Criptarea site-urilor web este aproape obligatorie în internetul de astăzi. Dacă nu vă criptați site-ul, browserele îl vor marca ca fiind nesigur. Ați putea avea cel mai original conținut de pe internet, dar fără SSL, vizitatorii dvs. vor vedea în schimb un avertisment de securitate neplăcut.
Certificatele SSL au devenit esențiale pentru construirea unui site web, dar gestionarea lor rămâne o adevărată provocare pentru utilizatorii mai puțin pricepuți la tehnologie. Instalarea certificatelor comerciale poate ridica câteva obstacole pentru cei neexperimentați și nimeni nu îi poate învinovăți.
Aproape toate serverele și clienții de e-mail au instrucțiuni specifice privind modul de gestionare a SSL, iar dacă nu sunteți familiarizat cu tablourile de bord sau liniile de comandă, încărcarea certificatelor în ordinea corectă poate fi dificilă.
Ceea ce este și mai enervant sunt erorile de conexiune SSL care apar după ce ați instalat deja certificatul. Una dintre cele mai frecvente probleme SSL este eroarea de conținut mixt. În acest articol, vom examina ce este conținutul mixt și cum să îl corectăm manual sau cu ajutorul instrumentelor SSL. Să începem!
Ce este conținutul mixt?
Conținutul mixt apare pe un site atunci când HTML-ul inițial este încărcat printr-o conexiune HTTPS criptată, dar alte resurse, cum ar fi videoclipuri, imagini, scripturi, foi de stil sunt încărcate printr-o conexiune HTTP necriptată. Atunci când atât solicitările HTTP, cât și cele HTTPS au loc pe aceeași pagină, browserele pot bloca conținutul sau pot afișa un avertisment de securitate pentru a avertiza utilizatorii că pagina în cauză conține resurse nesigure.
Există două tipuri de conținut mixt: pasiv și activ.
1. Conținutul mixt pasiv
Conținutul mixt pasiv se aplică tuturor resurselor care nu interacționează direct cu pagina dumneavoastră. Acestea pot fi imagini, videoclipuri sau fișiere audio. Dacă hackerii folosesc atacuri de tip “man-in-the-middle” și interceptează solicitările HTTP, pot modifica imaginile, înlocui produsele cu conținut ofensator sau reclame sau schimba butoanele de salvare și ștergere, determinând utilizatorii să facă acțiuni neintenționate.
Chiar dacă atacatorii nu vă modifică conținutul, ei vă pot urmări utilizatorii și acțiunile acestora prin intermediul cererilor de conținut mixt. Atacatorii pot vedea paginile și produsele pe care le vizitează utilizatorii pe baza resurselor nesigure pe care le încarcă browserele. Iată câteva exemple de transmitere de conținut mixt.
2. Conținutul mixt activ
Conținutul mixt activ este chiar mai periculos decât conținutul mixt pasiv, deoarece interacționează cu pagina ca întreg și oferă atacatorilor libertatea de a face orice cu acesta. Conținutul mixt activ include foi de stil, scripturi, resurse flash și alte coduri pe care le încarcă browserele. În cazul în care atacatorii interceptează conținutul mixt activ, aceștia obțin acces și control total asupra site-ului dvs. web. În cel mai rău caz, aceștia vor fura datele de autentificare și parolele utilizatorilor sau îi vor redirecționa către un alt site. Din cauza gravității amenințărilor cu conținut mixt activ, multe browsere îl blochează în mod implicit pentru a proteja utilizatorii. Dar este important să țineți cont de faptul că este posibil ca vizitatorii dvs. să utilizeze versiuni mai vechi de browser sau browsere care nu blochează deloc conținutul mixt activ.
Băieții de la PULNO, un serviciu de audit SEO și de analiză a site-urilor web, au examinat peste 37 de milioane de pagini și au descoperit că peste 2 milioane de pagini aveau resurse care nu se puteau încărca prin HTTPS. Dintre toate gazdele analizate, 4,9% au avut un conținut mixt. Dintre acestea, 66,5% au avut probleme cu imaginile, iar 17,1% au avut probleme cu elementele JavaScript.
După cum puteți vedea, următorul pas după instalarea SSL este să vă asigurați că toate imaginile și codul se încarcă prin HTTPS. Din nefericire, mulți administratori de site-uri web neglijează acest aspect și sfârșesc prin a urmări erori mixte, pierzând în același timp vizitatori în favoarea concurenței. Mai jos vă vom arăta cum să remediați conținutul mixt cât mai curând posibil, astfel încât site-ul dvs. să rămână vizibil pentru toată lumea.
Cum se repară manual conținutul mixt?
Primul lucru pe care ar trebui să-l faceți dacă întâlniți mesajul “Not Secure” în browsere este să verificați dacă există potențial conținut mixt.
Iată cum să faceți acest lucru în Chrome:
- Faceți clic dreapta oriunde pe pagina care nu se încarcă prin HTTPS
- Dintre opțiunile disponibile, selectați Inspect Element
- Dintre filele disponibile, selectați Consola
Dacă aveți conținut mixt pe site-ul dvs., Consola va afișa avertismentele de conținut mixt și vă va arăta locația fișierului HTTP. Conținutul mixt pasiv va apărea lângă un avertisment galben, iar conținutul mixt activ lângă unul roșu.
Dacă doar câteva URL-uri sunt listate în aceste erori și avertismente, le puteți remedia manual în trei pași rapizi:
Pasul 1
Asigurați-vă că URL-ul este disponibil prin HTTPS. Deschideți o filă nouă în browserul dvs. și introduceți URL-ul în bara de adrese, schimbând http:// cu https://.
Dacă imaginea se încarcă fără erori atât pe HTTP, cât și pe HTTPS, este foarte bine! Treceți la pasul următor.
Notă: Dacă apare un avertisment privind certificatul, înseamnă că imaginea nu este disponibilă în siguranță. Acest lucru se poate întâmpla în cazul imaginilor găzduite pe servicii externe. În acest scenariu, puteți fie să descărcați imaginea și să o încărcați la gazda dvs., dacă aveți permisiunea legală de a face acest lucru, fie să o eliminați complet de pe site-ul dvs. Ca regulă generală, ar trebui să vă găzduiți întotdeauna imaginile pe serverul dumneavoastră. În acest fel, veți avea control total asupra lor.
Pasul 2
Schimbați URL-ul de la http:// la https:/, salvați fișierul sursă și redistribuiți fișierul actualizat, dacă este necesar.
Pasul 3
Deschideți pagina în care ați găsit eroarea de conținut mixt și verificați de două ori dacă eroarea nu mai apare.
Cum se repară automat conținutul mixt?
Înlocuirea câtorva link-uri este ușoară, dar ce trebuie făcut dacă aveți zeci sau chiar sute de link-uri cu conținut mixt. Există o modalitate de a le repara automat? Sigur că da. Cele mai multe dintre sistemele CMS ar trebui să aibă plugin-uri pregătite pentru a vă ajuta cu această problemă. WordPress, de exemplu, nu duce lipsă de opțiuni, plugin-ul Really Simple SSL fiind o alegere populară.
Dacă sunteți un utilizator mai avansat, puteți utiliza acest script util pentru a căuta în baza de date și a înlocui în masă URL-urile HTTP. Veți avea nevoie de acces FTP pentru a încărca scriptul. Vă rugăm să fiți atenți, deoarece vă poate distruge site-ul dacă nu este corect.
Respectați aceste instrucțiuni de siguranță atunci când utilizați scenariul:
- Redenumiți folderul rădăcină al scriptului astfel încât hackerii să nu-l găsească cu ușurință
- Efectuați o copie de rezervă a site-ului și a bazei de date înainte de a utiliza
- Întotdeauna verificați de două ori textul și efectuați un Dry Run (exercițiu) înainte de un Live Run.
- Ștergeți scriptul după ce și-a făcut treaba
Cum să detectați și să preveniți conținutul mixt?
După ce ați activat HTTP, trebuie să verificați dacă certificatul dvs. SSL conține erori sau vulnerabilități. O mulțime de instrumente vă pot scana site-ul web și pot detecta eventualele erori de conectare SSL, inclusiv conținutul mixt.
JitBit Scanner este o unealtă gratuită care vă cercetează întregul site web și caută resurse nesigure. Vă rugăm să rețineți că puteți scana doar până la 400 de pagini cu acest instrument.
O opțiune alternativă este Mixed Content Scan, un script CLI (interfață de linie de comandă) care parcurge și scanează site-urile web cu HTTPS pentru conținut mixt.
O altă modalitate de a repara automat conținutul mixt este directiva CSP (content security policy) upgrade-insecure-requests. Această directivă indică browserului să actualizeze URL-urile nesigure înainte de a face cereri de rețea.
Puteți activa acest comportament adăugând următorul fragment de cod meta tag în secțiunea HTML a documentelor.
Vă rugăm să rețineți că, dacă resursa HTTP nu este disponibilă printr-o conexiune securizată, browserele nu vor reuși să o actualizeze și să o încarce. Cu toate acestea, vizitatorii vor putea în continuare să vă acceseze pagina.
Concluzie
Menținerea securității site-ului dvs. este imperativă în peisajul online actual. Având în vedere că criptarea web a depășit cifra de 90% atât în cadrul serviciilor Google, cât și în cadrul Firefox, utilizatorii vor detecta și pune la îndoială instantaneu un site web nesigur. Cu siguranță nu vreți ca site-ul dvs. să creeze o impresie greșită din cauza unei erori ușor de prevenit de conținut mixt. Monitorizează-ți certificatul SSL în mod regulat și actualizează-ți toate linkurile imediat ce treci la HTTPS. Un site web securizat este un site web sigur atât pentru vizitatori, cât și pentru afacerea dumneavoastră.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10