HyperText Transfer Protocol (HTTP) to zestaw reguł, których używają przeglądarki do określania sposobu odczytywania i przenoszenia danych przez internet. Jeśli adres URL zawiera ciąg „http”, przeglądarka wie, że musi przestrzegać tego protokołu, aby wczytać stronę internetową.
Protokół HTTPS jest taki sam jak HTTP, ale informuje przeglądarkę, że ma zaszyfrować dane wymieniane ze stroną internetową. Szyfrowanie maskuje dane i zmniejsza ryzyko ich wyświetlenia lub manipulowania nimi. Jest to ważne, gdy strona zawiera dane wrażliwe, takie jak Twoje dane osobowe lub informacje finansowe.
Konfigurowanie protokołu HTTPS
Aby używać protokołu HTTPS z nazwą domeny, musisz zainstalować w swojej witrynie certyfikat SSL lub TLS. Twój dostawca hostingu witryn (dostawca usług hostingowych) może zapewniać protokół HTTPS. Możesz też poprosić urząd certyfikacji o certyfikat SSL/TLS i zainstalować go samodzielnie. Certyfikaty SSL/TLS mogą wymagać okresowego odnawiania.
Istnieją różne typy serwerów WWW. Każdy z nich stosuje własny proces instalowania i aktualizowania certyfikatów SSL/TLS. Musisz się dowiedzieć, z którego serwera WWW korzysta Twoja witryna, i postępować zgodnie z instrukcjami instalowania i aktualizowania certyfikatu.
Te usługi Google automatycznie konfigurują, instalują i odnawiają certyfikaty SSL/TLS bez dodatkowych kosztów:
Wielu zewnętrznych dostawców hostingu witryn także wydaje, instaluje i odnawia certyfikaty SSL/TLS. W Google Domains możesz korzystać z dowolnego dostawcy hostingu witryn, w tym Bluehost, Shopify, Squarespace, Weebly czy Wix.
Dowiedz się, jak połączyć się z usługą dostawcy hostingu witryn i skonfigurować protokół HTTPS
Jeśli Twój dostawca hostingu witryn nie oferuje zabezpieczeń HTTPS, możesz uzyskać certyfikat SSL/TLS dla swojej domeny z urzędu certyfikacji. Google ma własny urząd certyfikacji – Google Trust Services. W przypadku klientów korzystających z Google Domains certyfikat można uzyskać od Google Trust Services, wykonując instrukcje podane na stronie „Bezpieczeństwo” swojej domeny.
Innym popularnym urzędem certyfikacji, który udostępnia certyfikaty w trosce o zwiększanie bezpieczeństwa w internecie, jest Let's Encrypt.
Aby zainstalować certyfikat, po jego uzyskaniu musisz skontaktować się ze swoim dostawcą hostingu witryn. Jeśli hostujesz witrynę na własnych serwerach, dowiedz się, jak włączyć HTTPS. Jeśli do zarządzania certyfikatami używasz protokołu automatycznego środowiska zarządzania certyfikatami (ACME), możesz wykonać czynności opisane poniżej, aby zarządzać certyfikatami przy użyciu ACME i DNS.
Aby uzyskać certyfikat z Google Trust Services:
- Zaloguj się w Google Domains.
- Wybierz domenę, dla której chcesz uzyskać certyfikat.
- W lewym górnym rogu kliknij Menu
Zabezpieczenia.
- W sekcji „Certyfikaty SSL/TLS dla Twojej domeny” rozwiń sekcję „Google Trust Services”.
- Kliknij Pobierz klucz EAB.
- Otworzy się okno z 2 wartościami: „Identyfikator klucza EAB” i „Klucz HMAC EAB”.
- Skopiuj obie te wartości, klikając przyciski Kopiuj obok każdej z nich.
- Użyj tych 2 wartości, aby zarejestrować konto w urzędzie certyfikacji Google Trust Services. Każda implementacja klienta ACME różni się nieco co do sposobu podawania tego EAB. Zapoznaj się z dokumentacją klienta ACME, z którego chcesz korzystać.
- Oto przykład konfiguracji przy użyciu popularnego klienta ACME Certbot.
- Aby zarejestrować konto:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- Po utworzeniu konta możesz wystawiać certyfikaty, uruchamiając polecenie:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- Aby zarejestrować konto:
- Oto przykład konfiguracji przy użyciu popularnego klienta ACME Certbot.
- Otworzy się okno z 2 wartościami: „Identyfikator klucza EAB” i „Klucz HMAC EAB”.
Zarządzanie certyfikatami za pomocą ACME i DNS
Automatyczne środowisko zarządzania certyfikatami (Automatic Certificate Management Environment, ACME) to popularny protokół służący do automatyzacji zarządzania certyfikatami między urzędem certyfikacji i serwerem. Dzięki automatyzacji wielu użytkowników może zmniejszyć ryzyko przerw w działaniu usług spowodowanych brakiem odnowienia certyfikatów HTTPS.
Aby potwierdzić, że masz kontrolę nad nazwą domeny, protokół ACME stosuje wyzwania. Google Domains obsługuje na swoich serwerach DNS typ wyzwań DNS-01 przez wykorzystanie tokenów API.
Aby utworzyć token API:
- Zaloguj się w Google Domains.
- Wybierz domenę, której chcesz użyć.
- W lewym górnym rogu kliknij Menu
Zabezpieczenia.
- W sekcji „ACME DNS API” kliknij Utwórz token.
WAŻNE: ta wartość pojawia się tylko raz. Po zamknięciu okna nie będzie można ponownie znaleźć tego tokena API. Przechowuj ten token w bezpiecznym miejscu, ponieważ każdy, kto go ma, zyska możliwość modyfikowania niektórych rekordów DNS Twojej domeny.
- Otworzy się okno „Token API”.
- Musisz umieścić ten token API w swoim kliencie ACME.
- Aby skopiować tę wartość, kliknij przycisk Kopiuj obok tokena API.
- Jeśli ta wartość nie została zapisana przed zamknięciem okna, możesz łatwo usunąć token API i utworzyć nowy.
- W danej domenie może jednocześnie istnieć maksymalnie 10 tokenów API.
- Po zamknięciu okna rekord pojawi się na liście. W każdej chwili możesz usunąć ten token, aby odebrać mu dostęp.
- Token API może być używany w kliencie ACME obsługującym ACME DNS API Google Domains. Każda implementacja ACME różni się nieco co do sposobu podawania tokena API. Zapoznaj się z dokumentacją klienta ACME, z którego chcesz korzystać.
- Otworzy się okno „Token API”.
Zabezpieczanie certyfikatów SSL/TLS
HTTPS pomaga zapobiegać atakom typu „man in middle” (MitM), ale jeśli ktoś podszywa się pod Twój certyfikat SSL/TLS, ataki te są nadal możliwe. Aby temu zapobiec, warto sprawdzić certyfikaty wydane dla Twojej witryny, których nie rozpoznajesz. Możesz też ograniczyć uprawnienia do wystawiania certyfikatów dla Twojej domeny za pomocą rekordów zasobów autoryzacji urzędu certyfikacji (CAA).
Wyświetlanie certyfikatów wydanych dla Twojej domeny
Certyfikaty wystawione dla Twojej domeny możesz sprawdzać na stronie censys.io.