Перед тем как приступить к разбору темы - маленькое отступление: в январе 2017 года сайт перешел на безопасный протокол https (и вам советует). Также предлагаем и вам помощь в переезде на безопасный протокол . Зачем? Как это сделать? И какой период лучше всего выбрать? Вот об этом сейчас и расскажем.
В статье пойдет речь о переезде сайтов на безопасный протокол HyperText Transfer Protocol Secure (https) . Тема на сегодняшний день считается «заезженной» и рассмотрена на многих ресурсах, но от этого она не становится менее актуальной. Читатели нашего блога и постоянные клиенты часто интересуются - как переехать на https? Зачем мне переходить на https? Нужен ли https для моего сайта? Чтобы ответить на все вопросы разом и помочь тем, кто все еще не разобрался в вопросе, мы и написали эту статью.
Для начала давайте разберемся, что такое https? HyperText Transfer Protocol Secure - это безопасный расширенный протокол http с ключом шифрования для передачи данных или гипертекста (термин «гипертекст» был введен в 1965 американский социологом, философом и первооткрывателем в области информационных технологий Нельсоном, Теодором Холмом), примером гипертекста являются веб-страницы - документы HTML.
HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные механизмы SSL и TLS.
SSL - (secure sockets layer - уровень защищённых сокетов) - набор правил с более безопасной связью, регламентирующих применение шифровальных (криптографических) преобразований и алгоритмов в информационных процессах.
TLS - (Transport Layer Security - безопасность транспортного уровня) - протокол, основанный на спецификации протокола SSL версии 3.0. Хотя имена SSL и TLS взаимозаменяемы, они всё-таки отличаются, так как каждое описывает другую версию протокола.
С терминологией более менее разобрались, теперь переходим к тому, как заставить наш сайт работать на https.
Для того, чтобы заставить наш веб-сервер принимать и обрабатывать https-соединение, необходимо установить в систему SSL сертификат.
SSL сертификат - уникальная цифровая подпись вашего сайта, основанная на двух типах криптографических ключей - приват и паблик.
Публичный ключ не является секретным и он присутствует в запросе.
Приватный ключ располагается на вашем сервере и должен быть известен только вам.
Помимо паблик ключа, в сертификате содержатся также и другие сведения: версия, серийный номер, время действия сертификата, издатель и другие данные.
В частности, время действия сертификата очень важно. Браузеры не будут считать ключ валидным, если время действия ключа еще не наступило или (что случается чаще) уже закончилось.
Более подробную информацию об уже установленном на сайте сертификате вы можете посмотреть с помощью специальных сервисов, таких как:
https://www.ssllabs.com/ssltest/index.html - он передоставит расширенную техническую информацию о сертификате.
https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp - проверит, насколько верно установлен сертификат.
Что такое SSL сертификат и зачем он нужен вроде разобрались).
Теперь давайте разберем их типы по валидации:
Самоподписанный сертификат. Оговорюсь сразу, данный вид сертификата НЕ подойдет 99% пользователям. Плюс у данного сертификата один - цена (он совершенно бесплатен). Самый весомый минус - при переходе на ваш сайт из поисковой системы или по любому другому заходу пользователю будут показаны вот такие сообщения:
Цена: 0 руб.
Валидация по домену (Domain Validated) - SSL-сертификат, при оформлении которого производится только проверка доменного имени. Также данные сертификаты называют сертификатами начального уровня доверия. Подойдут практически 90% владельцев сайтов. Являются самыми распространенными. Подходят как физическим, так и юридическим лицам. Выдача данного сертификата, как правило, производится в течение суток.
Вид в адресной строке:
Цена: может колебаться от 800 руб./год до 3000 руб./год (хотя эта цифра не предел).
Валидация организации (Organization Validation) - сертификат с повышенной надежностью. При выдаче сертификата производится проверка компании, проверяется не только право владения доменом и принадлежность веб-сайта организации, но и существование компании как таковой. Доступен только юридическим лицам. При выдаче данного сертификата могут быть запрошены следующие документы: свидетельство ИНН/КПП, свидетельство ОГРН, свидетельство о регистрации доменного имени, и.т.д.
Вид в адресной строке:
Цена: может колебаться от 2000 руб./год до 35000 руб./год .
Расширенная валидация (Extended Validation) - сертификат с самым высоким уровнем аутентификации между всеми типами SSL сертификатов. Не подойдет 99% «смертных» из-за своей цены и способа проверки. Предназначен для крупных корпораций. Доступен только юридическим лицам. Зеленая адресная строка браузера отображает название компании и обеспечивает визуальное подтверждение безопасности вашего сайта.
Вид в адресной строке:
Цена: может колебаться от 12000 руб./год до 150000 руб./год .
Еще существует отдельный вид сертификатов, о котором нельзя не сказать - это сертификаты Wildcard . Данный вид сертификата стоит выбрать, если у вас структура сайта представлена в виде поддоменов. Или требуется защита передаваемой информации на субдоменах. На некоторых хостингах данный вид представлен в виде опции.
Цена: может колебаться от 1500 руб./год до 35000 руб./год .
Также для реализации https соединения на некоторых хостингах требуется оплата выделенного IP, цена которого может быть равна
1200 руб./год
.
Если у вас возникнут проблемы с установкой или выбором SSL сертификата, вы всегда можете обратиться к своей хостинг-компании или к нам (цена рассчитывается индивидуально).
Теперь давай разберем, для чего вы прочитали 5716 байт предыдущего текста, и ответим на вопрос - для чего нам нужно переходить на https.
Причин несколько и все весомые:
Подходим к завершающей части и ответу на вопрос - как корректно переехать на https с минимальными потерями.
Вот вроде и все. Если сомневаетесь, что справитесь своими силами, обращайтесь к нам . Посмотрим ваш сайт, сориентируем по стоимости и поможем с переездом.
При подготовке материала мы ориентировались на официальные источники Яндекса и Google. Однако, отмечу, что 20 марта 2017 г. в блоге Яндекса была опубликована новая информация по переезду на HTTPS . В связи с этим многим может показаться, будто Яндекс сообщает, о том, что нет необходимости соблюдать пункт №7 данной статьи. В материалах Яндекса это вопрос №4.
Однако обращаем ваше внимание, что в комментариях к этому же материалу Елена Першина (сотрудник компании Яндекс) отвечает Бакалову Игорю: «Редирект лучше настраивать, когда большая часть страниц http-версии будет исключена из поиска», что соответствует рекомендациям из пункту №7 настоящей статьи.
14 июля 2018 22 марта 2019 Просмотров: 14390В данном материале вы узнаете о том, как установить и настроить SSL-сертификат на Joomla и правильно перевести сайт на HTTPS-протокол. Рассмотрены возможные проблемы и приведены дополнительные действия, которые могут понадобиться при установке, а также после установки SSL на сайт.
SSL (Secure Sockets Layer, пер. уровень защищенных сокетов) - это криптографический протокол, который используется, чтобы обеспечить зашифрованное соединение между сайтом и браузером. SSL сертификат позволяет нам использовать HTTPS.
Важно понимать, что по умолчанию все наши сайты загружаются по протоколу HTTP (Hyper Text Transfer Protocol, пер. протокол передачи гипертекста). При этом данные не шифруются и могут быть перехвачены и использоваться третьими лицами.
Вы можете сказать: «Мне нечего скрывать, пускай за мной следят». Но давайте рассмотрим подробнее ряд важных преимуществ, которые вы получаете при использовании SSL.
1. Защита от перехвата
Если вы авторизуетесь на вашем сайте, используя публичный wi-fi (например, в кафе или метро), знайте, что в процессе соединения с вашим сайтом ваши данные могут быть перехвачены, а следовательно, вы можете потерять доступ к сайту (навсегда).
2. Защита клиентов
Первый пункт применим не только к вам как администратору, но и к клиентам. Другими словами у ваших клиентов могут украсть данные для авторизации с вашим сайтом. Поэтому все уважающие себя сайты используют защищенное соединение.
3. Высокие позиции в поисковой выдаче
Сайты, которые загружаются по https при прочих равных условиях получают более высокие позиции от поисковых систем.
4. Интеграции с сервисами
Для безопасности многие сервисы для интеграции с ними начинают требовать передачу данных по защищенному соединению. Следовательно, без наличия SSL сертификата вы не сможете работать с данными сервисами. Например, яндекс-касса, различные веб-пуш уведомления.
5. Визуальные характеристики.
У вашего сайта перед адресом появляется зеленый замочек, или название компании, что для знающих людей, говорит о защите данных, как следствие повышает доверие.
В скором будущем (2 - 3 года) протокол HTTP уйдет в небытие, как небезопасный протокол и будет только защищенное соединение.
Переходим к вопросу, как выбрать SSL-сертификат. С одной стороны, все просто купил сертификат и попросил хостинг-компанию установить сертификат на сайт. Но, есть ряд моментов. И первый - это выбор сертификата.
SSL сертификаты выпускает ряд компаний (Comodo, Geotrust, Symantec, Thawte) и есть разные уровни сертификатов. Давайте разберемся какой же сертификат нам выбрать.
По уровню доверия сертификаты бывают:
Self-Signed (самоподписанные) - это сертификат, который вы можете сгенерировать самостоятельно. Браузеры не доверяют таким сертификатам, поэтому при входе на сайт выдается предупреждение о сомнительной безопасности. При взломе такого сертификата вам никто не будет возмещать ущерб. Кроме этого, в некоторых ситуациях, повлекших ущерб третьих лиц, к вам могут быть применены особые штрафные санкции.
Trusted (доверительные) - выдаются специальными центрами сертификации. Сертификат проверяется в браузере автоматически. В случае взлома сертификата ответственность ложится на на центр сертификации.
Количество доменов.
Стандартные SSL сертификаты - выпускаются для защиты одного доменного имени.
Wildcard SSL сертификаты - позволяют активировать защиту для одного домена и множества поддоменов.
Язык.
Стандартные SSL сертификаты - подходят для всех доменов с латинскими буквами. Не подходят для кириллических доменов.
IDN сертификаты - создаются специально для национальных доменов, в нашем случае кириллических.
Брэнд и усиленная защита.
EV (extended validation) сертификаты - сертификаты с расширенной проверкой компании (позвонят по телефону, проверят юридическую информацию). Данный сертификат отличается визуально от всех остальных. В строке браузера перед урл будет зеленая строка с названием вашей компании.
SGC сертификат - это самые мощные сертификаты из доступных на сегодня. Необходим для компаний среднего и крупного бизнеса, а так же если вы хотите хранить данные банковских карт клиентов на своем сайте.
Краткий итог по выбору сертификата.
Рассмотрим общие ключевые особенности по приобретению и установке.
Важные моменты по покупке:
Для подтверждения требуется электронный адрес вида [email protected] или [email protected]
Никакие другие почтовые ящики вы указать не сможете, поэтому если у вас еще на домене не заведен один из указанных адресов, то создайте.
После оплаты на E-mail придут данные, которые нужно отправить хостинг-провайдеру, а именно:
Всю установку сертификата к домену проделает хостинг компания.
Устанавливать SSL и переводить сайт на https можно как на прежнем IP-адресе, так и на выделенный (отдельный).
Т.е. можно остаться на прежнем IP-адресе, можно получить новый.
Преимущество нового IP-адреса в том, что он закреплен только за вашим доменом, как следствие у него по умолчанию хорошая карма и в случае с рассылками с сайта вероятно попасть в спам в ненужный момент сильно уменьшается.
Выделенный IP , как правило, платный: стоимость уточняйте у своего хостера.
После установки SSL-сертификата ваш сайт будет открываться как по протоколу http , так и по протоколу https . Протокол по умолчанию всегда http , если принудительно не назначен https .
Что значит нормальная работа по https?
Это когда сайт загружается корректно и у названия сайта горит зеленый значок (во всех браузерах кроме Safari , в этом браузере просто серый замок).
Если же на вашем сайте не все изображения загружаются по протоколу https или найдены другие, вышеперечисленные ошибки, то будет вот такой значок.
Нормальная работа сайта по https предполагает:
Поэтому сейчас переходим к настройке Joomla для соблюдения всех необходимых условий.
Опцию force_ssl не обязательно изменять напрямую в файле конфигурации: можно зайти в панель управления Joomla (Система → Общие настройки , вкладка Сервер , раздел Настройки сервера ) и выбрать соответствующее значение для опции Включить SSL :
При этом измениться значение опции force_ssl в файле конфигурации Joomla .
Важно знать:
В настройках некоторых компонентов (VirtueMart, JoomShopping ) также есть опция по включению SSL для редиректа на https страниц данных компонентов.
При правильной настройке сервера и корректной установке SSL-сертификата опция Включить SSL (force_ssl в файле конфигурации) обеспечивает нормальную работу сайта на Joomla по https : все подключаемые файлы и внутренние ссылки будут работать по защищенному протоколу, а при запросе страниц по протоколу http будет происходить редирект на https .
Если приведенные выше действия не обеспечили нормальную работу Joomla по протоколу https , то опробуйте следующие методы:
В конец файла .htaccess добавляем следующую строку кода:
SetEnvIf X-SSL-Emu on HTTPS=on
Добавляем в конец файла configuration.php следующую строчку:
$_SERVER["HTTPS"] = "on";
Получится вот так:
Этот хак должен обеспечить работу сайта по https , но содержимое файла будет обновляться при каждом изменении конфигурации, и указанную выше строчку придется дописывать вновь.
Открываем файл .htaccess и прописываем следующий код для главного редиректа при запросе вашего сайта через строку браузера.
Код размещаем после строки RewriteEngine On :
RewriteCond %{HTTPS} off
RewriteRule ^(abc/def|ghi)(.*)/?$ https://%{HTTP_HOST}%{REQUEST_URI}
Сейчас ваш сайт всегда будет открываться по протоколу https и будет загружаться со всеми стилями, скриптами и изображениями.
Но! Осталось проделать еще 2 важных пункта.
Если на странице вашего сайта будут найдены изображения, которые загружаются не по протоколу https , то зеленого значка около названия вашего сайта не видать. Сам сертификат при нажатии на него будет говорить, что не все элементы грузятся по безопасному протоколу. В этом случае проверяем и исправляем.
По умолчанию, все картинки, которые вы вставляете через формы вставок картинок или через визуальный редактор автоматически меняют свой протокол загрузки и за них переживать не стоит.
Но есть изображения, путь которые вставлены в HTML-код и к ним указан абсолютный путь. Вот у таких изображений нужно в пути вместо http:// написать https:// .
Изображения могут быть как в текстах, модулях, так и неправильно прописаны, например, в файлах стилях вашего шаблона.
На будущее, если вы хотите указать абсолютный путь (полный) к файлу, то прописываем без указания протокола, например //site.ru/images/photo.jpg
Если на вашем сайте есть формы на подписку, то в коде формы меняем URL , на который будут передаваться данные.
В результате нам нужно проверить все страницы сайта и, при необходимости дописать букву у обозначения протокола.
Как искать изображения, которые загружаются не по https?
Важно знать:
Если часть страниц вашего сайта будет загружаться правильно, а часть неправильно, то у вас возникнут проблемы с авторизацией: авторизовавшись на правильной странице и перейдя на неправильную, авторизация сбрасывается и наоборот. В определенных случаях вы не сможете добавлять материалы.
После того, как будет обеспечена нормальная работа страниц сайта по протоколу Https , необходимо осуществить следующие действия:
Это важный момент в отношении SEO : для поисковых систем сайт, доступный по разным протоколам, будет считаться разными сайтами, что может создать проблемы для продвижения сайта. Чтобы исключить такие проблемы, необходимо воспользоваться соответствующими инструментами поисковых систем:
Заходим в Яндекс.Вебмастер , ставим соответствующую галочку:
Заходим в robots.txt и дописываем директиву host: https://site.ru
В Google Search Console необходимо будет добавить новый сайт с протоколом https , предварительно подтвердив права на него предложенными сервисом способами.
Обязательно следует проверить карту сайта на то, что все ссылки начинаются c протокола https .
Если вы делали редиректы через Redj или RSSEO , то проверьте и подправьте, чтобы конечный адрес был с https .
Дополнительная защита админки Joomla 3
Восстановление пароля администратора в Joomla 3
SSL-сертификат (https-протокол) Joomla
Akeeba Backup : резервное копирование сайта Joomla
Права на файлы и папки в Joomla 3.x
Наличие SSL-сертификата на сайте позволяет значительно повысить безопасность и конфиденциальность информации, передаваемой между сайтом (сервером) и клиентом (браузером), путем использования криптостойкого алгоритма шифрования.
«Замок» и приставка https в адресной строке выступают в роли своеобразного маяка для потенциальных клиентов вашего, например, интернет-магазина. Посетители подобных сайтов могут быть уверены в том, что их персональные и конфиденциальные данные (например, ФИО, адрес доставки, номер и CVV2 код кредитной карты) не попадут в руки злоумышленников, что станет весомым аргументом в пользу выбора именно вашей площадки.
Также SSL может быть использован для организации внутренней сети предприятия, особенно в тех случаях, когда офисы и подразделения удалены друг от друга и связаны между собой посредством сети Интернет.
Использование SSL на сайте является весомым показателем для поисковых систем, которые отдают таким площадкам приоритет в поисковой выдаче.
Работа защищенного протокола базируется на связке типа «запрос-ответ» между сайтом и браузером клиента:
Современные сервисы (удостоверяющие центры) по выдаче SSL-сертификатов для сайта предлагают варианты, предназначенные для:
Каждый веб-мастер может заказать SSL-сертификат на срок от 1 до 3 лет. Важно понимать, что датой активации сертификата является день его выпуска, а не день заказа. Это говорит о том, что, например, заказав сертификат для своего домена 1 февраля 2017 года, вы получили его только 12 февраля (проверка всех документов отняла какое-то время). Это значит, что днем начала действия SSL-сертификата является 12 февраля 2017 года, а днем окончания - 11 февраля 2018.
Вы являетесь владельцем онлайн-магазина? Занимаетесь электронной коммерцией? Вы получаете конфиденциальную информацию от клиентов или передаете ее другим с помощью сайта? Просто хотите подтолкнуть свой проект поближе к топу поисковой выдачи Google или Яндекс? Тогда SSL-сертифицирование сайте - это то, что нужно. Как говорится, must have.
В некоторых ситуациях одна из сторон сделки не может или считает нецелесообразным исполнять свои обязательства, либо осуществлять имеющиеся права. В таком случае договорные отношения требуют корректировки, что возможно сделать, оформив соглашение о замене стороны в договоре.
В таком документе должны быть следующие пункты:
Во всём остальном стороны руководствуются нормами действующего законодательства.
При оформлении документа сторонам следует учитывать положения главы 24 ГК РФ . Там содержатся нормы, которые регулируют порядок перехода прав кредитора, либо обязанности должника к другому лицу.
Обратите внимание! При переходе всего комплекса прав и обязанностей, предусмотренного договором (передача договора), сделка должна соответствовать нормам как 1-го параграфа, так и 2-го.
Права кредитора могут свободно передаваться без наличия согласия должника. Данное положение не действует в случае, когда обязательство тесно связано с личностью лица. Не передаётся право получения алиментных выплат, компенсаций за ущерб, причинённый жизни или здоровью человека.
Передача обязанности может производиться только при наличии согласия кредитора, кроме случаев, прямо установленных законом.
Замена стороны может производиться на различных этапах исполнения договора:
Схожая ситуация наблюдается, когда речь идёт о долгосрочных отношениях. Например, при исполнении поставочного договора с периодическими отгрузками товара, когда характеристики партии согласовываются в отдельной спецификации. После поставки и оплаты договор находится в «режиме ожидания».
Перед подписанием соглашения стороны должны достигнуть трёхсторонних договорённостей;
Обратите внимание! В договоре может быть предусмотрен запрет такого перехода прав. В таком случае потребуется заключение полноценного соглашения.
Уступка требования без согласия должника чаще всего производится в случаях наличия проблем с исполнением обязательств. Другая сторона сделки может быть извещена как прежним участником правоотношений, так и нынешним. При этом необходимо представить доказательство перехода права, например, копию соответствующего договора;
Соглашение о замене лица в договоре следует подписывать в любом случае, даже если переход права не предусматривает обязательного согласия другой стороны. Это позволит избежать недопонимания между партнёрами и возможных судебных разбирательств.
Автономная некоммерческая организация «Региональный Сетевой Информационный Центр» (АНО «РСИЦ») в лице ____________________________________________________________, действующего на основании _____________________________________________________________, с одной стороны, Акционерное общество «Региональный Сетевой Информационный Центр» (ЗАО «РСИЦ») в лице Генерального директора Молибога Николая Петровича, действующего на основании Устава, со второй стороны, и
(название организации)
именуемый (ая) в дальнейшем «Заказчик», в лице
(должность, ФИО)
действующего на основании ______________________, с третьей стороны, совместно именуемые Стороны заключили настоящее трехстороннее Соглашение о нижеследующем:
1. АНО «РСИЦ» добровольно и с согласия двух других Сторон настоящего Соглашения снимает с себя все права и обязанности АНО «РСИЦ» по выполнению Договора № ________________ / NIC-D от «__» ________ 20__ г.
(далее - Договор), заключенного между АНО «РСИЦ» и
(название организации)
и передает вышеназванные права и обязанности АО «РСИЦ» с даты акцепта условий настоящего Соглашения Заказчиком согласно условиям п.6 настоящего Соглашения.
2. АО «РСИЦ» добровольно и с согласия двух других Сторон настоящего Соглашения принимает на себя все права и обязанности АНО «РСИЦ» по исполнению Договора, а также права требования за оказанные, но не оплаченные услуги АНО «РСИЦ» по вышеуказанному Договору, с даты акцепта условий настоящего Соглашения Заказчиком согласно п.7 настоящего Соглашения.
3. Заказчик поручает АНО «РСИЦ» передать в АО «РСИЦ» денежные средства, уплаченные Заказчиком в счет оказания услуг по вышеуказанному Договору и не использованные АНО «РСИЦ» в счет оказания услуг на дату акцепта условий настоящего Соглашения Заказчиком согласно п.6 настоящего Соглашения.
4. Заказчик поручает АНО «РСИЦ» передать поддержку всех доменных имен, зарегистрированных по договору № ________________ / NIC-D от «__» ________ 20__ г. Регистратору АО «РСИЦ»
5. АНО «РСИЦ» обязуется передать в АО «РСИЦ» всю документацию, необходимую для исполнения вышеуказанного Договора, в день акцепта условий настоящего Соглашения Заказчиком согласно п.6 настоящего Соглашения.
6. Все три Стороны настоящего Соглашения добровольно согласились считать акцептом настоящей оферты:
6.1. Нажатие Заказчиком кнопки, подтверждающей выбор даты акцепта в разделе «Для клиентов» на веб-сервере Исполнителя (при этом Заказчик может (вправе) оформить Соглашение в простой письменной форме и направить его в адрес АНО «РСИЦ» и АО «РСИЦ» посредством выбранного им способа связи:почтовой, телефонной, электронной или иной).
6.2. Подписание Заказчиком текста настоящего Соглашения.
6.3. Наличие заказа на любую из услуг, предоставляемых по Договору на дату 01.06.2011 и последующие за ней даты.
6.4. Наличие заказа на продление действия любой из услуг, предоставляемых Заказчику по Договору на дату 01.06.2011 и последующие за ней даты.
6.5. Перечисление Заказчиком денежных средств для зачисления на Личный счет договора.
7. Все три Стороны настоящего Соглашения договорились:
7.1. Датой акцепта, полученного от Заказчика согласно п.6.1. настоящего Соглашения, считать дату, выбранную Заказчиком в разделе «Для клиентов» на веб-сервере Исполнителя.
7.2. Датой акцепта, полученного от Заказчика согласно п.6.2. настоящего Соглашения, считать дату, указанную последней из сторон Соглашения в тексте настоящего Соглашения. Текст подписанного Заказчиком Соглашения Заказчик обязуется направить в адрес АНО «РСИЦ» и ЗАО «РСИЦ» посредством выбранного им способа связи: почтовой, телефонной, электронной или иной.
