Zabezpieczanie witryny za pomocą protokołu HTTPS

Chroń swoją witrynę i użytkowników

Co to jest protokół HTTPS?

HTTPS (HyperText Transfer Protocol Secure) to internetowy protokół komunikacyjny chroniący integralność i poufność danych przesyłanych między komputerem a witryną. Użytkownicy oczekują, że będą mogli korzystać z witryn internetowych w sposób bezpieczny i z zachowaniem prywatności. Zachęcamy do stosowania protokołu HTTPS, by chronić połączenia użytkowników z witryną niezależnie od jej zawartości.

Przesyłane za pomocą protokołu HTTPS dane chroni protokół TLS (Transport Layer Security), który ma trzy główne warstwy zabezpieczeń:

  1. Szyfrowanie – przesyłane dane są szyfrowane, co zapobiega ich odczytaniu przez intruzów. Gdy użytkownik przegląda witrynę, nikt nie może przechwytywać prowadzonych przez niego rozmów, śledzić jego działań na różnych stronach ani wykradać jego informacji.
  2. Integralność danych – wykrywane są wszystkie celowe lub inne zmiany i uszkodzenia danych podczas przesyłania.
  3. Uwierzytelnianie – potwierdza, że użytkownik komunikuje się z właściwą witryną. Chroni ono przed atakami typu „man in the middle” i wzbudza zaufanie użytkowników, co przekłada się na różne korzyści biznesowe.

Sprawdzone metody wdrażania protokołu HTTPS

Używaj sprawdzonych certyfikatów bezpieczeństwa

Gdy wprowadzasz protokół HTTPS w witrynie, musisz uzyskać certyfikat bezpieczeństwa. Wystawia go urząd certyfikacji, który wcześniej zweryfikuje, czy adres internetowy faktycznie należy do Twojej organizacji. Certyfikat chroni Twoich klientów przed atakami typu „man in the middle”. Podczas konfigurowania certyfikatu wybierz klucz 2048-bitowy, by maksymalnie zwiększyć bezpieczeństwo. Jeśli masz już certyfikat ze słabszym kluczem (1024-bitowym), przejdź na wersję 2048-bitową. Przy wyborze certyfikatu witryny pamiętaj o tych wskazówkach:

  • Certyfikat uzyskaj od wiarygodnego urzędu certyfikacji, który oferuje pomoc techniczną.
  • Zdecyduj, jakiego rodzaju certyfikatu potrzebujesz:
    • Pojedynczy certyfikat do zabezpieczenia jednego adresu (np. www.example.com).
    • Certyfikat do zabezpieczenia wielu domen o określonych adresach (np. www.example.com, wnd.example.com, example.com.pl).
    • Certyfikat z symbolem wieloznacznym do zabezpieczenia adresu z wieloma dynamicznymi subdomenami (np. a.example.com, b.example.com).

Używaj przekierowań 301 po stronie serwera

Przekierowuj użytkowników i wyszukiwarki do strony lub zasobu HTTPS, korzystając z przekierowań HTTP 301 po stronie serwera.

Zadbaj, by Googlebot mógł indeksować Twoje strony HTTPS

  • Nie blokuj dostępu do stron HTTPS instrukcjami w pliku robots.txt.
  • Nie stosuj metatagów noindex na stronach HTTPS.
  • Użyj funkcji Pobierz jako Google, by sprawdzić, czy Googlebot ma dostęp do Twoich stron.

Stosuj mechanizm HSTS

Zalecamy, by witryny HTTPS obsługiwały mechanizm HSTS (HTTP Strict Transport Security). HSTS informuje przeglądarkę, że ma ona automatycznie ładować strony używające protokołu HTTPS – nawet wtedy, gdy w pasku adresu użytkownik wpisze http. Informuje też wyszukiwarkę Google, że w wynikach wyszukiwania ma podawać bezpieczne adresy URL. Wszystko to zmniejsza ryzyko udostępniania niezabezpieczonych treści użytkownikom.

Aby umożliwić działanie funkcji HSTS, korzystaj z serwera, który ją obsługuje, i włącz ją.

HSTS zwiększa bezpieczeństwo, ale komplikuje cofanie zmian. Zalecany sposób wdrażania tego mechanizmu:

  1. Najpierw opublikuj strony HTTPS bez HSTS.
  2. Zacznij stosować nagłówki HSTS z niską wartością parametru max-age. Przyjrzyj się, jak wygląda natężenie ruchu ze strony użytkowników i klientów oraz jak działają obiekty zależne, takie jak reklamy.
  3. Stopniowo zwiększaj wartość parametru HSTS max-age.
  4. Jeśli mechanizm HSTS nie obniża komfortu obsługi witryny ani działania przeglądarek, poproś o dodanie strony do listy wstępnego ładowania HSTS, z której korzysta większość najpopularniejszych przeglądarek.

Zastanów się, czy warto wdrożyć wstępne ładowanie HSTS

Jeśli korzystasz z HSTS, możesz włączyć obsługę wstępnego ładowania HSTS, by zwiększyć bezpieczeństwo i przyśpieszyć działanie witryny. Aby włączyć wstępne ładowanie, musisz wejść na hstspreload.org i spełnić warunki dotyczące witryny.

Pamiętaj o typowych problemach

Gdy zabezpieczasz witrynę protokołem TLS, unikaj tych błędów:

Problem Działanie
Wygasłe certyfikaty Pamiętaj, by certyfikat zawsze był aktualny.
Certyfikat zarejestrowany dla niewłaściwej nazwy witryny Sprawdź, czy Twój certyfikat obejmuje wszystkie nazwy hosta obsługiwane przez witrynę. Jeśli na przykład certyfikat uwzględnia tylko witrynę www.example.com, użytkownik, który wpisze adres example.com (bez przedrostka „www.”), nie będzie mógł otworzyć strony z powodu niezgodności z nazwą wskazaną w certyfikacie.
Brak obsługi rozszerzenia SNI (Server Name Indication) Upewnij się, że serwer internetowy i przeglądarki użytkowników obsługują rozszerzenie SNI. Wszystkie nowoczesne przeglądarki są zgodne z SNI, jednak na potrzeby tych starszych musisz utworzyć specjalny adres IP.
Problemy z dostępem robotów W pliku robots.txt nie blokuj robotom dostępu do witryny HTTPS.
Problemy z indeksowaniem Gdy to tylko możliwe, zezwalaj wyszukiwarkom na indeksowanie stron w witrynie. Unikaj stosowania metatagu noindex.
Stare wersje protokołów Stare wersje protokołu mają luki w zabezpieczeniach. Upewnij się, że masz najnowsze biblioteki protokołu TLS.
Różne poziomy zabezpieczeń Na stronach HTTPS umieszczaj tylko treści HTTPS.
Inna zawartość wersji HTTP i HTTPS Upewnij się, że wersje HTTP i HTTPS witryny mają taką samą zawartość.
Błędy kodu stanu HTTP w witrynie HTTPS Sprawdź, czy witryna zwraca prawidłowy kod stanu HTTP. Na przykład 200 OK w przypadku dostępnych stron, a 404 lub 410 w przypadku tych, które nie istnieją.

Dodatkowe wskazówki

Przeczytaj artykuł omawiający najczęstsze pytania dotyczące migracji do protokołu HTTPS. Zawiera on więcej wskazówek na temat umieszczania stron HTTPS w witrynie.

Migracja z protokołu HTTP do HTTPS

Google traktuje migrację witryny z protokołu HTTP do HTTPS jako przeniesienie witryny ze zmianą adresu URL. Może to przejściowo wpłynąć na niektóre statystyki ruchu. Więcej informacji znajduje się na stronie opisującej przenoszenie witryny.

Dodaj usługę HTTPS do Search Console. Search Console odróżnia witryny HTTP od HTTPS, dlatego dane dla tych usług nie są wspólne. Jeśli Twoja witryna obejmuje strony korzystające z obu tych protokołów, w Search Console musisz przypisać usługi każdej z nich.

Więcej informacji

Więcej szczegółów na temat wdrażania protokołu TLS w witrynie:

Czy ten artykuł był pomocny?
Jak możemy ją poprawić?