid.
Un website cu certificat SSL expirat sau setat greșit este mai rău decât un website fără SSL!
Deși conexiunea este în continuare criptată, browser-ul va vedea website-ul ca invalid. Un certificat invalid ar putea însemna că cineva încearcă să pretindă că este altcineva. Browser-ul, în cazul de față Google Chrome, va afișa un avertisment.
Dacă vrei totuși să vizitezi un website al cărui certificat este suspect, poți da click pe ‘Avansat’ (Advanced) și apoi pe ‘Continuă către website’ (Proceed to www.website.com).
Chiar dacă administratorul website-ului pur și simplu a uitat să reactualizeze certificatul și conexiunea este în continuare securizată, un astfel de mesaj descurajează absolut orice utilizator. Arată exact ca „VIRUS, nu intra!”.
Pe de altă parte, un website securizat va afișa un lăcățel verde în zon de URL a browser-ului, ca la seoproject.ro.
În acest articol vei afla exact ce înseamnă o conexiune criptată, ce este și cum funcționează un certificat SSL și, desigur, cum să instalezi un certificat SSL gratuit pe website-ul tău. Citește-l până la final, deoarece migrarea de la HTTP la HTTPS poate fi periculoasă pentru SEO.
Cum funcționează criptarea informațiilor
Pe scurt, este vorba despre criptarea/codarea informațiilor transmise de la un utilizator la altul.
Criptarea reprezintă codarea unei informații pentru ca aceasta să nu poată fi citită decât de părțile dorite, adică de expeditor și destinatar.
Metoda prin care mesajul a fost criptat se numește cifru. Doar cei care cunosc cifrul vor putea decripta o informație codată cu cifrul respectiv.
Criptarea informațiilor nu este ceva nou. Pe vremea Romei antice, Julius Caesar folosea un cifru pentru a comunica informații importante generalilor săi fără riscul ca acestea să fie citite de altcineva. Dacă cineva jefuia mesagerul sau acesta citea mesajul și îl transmitea altcuiva, tacticile de luptă ar fi fost compromise.
Cifrul lui Caesar era destul de simplu și presupunea înlocuirea unei litere din alfabet cu alta aflată la un anumit număr de litere distanță. De exemplu, dacă distanța decisă era de 3 litere, atunci D ar fi A, E ar fi B, F ar fi C și tot așa.
În zilele noastre, comunicațiile au loc des pe internet. Dacă folosești un router acasă și ai o parolă la acesta, router-ul va codifica conexiunea dintre acesta și dispozitivul de pe care te conectezi la internet. Oricine știe acea parola poate ști și toate activitățile tale online.
Într-un loc public, cum ar fi o cafenea, oricine poate afla parola router-ului și decoda mesajele. Tocmai din acest motiv, criptarea informațiilor trebuie făcută la nivel de browser web. Orice conexiune nesecurizată poate fi interceptată de un intermediar.
Problema cu criptarea informațiilor este tocmai codul de decriptare. Ambele părți trebuie să cunoască acest cod pentru a putea comunica.
Comunicarea acestui cod pe un canal nesecurizat ar însemna tocmai compromiterea întregului proces de criptare. Aici intervin certificatele SSL și criptările asimetrice.
Există astfel două tipuri de criptări:
- Criptarea simetrică: acest tip de criptare folosește același cifru atât pentru a cripta cât și pentru a decripta informația. Criptarea lui Julius Caesar e simetrică, iar cifrul este denumit cheie secretă. Aceasta trebuie știută doar de cele două părți care doresc să stabilească o comunicare securizată.
- Criptarea asimetrică: o criptare asimetrică conține două chei, A și B. O cheie va fi publică, iar una va rămâne privată. Informația criptată cu cheia A poate fi decriptată doar cu cheia B, iar informația criptată cu cheia B poate fi decriptată doar utilizând cheia A. Astfel, oricine poate trimite cuiva un mesaj, dar doar acea persoană îl poate decodifica. Vice-versa, dacă cineva postează un mesaj criptat cu cheia privată, toți ceilalți pot utiliza cheia publică pentru a fi siguri că mesajul este autentic. În spatele acestor chei stau ecuații matematice extrem de complexe. În varianta simplificată, se înmulțesc două numere prime, iar rezultatul este divizibil doar cu unul din cele două numere. Diferența este că numerele prime utilizate sunt extrem de mari.
Ce înseamnă SSL și certificat SSL
SSL este o prescurtare pentru Secure Sockets Layer. Etimologia este ceva mai complexă, mai tehnică și nu foarte interesantă.
Conexiunea SSL se desfășoară în două etape:
- Stabilirea autenticității
- Criptarea efectivă a datelor
Certificatul SSL are scopul de a demonstra autenticitatea entității (a website-ului) cu care utilizatorul încearcă să ia legătura. Aceste certificate sunt generate și semnate de autorități (companii precum Comodo) în domeniu, universal acceptate de mai multe browsere.
Utilizarea unui browser virusat sau neactualizat ar putea compromite întreg procesul de verificare a unui website, deoarece acesta ar putea accepta certificate false.
Semnăturile autorităților sunt generate utilizând criptografie asimetrică, ceea ce înseamnă că nu pot fi falsificate.
Atunci când ceri unei autorități să genereze un certificat SSL, aceasta trebuie să verifice dacă ești deținătorul entității online în cauză. Există mai multe tipuri de verificări, mai simple și mai complexe. O verificare simplă este cea cu domeniul, în care primești un cod de confirmare pe o adresă de e-mail cu extensia domeniului tău. Odată ce s-a confirmat și înregistrat domeniul, se emite un certificat.
Uneori, cineva ar putea falsifica un certificat SSL verificat cu domeniul. De exemplu, ar putea avea acces la una din adresele de e-mail de pe server, cu care va confirma identitatea domeniului.
Un certificat cu verificare extinsă (EV SSL) necesită mult mai multe informații pentru a fi obținut, inclusiv documente de identitate. Aceste documente sunt apoi verificate și semnate de compania care emite certificatul. Există și cazuri de certificate EV SSL falsificate, chiar la Microsoft. În orice caz, aceste certificate false sunt extrem de greu de obținut și cel mai probabil au nevoie de ajutor din interiorul companiei.
Certificatele cu verificare extinsă sunt mai costisitoare, dar și mult mai eficiente. Cu un certificat cu verificare extinsă, pe lângă lăcățelul verde, în zona de URL a browser-ului se va afișa și numele companiei tale.
Poți genera și singur un certificat SSL gratuit din cPanel. Acestea se mai numesc și self-signed. Din păcate, certificatele selfsigned vor da aceeași eroare roșie în browser, deoarece nu sunt emise de autorități aprobate.
Ca entitate online, vei avea nevoie de un certificat SSL valid emis de o autoritate pentru a avea o conexiune SSL cu utilizatorii.
Odată ce certificatul a fost confirmat ca fiind autentic și de încredere, browser-ul și serverul de găzduire web ajung la o înțelegere, cunoscută sub numele de strângere de mână (hand shake).
În urma acestei strângeri de mână, se va genera un cifru de codare simetric. Certificatul SSL conține cheia publică a serverului. Astfel, Browser-ul poate utiliza acea cheie publică pentru a cripta și trimite serverului cifrul simetric de comunicare. Odată ajuns, mesajul este decriptat de către server folosind cheia privată, iar apoi comunicația poate avea loc utilizând cifrul simetric.
Cum obții un certificat SSL gratuit și cum îl instalezi
Nu de mult am reușit să instalez un certificat SSL gratuit.
Înainte de a obține HTTPS gratuit pentru website-ul nostru, trebuie să generăm un certificat și să setăm corect server-ul.
Pentru a face acest lucru vei avea nevoie de acces în zona cPanel a furnizorului de găzduire web. Acolo caută SSL/TLS > Certificate Signing Request.
Va trebui să completezi niște date despre website-ul tău înainte, printre care și domeniul web. După cei vei completa datele personale, se va genera un cod CSR (ce trebuie trimis autorității ce emite certificatul) și o cheie privată.
Desigur, cea mai bună variantă ar fi să achiziționezi un certificat plătit. Acesta vine cu asistență la instalare și, probabil, cu mai multe răsplăți mici de la Google.
Pentru a genera certificatul gratuit, poți utiliza Zero SSL (Let’s Encrypt), Comodo sau CloudFlare.
Certificate SSL gratuite de la Let’s Encrypt poți obține uneori și direct din cPanelul tău, dacă cei de la serverul de găzduire au setat și permit acest lucru. Caută o căsuța Let’s Encrypt SSL în zona de SSL/TLS din cPanel.
Dacă acea căsuță nu există, poți utiliza Zero SSL pentru a genera certificatul. Tot ce trebuie să faci este să introduci cererea CSR în căsuța marcată cu roșu și să dai click pe Next.
La pasul următor va trebui să demonstrezi că deții acel domeniu. Pentru a face acest lucru, ai două metode de verificare. Cea HTTP presupune încărcarea unui fișier pe server, iar cel DNS presupune crearea unui șir în zona de gestionare a domeniului web. Recomand verificarea HTTP. Este mai ușoară și foarte similară cu cea de la Google Analytics sau Search Console.
Nu uita să accepți termenii și condițiile ZeroSSL și Let’s Encrypt prin bifarea celor două căsuțe cu textul ‘Accept’.
Pentru Comodo, trebuie să dai click pe Free SSL, apoi să completezi informațiile. În prima căsuță trebuie să adaugi cererea CSR generată din cPanel. Certificatul va fi trimis prin e-mail, într-o arhivă.
După ce descarci arhiva, poți vedea certificatul cu click dreapta > Open with/Deschide cu > Notepad.
Odată ce certificatul este generat, întoarce-te în cPanel la SSL/TLS și caută Manage SSL Host sau Gestionare Gazde SSL. Acolo poți instala certificatul (ce conține cheia publică) și cheia privată.
Cu CloudFlare va trebui să schimbi în zona de gestionare a domeniului nameserverele serverului tău cu cele de la CloudFlare. Când creezi un cont, CloudFlare te ghidează pas cu pas. Din contul CloudFlare poți apoi activa extrem de ușor SSL doar cu un click. Website-ul tău va extrage apoi certificatele SSL gratuite direct din CloudFlare. Totul este automat. Poți găsi nenumărate tutoriale video pe YouTube despre acest subiect. Dacă nu te descurci, mă poți oricând contacta direct pe Facebook. SEOproject.ro folosește CloudFlare.
Dacă site-ul tău se află pe găzduire WordPress.com, atunci vei primi un certificat SSL gratuit de la Let’s Encrypt. Mai multe informații poți găsi aici.
Foarte important: Odată ce ai instalat certificatul, va trebui să setezi o redirecționare 301 de la orice URL cu HTTP la URL cu HTTPS. Procesul de migrare de la HTTP la HTTPS este complicat și riscant din punct de vedere SEO. Fără aceste redirecționări, Google va vedea URL-urile cu HTTP ca dispărute, iar pe cele cu HTTPS ca noi. De asemenea, va trebui să marchezi aceste modificări în Google Analytics și Search Console. Ia legătura cu un specialist înainte de a face această manevră. Dacă plănuiești să o faci singur, citește această listă.
Dacă ai WordPress, poți folosi un plugin numit Really Simple SSL pentru a face aceste redirecționări. Există plugin-uri și pentru alte platforme. Le puteți găsi pe Google.
Dacă ai o platformă personalizată, va trebui în orice caz să redirecționezi orice URL prin 301 de la varianta HTTP către varianta HTTPS. Poți face acest lucru utilizând fișierul .htaccess, dacă rulezi pe server Apache. Acest fișier îl găsești împreună cu toate celelalte fișiere ale website-ului tău, în directorul pulic_html. Nu uita să înlocuiești exemplu.ro cu domeniul tău.
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.exemplu.ro/$1 [R,L]
Singurul dezavantaj al conexiunilor SSL ar putea fi faptul că îți pot face website-ul ceva mai încet.
Adevărul este că atunci când utilizezi o conexiune SSL, viteza de încărcare a website-ului va scădea. E normal, din moment ce procesorul serverului trebuie acum să encripteze date, iar browser-ul trebuie să verifice autenticitatea la fiecare sesiune nouă.
Am observat clar viteze mai mici de încărcare atunci când folosesc CloudFlare. Totuși, efectul este nesemnificativ (0,1 sec). O conexiune sigură cu utilizatorii este mult mai importantă.
Procesul de instalare a certificatului SSL nu este deloc complicat. O conexiune securizată este esențială pentru creșterea sigură a afacerii tale online. Instalează și tu acum un certificat SSL gratuit pe website-ul tău, dacă variantele plătite ți se par prea costisitoare.