» »

SSL-certifikat (in vpis v administracijo)

SSL-certifikat (in vpis v administracijo)

Miro-Slav ::

Živjo,

imam vprašanje glede nujnosti in smiselnosti ssl-certifikata na spletni strani.
Na svoji spletni strani imam trenutno nameščen plačljivi ssl-certifikat, odločitev zanj je padla zaradi določenih razlogov; recimo zaradi opozorila, da bodo strani brez tega certifikata (torej brez varne povezave) slejkoprej "kaznovane", in sicer z rdečim napisom pri naslovni vrstici brskalnika, slabšo pozicijo v iskalnikih in tako dalje.
Ker opcija brezplačnega certifikata (Let's Encrypt) ni prišla v poštev (premalo znanja), sem se sprva odločil za plačljivega.
Stvar pa je trenutno taka, da se mi zdi, da imam plačljivi certifikat samo iz kozmetičnih razlogov. Namreč na svoji spletni strani nimam trgovine, foruma ali vpisovanja članov z gesli...nič takega. Za preprosto spletno stran je verjetno ssl-certifikat bolj strošek kot kaj drugega?
Kar se pa tiče sankcij (rdečega varnostnega opozorila), sem gledal nekatere druge spletne strani (ki nimajo HTTPS) in zaenkrat ne kaže tako kritično, npr. v Mozilli v naslovni vrstici ni opozorila, medtem ko Chrome pokaže dokaj nevpadljiv napis "ni varno"...po mojem ugled take spletne strani ni preveč prizadet..?

Zdaj razmišljam, da ne bi več podaljšal svojega plačljivega certifikata, ker na tako preposti spletni strani ni ključnega pomena. In me zanimajo mnenja, izkušnje. Kako imate urejeno tisti, ki imate spletno stran?

Recimo kako je v primeru, ko nimaš ssl-certifikata in se želiš vpisati v administracijo spletne strani – ne v cpanel, temveč v dashboard od cms-ja?
Torej na svoji spletni strani www•neki-primer•si hočeš v administracijo in v URL vpišeš www•neki-primer•si/wp-admin ali www•neki-primer•si/administrator itd. Torej sedaj moraš vpisati svoje geslo. A če nimaš certifikata, potem tudi povezava na admina ni šifrirana in bi teoretično lahko nekdo prestregel tvoje geslo? Lahko tu pride do problemov?
Če ima kdo tak primer, kako ravnate?
(Ker ko se jaz na svoji spletni strani vpišem v administracijo (in trenutno še imam ssl-certifikat), se mi pri url-ju https•//www•neki-primer•si/administrator tudi zamenja favicon – ni več od moje spletne strani, ampak od cms-ja, joomle. Tako da mi ni čisto jasno, kaj to pomeni, oziroma kako bi izgledal vpis v administracijo, če ne bi imel ssl-certifikata...)

Hvala.

blackbfm ::

A če nimaš certifikata, potem tudi povezava na admina ni šifrirana in bi teoretično lahko nekdo prestregel tvoje geslo?


Brez cert nic ni sifrirano, tako da je mozno prestrezt vse, gesla, sejne cookieje, komplet promet

Zdaj razmišljam, da ne bi več podaljšal svojega plačljivega certifikata, ker na tako preposti spletni strani ni ključnega pomena. In me zanimajo mnenja, izkušnje. Kako imate urejeno tisti, ki imate spletno stran?


Vsak spodoben host oz gostovanje nudi zastonjske. Tako da vzami zastonjskega, ali menjaj ponudnika ce ti tega tvoj ne omogoca.

#000 ::

Namesti si free letsencrypt in rešeno. Kot je @blaxkfm omenil ima csako gostovanje to možnost. Če pa nima, menjaj ker so za svetom.
Se trudim da ne hranim trolov.

c3p0 ::

SSL je nuja, tudi iskalniki že penalizirajo strani brez SSL. cPanel ima to že kar en čas privzeto vklopljeno, tako da tudi neposobni hosting providerji večinoma to ponujajo.

Poldi112 ::

Moj hosting provider pravi:


2. LE ni primeren za lastnike spletnih strani, ki ne želijo imeti opravka z namestitvijo SSL certifikata in pravilno izvedenim prehodom spletne strani na https:// protokol. Če nimate časa ali ustreznega tehničnega znanja za namestitev in konfiguracijo SSL certifikata, bo vsekakor bolje, da se odločite za enega izmed plačljivih certifikatov. V tem primeru vam pri NEOSERV namestitev in konfiguracijo certifikata uredimo brezplačno.

https://www.neoserv.si/blog/lets-encryp...



Se pravi LetsEncrypt za stranke večinoma ni primeren, ker ga ne znajo namestiti. Zato je bolje, da kupijo Comodo, ker tega pa lahko namestimo. In to zastonj! :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Tomas 33 ::

LetsEncrypt CA je trusted v večini brskalnikov, tako da stranke (obiskovalci strani) ne rabijo nič nameščati.

Poldi112 ::

To itak, tisto je mišljeno za nameščanje certifikata na strani.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

c3p0 ::

Ampak cPanel to stori avtomatsko, brez kakršnegakoli vpletanja uporabnika. Uporabi sicer svoj CA in ne LE.

Miro-Slav ::

Hvala vsem za odgovore. Torej je SSL nujen, in sicer najmanj LetsEncrypt. Moj ponudnik ga ima, ni problema.

Sicer je pa v mojem primeru tako, kot citira @Poldi112. Problem brezplačnega certifikata napram plačljivemu je za laika to, da ga ne zna pravilno namestiti. Ampak če hočeš kaj prišparat, se je treba vsaj probat potrudit. :)

Zdaj pa, kolikor berem, z namestitvijo ni posebnih problemov, to se preprosto uredi v cPanelu (pri Let's Encrypt daš pri željeni domeni "issue" in to je v glavnem to).
Potem je pa treba poskrbeti še za prehod na protokol HTTPS. To je bolj komplicirano, ker je treba spremeniti datoteko .htaccess, opraviti neke spremembe tudi v administraciji cms-ja, poskrbeti tudi za prenos slik in podobnih datotek itd. (Recimo vodič za wordpress, pa še ena navodila za spremembe v .htaccess ...)

Zdaj imam pa spet nekaj vprašanj. Bi bilo v redu, da malo preizkusim namestitev LetsEncrypt certifikata, še preden mi poteče plačljivi certifikat? Se sme imeti na eni domeni dva certifikata (plačljivi mi itak čez nekaj dni poteče)?
Predvsem bi rad namestil LetsEncrypt pred iztekom plačljivega zato, da se "izognem" omenjenemu kompliciranemu postopku prehoda na HTTPS, kjer se je treba ubadati z datoteko .htaccess in bogve še čim... Je torej možno, da jaz v času, ko še imam veljaven plačljivi ssl-certifikat, v cPanelu preprosto aktiviram še LetsEncrypt in mi bo stran v celoti funkcionirala, tudi potem ko mi sedanji plačljivi certifikat poteče? Ali si jaz to malo preveč preprosto predstavljam? :)
Pač po laičnem sklepanju imam na spletni strani trenutno (ko imam še veljaven certifikat) vse že pravilno konfigurirano, da HTTPS pravilno laufa.
Ko enkrat plačljivi certifikat poteče, se mi spletna stran vrne na HTTP. In če potem naknadno namestim LetsEncrypt, bo potrebno spletno stran od začetka spet konfigurirati, da se opravi prehod na HTTPS. To je potem tisti zahteven postopek, o katerem vsi "svarijo" laike. Se mu je možno izogniti tako, da LetsEncrypt namestim zdaj, dokler sem še na HTTPS?

Zgodovina sprememb…

blackbfm ::

Ni ovir pri menjavi. Certifikat ponudnika A nima veze s certifikatom ponudnika B.

c3p0 ::

Menjaj malo pred potekom, mogoče npr. v nedeljo zjutraj, če imaš bolj obiskano stran. Sicer lahko menjaš kadarkoli, nima veze.

b4d ::

Nic ne bo slo nazaj na http... Certifikat bo potekel, uporabniki dobijo opozorilo da je neveljaven, promet se pa se vedno kriptira.

Glede na to da nek certifikat ze imas namescen, so vsi bav-bavi o prehodu na https mlatenje prazne slame, to si ze vse opravil. Trenutni cert lahko zamenjas z drugim. Zapletenost LE je le v tem, da ker so zastonj, potecejo po treh mesecih in jih moras obnavljat. To se da v par klikih v raznih cpanelih avtomatizirat in menjave so neopazne.
b4d.sablun.org

Lonsarg ::

Glavna prednost letsencrypt je ravno to, da se podaljšuje sam avtomatsko če tako nastaviš. Pri plačljivih moraš pa sam ročno vsakič.. Zdaj ne poznam pa cPaneč če se da tam direkt nastavit avtomatiziran letsencrypt. Iz tega stališča se mi zdi plačljivi veliko bolj kompliciran, pa še account rabiš pri SSL providerju, se zmenit za način plačevanja...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Miro-Slav ::

Še 1x najlepša hvala vsem za informacije!
Če je tako, je pa super. Po mojem mi bo ratalo.

Lp

c3p0 ::

Lonsarg je izjavil:

Zdaj ne poznam pa cPaneč če se da tam direkt nastavit avtomatiziran letsencrypt. Iz tega stališča se mi zdi plačljivi veliko bolj kompliciran, pa še account rabiš pri SSL providerju, se zmenit za način plačevanja...


cPanel ima svoj CA in ne uporablja LE.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gostovanje spletne strani

Oddelek: Omrežja in internet
211542 (636) Qushaak
»

Zadnji dnevi za http (strani: 1 2 )

Oddelek: Novice / Brskalniki
619796 (6065) Jerry000
»

Dva http serverja (prot 80) na ist router

Oddelek: Izdelava spletišč
8851 (430) Stari89
»

Ali je spletna stran"varna" za uporabo?

Oddelek: Omrežja in internet
121603 (979) HotBurek
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5812960 (1617) M.B.

Več podobnih tem