· Írta: Kovács Dániel · Olvasási idő kb. 6 perc
SSL tanúsítvány és HTTPS: miért nélkülözhetetlen a biztonságos weboldal?
A böngésző címsorában látható lakat ma már alapelvárás: az SSL tanúsítvány és a HTTPS nélkül a weboldal "nem biztonságos" figyelmeztetést kap, ami azonnal riasztja a látogatót. Megnézzük, mi az SSL, mit véd valójában, miért fontos a bizalomhoz és a kereséshez, és hogyan kell helyesen beállítani.
A Projectweb egy 2014 óta működő budapesti weboldalkészítő vállalkozás, amely a blogján is megosztja a honlapkészítéssel kapcsolatos tapasztalatait.
Mi az az SSL tanúsítvány és a HTTPS?
A klasszikus, titkosítatlan HTTP kapcsolatnál az adatok "nyílt szövegként" utaznak a látogató és a szerver között, így elvileg lehallgathatók. A HTTPS ezt oldja meg: az SSL tanúsítvány segítségével a kapcsolat titkosítottá válik, és az adatokat csak a jogosult felek tudják értelmezni.
A HTTPS ma már nem extra, hanem alapelvárás. A modern böngészők a titkosítatlan oldalakat "nem biztonságos" felirattal jelölik, ami azonnal elriasztja a látogatót. Egy komoly weboldal ma elképzelhetetlen érvényes SSL tanúsítvány és HTTPS nélkül.
A jó hír, hogy az SSL ma már könnyen és gyakran ingyenesen elérhető (pl. a Let's Encrypt révén), és a legtöbb tárhely alapból támogatja. A kérdés nem az, hogy legyen-e, hanem hogy helyesen van-e beállítva, erről mindjárt részletesen.
Érdemes tisztázni egy gyakori félreértést is: az SSL és a TLS gyakorlatilag ugyanazt a célt szolgálja. A "TLS" (Transport Layer Security) az SSL modern, továbbfejlesztett utódja, de a köznyelvben és a szolgáltatóknál máig az "SSL tanúsítvány" kifejezés maradt meg. Amikor tehát SSL-ről beszélünk, a mai, korszerű TLS-titkosításra gondolunk, a lényeg ugyanaz: a látogató és a szerver közötti kapcsolat védett és titkosított.
Mit véd valójában a HTTPS?
A HTTPS elsődlegesen az adatátvitelt védi: a látogató és a weboldal között utazó információt titkosítja, így illetéktelenek nem olvashatják el. Ez kritikus mindenütt, ahol érzékeny adat mozog: bejelentkezésnél (jelszó), kapcsolati űrlapnál (személyes adatok), és különösen a webáruházban (fizetési adatok).
A titkosítás megakadályozza az adatok lehallgatását és manipulálását az átvitel során. Enélkül egy közbeékelődő támadó elolvashatná vagy módosíthatná az adatokat, például egy nyilvános wifin. A HTTPS ezt a kockázatot szünteti meg, biztonságossá téve az adatcserét.
Fontos árnyalat: a HTTPS az átvitelt védi, nem magát a weboldalt a feltöréstől. A teljes biztonsághoz a HTTPS mellett más védelmi rétegek is kellenek (erős jelszavak, frissítések, mentés, erről a honlap biztonságáról szóló cikkünkben írtunk). Az SSL az alapréteg, amelyre a többi épül.
A titkosítás a gyakorlatban egy "kézfogással" (handshake) kezdődik: amikor a látogató megnyitja az oldalt, a böngésző és a szerver ellenőrzik a tanúsítvány érvényességét, majd egyeztetnek egy titkos kulcsot, amellyel a további kommunikáció titkosítva zajlik. Mindez a másodperc töredéke alatt, a háttérben történik, a látogató semmit nem érzékel belőle, csak a lakatot látja. Épp ez a jól működő biztonság ismérve: észrevétlen, mégis folyamatosan véd.
Bizalom és a lakat ikon
A HTTPS a bizalom vizuális jele. A böngésző címsorában megjelenő lakat ikon azt üzeni a látogatónak, hogy az oldal biztonságos, az adatai védve vannak. Ez különösen fontos a kapcsolatfelvételnél és a vásárlásnál, ahol a látogató érzékeny adatot ad meg.
A bizalom ma már részben tudattalanul működik: az internetezők nagy része hozzászokott a lakat látványához, és bár nem mindenki tudja pontosan, mit jelent, a hiányát azonnal megérzi. A böngésző figyelmeztetése, a szürke vagy áthúzott jelzés riasztó, még ha a látogató nem is tudná megfogalmazni, miért. Az SSL tehát nemcsak technikai védelem, hanem a modern web egyik alapvető, elvárt bizalmi jelzése is, amelynek hiánya azonnal gyanút kelt.
Ennek fordítottja még erősebb: a titkosítatlan oldalt a böngészők "nem biztonságos" figyelmeztetéssel jelölik, ami azonnal riasztja a látogatót. Sokan ilyenkor rögtön elhagyják az oldalt, mert nem mernek rajta adatot megadni. Egy webáruháznál ez közvetlen eladásvesztést jelent.
A bizalom tehát nem elvont: a HTTPS közvetlenül befolyásolja, hogy a látogató kitölti-e az űrlapot, megadja-e az adatait, vásárol-e. Az SSL ebből a szempontból nem technikai részlet, hanem konverziós tényező, az alapbizalom, amely nélkül a látogató nem lép tovább.
Keresőelőny és rangsorolás
A HTTPS keresőoptimalizálási szempontból is fontos: a Google évek óta rangsorolási tényezőként kezeli, és a biztonságos oldalakat előnyben részesíti. Egy titkosítatlan oldal nemcsak a látogatók, hanem a keresők szemében is hátrányban van.
Ez azt jelenti, hogy a HTTPS ma a keresőbarát weboldal alapfeltétele. Nem ad önmagában óriási előnyt (mivel szinte minden komoly oldalon megvan), de a hiánya egyértelmű hátrány. A keresőbarát felépítés egyik alapköve a helyes HTTPS.
Fontos, hogy a HTTPS-re való átállás után a régi, HTTP-s címekről helyes átirányítás (301) mutasson az új, HTTPS-es változatra. Enélkül duplikáció és zavar keletkezhet a keresőben. A helyes beállítás tehát nemcsak a tanúsítvány meglétét, hanem a teljes átállás korrektségét is jelenti.
Fontos árnyalat, hogy az SSL nem befolyásolja érdemben a betöltési sebességet: a modern titkosítás gyakorlatilag észrevehetetlen többletterhelést jelent, cserébe olyan alapvető előnyt ad (biztonság, bizalom, kereshetőség), amely nélkül ma egy weboldal sem lehet versenyképes. Aki a sebesség miatt aggódik az SSL bevezetésekor, nyugodt lehet: a HTTPS mára a gyors, modern web szabványa, nem a lassítója.
Az SSL tanúsítványok típusai
| Típus | Mire jó |
|---|---|
| DV (domain-validált) | A legtöbb weboldalhoz elég, gyakran ingyenes |
| OV (szervezet-validált) | Cégeknek, extra hitelesítéssel |
| EV (kiterjesztett) | Nagy, bizalmi oldalakhoz (pl. bankok) |
| Wildcard | A domain összes aldomainjére |
A legtöbb vállalkozói weboldalhoz a domain-validált (DV) tanúsítvány tökéletesen elegendő, amely gyakran ingyenesen elérhető (pl. Let's Encrypt), és a böngészőben ugyanúgy a lakatot és a HTTPS-t adja. Nincs szükség drága tanúsítványra a biztonságos, megbízható megjelenéshez.
Az OV és EV tanúsítványok extra szervezeti hitelesítést nyújtanak, ami nagy, kiemelten bizalmi oldalaknál (bankok, nagy webáruházak) lehet indokolt. Egy átlagos kkv weboldalnak azonban a DV tanúsítvány bőven elég, a biztonság szintje ugyanaz, csak a hitelesítés mélysége más.
A helyes SSL/HTTPS beállítás
Az SSL helyes beállítása több lépésből áll. Először a tanúsítvány telepítése a tárhelyen (a legtöbb tárhely ezt egyszerűvé teszi, sokszor automatikusan). Ezután a teljes weboldal HTTPS-re állítása, hogy minden oldal és erőforrás (kép, szkript) is titkosítva töltődjön be.
Kulcslépés a HTTP-ről HTTPS-re átirányítás beállítása: a régi, titkosítatlan címekről automatikusan a HTTPS-es változatra kell irányítani, hogy senki ne érje el a nem biztonságos verziót, és a kereső se lásson duplikációt. Emellett érdemes a HSTS fejlécet is beállítani a fokozott biztonságért.
Figyelni kell a "vegyes tartalom" (mixed content) problémára: ha egy HTTPS-es oldal HTTP-s erőforrást (pl. képet) tölt be, a böngésző figyelmeztethet, és megtörik a lakat. Minden erőforrásnak HTTPS-en kell betöltődnie. A helyes beállítás ezt is lefedi, mi minden weboldalkészítés projektnél gondoskodunk róla.
Gyakori SSL/HTTPS hibák
A leggyakoribb hibák: a lejárt tanúsítvány (amely azonnal "nem biztonságos" figyelmeztetést vált ki, ezért fontos az automatikus megújítás); a hiányzó HTTP-ről HTTPS-re átirányítás; a vegyes tartalom (HTTP-s erőforrások HTTPS-es oldalon); és a részleges beállítás, ahol csak egyes oldalak titkosítottak.
Szintén gyakori, hogy a HTTPS-re való átállás után elmaradnak a keresőoptimalizálási lépések: a canonical címek, a webhelytérkép és az átirányítások frissítése. Ez zavart okozhat a keresőben. A teljes, korrekt átállás mindezt lefedi.
A jó hír, hogy ezek a hibák könnyen elkerülhetők a helyes kezdeti beállítással és a rendszeres karbantartással. Az automatikus tanúsítvány-megújítás és a helyes átirányítások egyszer beállítva folyamatosan biztonságban tartják az oldalt.
Kinek kötelező az SSL?
A gyakorlatban ma minden weboldalnak. Bármilyen oldal, amely bármilyen adatot gyűjt (akár csak egy kapcsolati űrlapot), SSL nélkül kockázatos és "nem biztonságos" jelölést kap. Egy webáruháznál, ahol fizetési adat mozog, az SSL nemcsak elvárás, hanem alapvető biztonsági és jogi követelmény.
De még egy egyszerű bemutatkozó oldalnak is szüksége van rá: a "nem biztonságos" figyelmeztetés minden látogatót elriaszt, függetlenül attól, gyűjt-e adatot az oldal. A HTTPS ma az online jelenlét alapfeltétele, nem opció. A jó hír, hogy a beállítása egyszeri feladat, utána pedig a rendszeres karbantartás gondoskodik a folyamatos érvényességéről, így hosszú távon sem okoz gondot.
Összegzés és a következő lépés
Az SSL tanúsítvány és a HTTPS ma minden weboldal alapfeltétele: titkosítja az adatokat, bizalmat épít a látogatókban, és a keresőben is elvárás. A legtöbb oldalhoz az ingyenes, domain-validált tanúsítvány tökéletes, a lényeg a helyes, teljes körű beállítás és a folyamatos megújítás.
Ha biztonságos, HTTPS-es weboldalt szeretnél, helyesen beállított SSL-lel, kérj ingyenes ajánlatot. A weboldalkészítés során minden oldalt eleve SSL-lel és teljes HTTPS-beállítással adunk át, a karbantartás keretében pedig a tanúsítvány megújításáról is gondoskodunk.
Gyakori kérdések
Kell SSL tanúsítvány a weboldalamhoz?
Igen, ma már minden weboldalnak. SSL nélkül a böngésző "nem biztonságos" figyelmeztetést ad, ami elriasztja a látogatót. A weboldalkészítés során minden oldalt eleve érvényes SSL-lel és teljes HTTPS-beállítással adunk át, a legtöbb esetben ingyenes, domain-validált tanúsítvánnyal.
Ingyenes vagy fizetős SSL tanúsítványt válasszak?
A legtöbb vállalkozói weboldalhoz az ingyenes, domain-validált (pl. Let's Encrypt) tanúsítvány tökéletesen elegendő, ugyanazt a titkosítást és lakatot adja. Fizetős (OV/EV) tanúsítvány csak nagy, kiemelten bizalmi oldalaknál indokolt. A weboldalkészítés során a számodra megfelelő megoldást állítjuk be.
Javítja a HTTPS a Google-helyezésemet?
A HTTPS régóta rangsorolási tényező: nem ad önmagában óriási előnyt, de a hiánya egyértelmű hátrány. A keresőbarát weboldal alapfeltétele. A weboldalkészítés során a helyes HTTPS-beállítással és átirányításokkal gondoskodunk róla, hogy ez a szempont rendben legyen.
Mi történik, ha lejár az SSL tanúsítványom?
A lejárt tanúsítvány azonnal "nem biztonságos" figyelmeztetést vált ki, ami elriasztja a látogatókat és rontja a bizalmat. Ezért fontos az automatikus megújítás. A weboldal karbantartás keretében figyeljük és megújítjuk a tanúsítványt, így sosem fordulhat elő ilyen kellemetlenség.
Beszéljük át a terveidet!
Ha a cikk után konkrét kérdésed maradt, írj nekünk. Egy munkanapon belül jelentkezünk egy személyre szabott ajánlattal.
Ingyenes ajánlatkérésKözzétéve: