WooCommerce İçin SSL Sertifikalarına Giriş

Yayınlanan: 2015-12-24

Bir çevrimiçi mağaza açma sürecinin bir parçası, alışveriş yapanlarınız için deneyimi güvence altına almanın bir yolunu bulmaktır. Potansiyel müşterilerinizin elbette kendilerini güvende hissetmelerini ve verilerinin yanlış ellere düşmeyeceğini bilmelerini istiyorsunuz.

E-Ticaret'te yeniyseniz, bu güvenlik sürecinin bir parçası olarak SSL sertifikaları veya HTTPS hakkında biraz gevezelik duymuş olabilirsiniz. Ve bununla tamamen kafanız karışmış olabilir. Rahatlayın - bu normaldir ve size yardımcı olabiliriz.

SSL karmaşık bir konu gibi görünüyor , ancak önceliği ve mağazanızın neden buna ihtiyaç duyabileceğini anladıktan sonra, endişelenmek için zaman harcamanız gerekmeyecek . Aslında, çoğu mağaza sahibi için, mağazanıza SSL eklemek için yalnızca birkaç dakika içinde bir sertifika alabilirsiniz.

SSL'nin ne olduğunu, neden ihtiyaç duyabileceğinizi ve mağazanız için nasıl sertifika alabileceğinizi gözden geçirelim. Bu yazının sonunda kafa karışıklığınız gitmiş olmalı ve çevrimiçi satış yapmaya başlamak için daha da hazırlıklı olmalısınız.

SSL sertifikası açıklandı

Bir SSL sertifikasının ne olduğunu ve neden birine ihtiyaç duyabileceğinizi anlamak için önce arkasındaki teknolojiye hızlıca bir göz atalım.

SSL hakkında hızlı bir ders

SSL, "Güvenli Yuva Katmanı" anlamına gelir, ancak bazen "Aktarım Katmanı Güvenliği" (veya TLS) olarak da adlandırılır. SSL, kendi başına , bir ağ üzerindeki hedefler arasındaki işlemleri - finansal olması gerekmese de - güvence altına almak ve korumak için kullanılan bir protokoldür .

SSL, bu işlemleri özel kılmak için şifrelemeye güvenir. Aktarılan her mesaj, başarılı olmadan önce bu şifrelemenin bütünlüğü için dahili bir kontrolden geçmelidir. Kontrol başarısız olursa (veri bozulması veya verileri değiştirmeye veya yakalamaya yönelik beklenmedik girişimler nedeniyle), şifrelenmiş veriler açığa çıkmaz.

Facebook, YouTube ve çevrimiçi mağazalar gibi yaygın web sitelerine göz atarken her gün SSL kullanıyoruz. Kullanılan şifreleme, kötü niyetli kişilerin arama sorgularınız kadar masum veya kredi kartı bilgileriniz kadar tehlikeli işlemlere müdahale etmesini engeller.

SSL, web sitesi sertifikalarına nasıl uygulanır?

Bir web sitesi işlemlerini güvence altına almak istediğinde, o alan adı için bir SSL sertifikası alacaktır. SSL sertifikası, sayfa ve form gönderimleri, finansal işlemler vb. dahil olmak üzere tüm web sitesi etkinliğine yukarıda açıklanan şifrelemeyi uygular . Bu, veri hırsızlığını veya bu tür diğer saldırıları önler.

SSL sertifikaları ayrıca aşağıdakiler de dahil olmak üzere önemli güvenlik bilgilerini içerir :

  • Firma Adı
  • Şirketin Yeri
  • Sertifikanın iyi olduğu süre
  • Sertifikayı veren makamın ayrıntıları

Bu, bir web sitesinin gerçekliği veya güvenilirliğinden emin olmayan kişilerin daha fazla bilgiyi gözden geçirmek için tarayıcılarındaki yeşil “kilit” simgesine tıklamalarına olanak tanır. Hala kendilerini güvende hissetmiyorlarsa siteden çıkabiliyorlar.

Bir SSL sertifikasını incelerken görebileceğiniz türden bilgilere bir örnek -- bu örnekte, Google'ın Web Yöneticisi Merkezi blogu.
Bir SSL sertifikasını incelerken görebileceğiniz türden bilgilere bir örnek - bu durumda, Google'ın Web Yöneticisi Merkezi blogu.

Bir web sitesinin SSL/TLS kullanıp kullanmadığını nasıl anlarız?

Herhangi bir web sitesinin SSL sertifikasına sahip olup olmadığını anlamanın iki hızlı yolu vardır. Aramak:

  • Adres çubuğunda yeşil bir "kilit" simgesi ve
  • http yerine https ile başlayan bir URL

Sitenin SSL'yi nasıl kullandığına bağlı olarak, aşağıda öğreneceğiniz gibi, bu her sayfa için geçerli olmayabilir.

SSL kullanımı nasıl değişiyor?

Uzun bir süredir İnternet standardı, SSL sertifikalarının yalnızca hassas bilgilerin (finansal veriler gibi) iletileceği veya alınacağı web sitelerinin belirli sayfaları için önerilmesiydi. Ancak, bu öneri yavaş yavaş değişiyor.

Ağustos 2014'te Google , arama motorundaki sonuçlar için web sitesi güvenliğinin "hafif sıralama sinyali" olarak ekleneceğini duyurdu. Bu, SSL/TLS ile güvence altına alınan bir web sitesinin, diğer tüm faktörlerin aynı olduğu varsayıldığında, bir sorgu için güvenli olmayan bir web sitesine göre daha yüksek sıralama şansına sahip olduğu anlamına geliyordu.

Duyurudan:

[W]e, sitelerin arama sıralama algoritmalarımızda sinyal olarak güvenli, şifreli bağlantılar kullanıp kullanmadığını dikkate alarak testler yürütüyoruz. Olumlu sonuçlar gördük, bu nedenle HTTPS'yi bir sıralama sinyali olarak kullanmaya başladık. Web yöneticilerine HTTPS'ye geçmeleri için zaman verirken, şimdilik sadece çok hafif bir sinyal […] Ancak zamanla, onu güçlendirmeye karar verebiliriz, çünkü herkesi güvende tutmak için tüm web sitesi sahiplerini HTTP'den HTTPS'ye geçmeye teşvik etmek istiyoruz.

Geçen yıl boyunca, bu değişikliğin olası etkileri, yalnızca mağaza sahiplerinin değil, birçok web sitesi sahibinin sitelerini tam SSL sertifikalarıyla şifrelemesine ve URL'lerini "http" yerine "https" olarak değiştirmesine neden oldu.

Ancak bu, hiç kimsenin tüm sitesini SSL ile güvence altına almasını gerektirmez . İsterlerse, web sitesi ve mağaza sahipleri tüm hassas sayfalarını bir alt alana yerleştirebilir ve yalnızca bu alan adı için bir sertifika satın alabilir ve geri kalan sayfaları şifrelenmemiş halde bırakabilir.

Çevrimiçi mağazanızın SSL'ye ihtiyacı olup olmadığını nasıl anlarsınız?

Tüm bunları okurken, bir SSL sertifikasına ihtiyacınız olduğuna ikna olabilirsiniz. Sonuçta, güvenlik sizin için önemli, değil mi?

Ancak, hassas verileri yakalamaz veya saklamazsanız, aslında bir sertifikaya ihtiyacınız olmayabilir . Bu kulağa garip gelebilir, o yüzden içeri girelim.

Mağaza sahiplerinin SSL'ye ihtiyaç duymaktan muaf tutulmasına neden olan en yaygın senaryo, bir site dışı ödeme işlemcisinin kullanılmasıdır - örneğin, PayPal. Bunun nedeni, PayPal'ın müşterinizin tüm hassas ödeme bilgilerinin alınmasından ve saklanmasından sorumlu olmasıdır, bu nedenle bu bilgiler hiçbir zaman veritabanınızda saklanmaz .

Tesis dışı ödeme işlemcilerinin kendi güvenlik standartları, sertifikaları ve mağazanızdan ve mağazanıza güvenli bir şekilde veri aktarma yöntemleri vardır. Bu nedenle, mutlaka SSL'ye ihtiyacınız yoktur, çünkü bunu ele alacaklardır.

Herhangi bir hassas ödeme bilgisi saklamazsanız, SSL'ye ihtiyacınız olmayabilir.
Herhangi bir hassas ödeme bilgisi saklamazsanız, SSL'ye ihtiyacınız olmayabilir.

Başka bir senaryo, müşterilerin herhangi bir türde şifre içeren hesaplar veya girişler oluşturmasına izin vermemenizdir. Üçüncü taraf, tamamen tesis dışında bir ödeme ağ geçidi kullansanız bile , müşterilerinizin gönderim ve fatura adreslerini kaydetmek için sizinle hesap oluşturmasına devam edebilirsiniz .

Bu çok daha az hassas bilgi olsa da, birçok müşteri her hesap için aynı şifreyi kullanma eğilimindedir. Yani biraz tersine mühendislik, bir bilgisayar korsanının, örneğin bir müşterinin e-posta hesabına, banka hesabına erişmesine yol açabilir… adını siz koyun. Bu , mağazanızda hesap oluşturma devre dışı bırakılmadığı sürece, bu parolaları ve oturum açma bilgilerini korumak için SSL'ye ihtiyacınız olacağı anlamına gelir.

Özetlemek gerekirse, SSL'yi bir gereksinim olarak ortadan kaldırabilecek iki faktör şunlardır:

  • Tamamen site dışı bir ödeme ağ geçidinin kullanımı ve
  • Müşteriler tarafından kesinlikle hiçbir hesap veya şifre işlevine izin verilmez

Bu faktörlerin her ikisine de sahip değilseniz, mağazanız için bir sertifikaya ihtiyacınız olacaktır. Ve bunu yapsanız bile, HTTPS'nin gelecekte sıralamalar ve müşterilerin gönül rahatlığı için daha önemli hale gelme olasılığı göz önüne alındığında, yine de düşünmelisiniz .

SSL'ye mi ihtiyacınız var? Sertifika nasıl alınır (iki yol)

Yakın zamana kadar mağazanızı SSL ile güvence altına almanın standart yolu, bir sertifika için üçüncü bir tarafa ödeme yapmaktı. Bununla birlikte, WordCamp ABD'deki The State of the Word sırasında belirtildiği gibi artık başka bir seçenek daha var.

İşte mağazanızı güvence altına almanın ve müşterilerinizi mutlu etmenin iki yolu.

Sertifika için ödeme

SSL sertifikaları çok çeşitli üçüncü şahıslardan satın alınabilir . Birçok alan adı satıcısı bunları müşterilerine sunar (hatta bazen alan adınızla birlikte gelir) ve ayrıca yalnızca SSL sertifikaları satan bağımsız şirketler de vardır.

En iyi seçeneğiniz, mağazanızın alan adını satın aldığınız (veya satın almayı planladığınız) şirketle başlamak ve bu şirketin sertifika veya herhangi bir paket sunup sunmadığını belirlemek olabilir. Değilse, basit bir arama birden çok güvenilir seçenek ortaya çıkarmalıdır.

Satın almadan önce, ihtiyacınız olan sertifika türünü düşünerek birkaç dakikanızı dikkatlice ayırın . Temel SSL sertifikaları yalnızca bir alanı kapsar - ör. example.com veya subdomain.example.com. Ancak, birden çok alt etki alanını kapsayacak şekilde çok etki alanı sertifikaları veya "joker karakter" sertifikaları da satın alabilirsiniz (example1.domain.com, example2.domain.com…).

Ücretli sertifikaların fiyatlandırması, tek alan adları için genellikle yılda 30 ABD Doları ile 50 ABD Doları arasında ve çok alanlı veya joker karakter seçenekleri için yılda 300 ABD Dolarına kadar değişir.

Let's Encrypt'ten ücretsiz sertifikalar

İnternet Güvenliği Araştırma Grubu (ISRG) şu anda genel beta sürümünde Let's Encrypt adlı bir programa sahiptir. Let's Encrypt, herkesin sitelerini ücretsiz olarak SSL/TLS ile güvence altına almasına olanak tanır - web sitesi ve mağaza sahiplerine etkili bir şekilde ücretsiz, kalıcı bir SSL sertifikası verir .

İşin püf noktası: Let's Encrypt, sertifikanızı satın almak ve yüklemek için bir alan adı kayıt şirketiyle çalışmak kadar kolay değildir. Ayrıca hala beta sürümündedir, bu nedenle hatalar mümkündür. Ancak, yine de tamamen ücretsizdir ve bu konuda açık kaynaktır.

Let's Encrypt'ten sertifikalarının nasıl çalıştığını gösteren bir diyagram.
Let's Encrypt'ten sertifikalarının nasıl çalıştığını gösteren bir diyagram.

Bu yoldan gitmekle ilgileniyorsanız, sunucunuz için ihtiyaç duyduğunuz eklentiyi ve istemciyi belirleyebilecek ve sertifika yükleme sürecini sizin için halledebilecek geliştiricinize Let's Encrypt belgelerini göndermenizi öneririz.

Sertifika almamanın sonuçları

“Bütün bunları görmezden gelirsem ve bir SSL sertifikası alamazsam ne olur?” diye merak ediyor olabilirsiniz.

Doğrusu, hiçbir şey olmayabilir. Ancak, aşağıdakiler de dahil olmak üzere korkunç sonuçlar da olabilir:

  • Mağazanız güvensiz göründüğü için alışveriş yapanlar size olan güvenini kaybediyor
  • Tatsız kişiler, mallarınızın gerçek sahibi veya üreticisi olduğunuzu kanıtlamanın bir yolu olmadığı için mağazanızı "sahtekarlık ediyor"
  • Mağazanızdan elde edilen bilgilerle bir müşterinin e-postasını, sosyal medyasını veya diğer çevrimiçi hesabını ele geçirmek için tersine mühendislik kullanan bir bilgisayar korsanı
  • Sunucunuzda saklanan hassas kişisel veya finansal verilerin çalınması
  • Yukarıdaki olaylardan herhangi birinin neden olduğu kamu ve potansiyel mali tepki

Gördüğünüz gibi, bir SSL sertifikası için ödeme yapmak ve onu riske atmaktansa içiniz rahat etmek daha iyidir. Potansiyel müşterilerin bu eksik kilit simgesi hakkında sizi rahatsız etmesi bile - ve potansiyel olarak kayıp olduğu için satın almadan çıkmanız - yılda yaklaşık 30 $ değerinde, sence de öyle değil mi?

SSL karmaşık bir konu olmak zorunda değil

E-Ticaret için SSL sertifikalarına yönelik bu girişin, kendi çevrimiçi mağazanız için neden bir sertifikaya ihtiyaç duyabileceğinizi veya olmayabileceğinizi biraz daha iyi anlamanıza yardımcı olduğunu umuyoruz.

Şansınız yaver giderse, SSL ve mağaza güvenliğini şimdi kavramanız çok daha kolay görünecek. Ancak kalan sorularınız varsa, aşağıdaki yorumlarda sizin için yanıtlamaktan mutluluk duyarız! Sor, yardım etmek için her zaman buradayız.