Paano Gamitin ang HTTPS Protocol at SSL Certificate para Protektahan ang Iyong Online na Tindahan

Nai-post 7 taon na ang nakakaraan by Anna Koneva, Koponan ng Ecwid

Kapag bumili ang mga customer ng isang bagay mula sa iyong tindahan, ibinabahagi nila ang kanilang pribadong data — pangalan, email, mga detalye ng credit card — sa iyo. Bilang isang merchant, gusto mong panatilihing secure ang vulnerable data na ito mula sa mga hacker, scammer, at magnanakaw ng data. Ito ay mahalaga para sa pagbuo ng tiwala sa iyong madla.

Maaari at dapat mong protektahan ang data ng iyong customer at dagdagan ang tiwala sa iyong negosyo gamit ang HTTPS protocol at SSL certificate. Hindi lamang mapapabuti ng mga tool na iyon ang seguridad at mapapataas ang iyong pagiging mapagkakatiwalaan, makakatulong din ang mga ito na mas mahusay ang ranggo ng iyong tindahan sa mga search engine.

Kung ikaw magbenta online sa Ecwid, ikalulugod mong malaman na protektado na ang data ng iyong customer. Gayunpaman, ang paggamit ng SSL certificate ay maaaring magkaroon ng ilang karagdagang benepisyo.

Sa post na ito, ipapakita namin sa iyo kung paano gumagana ang HTTPS protocol at SSL certificate, at kung paano mo makukuha ang mga ito para sa iyong website.

Pag-unawa sa mga SSL Certificate at sa HTTPS Protocol

Sa internet, lahat ng data ay inililipat mula sa device patungo sa device ayon sa ilang mga panuntunan o protocol.

Para sa mga website, ang protocol na ito ay tinatawag HyperText Transfer Protocol (HTTP). Inililipat nito ang data na ipinasok ng iyong mga customer sa iyong website sa server na nagho-host ng iyong website, at pagkatapos ay nakakatulong itong ipadala ang tugon sa browser. Halimbawa, pinindot ng user ang isang button at magbubukas ang isang bagong page, o punan nila ang email registration form at makita ang kumpirmasyon ng isang matagumpay na pagpaparehistro.

Ang problema sa HTTP ay hindi nito pinoprotektahan ang anumang data na inilipat mula sa mga browser patungo sa mga server. Ang anumang data na dumadaan sa HTTP ay mahalagang "hubad".

Ang isang magandang pagkakatulad ay mag-isip ng dalawang mag-aaral na nagpapasa ng mga tala sa isang silid-aralan. Sinuman sa kanilang mga kaklase ay maaaring basahin, kopyahin, o palitan ang tala. Ito ay pareho sa iyong data ng customer: ang isang kontrabida ay maaaring magnakaw ng mga detalye ng credit card at pera mula dito.

Iyon ang dahilan kung bakit nilikha ang isang bagong protocol para sa pagprotekta ng data: HTTPS (HyperText Transfer Protocol Hindi makatatakas). Sa HTTPS, ang lahat ng paglilipat ng data sa pagitan ng isang user at isang web server ay naka-encrypt. Napakakomplikado ng pag-encrypt na ito halos imposibleng i-hack at gamitin ang data.

Upang magamit ang HTTPS protocol, kailangan muna ng iyong site ng SSL (Secure Socket Layer) certificate.

Ang isang SSL certificate ay mahalagang susi para sa pag-encrypt ng data. Pinoprotektahan nito ang data sa tatlong antas:

Data Encryption. Hindi makikita ng mga hacker kung anong impormasyon ang ipinasok ng isang user sa site o upang subaybayan ang mga aksyon ng user sa isang page. Isipin ito bilang isang tala na nakasulat gamit ang cipher — mababasa lamang ito ng isang taong nakakaalam ng susi.
Integridad ng datos. Hindi mapapalitan o madistort ng mga hacker ang ipinadalang data. Dagdag pa, nang hindi nalalaman ang susi, imposibleng isulat, i-edit, o manipulahin ang data, tulad ng sa sitwasyong naka-cipher na tala.
Pagpapatotoo. Tinitiyak ng SSL na ang isang user ay nasa isang pinagkakatiwalaang site at hindi sa isang pahina ng hacker. Kung dalawang kalahok lang ang nakakaalam ng susi, siguradong malalaman nila kung kanino nila natanggap ang tala. Ang isang estranghero ay hindi maaaring magpasa ng kanilang sariling tala at makakuha ng impormasyon sa pamamagitan ng pagdaraya.

Maaari mong makita kung ang isang site ay protektado ng isang SSL certificate sa pamamagitan ng HTTPS protocol sa URL address. Karamihan sa mga browser ay nagpapakita nito nang biswal sa anyo ng isang icon ng lock:

Ang mga SSL certificate ay ipinamamahagi ng mga espesyal na organisasyon — mga sentro ng sertipikasyon.

Sino ang Dapat Gumamit ng SSL (at Bakit)

Kinakailangan ang SSL para sa mga site kung saan naglalagay ang mga user ng sensitibong impormasyon — gaya ng mga detalye ng credit card. E-commerce Ang mga tindahan na ayaw mawalan ng kanilang mga customer ay matagal nang gumagamit ng HTTPS protocol.

Ngunit madalas, ang mga online na tindahan ay nagpoprotekta lamang mga pahina ng pagpaparehistro at pag-checkout gamit ang SSL, dahil iyon lamang ang mga lugar kung saan ang kanilang mga customer ay nagbabahagi ng personal na data. Ang natitirang bahagi ng website ay madalas na gumagana sa hindi secure na HTTP.

Ngayon, Ang HTTPS ay kinakailangan para sa bawat web page. Mayroong ilang mga dahilan para dito.

Ang mga browser ay nag-flag ng mga hindi protektadong site

Ang Chrome at Firefox, dalawa sa pinakasikat na browser sa mundo, ay biswal na nagmamarka ng mga site na hindi gumagamit ng SSL.

Sa ngayon, isang gray na icon ng impormasyon lamang ang nakikita. Ngunit sa hinaharap, mga browser planong magbago ang tagapagpahiwatig ng seguridad sa isang pulang tatsulok para sa mga pahina sa HTTP. Nakasanayan na ng iyong mga customer na makita ito bilang isang "babala" na tagapagpahiwatig.

Dahil dito, ang hindi paggamit ng SSL ay maaaring matakot sa mga tao na bumili mula sa iyong website.

Ang paggamit ng SSL ay nagpapabuti sa mga ranggo

Noong 2014, Inihayag ng Google na isasaalang-alang nito ang paggamit ng SSL bilang signal ng pagraranggo. Nangangahulugan ito na ang mga site na gumagamit ng SSL ay makakakuha ng tulong sa trapiko ng search engine.

Mga kinakailangan sa serbisyo sa pagbabayad

Ang dumaraming bilang ng mga serbisyo sa pagbabayad ay mayroong HTTPS bilang isang kinakailangan para sa pakikipagtulungan sa kanila. Halimbawa, Apple Pay gumagana lamang gamit ang HTTPS.

Pinapataas nito ang tiwala

Ang mga alalahanin sa seguridad sa pagbabayad ay isa sa nangungunang 10 dahilan para sa pag-abanduna sa shopping cart. Kapag nagdagdag ka ng SSL certificate sa iyong tindahan, nakikita mong ipinapaalam sa mga user na ligtas ang kanilang data sa pagbabayad.

Ang mas maraming tiwala, siyempre, ay katumbas ng mas maraming benta.

Kung gusto mong madaling mahanap ng iyong mga customer ang iyong tindahan sa mga search engine at mas madaling magtiwala sa iyo, huwag ipagpaliban ang paglipat sa HTTPS.

Paano Kumuha ng SSL Certificate at Lumipat sa HTTPS

Upang lumipat sa HTTPS, kailangan mo munang bumili at mag-install ng SSL certificate sa website. Maaaring maging simple o mas kumplikado ang prosesong ito para sa ilang tindahan, depende sa uri ng site na mayroon ka.

1. Gumagamit ka ng Ecwid Instant Site

Ang sinumang nakarehistro sa Ecwid ay makakakuha ng website na may a built-in online na tindahan. Ang site na ito ay ganap na libre para sa lahat ng mga gumagamit.

Maaaring kilala mo ito bilang ang Ecwid Instant na Site.

Kung gagamitin mo ang site na ito, kung gayon mayroon ka nang SSL certificate bilang default. Ang isang online na tindahan sa isang Ecwid Instant na Site ay sumusunod sa mga internasyonal na pamantayan para sa secure na paghahatid ng data.

Subukan ito ngayon — magtungo sa iyong Instant na Site at tingnang mabuti ang address bar sa browser. Makakakita ka ng berdeng icon ng lock na may mensaheng "Secure" sa tabi ng URL. Makatitiyak na ligtas ang iyong online na tindahan.

Gusto mo bang i-link ang iyong Instant na Site sa iyong custom na domain (upang mag-redirect ito sa mysite.com at hindi mysite.ecwid.com)?

Makakakuha ka ng libreng SSL certificate para sa pagkilos na ito pati na rin. Sundin lamang ang mga hakbang na ito:

Mag-login sa iyong Ecwid store, pagkatapos ay pumunta sa Mga Setting → Instant na Site at mag-click sa pindutang "Baguhin ang Address".
Mag-click sa field na “Gamitin ang iyong domain” at sundin ang mga tagubiling lalabas sa screen.

2. Nagdagdag ka ng Ecwid sa iyong sariling website

Maaari kang mag-set up ng Ecwid store sa anumang site at maging cool sa seguridad ng data ng customer. Halimbawa, ito ay maaaring isang WordPress blog, isang Adobe Muse website, o sarili mong static na HTML page.

Kung sakaling tinahak mo ang rutang ito, hindi mo kailangang mag-alala tungkol sa kaligtasan ng data ng iyong mga customer. Dahil ang data ay inilipat sa pamamagitan ng aming lubos na protektadong mga server, ang lahat ng data ay pinananatili at pinoproseso sa sarili ng Ecwid Pinoprotektahan ng SSL mga server.

Kung idinagdag mo ang Ecwid sa iyong sariling website na walang SSL certificate, hindi makikita ng iyong mga customer ang secure na icon na “lock” kahit saan maliban sa pag-checkout, na maaaring nakakadismaya sa kanila.

Narito ang ilang paraan na maaari kang bumili at gumamit ng mga SSL certificate para sa iba't ibang tagabuo ng website:

wix: Maaari kang gumamit ng SSL certificate nang libre sa Wix. Kailangan mo munang paganahin ang certificate na ito sa pamamagitan ng pagpunta sa mga setting, pagkatapos pagsunod sa mga tagubilin.

Weebly: maaari mong awtomatikong magdagdag ng a n SSL certificate sa iyong Weebly site.

Joomla, WordPress, Drupal: kakailanganin mong bumili ng SSL certificate mula sa iyong domain registrar o isang hosting provider at i-install ito sa iyong website gamit ang mga tagubilin (malamang na kailangan mo ng developer):

Sariling itinayo mga website: bumili ng SSL certificate mula sa iyong hosting provider/domain at i-install ito mismo o sa tulong ng iyong IT guy.

Sundin ang mga tagubilin sa ibaba upang matutunan ang tungkol sa iba't ibang uri ng mga SSL certificate at kung saan bibilhin ang mga ito.

Mga uri ng SSL certificate

Sa esensya, mayroong 3 uri ng mga sertipiko. Magkaiba ang mga ito sa bilis ng pagpapalabas at sa lawak ng mga inspeksyon ng nagbebenta.

1. Mga Certificate na May Domain Validation (DV)

Ang pinakasimpleng opsyon. Sa sandaling bumili ka ng DV SSL certificate, makakakuha ka ng link upang i-verify ang pagmamay-ari ng domain sa iyong nakalistang email address.

Ang DV ay inilabas halos kaagad. Ito rin ang pinakamurang opsyon, na may ilang nagbebenta pa ngang nag-aalok nito nang libre.

2. Mga Sertipiko na May Pagpapatunay ng Organisasyon (OV)

Upang makakuha ng OV SSL certificate, kailangan mong kumpirmahin ang pagkakaroon ng iyong korporasyon o LLC, sa pamamagitan ng pagbibigay ng pagbibigay ng sertipiko awtoridad ang mga kinakailangang dokumento.

Maaaring kumuha ng OV SSL certificate 1-3 araw para makuha. Ang sertipiko na ito ay palaging kailangang bayaran.

3. Certificate With Extended Validation (EV)

Ang isang EV certificate ay maaaring makilala sa pamamagitan ng pangalan ng kumpanya sa isang berdeng background malapit sa address ng website. Maaaring nakita mo na sila sa mga financial website:

Bago makapagbigay ng EV SSL, ang awtoridad na nagpapatunay ay nagsasagawa ng masusing pagsusuri. Maaari itong tumagal 3-10 araw, at higit pa, para makakuha ng EV certificate.

Ang sertipiko na ito ay pinakaangkop para sa mga bangko at sistema ng pagbabayad.

DV, OV, EV – hindi alintana kung anong uri ng SSL certificate ang pipiliin mo, unawain na pinoprotektahan nilang lahat ang iyong data sa parehong paraan. Ito ang dahilan kung bakit maaari mong gamitin ang pinakamurang opsyon — isang pangunahing SSL na may pag-verify ng domain — nang hindi nababahala tungkol sa iyong seguridad. Kakailanganin mong regular na i-renew ang iyong SSL certificate — kung ang certificate ay hindi na-renew sa susunod na taon, hindi lamang mawawala ang iyong proteksyon, ngunit maaaring hindi mabuksan ang site para sa karamihan ng mga user.

Ang isang SSL certificate ay nagkakahalaga ng humigit-kumulang $50/taon. Ang ilang provider ay nagbebenta ng mas mahal na variant, ngunit dapat mong iwasan ang labis na paggastos. Ang pangunahing seguridad ng data na inaalok ay nananatiling pareho, hindi alintana kung bumili ka ng $50 o $150 na SSL.

Bagama't ang ilang mga provider ay nag-aalok ng mga libreng SSL certificate, ang mga ito ay malubhang "natubigan" na mga variant nang walang anumang mga benepisyo. Hindi mo dapat bilhin ang una mong nakita.

Ang mga SSL certificate ay ibinibigay ng “trust centers”. Ang ilan sa mga mas sikat na trust center ay:

Comodo
Symantec
Digicert
Geotrust

Maaari kang bumili ng mga certificate na ibinigay ng mga center na ito mula sa mga registrar ng domain, mga website na nagho-host, at mga reseller ng SSL. Bilang karagdagan, mayroon ding mga libreng sertipiko.

Sa ibaba, tutulungan ka naming maunawaan nang mas mahusay ang mga opsyon.

1. Bumili ng SSL certificate mula sa domain registrar o hosting service

Karamihan sa mga domain registrar at mga serbisyo sa pagho-host ay nagbebenta din ng mga SSL certificate. Sa ilang mga kaso, maaaring mag-isyu ang registrar ng libreng certificate bilang regalo o pagbili.

Ang pagbili mula sa isang domain registrar o isang serbisyo sa pagho-host ay mahusay dahil ginagawang madali ang paglipat mula sa HTTP patungo sa HTTPS.

Narito ang ilang sikat na opsyon:

GoDaddy - $57/taon bawat website
Bluehost - libre hanggang $49,9/taon
Namecheap - nagsisimula sa $9/yr
eNom - $ 12,95 / yr
SiteGround - libreng SSL kapag bumibili ng pagho-host

Kung nag-aalok din ang iyong domain registrar o web host ng mga SSL certificate, inirerekomenda naming bumili ng isa mula sa kanila, kahit na medyo mas mahal ito. Makakatipid ito sa iyo ng oras pagdating ng oras para i-install ang certificate at lumipat sa HTTPS.

2. Kumuha ng libreng SSL certificate

Kung ang iyong web host/registrar ay hindi nagbebenta ng mga SSL certificate o kung limitado ang iyong badyet, maaari kang pumili ng isang libreng certificate. May isang flavor lang ang mga libreng certificate — Domain Validation (DV). Iyon ay sapat na upang maprotektahan ang data.

Inirerekomenda namin ang mga sumusunod na serbisyo:

CloudFlare

CloudFlare nag-aalok ng mga libreng SSL certificate na may hanggang 15 taon ng subscription. Bukod sa proteksyon ng data, mayroon itong iba pang mga benepisyo tulad ng pangunahing proteksyon mula sa mga pag-atake ng DDoS at ang awtomatikong pagpapabilis ng iyong website.

May mga disadvantage din:

Gumagana lamang ito sa mga bagong browser. Kung ang iyong mga customer ay gumagamit ng mga mas lumang browser (mas luma sa Internet Explorer 11, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Mobile Safari para sa iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7), mananalo sila' t makita ang "https" sa iyong website.
Pinoprotektahan ng isang pangkalahatang sertipiko ang ilang mga site sa parehong oras. Gayunpaman, protektahan nito ang iyong website tulad ng isang indibidwal.
Hihilingin sa iyo ng Cloudflare na gamitin ang kanilang sariling data ng server at ang trapiko ng iyong website ay dadaan sa mga server ng Cloudflare, na maaaring magdulot ng pagbaba sa bilis ng paglo-load (bagaman hindi kinakailangan).

Ang mga kakulangan na ito ay hindi kritikal, at sa pangkalahatan, ang Cloudflare ay pinakamainam para sa mga hindi handang gumastos ng pera sa isang SSL certificate ngunit gustong simulan ang pagprotekta sa kanilang data ng customer. Kung pipiliin mo sa pagitan ng manatili sa HTTP o pagkuha ng SSL certificate mula sa Cloudflare, inirerekomenda namin sa iyo na piliin ang pangalawang opsyon.

Upang makakuha ng SSL certificate mula sa Cloudflare, mag-sign up at sundin ang mga tagubilin.

Mag-encrypt tayo

Ito ay isang libreng serbisyo na walang mga kahinaan ng Cloudflare, ngunit mayroon itong sariling mga limitasyon.

Mag-encrypt tayo nag-aalok ng mga sertipiko para sa tatlong buwan lamang, kaya kailangan mong mag-set up ng awtomatikong pag-renew, na mangangailangan ng access sa mga setting ng server ng iyong website (magagamit sa VPS mga hosting tulad ng Amazon AWS, Linode, Digital Ocean). Nangangahulugan iyon na malamang na kailangan mo ng isang administrator ng system.

Mayroong dalawang opsyon para sa pagkuha ng SSL certificate mula sa Let's Encrypt:

Manu-manong naka-on letsencrypt.org sa pamamagitan ng "Manu-manong mode" na seksyon
Semi-awtomatikong o awtomatiko (depende sa software ng server ng iyong online na tindahan) sa pamamagitan ng Certbot.

3. Bumili ng SSL certificate mula sa isang reseller

Kung ayaw mong gumugol ng oras sa pagsasaayos ng isang Let's Encrypt certificate at ayaw mong gumamit ng Cloudflare, maaari kang bumili ng SSL certificate mula sa isa sa mga reseller:

Pumili ng anumang reseller na gusto mo, at tandaan na walang gaanong kahulugan sa pagbili ng pinakamahal na opsyon dahil mapoprotektahan nilang lahat ang iyong website nang maayos.

Paano Hindi Mawalan ng Trapiko Kapag Lumipat ka sa HTTPS

Kapag lumipat ka mula sa HTTP patungong HTTPS, nagbabago ang address ng site para sa mga search robot (mula sa → https://yoursite.com). This can negatively affect your rankings in search engines.

Basahin Mga rekomendasyon ng Google para sa pagpapanatili ng iyong ranggo, at kahit na gawin itong mas mahusay. Lubos naming inirerekumenda na basahin mo ang mga ito upang maiwasan ang pagkawala ng mga customer kung mag-iisa kang mag-install ng SSL certificate. Maaari mo ring tanungin ang team ng suporta ng iyong tagabuo ng site kung ang mga kundisyong ito ay natugunan sa kanilang HTTP → HTTPS migration.

***

Isa-isahin natin ang aming mga rekomendasyon:

Kung gumagamit ka ng Ecwid Instant Site, ayos ka lang: ang buong website ay nasa HTTPS.
Para sa mga website ng Wix at Weebly, paganahin ang iyong SSL certificate sa mga setting.
Kung nagbebenta ka sa sarili mong website, suriin sa iyong domain/hosting provider kung mayroon kang SSL certificate. Kung hindi, hilingin ito.
Kung ang iyong domain/hosting provider ay hindi nagbebenta ng mga SSL certificate, kumuha ng libre sa Cloudflare o bilhin ito mula sa isang reseller.

Tungkol sa Ang May-akda

Si Anna ay isang tagalikha ng nilalaman sa Ecwid. Mahilig siya sa malalaking lungsod, pasta at mga pelikula ni Woody Allen.