HTTPS и Amiro.CMSКак известно, HTTP — широко распространённый протокол клиент-серверной структуры передачи данных, изначально предназначенный для передачи гипертекстовых документов, то есть документов, которые могут содержать ссылки, позволяющие организовать переход к другим документам. Задача, которая традиционно решается с помощью протокола HTTP — обмен данными между пользовательским приложением, осуществляющим доступ к веб-ресурсам (обычно это веб-браузер) и веб-сервером. Нешифрованные пользовательские данные в СетиК сожалению, сам по себе протокол HTTP не предполагает использование шифрования для передачи информации. Например, при заходе в свой почтовый ящик через веб-браузер логин и пароль передаются на почтовый сервер в нешифрованном, открытом виде. Это означает, что злоумышленники при желании могут «перехватить» эти данные и воспользоваться ими для нанесения ущерба пользователю. Но для HTTP есть распространённое расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS – протокол HTTPS, который поддерживается всеми популярными браузерами и широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида man-in-the-middle. В наше время HTTPS обязателен для каждого веб-сайта: Chrome и Firefox недвусмысленно помечают как небезопасные веб-сайты с формами на страницах без HTTPS, плюс использование протокола влияет на позиции сайта в поисковой выдаче Google и, в конце концов, оказывает серьёзное влияние на приватность в целом. Так что переход на HTTPS становится весьма насущной задачей для пользователей сайтов и интернет-магазинов. Что даёт HTTPSКонфиденциальность В открытой среде, такой как Интернет, он защищает коммуникации между двумя сторонами. Например, в отсутствие HTTPS владелец точки доступа WiFi (в аэропорту, кафе, торговом центре) может видеть персональные данные, такие как кредитные карты, если пользователь этой точки доступа совершает покупки в онлайне. Целостность Он гарантирует, что информация достигнет адресата в полном и нетронутом виде. Например, владелец точки доступа WiFi может добавить дополнительную рекламу на открываемые пользователем сайты и даже подменять контент. HTTPS гарантирует, что веб-сайт не может быть изменён. Подлинность Он гарантирует, что веб-сайт в реальности является тем, за кого себя выдаёт: веб-сайт, который представляется как example.com, действительно является example.com. Некоторые сертификаты даже проверяют правовую идентичность владельца веб-сайта, так что несложно будет узнать, что yourbank.com принадлежит именно YourBank, Inc. Алгоритм перехода на HTTPS1. Получение и установка сертификатов Если вы ещё не получили сертификаты – необходимо выбрать поставщика и купить сертификат. При размещении сайта в дата центре Амиро можно использовать сертификат дата-цента Амиро, это бесплатный сертификат Let's Encrypt, который устанавливается и продлевается автоматически средствами хостинга каждые три месяца, оплата производится за поддержку и продление сертификата. 2. Включение HTTPS на сервере На большинстве сайтов настроен виртуальный хостинг, который работает с доменными именами (name-based). Администраторы услуг хостинга по запросу настроят поддержку сертификатов. Еще раз напоминаем, что если у вас много хостов и поддоменов – каждый из них потребует установки подходящего сертификата. При размещении сайта в дата-центре «Амиро» установку сертификата выполняет служба техподдержки, для чего достаточно прислать заявку. 3. Отредактировать файл config.ini.php В файле config.ini.php, который находится в директории /_local на веб-сервере, где установлен сайт под управлением Amiro.CMS, необходимо: 1. для значения ROOT_PATH_WWW указать https вместо http 2. в секцию [admin] добавить строчку (только для версий 7.6 и выше): ADMIN_REQUIRE_SSL = "full_ssl" 3. включить перенаправление HTTP на HTTPS. Поддержка HTTPS в панели управления реализована начиная с версии 7.6, поэтому для более ранних версий нужно отключить все виды такого перенаправления и оставить только перенаправление в .htaccess с исключением адресов панели управления, обычно оно выглядит следующим образом, но могут быть отличия в зависимости от хостинга, подробности можно получить в поддержке вашего хостинга: RewriteCond %{HTTPS} off RewriteCond %{REQUEST_URI} !^/_admin/RewriteRule ^ https://domain.ru%{REQUEST_URI} [R,L] где domain.ru - ваш домен. При размещении сайта в дата-центре «Амиро» все эти настройки производит служба поддержки. 4. Замена внутренних абсолютных ссылок сайта на относительные 1. Проверить ссылки подключения внешней библиотеки JQuery в настройках всех используемых на сайте локализаций в разделе Сервис - Настройка системы - Локализации. Теперь, когда ваш сайт работает и на HTTP и на HTTPS, вам нужно добиться его работы вне зависимости от протокола, для чего в шаблонах и контенте сайта при использовании статических (прописанных «руками») ссылок необходимо заменить в url http на https либо на // (двойной слеш) Пользователям Amiro.CMS с этим пунктом необычайно повезло – все внутренние ссылки, генерируемые при создании страниц через Панель управления либо при указании внутренних ссылок в Визуальном редакторе относительные, без указания протокола. Это означает, что никаких дополнительных работ по перелинковке на сайте проделывать нет необходимости. Об особенностях индексации сайтов, которые перешли на протокол HTTPS, поисковыми системами, читайте следующие публикации:
Комментарии (1)
Ваш комментарий
|