ÕPETUS: kuidas SSL sertifikaat 10 minutiga tööle saada!

See oli umbes 2 aastat tagasi kui soetasin SSL sertifikaadi 180€(!) eest. Täielik raha tuulde loopimine lihtsa blogi puhul! Mul polnud aimugi, et tegelikult saab turvalise andmevahetuse sisse lülitada ka täiesti tasuta…

Järgnevalt saad teada, kuidas saada lahti not secured hoiatusest ehk kuidas teha oma WordPressiga loodud veebileht SSL sertifikaadiga turvaliseks ca 10 minutiga ja seda erinevalt minust täiesti tasuta!

Mis on SSL ja Let’s Encrypt?

SSL ehk secure sockets layer on veebirakenduse turvasertifikaat, mille abil on andmed kaitstud kuni 256-bit krüpteeringuga. Maakeeli: SSL sertifikaadiga liiguvad andmed tädi Maali ja veebilehe vahel krüpteeritult ehk teisisõnu: “pealt kuulamise” võimalus võrgus kaob ära.

On olemas mitmeid tunnustatud sertifikaate, nii tasulisi kui ka tasuta. Valik oleneb mõistagi sinu tegevusvaldkonnast ja oma klientide isikuandmete delikaatsusest. Kui sinu veebi saab mingil moel registreerida ja sisselogida, siis võiksid kaaluda juba tasulisi variante .

Käesolev artikkel keskendub tasuta variandile ehk Let’s Encrypt nimelise sertifikaadi paigaldamisele, mis on täiesti piisav tavalise blogi või äriveebi turvalisuse tagamiseks.

Zone’i andmetel kasutab tasuta Let’s Encrypti sertifikaati näiteks Eesti Majandus- ja Kommunikatsiooniministeerium, seega kui sobib valitsusasutusele, sobib ka sulle! 🙂

SSL sertifikaadi kasutegurid

SSL sertifikaadi suuremad kasutegurid:

• Andmete liikumine arvuti ja serveri vahel on krüpteeritud!
• Veebileht saab Google otsitulemustes nähtavama positsiooni!
• Turvatud veebileht on profesionaalsem ja usaldusväärsem!

Kui sa ei töötle oma veebilehe kaudu külastajate isikuandmeid ja sul puudub SSL sertifikaat, siis loomulikult ei tähenda see, et sinu veebileht oleks automaatselt ebaturvaline. Sellegi poolest tasub paigaldamine ära teha, sest piisab vaid kellegi pahatahtlikust soovist sulle kahju tekitada.

Antud ekraanitõmmiselt on näha Leemeti (väljamõeldud tegelane) kasutajanimi ja parool. Leemet kasutab avaliku WiFi võrku ja logib enda andmetega sisse turvamata veebilehel.

Muideks Wireshark programm on täiesti tasuta allalaetav ja kättesaadav absoluutselt kõigile. Uskumatu, et selline asi 2019. aastal veel võimalik on!

Ametlik lühend on TLS

Tegelikult on mõiste SSL on standardina maha kantud juba ammu aega tagasi, kuid selle lühend (SSL) ise elab turvatud ühendusi sümboliseeriva terminina inimeste teadvuses jätkuvalt edasi.

SSL asendati juba 1999. aastal standardiga TLS (Transport Layer Security) ning sellele on järgnenud pidevad versiooniuuendused. Seega TLS on SSL-i parendatud versioon ja kui olla päris korrektne, siis me räägime aastal 2019 TLS 1.3 versioonist.

SSL sertifikaadi paigaldamine

NB! Järgnev õpetus on koostatud veebimajutus.ee keskkonnas, sest peame seda teenusepakkujat Eesti parimaks kodulehe majutusteenust pakkuvaks ettevõtteks!

Kui sinu veebileht on majutatud zone.ee-s, siis soovitame sul avada Zone https õpetuse. Üldiselt peaks kõik tunnustatud teenusepakkujad (nii Eestis kui ka välismaal) olema avaldanud HTTPS õpetuse oma kodulehel.

1. Leia iseteeninduse töölaualt “SSL sertifikaadid”

Logi sisse veebimajutus.ee iseteenindusse ning kliki paremal menüüribalt: SSL sertifikaat

2. Telli “Let’s Encrypt” sertifikaat

NB! 3 kuud (tasuta) ei tähenda, et edaspidi oleks teenus tasuline. Teenus uueneb iga 3 kuu tagant ja selleks ei pea hiljem rohkem midagi tegema.

Vali: Let’s Encrypt ➜ kliki: Telli

3. Paigalda sertifikaat oma domeenile

Umbes minuti möödumisel peab ilmuma staatuseks: Paigaldatud

4. Suuna enda domeen HTTPS protokolli peale

Pärast edukat paigaldamist tuleb viimaseks kontrollida, kas domeen on ikka suunatud HTTPS protokolli peale. Selleks tegutse järgmiselt:

Vali töölaualt: Domeen ➜ Domeeni suunamine ➜ Vali protokolliks: HTTPS ➜ Kliki: Salvesta

Kui ilmub punane hoiatus suunamise kohta, siis võib sellele rahuliku südamega nõusoleku anda!

Sellega on veebimajutuse iseteeninduses kõik seadistatud ning nüüd tuleb siseneda WordPressi!

SSL Sertifikaadi tuvastamine WordPressis

1. Lae alla “Really Simple SSL” plugin

Jäänud on veel SSL sertifikaadi paigaldamise viimane osa ehk sertifikaadi tuvastamine sinu kodulehel. Selleks lae alla ja aktiveeri Really Simple SSL plugin!

2. Aktiveeri SSL sertifikaat

Pärast plugina käivitamist ilmub WordPressi teade: Almost ready to migrate to SSL.

Kliki nupul: Go ahead, activate SSL

3. Veendu, et sertifikaat hakkas tööle

Kui ilmusid neli rohelist “linnukest” läks kõik edukalt. Kontrolli, kas sinu domeeni kaunistab nüüd tabaluku ikoon ????

Variant 2: sertifikaadi paigaldamine ilma pluginata

SSL sertifikaati saab paigaldada ka ilma Really Simple SSL pluginata. Kui sa soovid sellest pluginast loobuda oleks tegevuskava WordPressis järgmine:

1. Ava enda WordPressis: Settings ➜ Üldseaded

Lisa mõlemale aadressi reale HTTPS märgistused!

2. Kontrolli üle absoluutselt kõik pildid ja viited ja lisa neile “https” märgistused!

Nipp: selle töö teeb kiirelt ära Velvet Blues Update URLs plugin.

Märgista Velvet pluginas kõik checkbox’id va viimane lahter (sisulehtede ID-si pole vaja uuendada)! Pärast aadresside uuendamist võib plugina kustutada!

Tähelepanu!

Nüüd veendu, et kõik veebilehe sisulehed kuvaksid SSL sertifikaati korrektselt (on secured tähisega ja tabaluku ikoon on nö lukus). Kui sisulehel eksisteerib kasvõi üks ainus fail, mille asukoha aadressis sisaldub HTTP protokoll, kuvatakse sisulehte koheselt ilma secured tähiseta!

TEISEKS: juhul kui kasutad veebistatistika programme, tuleb sul HTTPS variant kooskõlastada uuesti nii Google Analytics’is, kui ka Search Console’s! Samuti kontrolli üle  kujundusmallide ja pluginate litsentsid! Vanade aadressidega URL-e ei tohi jääda mitte kuskile!

Pro tip!

Kui oled probleemsete HTTP objektide üles leidmisega jänni jäänud, siis vajuta Chrome veebibrauseris klahvi F12 ning vali sektsioon nimega Console! Selles aruandes näitavad Mixed Content read, millised failid on antud juhul probleemsed ehk kannavad “http” protokolli.

Kokkuvõtteks

Üleminek https-i peale on tundlik teema, mida tuleks teha äärmiselt hoolikalt! Pärast sertifikaadi tööle saamist kontrolli mõne veebitööriistaga igaksjuhuks üle, et sinu veebilehel poleks:

1. Dubleeritud sisu
2. 404 teateid (katkine link)
3. 301 teateid (ümbersuunamine)

Kui veateateid on ebanormaalselt palju võid täiesti kogemata enda veebilehele karuteene teha ja Google karistab sind senise positsiooni kaotamisega!