Новое в блогах


Техноблог HTTPS и Amiro.CMS  1
Личный опыт История от «Интер Электрик», #ОбновлениеЗаРассказ 
Личный опыт История от АвтоТехЦентр Субару Медведково, #ОбновлениеЗаРассказ 
Техноблог Как открыть интернет-магазин с нуля 
Личный опыт История от интернет-магазина ТД Зевс, #ОбновлениеЗаРассказ 
Личный опыт История от портала china-sky.ru, #ОбновлениеЗаРассказ 

Теги



HTTPS и Amiro.CMS

Как известно, HTTP — широко распространённый протокол клиент-серверной структуры передачи данных, изначально предназначенный для передачи гипертекстовых документов, то есть документов, которые могут содержать ссылки, позволяющие организовать переход к другим документам. Задача, которая традиционно решается с помощью протокола HTTP — обмен данными между пользовательским приложением, осуществляющим доступ к веб-ресурсам (обычно это веб-браузер) и веб-сервером.


Нешифрованные пользовательские данные в Сети

К сожалению, сам по себе протокол HTTP не предполагает использование шифрования для передачи информации. Например, при заходе в свой почтовый ящик через веб-браузер логин и пароль передаются на почтовый сервер в нешифрованном, открытом виде. Это означает, что злоумышленники при желании могут «перехватить» эти данные и воспользоваться ими для нанесения ущерба пользователю.

Но для HTTP есть распространённое расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS – протокол  HTTPS, который поддерживается всеми популярными браузерами и широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида man-in-the-middle.

В наше время HTTPS обязателен для каждого веб-сайта: Chrome и Firefox недвусмысленно помечают как небезопасные веб-сайты с формами на страницах без HTTPS, плюс использование протокола влияет на позиции сайта в поисковой выдаче Google и, в конце концов, оказывает серьёзное влияние на приватность в целом. Так что переход на HTTPS становится весьма насущной задачей для пользователей сайтов и интернет-магазинов.


Что даёт HTTPS

Конфиденциальность 

В открытой среде, такой как Интернет, он защищает коммуникации между двумя сторонами. Например, в отсутствие HTTPS владелец точки доступа WiFi (в аэропорту, кафе, торговом центре) может видеть персональные данные, такие как кредитные карты, если пользователь этой точки доступа совершает покупки в онлайне. 

Целостность 

Он гарантирует, что информация достигнет адресата в полном и нетронутом виде. Например, владелец точки доступа WiFi может добавить дополнительную рекламу на открываемые пользователем сайты и даже подменять контент. HTTPS гарантирует, что веб-сайт не может быть изменён. 

Подлинность 

Он гарантирует, что веб-сайт в реальности является тем, за кого себя выдаёт: веб-сайт, который представляется как example.com, действительно является example.com. Некоторые сертификаты даже проверяют правовую идентичность владельца веб-сайта, так что несложно будет узнать, что yourbank.com принадлежит именно YourBank, Inc.

Алгоритм перехода на HTTPS

1. Получение и установка сертификатов

Если вы ещё не получили сертификаты – необходимо выбрать поставщика, и купить сертификат. Существует несколько типов сертификатов HTTPS, которые указаны в таблице.

Тип сертификата Подтверждённый домен (DV) Подтверждённая организация (OV) Расширенное подтверждение (EV)
  HTTPS HTTPS
Проверенный правообладатель
HTTPS
Проверенный правообладатель
Информация о владельце отображается в браузере
Один домен example.com, www.example.com
Несколько доменов example.com, www.example.com, mail.example.com, example.net, example.org и др.
Определённый заранее список, до некоторого лимита (обычно 100)
Поддомены *.example.com
Подходит для любого поддомена
Недоступно — все имена должны быть явно включены в сертификат и проверены центром сертификации

2. Включение HTTPS на сервере

На большинстве сайтов настроен виртуальный хостинг, который работает с доменными именами (name-based). Администраторы услуг хостинга по запросу настроят поддержку сертификатов. Еще раз напоминаем, что если у вас много хостов и поддоменов – каждый из них потребует установки подходящего сертификата.

При хостинге в дата-центре «Амиро» эти работы выполняет служба техподдержки, для чего достаточно прислать заявку.

3. Отредактировать файл config.ini.php

В файле config.ini.php, который находится в директории /_local на веб-сервере, где установлен сайт под управлением Amiro.CMS, необходимо для значения ROOT_PATH_WWW указать https вместо http

При хостинге в дата-центре «Амиро» эти работы выполняет служба техподдержки, для чего достаточно прислать заявку.

4. Замена внутренних абсолютных ссылок сайта на относительные

Теперь, когда ваш сайт работает и на HTTP и на HTTPS, вам нужно добиться его работы вне зависимости от протокола, для чего в шаблонах и контенте сайта при использовании статических (прописанных «руками») ссылок необходимо заменить в url http на https либо на // (двойной слеш)

Пользователям Amiro.CMS с этим пунктом необычайно повезло – все внутренние ссылки, генерируемые при создании страниц через Панель управления либо при указании внутренних ссылок в Визуальном редакторе относительные, без указания протокола. Это означает, что никаких дополнительных работ по перелинковке на сайте проделывать нет необходимости.

Об особенностях индексации сайтов, которые перешли на протокол HTTPS, поисковыми системами, читайте следующие публикации:

[07.11.17]  
Рейтинг: 5 (голосов: 1)
Комментировать

Теги: безопасностьинструкция
 
Вернуться к списку
Комментарии (1)

 (Партнер)  07.11.17 17:58
1

Делаем деликатный перевод сайта на https https://www.cmall.ru/uslugi/sertifikat-ssl-dlja-amirocms/

Ваш комментарий