Wprowadzenie do certyfikatów SSL dla WooCommerce

Opublikowany: 2015-12-24

Częścią procesu zakładania sklepu internetowego jest znalezienie sposobu na zabezpieczenie doświadczeń kupujących. Oczywiście chcesz, aby Twoi potencjalni klienci czuli się bezpiecznie i wiedzieli, że ich dane nie trafią w niepowołane ręce.

Jeśli jesteś nowy w handlu elektronicznym, być może słyszałeś plotki o certyfikatach SSL lub HTTPS w ramach tego procesu bezpieczeństwa. I możesz być całkowicie zdezorientowany. Odpręż się — to normalne, a my możemy pomóc.

SSL brzmi jak skomplikowany temat, ale kiedy zrozumiesz założenia i dlaczego Twój sklep może go potrzebować, nie musisz się tym martwić . W rzeczywistości dla większości właścicieli sklepów możesz uzyskać certyfikat, aby dodać SSL do swojego sklepu w ciągu zaledwie kilku minut.

Przyjrzyjmy się, czym jest SSL, dlaczego możesz go potrzebować i jak możesz uzyskać certyfikat dla swojego sklepu. Na końcu tego posta Twoje zamieszanie powinno zniknąć, a Ty powinieneś być jeszcze bardziej przygotowany do rozpoczęcia sprzedaży online.

Wyjaśnienie certyfikatu SSL

Aby zrozumieć, czym jest certyfikat SSL i dlaczego możesz go potrzebować, przyjrzyjmy się najpierw technologii, która za nim stoi.

Krótka lekcja na temat SSL

SSL oznacza „Secure Sockets Layer”, choć czasami jest również nazywany „Transport Layer Security” (lub TLS). SSL sam w sobie jest protokołem używanym do zabezpieczania i ochrony transakcji — choć niekoniecznie finansowych — między miejscami docelowymi w sieci .

SSL opiera się na szyfrowaniu, aby te transakcje były prywatne. Każda przesłana wiadomość musi przejść wewnętrzne sprawdzenie integralności tego szyfrowania, zanim się powiedzie. Jeśli sprawdzenie się nie powiedzie (z powodu uszkodzenia danych lub jakiejkolwiek nieoczekiwanej próby zmiany lub przechwycenia danych), zaszyfrowane dane nie zostaną ujawnione.

Używamy SSL każdego dnia, kiedy przeglądamy popularne strony internetowe, takie jak Facebook, YouTube i sklepy internetowe. Zastosowane szyfrowanie uniemożliwia osobom o złych zamiarach przechwytywanie transakcji tak niewinnych jak Twoje zapytania… lub tak niebezpiecznych, jak informacje o Twojej karcie kredytowej.

Jak SSL stosuje się do certyfikatów witryn

Gdy strona internetowa chce zabezpieczyć swoje transakcje, uzyska certyfikat SSL dla tej domeny. Certyfikat SSL stosuje opisane powyżej szyfrowanie do wszystkich działań w witrynie , w tym przesyłania stron i formularzy, transakcji finansowych itd. Zapobiega to kradzieży danych lub innym tego typu atakom.

Certyfikaty SSL zawierają również ważne informacje dotyczące bezpieczeństwa , w tym:

  • Nazwa firmy
  • Miejsce Firmy
  • Okres ważności certyfikatu
  • Dane organu, który wydał zaświadczenie

Dzięki temu osoby, które nie mają pewności co do autentyczności lub wiarygodności witryny, mogą kliknąć zieloną ikonę „kłódki” w przeglądarce, aby przejrzeć więcej informacji. Jeśli nadal nie czują się bezpiecznie, mogą opuścić witrynę.

Przykład rodzaju informacji, które można zobaczyć podczas sprawdzania certyfikatu SSL – w tym przypadku blog Google Webmaster Central.
Przykład rodzaju informacji, które można zobaczyć podczas sprawdzania certyfikatu SSL — w tym przypadku blog Google Webmaster Central.

Jak sprawdzić, czy witryna korzysta z SSL/TLS?

Istnieją dwa szybkie sposoby sprawdzenia, czy dana witryna ma certyfikat SSL. Szukaj:

  • Zielona ikona „kłódki” na pasku adresu oraz
  • Adres URL zaczynający się od https zamiast http

W zależności od sposobu, w jaki witryna korzysta z protokołu SSL, może to nie dotyczyć każdej strony — o czym dowiesz się poniżej.

Jak zmienia się korzystanie z SSL

Od dłuższego czasu standardem internetowym było to, że certyfikaty SSL były zalecane tylko dla domen lub określonych stron witryn, na których przesyłane lub odbierane byłyby poufne informacje (takie jak dane finansowe). Jednak to zalecenie powoli się zmienia.

W sierpniu 2014 r. Google ogłosił, że bezpieczeństwo witryny zostanie dodane jako „lekki sygnał rankingowy” dla wyników w swojej wyszukiwarce . Oznaczało to, że witryna zabezpieczona SSL/TLS miała większą szansę na wyższą pozycję w rankingu dla zapytania niż niezabezpieczona, zakładając, że wszystkie inne czynniki były takie same.

Od ogłoszenia:

[Przeprowadziliśmy testy biorące pod uwagę, czy witryny używają bezpiecznych, szyfrowanych połączeń jako sygnału w naszych algorytmach rankingu wyszukiwania. Widzieliśmy pozytywne wyniki, więc zaczynamy używać protokołu HTTPS jako sygnału rankingowego. Na razie jest to tylko bardzo lekki sygnał […] podczas gdy dajemy webmasterom czas na przejście na HTTPS. Jednak z czasem możemy zdecydować się na jej wzmocnienie, ponieważ chcielibyśmy zachęcić wszystkich właścicieli witryn do przejścia z HTTP na HTTPS, aby wszyscy byli bezpieczni.

W ciągu ostatniego roku potencjalne konsekwencje tej zmiany spowodowały, że wielu właścicieli witryn — nie tylko właścicieli sklepów — szyfrowało swoje witryny za pomocą pełnych certyfikatów SSL, zmieniając adresy URL na „https” zamiast „http”.

Nie wymaga to jednak od nikogo zabezpieczenia całej witryny za pomocą protokołu SSL . Jeśli zechcą, właściciele witryn i sklepów mogą nadal umieszczać wszystkie swoje wrażliwe strony w subdomenie i kupować certyfikat tylko dla tej domeny, pozostawiając pozostałe strony niezaszyfrowane.

Jak sprawdzić, czy Twój sklep internetowy potrzebuje SSL?

Czytając to wszystko, możesz być przekonany, że potrzebujesz certyfikatu SSL. W końcu bezpieczeństwo jest dla Ciebie ważne, prawda?

Jeśli jednak nie przechwytujesz ani nie przechowujesz żadnych poufnych danych, możesz nie potrzebować certyfikatu . Może to zabrzmieć dziwnie, więc zajmijmy się tematem.

Najczęstszym scenariuszem, który powoduje, że właściciele sklepów są zwolnieni z konieczności korzystania z SSL, jest użycie zewnętrznego procesora płatności — na przykład PayPal. Dzieje się tak, ponieważ PayPal jest odpowiedzialny za przechwytywanie i przechowywanie wszystkich poufnych informacji o płatnościach Twoich klientów, więc nigdy nie są one przechowywane w Twojej bazie danych .

Zewnętrzne podmioty przetwarzające płatności mają własne standardy bezpieczeństwa, certyfikaty i metody bezpiecznego przekazywania danych zi do Twojego sklepu. Dlatego niekoniecznie potrzebujesz SSL, ponieważ będą to obejmować.

Jeśli nie przechowujesz żadnych poufnych informacji o płatnościach, możesz nie potrzebować SSL.
Jeśli nie przechowujesz żadnych poufnych informacji o płatnościach, możesz nie potrzebować SSL.

Innym scenariuszem jest to, że nie pozwalasz klientom na tworzenie kont lub loginów z użyciem jakichkolwiek haseł. Nawet jeśli korzystasz z bramki płatności innej firmy, całkowicie zewnętrznej, nadal możesz mieć klientów tworzących u Ciebie konta, aby zapisać swoje adresy wysyłkowe i rozliczeniowe .

Chociaż są to znacznie mniej poufne informacje, wielu klientów używa tego samego hasła do każdego konta. Tak więc odrobina inżynierii wstecznej może doprowadzić hakera do uzyskania dostępu do, powiedzmy, konta e-mail kupującego, konta bankowego… co tylko chcesz. Oznacza to, że jeśli tworzenie kont nie jest wyłączone w Twoim sklepie, będziesz potrzebować SSL do ochrony tych haseł i loginów .

Podsumowując, dwa czynniki, które mogą wyeliminować SSL jako wymaganie, to:

  • Korzystanie z całkowicie zewnętrznej bramki płatności oraz
  • Całkowicie brak funkcji konta lub hasła dozwolonej przez klientów

Jeśli nie masz obu tych czynników, będziesz potrzebować certyfikatu dla swojego sklepu. A nawet jeśli to zrobisz, nadal powinieneś to rozważyć , biorąc pod uwagę możliwość, że HTTPS stanie się ważniejszy dla rankingów — i spokoju klientów — w przyszłości.

Potrzebujesz SSL? Jak zdobyć certyfikat (dwa sposoby)

Do niedawna standardowym sposobem zabezpieczenia sklepu za pomocą SSL była opłacenie certyfikatu osobie trzeciej. Jest jednak teraz inna opcja, jak wspomniano podczas The State of the Word na WordCamp US.

Oto dwa sposoby na zabezpieczenie sklepu i zadowolenie klientów.

Płacenie za certyfikat

Certyfikaty SSL można nabyć od wielu różnych stron trzecich . Wielu sprzedawców domen oferuje je swoim klientom (czasami nawet w pakiecie z nazwą domeny), a są też niezależne firmy, które sprzedają tylko certyfikaty SSL.

Najlepszym rozwiązaniem może być rozpoczęcie od firmy, od której kupiłeś (lub planujesz zakup) nazwę domeny swojego sklepu, aby ustalić, czy oferuje ona certyfikaty lub jakikolwiek pakiet. Jeśli nie, proste wyszukiwanie powinno znaleźć wiele niezawodnych opcji.

Przed zakupem poświęć kilka minut na dokładne rozważenie rodzaju potrzebnego certyfikatu . Podstawowe certyfikaty SSL obejmują tylko jedną domenę — np. example.com lub subdomena.example.com. Ale możesz także kupić certyfikaty wielodomenowe lub certyfikaty „wieloznaczne”, aby objąć wiele subdomen (przyklad1.domena.com, przyklad2.domena.com…).

Ceny płatnych certyfikatów zwykle wahają się od 30 do 50 USD rocznie w przypadku pojedynczych domen i do 300 USD rocznie w przypadku opcji wielodomenowych lub wieloznacznych.

Darmowe certyfikaty od Let's Encrypt

Internet Security Research Group (ISRG) ma obecnie program o nazwie Let's Encrypt w publicznej wersji beta. Let's Encrypt pozwala każdemu zabezpieczyć swoją witrynę za pomocą protokołu SSL/TLS za darmo — skutecznie dając właścicielom witryn i sklepów bezpłatny, stały certyfikat SSL .

Haczyk: Let's Encrypt nie jest tak prosty, jak współpraca z rejestratorem domen w celu zakupu i zainstalowania Twojego certyfikatu. Jest również nadal w fazie beta, więc możliwe są błędy. Jednak nadal jest całkowicie darmowy i do tego open source.

Diagram z Let's Encrypt pokazujący, jak działają ich certyfikaty.
Diagram z Let's Encrypt pokazujący, jak działają ich certyfikaty.

Jeśli jesteś zainteresowany tą drogą, zalecamy wysłanie dokumentacji Let's Encrypt do twojego programisty, który może określić wtyczkę i klienta potrzebne dla twojego serwera i zająć się procesem instalacji certyfikatu.

Konsekwencje braku certyfikatu

Być może zastanawiasz się „co się stanie, jeśli zignoruję to wszystko i po prostu nie dostanę certyfikatu SSL?”

Prawdę mówiąc, nic się nie może stać. Ale mogą też mieć straszne konsekwencje, w tym:

  • Kupujący tracą do Ciebie zaufanie, ponieważ Twój sklep wydaje się niezabezpieczony
  • Nieprzyzwoite osoby „podrabiają” Twój sklep, ponieważ nie ma możliwości udowodnienia, że ​​jesteś prawdziwym właścicielem lub producentem Twoich towarów
  • Haker wykorzystujący inżynierię wsteczną do przejęcia poczty e-mail klienta, mediów społecznościowych lub innego konta online z informacjami uzyskanymi z Twojego sklepu
  • Kradzież wrażliwych danych osobowych lub finansowych przechowywanych na Twoim serwerze
  • Publiczna i potencjalna reakcja finansowa spowodowana przez którekolwiek z powyższych zdarzeń

Jak widać, lepiej po prostu zapłacić za certyfikat SSL i mieć spokój, niż zaryzykować. Nawet potencjalni klienci dokuczają ci z powodu brakującej ikony kłódki – i potencjalnie wychodzą bez kupowania, ponieważ jej brakuje – jest warte około 30 dolarów rocznie, nie sądzisz?

SSL nie musi być skomplikowaną sprawą

Mamy nadzieję, że to wprowadzenie do certyfikatów SSL dla handlu elektronicznego pomogło ci lepiej zrozumieć, dlaczego możesz – lub nie – potrzebować certyfikatu do własnego sklepu internetowego.

Przy odrobinie szczęścia SSL i bezpieczeństwo sklepu powinny teraz wydawać się łatwiejsze do zrozumienia. Ale jeśli masz jeszcze jakieś pytania, z przyjemnością odpowiemy na nie w komentarzach poniżej! Zapytaj, zawsze służymy pomocą.