Keresés
Keresés törlése
Keresés bezárása
Google-alkalmazások
Főmenü
true

A webhely védelme HTTPS protokollal

Megvédheti webhelyét és felhasználóit

Mi az a HTTPS?

A HTTPS (Hypertext Transfer Protocol Secure) egy internetes kommunikációs protokoll, amely gondoskodik az adatok integritásáról és bizalmas kezeléséről a felhasználó számítógépe és a webhely között. A felhasználók a webhelyek használatakor biztonságos és privát internetes élményt várnak el. Javasoljuk, hogy alkalmazza a HTTPS protokollt annak érdekében, hogy a webhely tartalmától függetlenül védje a felhasználók és az Ön webhelye közötti kapcsolatokat.

A HTTPS használatával küldött adatok védelmét a Transport Layer Security (TLS) protokoll biztosítja, amely a védelem három kulcsfontosságú rétegét nyújtja:

  1. Titkosítás: Az átadott adatok titkosításával biztonságba helyezi azokat a lehallgatóktól. Ez annyit tesz, hogy webhelyek böngészésekor senki sem „hallgathatja le” a felhasználó kommunikációját, nem követheti őt több oldalon keresztül, illetve nem lophatja el az adatait.
  2. Adatok integritása – Az adatokat nem lehet módosítani vagy megfertőzni átvitel közben – történjen ez akár szándékosan, akár másként – anélkül, hogy a rendszer ezt érzékelné.
  3. Hitelesítés – Bizonyítja, hogy a felhasználók a megfelelő webhellyel kommunikálnak. Védelmet nyújt a közbeékelődéses támadással szemben, és növeli a felhasználók bizalmát, ami más üzleti előnyöket von maga után.

A HTTPS használatának bevált módszerei

Robusztus biztonsági tanúsítványok használata

Ha engedélyezi webhelyén a HTTPS-t, a folyamat részeként biztonsági tanúsítványt kell beszereznie. A tanúsítványt egy tanúsítványkibocsátó (certificate authority, CA) nyújtja, amely ellenőrzi, hogy az internetes cím valóban az Ön szervezetéhez tartozik-e, így megóvja az Ön vásárlóit a beékelődéses támadásoktól. A tanúsítvány beállításakor 2048 bites kulcs kiválasztásával gondoskodhat a magas fokú biztonságról. Ha már rendelkezik egy gyengébb kulcsú (1024 bites) tanúsítvánnyal, frissítse azt 2048 bitesre. Webhelye tanúsítványának kiválasztásakor tartsa szem előtt a következőket:

  • Megbízható CA-tól szerezze be tanúsítványát, amely műszaki segítségnyújtást is kínál.
  • Döntse el, milyen tanúsítványra van szüksége:
    • Egyetlen tanúsítványra egy biztonságos forráshoz (pl. www.example.com).
    • Több domainre vonatkozó tanúsítványra több közismert, biztonságos forráshoz (pl. www.example.com, cdn.example.com, example.co.uk).
    • Univerzális tanúsítványra dinamikus aldomainekkel rendelkező, több biztonságos forráshoz (pl. a.example.com, b.example.com).

301-es szerveroldali átirányítások használata

A felhasználókat és keresőmotorokat 301-es szerveroldali HTTP-átirányítások segítségével irányíthatja át a HTTPS-oldalra vagy -erőforráshoz.

Annak ellenőrzése, hogy a Google végre tudja-e hajtani a HTTPS-oldalak feltérképezését és indexelését

  • Ne blokkolja HTTPS-oldalait robots.txt fájlokkal.
  • Ne helyezzen el noindex metacímkéket HTTPS-oldalain.
  • A Megtekintés Google-ként funkció használatával ellenőrizze, hogy a Googlebot hozzáférhet-e oldalaihoz.

A HSTS támogatása

Javasoljuk, hogy HSTS (HTTP Strict Transport Security) eljárást támogató HTTPS-oldalakat használjon. A HSTS használata azt eredményezi, hogy a böngésző automatikusan HTTPS segítségével kéri le az oldalakat, még ha a felhasználó http előtagot is írt be a böngésző címsávjába. Ezenfelül megmondja a Google-nak, hogy biztonságos URL-eket adjon a keresési találatokban. Mindez csökkenti a nem biztonságos tartalom felhasználóknak történő kiadásával járó kockázatot.

A HSTS támogatásához olyan webszervert használjon, amely támogatja ezt az eljárást, illetve engedélyezze a funkciót.

Bár biztonságosabb, a HSTS révén visszaállítási stratégiája összetettebbé válik. Javasoljuk, hogy a HSTS engedélyezését a következő módon végezze el:

  1. HTTPS-oldalait tegye először közzé HSTS nélkül.
  2. Kezdjen küldeni rövid „max-age” értékű HSTS-fejléceket. Figyelje a felhasználók és más ügyfelek felől érkező forgalmat, továbbá a függő szolgáltatások, például a hirdetések teljesítményét.
  3. Lassan csökkentse a HSTS „max-age” értékét.
  4. Ha a HSTS nem befolyásolja kedvezőtlenül a felhasználókat és a keresőmotorokat, kérheti a webhely felvételét a legtöbb nagyobb böngésző által használt HSTS-előtöltési listára.

Fontolja meg a HSTS-előtöltés használatát

Ha engedélyezi a HSTS-t, tetszés szerint támogathatja a HSTS-előtöltést is a fokozottabb biztonság és teljesítmény érdekében. Az előtöltés engedélyezéséhez látogasson el a hstspreload.org oldalra, és kövesse a webhelyére vonatkozó benyújtási követelményeket.

A gyakori buktatók elkerülése

Miközben webhelyét a TLS segítségével titkosítja, kerülje el a következő hibákat:

Probléma Művelet
Lejárt tanúsítvány Mindig ügyeljen arra, hogy tanúsítványa naprakész legyen.
A tanúsítványt nem a megfelelő webhely nevére regisztrálták Győződjön meg arról, hogy megszerezte a tanúsítványt minden szervernévhez, amelyet webhelye kiszolgál. Például, ha tanúsítványa csak a www.example.com címre vonatkozik, az example.com (a „www.” előtag nélkül) címet felkereső látogatókat letiltja az eltérő tanúsítványnév miatti hiba.
Szervernév-kijelzés (Server name indication, röviden SNI) támogatásának hiánya Győződjön meg róla, hogy webszervere támogatja az SNI-t, és hogy közönsége általánosságban támogatott böngészőket használ. Bár az SNI-t minden modern böngésző támogatja, Önnek dedikált IP-címmel kell rendelkeznie, ha régebbi böngészőket is támogatni szeretne.
Feltérképezéssel kapcsolatos hibák Ne tiltsa le a feltérképezést HTTPS-webhelyén a robots.txt fájl használatával.
Indexeléssel kapcsolatos hibák Ha lehetséges, tegye lehetővé oldalainak keresőmotorok általi indexelését. Kerülje a noindex metacímke használatát.
Protokollok régi verziói A protokollok régi verziói sebezhetők. Győződjön meg róla, hogy a TLS-könyvtárak legfrissebb, legújabb verzióival rendelkezik, és hogy a legújabb protokollverziókat valósítja meg.
Biztonsági elemek keveredése HTTPS-oldalakba csak HTTPS-tartalmat ágyazzon be.
Eltérő tartalom HTTP és HTTPS esetén Győződjön meg róla, hogy HTTP- és HTTPS-webhelye is ugyanazt a tartalmat nyújtja.
HTTP-állapotkód hibák HTTPS esetén Ellenőrizze, hogy webhelye a megfelelő HTTP-állapotkódokat adja-e vissza. Például 200 OK a hozzáférhető, illetve 404 vagy 410 a nem létező oldalaknál.

További tippek

A HTTPS áttelepítése – GYIK oldalon további tippeket talál arról, hogyan használhatók a HTTPS-oldalak a webhelyen.

Áttelepítés HTTP-ről HTTPS-re

Ha webhelyét HTTP-ről HTTPS-re telepíti át, a Google ezt URL-módosítással járó webhelyáthelyezésként kezeli. Ez ideiglenesen hatással lehet a forgalmát jellemző néhány számra. További információt a webhelyáthelyezés áttekintő oldalán talál.

Hozzáadhatja a HTTPS-tulajdonságot a Search Console-hoz. A Search Console külön kezeli a HTTP-t és a HTTPS-t, az ezekhez az adatokhoz tartozó tulajdonságok pedig nincsenek megosztva a Search Console-on. Így ha oldalai mindkét protokollal rendelkeznek, az egyes oldalakhoz külön Search Console-tulajdonságoknak kell tartozniuk.

További információ

Részletesebb információk a TLS webhelyén történő használatát illetően:

Hasznos volt ez a cikk?
Hogyan fejleszthetnénk?