(+36-1) 452-0050
(+36-30) 585-5751
(+36-1) 452-0051
info@patronet.hu
1146 Budapest, Ajtósi Dürer sor 5.
(+36-1) 452-0050

A webhely védelme HTTPS protokollal

support.google.com @ 2018. július 12.

 

Mi az a HTTPS?

A HTTPS (Hypertext Transfer Protocol Secure) egy internetes kommunikációs protokoll, amely gondoskodik az adatok integritásáról és bizalmas kezeléséről a felhasználó számítógépe és a webhely között. A felhasználók a webhelyek használatakor biztonságos és privát internetes élményt várnak el. Javasoljuk, hogy alkalmazza a HTTPS protokollt annak érdekében, hogy a webhely tartalmától függetlenül védje a felhasználók és az Ön webhelye közötti kapcsolatokat.

HTTPS használatával küldött adatok védelmét a Transport Layer Security (TLS) protokoll biztosítja, amely a védelem három kulcsfontosságú rétegét nyújtja:

  1. Titkosítás: Az átadott adatok titkosításával biztonságba helyezi azokat a lehallgatóktól. Ez annyit tesz, hogy webhelyek böngészésekor senki sem „hallgathatja le” a felhasználó kommunikációját, nem követheti őt több oldalon keresztül, illetve nem lophatja el az adatait.
  2. Adatok integritása – Az adatokat nem lehet módosítani vagy megfertőzni átvitel közben – történjen ez akár szándékosan, akár másként – anélkül, hogy a rendszer ezt érzékelné.
  3. Hitelesítés – Bizonyítja, hogy a felhasználók a megfelelő webhellyel kommunikálnak. Védelmet nyújt a közbeékelődéses támadással szemben, és növeli a felhasználók bizalmát, ami más üzleti előnyöket von maga után.

A HTTPS használatának bevált módszerei

Robusztus biztonsági tanúsítványok használata

Ha engedélyezi webhelyén a HTTPS-t, a folyamat részeként biztonsági tanúsítványt kell beszereznie. A tanúsítványt egy tanúsítványkibocsátó (certificate authority, CA) nyújtja, amely ellenőrzi, hogy az internetes cím valóban az Ön szervezetéhez tartozik-e, így megóvja az Ön vásárlóit a beékelődéses támadásoktól. A tanúsítvány beállításakor 2048 bites kulcs kiválasztásával gondoskodhat a magas fokú biztonságról. Ha már rendelkezik egy gyengébb kulcsú (1024 bites) tanúsítvánnyal, frissítse azt 2048 bitesre. Webhelye tanúsítványának kiválasztásakor tartsa szem előtt a következőket:

  • Megbízható CA-tól szerezze be tanúsítványát, amely műszaki segítségnyújtást is kínál.
  • Döntse el, milyen tanúsítványra van szüksége:
    • Egyetlen tanúsítványra egy biztonságos forráshoz (pl. www.example.com).
    • Több domainre vonatkozó tanúsítványra több közismert, biztonságos forráshoz (pl. www.example.com, cdn.example.com, example.co.uk).
    • Univerzális tanúsítványra dinamikus aldomainekkel rendelkező, több biztonságos forráshoz (pl. a.example.com, b.example.com).

301-es szerveroldali átirányítások használata

A felhasználókat és keresőmotorokat 301-es szerveroldali HTTP-átirányítások segítségével irányíthatja át a HTTPS-oldalra vagy -erőforráshoz.

Annak ellenőrzése, hogy a Google végre tudja-e hajtani a HTTPS-oldalak feltérképezését és indexelését

  • Ne blokkolja HTTPS-oldalait robots.txt fájlokkal.
  • Ne helyezzen el noindex metacímkéket HTTPS-oldalain.
  • A Megtekintés Google-ként funkció használatával ellenőrizze, hogy a Googlebot hozzáférhet-e oldalaihoz.

A HSTS támogatása

Javasoljuk, hogy HSTS (HTTP Strict Transport Security) eljárást támogató HTTPS-oldalakat használjon. A HSTS használata azt eredményezi, hogy a böngésző automatikusan HTTPS segítségével kéri le az oldalakat, még ha a felhasználó http előtagot is írt be a böngésző címsávjába. Ezenfelül megmondja a Google-nak, hogy biztonságos URL-eket adjon a keresési találatokban. Mindez csökkenti a nem biztonságos tartalom felhasználóknak történő kiadásával járó kockázatot.

A HSTS támogatásához olyan webszervert használjon, amely támogatja ezt az eljárást, illetve engedélyezze a funkciót.

Bár biztonságosabb, a HSTS révén visszaállítási stratégiája összetettebbé válik. Javasoljuk, hogy a HSTS engedélyezését a következő módon végezze el:

  1. HTTPS-oldalait tegye először közzé HSTS nélkül.
  2. Kezdjen küldeni rövid „max-age” értékű HSTS-fejléceket. Figyelje a felhasználók és más ügyfelek felől érkező forgalmat, továbbá a függő szolgáltatások, például a hirdetések teljesítményét.
  3. Lassan csökkentse a HSTS „max-age” értékét.
  4. Ha a HSTS nem befolyásolja kedvezőtlenül a felhasználókat és a keresőmotorokat, kérheti a webhely felvételét a legtöbb nagyobb böngésző által használt HSTS-előtöltési listára.

 



« Vissza

Kapcsolódó anyagok

PatroNet Consulting Kft.

 

(+36-1) 452-0050

 

(+36-30) 585-5751

 

(+36-1) 452-0051

 

info--.at.--patronet.hu

1146 Budapest,
Ajtósi Dürer sor 5.
GPS: N 47° 30' 25.815"
E 19° 5' 11.4786"