• Страница 1 из 20
  • 1
  • 2
  • 3
  • 19
  • 20
  • »
Модератор форума: Yuri_G, ilia_halupko  
Защищаем свой сайт с помощью HTTPS
Модератор форума
Сообщение # 1 | 16:39:53


Центры Sectigo и DigiCert сообщили, что вынуждены прекратить работу с рядом стран, в том числе с Россией.

Наша компания не рекомендует клиентам из России и владельцам сайтов в доменной зонах .RU, .SU, .РФ и .BY приобретать SSL-сертификаты Sectigo, DigiCert, RapidSSL, Thawte SSL, GeoTrust, Zerossl.


SSL для сайтов uCoz Работа сайта по протоколу HTTPS важна для обеспечения безопасности передачи данных, позитивно воспринимается поисковыми системами и часто является необходимым требованием для сайтов различных государственных органов.


Теперь владельцы сайтов получают возможность прикрепить к своему сайту SSL-сертификат, что позволит активировать для него работу по протоколу HTTPS.

Подключение SSL-сертификата доступно как для сайтов с прикрепленным доменом, так и для использующих системный домен. О том, как приобрести и прикрепить SSL-сертификат, вы сможете узнать в этой статье.

* Если вы владелец сайта с собственным доменом и хотите, чтобы сайт работал по протоколу HTTPS, вам необходимо приобрести SSL-сертификат. Для сайтов, которые не имеют своих доменов и зарегистрированы в зонах .ucoz.com, .ucoz.ru, .ucoz.net, .at.ua и .3dn.ru, приобретать сертификат не нужно. Он подключится автоматически!

Что такое протокол HTTPS и зачем он нужен сайту?

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS.


Опишем всё более подробно и простыми словами. Когда вы делаете что-либо в интернете, например, заходите на какой-то сайт или загружаете в социальную сеть фотографию, вы инициируете обмен данными между вашим компьютером и сервером. В большинстве случаев этот обмен данными происходит по протоколу HTTP. Такой удобный и привычный всем способ передачи данных обладает одним довольно серьезным недостатком — отсутствием шифрования данных на пути следования информации от вашего компьютера к серверу. Это не очень критично для таких действий, как простая загрузка сайта в вашем браузере, но очень важно в тех случаях, когда передаются действительно важные, конфиденциальные данные, такие как логин, пароль или, например, номер кредитной карты. Так как передаваемые данные на пути своего следования к серверу могут проходить через десятки различных промежуточных узлов, отсутствие шифрования может привести к краже данных, если хотя бы один из этих узлов контролируется злоумышленниками.

Схематически это выглядит так:



Использование HTTPS с точки зрения SEO

Так как HTTPS обеспечивает повышенную защищенность данных, это благосклонно воспринимается поисковыми системами. В частности, Google учитывает использование HTTPS при ранжировании.

“Яндекс” напрямую не говорит о том, что учитывает данный фактор, но в то же время перевел большинство своих сервисов для веб-мастеров (а также API) на работу по HTTPS. Вероятно, в будущем поисковые системы будут отдавать большее предпочтение именно сайтам, работающим по защищенному протоколу.

Подробнее о новом функционале и его особенностях

Для настройки HTTPS-протокола и загрузки собственных сертификатов появился дополнительный пункт в настройках безопасности сайта.






Где купить SSL-сертификат?

Вы можете приобрести нужный вам сертификат у любого издателя сертификатов.


Какой сертификат нужен для моего сайта?

Для большинства сайтов достаточно обычного Domain Validation Certificate. Такой сертификат подтверждает только домен и имеет упрощенную процедуру выпуска.


Что делать после покупки сертификата?

После окончания выпуска сертификата вам необходимо сохранить у себя на компьютере выданный вам издателем сертификата файл приватного ключа (c расширением .key) и файлы самих сертификатов (как правило, с расширением .crt). Это обычные текстовые файлы. Содержимое этих файлов необходимо скопировать и вставить в соответствующие поля в разделе "Подключение сертификата SSL", сохранив настройки.


Подготовка к переходу на HTTPS

Для того, чтобы начать переход на HTTPS, еще перед сменой протокола рекомендуем вам абсолютные внутренние ссылки на сайте заменить на относительные.
Относительные ссылки бывают двух типов:

1. Относительные вне зависимости от домена

https://blog.ucoz.ru/updates/ssl/ — абсолютная.
/updates/ssl/ — относительная.

2. Относительные вне зависимости от протокола.

https://blog.ucoz.ru/updates/ssl/ — абсолютная
//blog.ucoz.ru/updates/ssl/ — относительная

Необходимо использовать ссылки последнего вида, когда вы исключаете название протокола. Таким образом, не важно, на HTTP ваш сайт или на HTTPS, он будет всегда ссылаться на страницы с тем же протоколом. Обратите внимание, что мы говорим про внутренние ссылки, так как внешние сайты могут вовсе не поддерживать HTTPS, поэтому ссылки на них мы оставляем как и были.

Если у вас несколько связанных проектов или поддоменов одного сайта, и все из них вы переводите на HTTPS, то относительная структура ссылок поможет правильной индексации поисковыми системами и верному перенаправлению пользователей.

— Исправление вложений медиа-контента

Проверьте, какой медиа-контент (изображения, видео, презентации, и др.) вы используете у себя на сайте и по какому протоколу его запрашиваете. Здесь необходимо тоже все перевести в относительные адреса, и тогда при переходе на HTTPS у вас медиа-контент также будет подгружаться с защищенных сайтов. Но стоит убедиться, что он действительно доступен по HTTPS.

Если используемые вами картинки хранятся на вашем сайте, то просто используйте относительные адреса //example.com/img/mega-image.jpg. Если вы подгружаете картинки с внешних ресурсов (CDN или других сайтов), то они также должны поддерживать HTTPS, иначе стоит отказаться от этих вложений.

Популярные сервисы, которые позволяют внедрять свой контент, типа YouTube, SlideShare, виджеты VK или Facebook, и другие, уже давно поддерживают HTTPS, поэтому с ними проблем не возникнет. Но если вы используете медиа-контент с непопулярных сервисов, то уточните, будет ли этот контент работать/отображаться, если вы смените протокол.

— Исправление подключений внешних скриптов

Во внешних скриптах также нужно использовать относительные URL. Например, для библиотеки jQuery, вместо кода:

Код
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>


Нужно использовать:

Код
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>



Как проверить, что мой сайт работает по HTTPS?

После успешного прикрепления сертификатов ваш сайт будет открываться по ссылке https://домен_моего_сайта. В адресной строке рядом с сайтом появится изображение замка:



Для проверки корректности установки SSL-сертификата мы рекомендуем использовать сервис sslshopper.com.

Чтобы проверить правильность установки:

1 Перейдите по ссылке.
2 Введите имя вашего домена и нажмите Check SSL.
3 При корректной установке SSL-сертификата вы увидите примерно такой результат:



В некоторых случаях результаты проверки кэшируются и отображаются устаревшие данные. Об этом свидетельствует текст под строкой поиска. Чтобы получить актуальную информацию об установке SSL-сертификата, перейдите по ссылке clicking here и пройдите CAPTCHA-тест:




Нужно ли включать редирект с HTTP на HTTPS?

Мы настоятельно рекомендуем не отключать на постоянной основе опцию "Перенаправлять с HTTP на HTTPS", так как это может иметь негативные SEO-последствия для сайта. Данную опцию можно выключать только в том случае, когда вам необходимо внести какие-либо правки в код сайта для его корректной работы с HTTPS.

Зачем нужна опция "Запретить HTTP для подключаемых ресурсов"?

Эта опция позволит вам запретить использование вашими пользователями ссылок на изображения (например, в комментариях), которые не могут быть загружены по протоколу HTTPS.

Купить SSL сертификат


Прикрепления: 9762730.png (1.1 Kb) · 6066306.png (52.4 Kb) · 5972288.png (101.1 Kb) · 8112343.png (10.7 Kb)
Rostislav
Сообщений: 2396
Репутация: 591

Сообщение # 2 | 16:39:53


SSL для сайтов uCoz Работа сайта по протоколу HTTPS важна для обеспечения безопасности передачи данных, позитивно воспринимается поисковыми системами и часто является необходимым требованием для сайтов различных государственных органов.


Теперь владельцы сайтов получают возможность прикрепить к своему сайту SSL-сертификат, что позволит активировать для него работу по протоколу HTTPS.

Подключение SSL-сертификата доступно как для сайтов с прикрепленным доменом, так и для использующих системный домен. О том, как приобрести и прикрепить SSL-сертификат, вы сможете узнать в этой статье.

* Если вы владелец сайта с собственным доменом и хотите, чтобы сайт работал по протоколу HTTPS, вам необходимо приобрести SSL-сертификат. Для сайтов, которые не имеют своих доменов и зарегистрированы в зонах .ucoz.com, .ucoz.ru, .ucoz.net, .at.ua и .3dn.ru, приобретать сертификат не нужно. Он подключится автоматически!

Что такое протокол HTTPS и зачем он нужен сайту?

HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS.


Опишем всё более подробно и простыми словами. Когда вы делаете что-либо в интернете, например, заходите на какой-то сайт или загружаете в социальную сеть фотографию, вы инициируете обмен данными между вашим компьютером и сервером. В большинстве случаев этот обмен данными происходит по протоколу HTTP. Такой удобный и привычный всем способ передачи данных обладает одним довольно серьезным недостатком — отсутствием шифрования данных на пути следования информации от вашего компьютера к серверу. Это не очень критично для таких действий, как простая загрузка сайта в вашем браузере, но очень важно в тех случаях, когда передаются действительно важные, конфиденциальные данные, такие как логин, пароль или, например, номер кредитной карты. Так как передаваемые данные на пути своего следования к серверу могут проходить через десятки различных промежуточных узлов, отсутствие шифрования может привести к краже данных, если хотя бы один из этих узлов контролируется злоумышленниками.

Схематически это выглядит так:



Использование HTTPS с точки зрения SEO

Так как HTTPS обеспечивает повышенную защищенность данных, это благосклонно воспринимается поисковыми системами. В частности, Google учитывает использование HTTPS при ранжировании.

“Яндекс” напрямую не говорит о том, что учитывает данный фактор, но в то же время перевел большинство своих сервисов для веб-мастеров (а также API) на работу по HTTPS. Вероятно, в будущем поисковые системы будут отдавать большее предпочтение именно сайтам, работающим по защищенному протоколу.

Подробнее о новом функционале и его особенностях

Для настройки HTTPS-протокола и загрузки собственных сертификатов появился дополнительный пункт в настройках безопасности сайта.






Где купить SSL-сертификат?

Вы можете приобрести нужный вам сертификат у любого издателя сертификатов.


Какой сертификат нужен для моего сайта?

Для большинства сайтов достаточно обычного Domain Validation Certificate. Такой сертификат подтверждает только домен и имеет упрощенную процедуру выпуска.


Что делать после покупки сертификата?

После окончания выпуска сертификата вам необходимо сохранить у себя на компьютере выданный вам издателем сертификата файл приватного ключа (c расширением .key) и файлы самих сертификатов (как правило, с расширением .crt). Это обычные текстовые файлы. Содержимое этих файлов необходимо скопировать и вставить в соответствующие поля в разделе "Подключение сертификата SSL", сохранив настройки.


Подготовка к переходу на HTTPS

Для того, чтобы начать переход на HTTPS, еще перед сменой протокола рекомендуем вам абсолютные внутренние ссылки на сайте заменить на относительные.
Относительные ссылки бывают двух типов:

1. Относительные вне зависимости от домена

https://u.to/-CHRFQ — абсолютная.
/updates/ssl/ — относительная.

2. Относительные вне зависимости от протокола.

https://u.to/-CHRFQ — абсолютная
//blog.ucoz.ru/updates/ssl/ — относительная

Необходимо использовать ссылки последнего вида, когда вы исключаете название протокола. Таким образом, не важно, на HTTP ваш сайт или на HTTPS, он будет всегда ссылаться на страницы с тем же протоколом. Обратите внимание, что мы говорим про внутренние ссылки, так как внешние сайты могут вовсе не поддерживать HTTPS, поэтому ссылки на них мы оставляем как и были.

Если у вас несколько связанных проектов или поддоменов одного сайта, и все из них вы переводите на HTTPS, то относительная структура ссылок поможет правильной индексации поисковыми системами и верному перенаправлению пользователей.

— Исправление вложений медиа-контента

Проверьте, какой медиа-контент (изображения, видео, презентации, и др.) вы используете у себя на сайте и по какому протоколу его запрашиваете. Здесь необходимо тоже все перевести в относительные адреса, и тогда при переходе на HTTPS у вас медиа-контент также будет подгружаться с защищенных сайтов. Но стоит убедиться, что он действительно доступен по HTTPS.

Если используемые вами картинки хранятся на вашем сайте, то просто используйте относительные адреса //example.com/img/mega-image.jpg. Если вы подгружаете картинки с внешних ресурсов (CDN или других сайтов), то они также должны поддерживать HTTPS, иначе стоит отказаться от этих вложений.

Популярные сервисы, которые позволяют внедрять свой контент, типа YouTube, SlideShare, виджеты VK или Facebook, и другие, уже давно поддерживают HTTPS, поэтому с ними проблем не возникнет. Но если вы используете медиа-контент с непопулярных сервисов, то уточните, будет ли этот контент работать/отображаться, если вы смените протокол.

— Исправление подключений внешних скриптов

Во внешних скриптах также нужно использовать относительные URL. Например, для библиотеки jQuery, вместо кода:

Код
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>


Нужно использовать:

Код
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>



Как проверить, что мой сайт работает по HTTPS?

После успешного прикрепления сертификатов ваш сайт будет открываться по ссылке https://домен_моего_сайта. В адресной строке рядом с сайтом появится изображение замка:



Для проверки корректности установки SSL-сертификата мы рекомендуем использовать сервис sslshopper.com.

Чтобы проверить правильность установки:

1 Перейдите по ссылке.
2 Введите имя вашего домена и нажмите Check SSL.
3 При корректной установке SSL-сертификата вы увидите примерно такой результат:



В некоторых случаях результаты проверки кэшируются и отображаются устаревшие данные. Об этом свидетельствует текст под строкой поиска. Чтобы получить актуальную информацию об установке SSL-сертификата, перейдите по ссылке clicking here и пройдите CAPTCHA-тест:




Нужно ли включать редирект с HTTP на HTTPS?

Мы настоятельно рекомендуем не отключать на постоянной основе опцию "Перенаправлять с HTTP на HTTPS", так как это может иметь негативные SEO-последствия для сайта. Данную опцию можно выключать только в том случае, когда вам необходимо внести какие-либо правки в код сайта для его корректной работы с HTTPS.

Зачем нужна опция "Запретить HTTP для подключаемых ресурсов"?

Эта опция позволит вам запретить использование вашими пользователями ссылок на изображения (например, в комментариях), которые не могут быть загружены по протоколу HTTPS.
Прикрепления: 9762730.png (1.1 Kb) · 6066306.png (52.4 Kb) · 5972288.png (101.1 Kb) · 8112343.png (10.7 Kb)

Сообщение отредактировал webanet - Четверг, 07 Мар 2019, 20:45:06
Coder
Сообщений: 138
Репутация: 76

Сообщение # 3 | 20:59:23
Ничего понять не могу, вроде сделал как написано в инструкциях, все установил, очистил все внутренние ссылки сайта (пока правда на морде сайта), придав им вид, что бы выдавали https, однако, что Опера, что Мазила "ругаются" - пишут мол, что некоторые изображения не защищены.

Замок с желтым треугольником в Мазиле https://kosmos-x.net.ru/

Если убрать почти весь контент, то появляется замок с серым треугольником https://kosmos-x.net.ru/index/virtualnyj_polet_na_lunu/0-85

Ну а если убрать все, то все - полная защита https://kosmos-x.net.ru/index/chat/0-90

ps Может у меня третьего глаза нет(((
Сообщение отредактировал Coder - Понедельник, 15 Авг 2016, 20:59:57
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 4 | 21:25:35
Coder, в меню сайта пропустили ссылку
Цитата
<a href="http://astro.kosmos-x.net.ru/" target="_blank"><span>Энциклопедия юного астронома </span></a>

форма входа
Цитата
http://login.uid.me/?site=0astra-mental&ref='+escape(

Новости космоса на главной странице Яндекса там яндекс фейс и контакт прописаны так
http: хотя все имеют адреса https
далее копирайт юкоз тоже с http
далее ваши счетчики ливы топ майл. они тоже http
это все урожай с этой страницы https://kosmos-x.net.ru/index/virtualnyj_polet_na_lunu/0-85

на главной вас подвел мини чат, а именно это чужая вашему сайту и не защищенная картинка http://s27.ucoz.net/img/icon/profile.png

для главной актуален урожай с предыдущей страницы+две ссылки в чате

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 5 | 21:37:38
webanet, то есть надо выдирать с сайта все, даже внешние ссылки с http? Кстати, у счетчиков лайфа, топ майла, рамблера, соеденения без https)))
Цитата webanet ()
http://s27.ucoz.net/img/icon/profile.png
Это родной сервер, и не я эти картинки в код запихал)))

Кстати, я маху дал, вы смотрели неправильно на страницу https://kosmos-x.net.ru/index/virtualnyj_polet_na_lunu/0-85 , так как там была заглушка от гостей
Сообщение отредактировал Coder - Понедельник, 15 Авг 2016, 21:46:59
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 6 | 21:47:01
Coder,
Цитата
то есть надо выдирать с сайта все, даже внешние ссылки с http?
да
Цитата
Это родной сервер, и не я эти картинки в код запихал)))
так замените в виде материала чата на это https://kosmos-x.net.ru/.s/img/icon/profile.png можно без выделенного синим

теперь смотрю правильно на странице и вижу
Код
<!-- begin of Top100 code -->
<script id="top100Counter" type="text/javascript" src="http://counter.rambler.ru/top100.jcn?1799934"></script><noscript><img src="http://counter.rambler.ru/top100.cnt?1799934" alt="" width="1" height="1" border="0"/></noscript>
<!-- end of Top100 code -->
плюс копирайт юкоз
поэтому надпись зеленая, но с предупреждением. вот так
Прикрепления: 0026178.jpg (38.6 Kb)

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 7 | 21:48:27
Да с этим я понял, еще ответьте, что тут не так.

Цитата Coder ()
Кстати, я маху дал, вы смотрели неправильно на страницу https://kosmos-x.net.ru/index/virtualnyj_polet_na_lunu/0-85 , так как там была заглушка от гостей
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 8 | 21:54:47
Coder, ответила выше с картиночкой

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 9 | 21:59:57
Цитата webanet ()
Coder, ответила выше с картиночкой
Но что то блокируется? )))) Просто интересно, я впервые столкнулся с этим и хочу разобраться, да и другим будет полезно, верно? Нужно стремится к совершенству)
Сообщение отредактировал Coder - Понедельник, 15 Авг 2016, 22:00:48
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 10 | 22:01:34
Coder, выше картиночки я дала код того что блокируется. ваш рамблер блокируется и копирайт

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 11 | 22:03:14
webanet, ладно с рамблером разберусь, так как давно планировал убрать его, а вот что делать с копирайтом?
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 12 | 22:04:47
Coder, с копирайтом в службу поддержки

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 13 | 22:08:43
Что то вот только не сходится, вот смотрите, тут https://kosmos-x.net.ru/index/chat/0-90 копирайт есть, но соединение безопасное)). Несмторя на то что он в формате http
Прикрепления: 0676389.jpg (7.7 Kb)
Сообщение отредактировал Coder - Понедельник, 15 Авг 2016, 22:11:42
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 14 | 22:15:46
Coder, уберите с этой страницы код рамблера временно https://kosmos-x.net.ru/index/virtualnyj_polet_na_lunu/0-85
как предположение на этой странице нет хтмл разметки. а именно боди. вроде как браузер считает, что на странице нет контента.

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Coder
Сообщений: 138
Репутация: 76

Сообщение # 15 | 05:49:21


Все , почти все сделал, не знаю как насчет счетчика рамблера, я его снес моментально, так как давно хотел, но эффект меня удивил. Начал пошагово подключать блоки и оказалось, что в мини чате мешают кнопки управления (залил на фтп), а внизу, счетчик топ майл - не знаю, чем он не приглянулся, лайф и метрика не мешают. Ссылка на поддомен в формате http://astro.kosmos-x.net.ru/ тоже проходит на ура.

Добавлено (16 Авг 2016, 15:17:26)
---------------------------------------------
Заметил интересный баг, который самому никак не исправить (разве что автары отключить))). Если материал комментируют пользователи через аккаунты ВК и ОК, то подгружается оттуда автарка, которая имеет вид http, то есть защищенная страница не становится таковой. Или это не страшно???

Добавлено (24 Авг 2016, 05:49:21)
---------------------------------------------
Обнаружился еще один баг. Именно, при включенной галочке "запретить http подключамых ресурсов" кнопка "Вставить видео" работать отказывается (пишет "Подключение HTTP-ссылок небезопасно" ), соответственно ролики с Ютуба не вставить таким образом, несмотря на то, что они все https. Надо исправить.

Прикрепления: 9950958.jpg (67.8 Kb)
Сообщение отредактировал Coder - Вторник, 16 Авг 2016, 01:27:59
  • Страница 1 из 20
  • 1
  • 2
  • 3
  • 19
  • 20
  • »
Поиск: