Keresés
Keresés törlése
Keresés bezárása
Google-alkalmazások
Főmenü

A webhely védelme HTTPS protokollal

Mi az a HTTPS?

A HTTPS (Hypertext Transfer Protocol Secure) egy internetes kommunikációs protokoll, amely gondoskodik az adatok integritásáról és bizalmas kezeléséről a felhasználó számítógépe és a webhely között. A felhasználók a webhelyek használatakor biztonságos és privát internetes élményt várnak el. Javasoljuk, hogy alkalmazza a HTTPS protokollt annak érdekében, hogy a webhely tartalmától függetlenül védje a felhasználók és az Ön webhelye közötti kapcsolatot.

A HTTPS használatával küldött adatok védelmét a Transport Layer Security protokoll (TLS) biztosítja, amely a védelem három kulcsfontosságú rétegét nyújtja:

  1. Titkosítás: Az átadott adatok titkosításával biztonságba helyezi azokat a lehallgatóktól. Ez annyit tesz, hogy webhelyek böngészésekor senki sem „hallgathatja le” a felhasználó kommunikációját, nem követheti őt több oldalon keresztül, illetve nem lophatja el az adatait.
  2. Adatok integritása – Az adatokat nem lehet módosítani vagy megfertőzni átvitel közben – történjen ez akár szándékosan, akár másként – anélkül, hogy a rendszer ezt érzékelné.
  3. Hitelesítés – Bizonyítja, hogy a felhasználók a megfelelő webhellyel kommunikálnak. Védelmet nyújt a közbeékelődéses támadással szemben, és növeli a felhasználók bizalmát, ami más üzleti előnyöket von maga után.

A HTTPS használatának bevált módszerei

Robusztus biztonsági tanúsítványok használata

Ha engedélyezi webhelyén a HTTPS-t, a folyamat részeként biztonsági tanúsítványt kell beszereznie. A tanúsítványt egy tanúsítványkibocsátó (certificate authority, CA) nyújtja, amely ellenőrzi, hogy az internetes cím valóban az Ön szervezetéhez tartozik-e, így megóvja az Ön vásárlóit a beékelődéses támadásoktól. A tanúsítvány beállításakor 2048 bites kulcs kiválasztásával gondoskodhat a magas fokú biztonságról. Ha már rendelkezik egy gyengébb kulcsú (1024 bites) tanúsítvánnyal, frissítse azt 2048 bitesre. Webhelye tanúsítványának kiválasztásakor tartsa szem előtt a következőket:

  • Megbízható CA-tól szerezze be tanúsítványát, amely műszaki segítségnyújtást is kínál.
  • Döntse el, milyen tanúsítványra van szüksége:
    • Egyetlen tanúsítványra egy biztonságos forráshoz (pl. www.example.com).
    • Több domainre vonatkozó tanúsítványra több közismert, biztonságos forráshoz (pl. www.example.com, cdn.example.com, example.co.uk).
    • Univerzális tanúsítványra dinamikus aldomainekkel rendelkező, több biztonságos forráshoz (pl. a.example.com, b.example.com).

301-es szerveroldali átirányítások használata

A felhasználókat és keresőmotorokat 301-es szerveroldali HTTP-átirányítások segítségével irányíthatja át a HTTPS-oldalra vagy -erőforráshoz.

Annak ellenőrzése, hogy a Google végre tudja-e hajtani a HTTPS-oldalak feltérképezését és indexelését

  • Ne blokkolja HTTPS-oldalait robots.txt fájlokkal.
  • Ne helyezzen el noindex metacímkéket HTTPS-oldalain.
  • A Megtekintés Google-ként funkció használatával ellenőrizze, hogy a Googlebot hozzáférhet-e oldalaihoz.

A HSTS támogatása

Javasoljuk, hogy HSTS eljárást támogató HTTPS-oldalakat használjon. A HSTS használata azt eredményezi, hogy a böngésző automatikusan HTTPS segítségével kéri le az oldalakat, még ha a felhasználó http előtagot is írt be a böngésző címsávjába. Ezenfelül megmondja a Google-nak, hogy biztonságos URL-eket adjon a keresési találatokban. Mindez csökkenti a nem biztonságos tartalom felhasználóknak történő kiadásával járó kockázatot.

A HSTS támogatásához olyan webszervert használjon, amely támogatja a HTTP Strict Transport Security (HSTS) eljárást. Ezt követően bekapcsolhatja a HSTS-t.

A HSTS révén visszaállítási stratégiája összetettebbé válik. Javasoljuk, hogy a HSTS engedélyezését a következő módon végezze el:

  1. HTTPS-oldalait tegye először közzé HSTS nélkül.
  2. Kezdjen küldeni rövid „max-age” értékű HSTS-fejléceket. Figyelje a felhasználók és más ügyfelek felől érkező forgalmat, továbbá a függő szolgáltatások, például a hirdetések teljesítményét.
  3. Lassan csökkentse a HSTS „max-age” értékét.
  4. Ha a HSTS nem befolyásolja kedvezőtlenül a felhasználókat és a keresőmotorokat, kérheti a webhely felvételét a Chrome HSTS előtöltési listájára.

A HSTS-előtöltés használatának mérlegelése 

Ha engedélyezi a HSTS-t, tetszés szerint támogathatja a HSTS-előtöltést is a fokozottabb biztonság érdekében. Ennek engedélyezéséhez állítsa be az includeSubDomains direktívát a HSTS-fejlécben. Az aldomainegyezés az alábbi módon működik: ha a www.example.com webhely egy HSTS-fejlécet jelenít meg includeSubdomains direktívával, a következő domainekkel fog egyezést mutatni:

Webhely URL-címe:
www.example.com
includeSubDomains = igaz
www.example.com Egyezés
foo.www.example.com Egyezés
example.com Nincs egyezés
foo.example.com Nincs egyezés

Az alábbi gyakori buktatók elkerülése

Miközben webhelyét a TLS segítségével titkosítja, kerülje el a következő hibákat:

Probléma Művelet
Lejárt tanúsítvány Mindig ügyeljen arra, hogy tanúsítványa naprakész legyen.
A tanúsítványt nem a megfelelő webhely nevére regisztrálták Győződjön meg róla, hogy a megfelelő gazdagépnévhez regisztrálta a tanúsítványt. Például ha a www.example.com címhez regisztrálta a tanúsítványt, webhelyét pedig úgy konfigurálta, hogy az example.com címet használja, akkor eltérő tanúsítványnév miatti hibát tapasztalhat.
Szervernév-kijelzés (Server name indication, röviden SNI) támogatásának hiánya Győződjön meg róla, hogy webszervere támogatja az SNI-t, és hogy közönsége általánosságban támogatott böngészőket használ. Bár az SNI-t minden modern böngésző támogatja, Önnek dedikált IP-címmel kell rendelkeznie, ha régebbi böngészőket is támogatni szeretne.
Feltérképezéssel kapcsolatos hibák Ne tiltsa le a feltérképezést HTTPS-webhelyén a robots.txt fájl használatával.
Indexeléssel kapcsolatos hibák Ha lehetséges, tegye lehetővé oldalainak keresőmotorok általi indexelését. Kerülje a noindex metacímke használatát.
Protokollok régi verziói A protokollok régi verziói sebezhetők. Győződjön meg róla, hogy a TLS-könyvtárak legfrissebb, legújabb verzióival rendelkezik, és hogy a legújabb protokollverziókat valósítja meg.
Biztonsági elemek keveredése HTTPS-oldalakba csak HTTPS-tartalmat ágyazzon be.
Eltérő tartalom HTTP és HTTPS esetén Győződjön meg róla, hogy HTTP- és HTTPS-webhelye is ugyanazt a tartalmat nyújtja.
HTTP-állapotkód hibák HTTPS esetén Ellenőrizze, hogy webhelye a megfelelő HTTP-állapotkódokat adja-e vissza. Például 200 OK a hozzáférhető, illetve 404 vagy 410 a nem létező oldalaknál.

További tippek

A HTTPS áttelepítése – GYIK oldalon további tippeket talál arról, hogyan használhatók a HTTPS-oldalak a webhelyen.

Áttelepítés HTTP-ről HTTPS-re

Ha webhelyét HTTP-ről HTTPS-re telepíti át, a Google ezt URL-módosítással járó webhelyáthelyezésként kezeli. Ez ideiglenesen hatással lehet a forgalmát jellemző néhány számra. További információt a webhelyáthelyezés áttekintő oldalán talál.

Hozzáadhatja a HTTPS-tulajdonságot a Search Console-hoz. A Search Console külön kezeli a HTTP-t és a HTTPS-t, az ezekhez az adatokhoz tartozó tulajdonságok pedig nincsenek megosztva a Search Console-on. Így ha oldalai mindkét protokollal rendelkeznek, az egyes oldalakhoz külön Search Console-tulajdonságoknak kell tartozniuk.

További információ

Részletesebb információk a TLS webhelyén történő használatát illetően:

Hasznos volt ez a cikk?
Hogyan fejleszthetnénk?