A webhely védelme HTTPS protokollal

HTTPS használatával küldött adatok védelmét a Transport Layer Security (TLS) protokoll biztosítja, amely a védelem három kulcsfontosságú rétegét nyújtja:

1. Titkosítás: Az átadott adatok titkosításával biztonságba helyezi azokat a lehallgatóktól. Ez annyit tesz, hogy webhelyek böngészésekor senki sem „hallgathatja le” a felhasználó kommunikációját, nem követheti őt több oldalon keresztül, illetve nem lophatja el az adatait.
2. Adatok integritása – Az adatokat nem lehet módosítani vagy megfertőzni átvitel közben – történjen ez akár szándékosan, akár másként – anélkül, hogy a rendszer ezt érzékelné.
3. Hitelesítés – Bizonyítja, hogy a felhasználók a megfelelő webhellyel kommunikálnak. Védelmet nyújt a közbeékelődéses támadással szemben, és növeli a felhasználók bizalmát, ami más üzleti előnyöket von maga után.

A HTTPS használatának bevált módszerei

Robusztus biztonsági tanúsítványok használata

Ha engedélyezi webhelyén a HTTPS-t, a folyamat részeként biztonsági tanúsítványt kell beszereznie. A tanúsítványt egy tanúsítványkibocsátó (certificate authority, CA) nyújtja, amely ellenőrzi, hogy az internetes cím valóban az Ön szervezetéhez tartozik-e, így megóvja az Ön vásárlóit a beékelődéses támadásoktól. A tanúsítvány beállításakor 2048 bites kulcs kiválasztásával gondoskodhat a magas fokú biztonságról. Ha már rendelkezik egy gyengébb kulcsú (1024 bites) tanúsítvánnyal, frissítse azt 2048 bitesre. Webhelye tanúsítványának kiválasztásakor tartsa szem előtt a következőket:

• Megbízható CA-tól szerezze be tanúsítványát, amely műszaki segítségnyújtást is kínál.
• Döntse el, milyen tanúsítványra van szüksége:
  • Egyetlen tanúsítványra egy biztonságos forráshoz (pl. www.example.com).
  • Több domainre vonatkozó tanúsítványra több közismert, biztonságos forráshoz (pl. www.example.com, cdn.example.com, example.co.uk).
  • Univerzális tanúsítványra dinamikus aldomainekkel rendelkező, több biztonságos forráshoz (pl. a.example.com, b.example.com).

301-es szerveroldali átirányítások használata

A felhasználókat és keresőmotorokat 301-es szerveroldali HTTP-átirányítások segítségével irányíthatja át a HTTPS-oldalra vagy -erőforráshoz.

Annak ellenőrzése, hogy a Google végre tudja-e hajtani a HTTPS-oldalak feltérképezését és indexelését

• Ne blokkolja HTTPS-oldalait robots.txt fájlokkal.
• Ne helyezzen el noindex metacímkéket HTTPS-oldalain.
• A Megtekintés Google-ként funkció használatával ellenőrizze, hogy a Googlebot hozzáférhet-e oldalaihoz.

A HSTS támogatása

Javasoljuk, hogy HSTS (HTTP Strict Transport Security) eljárást támogató HTTPS-oldalakat használjon. A HSTS használata azt eredményezi, hogy a böngésző automatikusan HTTPS segítségével kéri le az oldalakat, még ha a felhasználó http előtagot is írt be a böngésző címsávjába. Ezenfelül megmondja a Google-nak, hogy biztonságos URL-eket adjon a keresési találatokban. Mindez csökkenti a nem biztonságos tartalom felhasználóknak történő kiadásával járó kockázatot.

A HSTS támogatásához olyan webszervert használjon, amely támogatja ezt az eljárást, illetve engedélyezze a funkciót.

Bár biztonságosabb, a HSTS révén visszaállítási stratégiája összetettebbé válik. Javasoljuk, hogy a HSTS engedélyezését a következő módon végezze el:

1. HTTPS-oldalait tegye először közzé HSTS nélkül.
2. Kezdjen küldeni rövid „max-age” értékű HSTS-fejléceket. Figyelje a felhasználók és más ügyfelek felől érkező forgalmat, továbbá a függő szolgáltatások, például a hirdetések teljesítményét.
3. Lassan csökkentse a HSTS „max-age” értékét.

4. Ha a HSTS nem befolyásolja kedvezőtlenül a felhasználókat és a keresőmotorokat, kérheti a webhely felvételét a legtöbb nagyobb böngésző által használt HSTS-előtöltési listára.