Az SSL tanúsítvány weboldalunk biztonságos működésének alapjait teremti meg. Megléte esetén nem csak, hogy valamennyi rangsorolási előnyt élvezhet honlapunk a Google keresőben, hanem egyúttal lehetővé tesszük, hogy a szerver és a kliens oldal egymással titkosítottan kommunikáljon, megakadályozva, hogy az oldalon megadott ügyfél adatok egy harmadik fél számára láthatóvá váljanak. Ez az eset állhat fenn például egy űrlap kitöltése esetén, vagy – ami biztonsági szempontból még nagyobb kockázatot jelent – bankkártya adatok megadásánál. Nem véletlen, hogy azon weboldalaknál, amelyeken online vásárlási lehetőség érhető el, kötelező az SSL tanúsítvány megléte.
Ez az opció azonban ne csak akkor legyen fontos számunkra, ha online értékesítünk: webergonómiai szempontból ugyancsak előnyt jelent, amennyiben honlaplátogatóink biztonságos felületre érkeznek, függetlenül attól, bekérünk-e valamilyen adatot a konverziós célig vezető út során. Ha biztonságos a weboldalunk, az cégünk komolyságát, megítélését is határozottan pozitívan befolyásolja – a cikk első felében arra is kitérek, hogyan tudod a tanúsítvány meglétét saját magad is ellenőrizni.
Az SSL tanúsítványok típusai
SSL tanúsítványok három altípusát különböztetjük meg: domain, vállalati, illetve kiterjesztett ellenőrzésű protokollt lehet honlapunkra telepíteni. Egyéni, kis- és középvállalkozások esetében 99%, hogy domain ellenőrzésű SSL (másnéven Let’s encrypt) tanúsítvány meglétére lesz Neked is szükséged, ezért ebben a cikkben ennek a teljesen ingyenesen kivitelezhető beállításain foglak végig vezetni. Ennek feltétele, hogy olyan tárhelyszolgáltatód legyen, ahol ez az opció valóban díjmentesen elérhető, mely ma már alapvető kritériumnak számít.
A vállalati és a kiterjesztett ellenőrzésű protokoll, ahogyan a nevében is benne van, nagyobb cégek, multinacionális vállalatok esetében lehet opció, melyek beállítása költséggel és némi papírmunkával is együtt jár.
Amennyiben még csak most tervezed új weboldalad elkészítését, a jelen cikkben írt infókra nem lesz szükséged, hiszen a mai modern, megbízható tárhelyszolgáltatóknál honlapodat még a fejlesztési fázist megelőzően, azonnal SSL tanúsítvánnyal láthatod el, azaz már a kezdetekkor biztonságos háttér rendszerben építheted weboldaladat.
Nézzük meg azonban, mi a teendőd akkor, ha most készülsz erre az átállásra: jelen cikkemben lépésről-lépésre vezetlek végig honlapod biztonságossá válásának folyamatán.
SSL tanúsítvány ellenőrzése
Honnan tudhatod, hogy weboldalad egyáltalán rendelkezik-e érvényes SSL tanúsítvánnyal? Az első lépés annak ellenőrzése, hogy a honlap betöltődik-e, amennyiben https-el próbálod azt elérni a https://www.domain.hu vagy https://domain.hu url címről attól függően, hogy eredetileg www-vel vagy anélkül használod azt. Amennyiben az oldalad betöltődik, és megjelenik a kis lakat a domain mellett, nyert ügyed van, mert honlapod biztonságos – így további teendőd nincsen. Ez esetben a lenti üzenetet fogod látni, feltéve, hogy Google Chrome böngészőt használsz:
Ugyanez Firefox alatt:
Ha Te nem ezt látod, akkor olvass tovább, és néhány percen belül a Te honlapod mellett is megjelenik az a bizonyos lakat, jelezve látogatóidnak, hogy biztonságos felületre érkeztek. 🙂 Az ingyenes tanúsítvány igénylését a legnépszerűbb cpanel, valamint a Médiacenter tárhelyszolgáltató felületén fogom bemutatni.
SSL tanúsítvány beállítása és telepítése Cpanel felületen
A Cpanel felületén válaszd a Biztonság – SSL/TLS Status opciót:
Az érkező oldalon kattints a „Run AutoSSL” lehetőségre:
A futtatást követően, lejjebb görgetve látni fogod, hogy az összes tartományod kizöldült, illetve a státusz is figyelmeztet arra, hogy érvényes tanúsítvánnyal rendelkezik az oldalad:
A lejárattal nem kell törődnöd, hiszen az AutoSSL automatikusan megújul a jövőben is, támogatva oldalad állandó biztonságát.
SSL tanúsítvány beállítása és telepítése a Médiacenter felületén
Amennyiben a Médiacenter a tárhelyszolgáltatód, az SSL tanúsítvány beállítása és telepítése szintén gyerekjáték, és pillanatok alatt elvégezhető! Lépj be ügyfélkapu felületeden, és keresd az „SSL, HTTPS:// BEÁLLÍTÁS” lehetőséget, válaszd ki a domainedet, pipáld be a feltételek létrehozását, és kattints a „Létrehoz” opcióra:
A módosítás 5 percen belül aktiválódik. Ennyire egyszerű! 🙂
Fontos kiegészítés, hogy az SSL aktiválását követően csak a fődomained kapja meg a tanúsítványt! Amennyiben weboldaladon aldomainekkel is rendelkezel – tehát például van https://aldomain.domain.hu oldalad – , azokra külön kell érvényesítened a https protokollt!
A fenti lépések végrehajtásával még nem történt meg automatikusan az átállás: a WordPress admin felületén Neked is lesz még pár feladatod ahhoz, hogy megkapd a biztonságos státuszt. Nézzük meg ezeket is sorban.
SSL tanúsítvány beállítása a WordPress admin felületén
A WordPress admin felületén keresd a Beállítások – Általános részt, és mind a „WordPress cím”, mind a „Honlap cím” elérésénél írd át a http-t https-re:
Ezt követően a rendszer azonnal kiléptet a vezérlőpultból, de aggodalomra semmi ok: ez így teljesen normális! 🙂 Bátran lépj vissza korábbi felhasználóneveddel és jelszavaddal, majd látni fogod, hogy az admin felületed már megkapta azt a bizonyos lakatot és a biztonságos jelzést.
A következő lépésben „közölnöd kell” a WordPressel, hogy már pedig ha valaki a jövőben felkeresi a weboldaladat, kizárólag a titkosított, https-sel kezdődő url-en legyen az elérhető.
Ehhez telepítened kell a WP Force SSL nevű bővítményt, amely a háttérben kényszeríti honlapod url-jeit az SSL átállásra. A WordPress admin felületén keresd a Bővítmények – Új hozzáadása opciót, és írd be a plugin nevét, telepítsd, majd kattints az aktiválásra. A folyamatot követően ezt fogod látni:
A bővítmény ugyan ritkán frissül, de ne aggódj, tökéletesen fog működni – bizonyítja ezt a plugin 5-ös átlagértékelése, illetve a 100.000 feletti bekapcsolt telepítés is. 🙂
Ha ezzel megvagy, nézd meg kívülről a weboldaladat! Ha minden oldalon ott van a kis lakat, akkor végére értél a folyamatnak. Nem kizárt azonban, hogy továbbra is a „Nem biztonságos” üzenetet látod.
Ez azért fordulhat elő, mert vannak még ún. „kevert-tartalmak” (mixed content) az oldalon, azaz bizonyos url-ek, képek még mindig a régi, http-s verziót használják. Ennek ellenőrzéséhez – Google Chrome böngészőt használva – F12-vel aktiváld a fejlesztői eszközöket, majd keresd a „Security” (Biztonság) fület! Az oldal F5-tel való újratöltését követően már látni is fogod a problémát:
Ennél az oldalnál a kapcsolat biztonságos, a tanúsítvány is rendben van, azonban a mixed content miatt egyelőre nem kaphatja meg az oldal a biztonságos jelzést. Bal oldalt (a képen nem látható) meg is találod a problémás url-eket, amiket javítanod kell.
Itt a megoldás egy újabb plugin, nevezetesen a Better Search Replace telepítése, amelyet ugyanúgy a Bővítmények – Új hozzáadása alatt fogod tudni telepíteni és aktiválni. Ezt a plugint kell keresned:
A cikk írása előtt 1 héttel frissült is a bővítmény, de ne ijedj meg, ha Te majd 2-3 hónapot látsz itt. Az előző pluginnel egyetemben viszonylag ez is ritkán frissül, de ezzel együtt is tökéletesen, stabilan működik – több mint 1 millió felhasználó nem tévedhet. 🙂
Ez a bővítmény az Eszközök – Better Search Replace alá települ, és működése során az a feladata, hogy megkeresse az adatbázisban lévő összes, még http alatt működő tartalmadat, és átírja azokat a biztonságos, https változatra. Nézzük, hogy itt milyen beállításokra lesz szükséged!
0. lépés: A program ajánlja, hogy végezz adatbázis mentést a futtatás előtt! Ha az én lépéseimet követed, nem lesz probléma, de biztos ami biztos, én is javaslok egy biztonsági mentést.
A Cpanel felületén ehhez kattins a Fájlok – Biztonsági mentésre:
Az új ablakban, lejjebb görgetve kattints az adatbázisod nevére, melyet követően meg is történik a letöltés. Ha bármi gond lenne, ugyanitt, a jobb oldali oszlopban tudod visszaállítani az előző változatot.
A Médiacenter ügyfélkapu felületén pedig keresd a „Napi mentések” opciót, és töltsd le a legfrissebbet – bár itt ezt követően is meg fogod találni őket, nem íródnak felül, így ha nem is készítesz biztonsági mentést, innen bármikor eléred régebbi adatbázisaidat.
Ha ezzel megvagy, nyisd meg a Better Search Replace bővítményt az Eszközökön belül, és nézzük a további lépéseket:
1. lépés: Add meg a bővítménynek, hogy keresse meg az összes https://-vel kezdődő tartalmadat.
2. lépés: Jelezd, hogy ezeket a biztonságos, https://-re szeretnéd cserélni. Fontos, hogy az 1-2. helyekre pontosan a fentieket írd be, mert csak így garantálható a hibamentes eredmény.
3. lépés: Jelöld ki azokat a táblákat, amelyeken szeretnéd elvégezni a cserét (alap esetben az összes kijelölhető, ha csak nem kezelsz több adatbázist egy helyen, ami nem célszerű!).
4. lépés: A „Run as dry run?” opció NE legyen bepipálva. Ha bent hagyod a pipát, és úgy indítod a folyamatot, akkor az adatbázis tábláid nem íródnak felül, csak egy képet kapsz arról, hány módosítást hajtott volna végre a program, ha élesben indítottad volna a cserét. Véleményem szerint teljesen felesleges ezt tesztelni, egyből mehet élesben!
Ha ezzel megvagy, többé semmi nem ment meg a lakattól! 🙂 Weboldalad biztonságos lett, ez által nagyobb bizalmat közvetítve látogatóidnak cégedről.
Előfordulhat azonban még így is, hogy főoldalad olykor-olykor http változattal tölt be. Ennek kiküszöbölésére, legutolsó lépésként weboldalad .htaccess fájlját kell módosítanod, amit FTP belépést követően, a főkönyvtárban érsz el.
Javaslom, hogy erről a fájlról is legyen biztonsági mentésed. Itt elegendő csak átmásolnod azt saját gépedre, hogy ha bármi probléma adódna, gond nélkül felül tudd majd írni a módosított fájlt az eredetivel.
Ha kész a biztonsági mentésed, módosítsd a fájlt jegyzettömbbel, vagy ami még jobb: az ingyenes Edit Plus editorral, amelyet innen tölthetsz le. Nagyon fontos, hogy ne Worddel hajtsd végre a módosítást, mert az belerakhat olyan egyéb, nem látható karaktereket a .htaccess fájlba, amelyek hibát okozhatnak honlapod működésében.
Megnyitva a fájlt, másold be az alábbi kódsort:
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Ügyelj arra, hogy ez a tartalom a .htaccess fájlon belül az <ifModule mod_rewrite.c> és az </ifModule> közé kerüljön.
Ezzel el is készültél weboldalad biztonságossá tételével, élvezd annak előnyeit! 🙂
Bízom benne, hogy ezzel a cikkel hasznos segítséget adtam számodra is, amennyiben még a folyamat előtt állsz. Egyúttal remélem, Téged is meggyőztelek arról, miért fontos, hogy weboldalad titkosított, https protokollt használjon látogatóid kiszolgálására. Ha Te is szeretnél egy modern, biztonságos, felhasználóbarát weboldalt, olvasd el céges wordpress weboldal készítés aloldalamat, és kérj személyre szabott ajánlatot honlapod kivitelezésére!