https://help.superhosting.bg/the-connection-to-this-website-is-not-fully-secure.html
  • bg
  • en

Хостинг, Домейни, Cloud, Виртуални сървъри (VPS), Managed VPS, SSL сертификати

HTTPS - Част от съдържанието на сайта се зарежда през несигурна връзка (HTTP)

SSL сертификати
външен ресурс, външни ресурси, mixed content, https http, mixed active content, mixed passive content, optionally-blockable content, blockable content, сигурна връзка, https връзка, зареждане през сигурна връзка, сайт и сигурна връзка, https

Когато даден сайт се зарежда през HTTPS (https://mysupersite.com), връзката със сървъра се криптира чрез ползването на SSL (SSL сертификат). По този начин данните, предавани между потребителя и сървъра, са в криптиран вид и са защитени от проследяване и разчитане от трети лица.

Когато обаче на този сайт има вътрешни или външни ресурси, които се изтеглят през некриптирана връзка (HTTP), уеб браузърите показват предупредителни съобщения и може да блокират зареждането на тези ресурси.

info-iconВ такива случаи, когато има елементи зареждащи се по HTTP, на сайт със сигурна връзка, тези елементи се определят като смесено съдържание (mixed content). Например: Изображението http://mysupersite.com/image.png е mixed content когато е заредено през https://mysupersite.com.

Несигурното смесено съдържание се разделя в две категории:
Пасивно смесено съдържание: <img>, <audio>, <video> и други.
Активно смесено съдържание: <script>, <link>, "XMLHttpRequest", <iframe>, CSS (когато се използва url атрибута), <object> (data атрибут) и т.н.

В по-новите версии на някои уеб браузъри като Mozilla Firefox, Google Chrome и Opera автоматично се блокира активното несигурно съдържание например .js скриптове, XMLHttpRequest object заявки и т.н. Други несигурни ресурси може да бъдат заредени например .jpg, .png и други изображения.

Данните предавани по HTTPS не могат да се прихванат и променят, но данните, предавани по HTTP, могат. Докато браузърът зарежда елементите на сайта, през сигурна връзка, отделно прави връзка със сървъра и през HTTP, за да зареди смесеното съдържание. Тези некриптирани данни може да се прихванат и използват за злонамерено действие от трето лице.


Съобщение за блокирано съдържание в някои уеб браузъри link-to-this-section

Несигурни ресурси на сайт със сигурна връзка Firefox

Mozilla Firefox

При Mozilla Firefox, когато се достъпи сайт с елементи на некриптирано съдържание, ще видите икона "триъгълник с удивителна".

Ако кликнете на другата икона "щит" ще можете да изберете блокираното съдържание да се зареди, въпреки предупреждението.

Несигурни ресурси на сайт със сигурна връзка Chrome

Google Chrome

В Google Chrome, когато се блокира съдържание от сайта, ще се появи иконата "щит" в края на адресната лента.

Също иконата за сигурна връзка със сайта "катинар" ще има жълт триъгълник.

Несигурни ресурси на сайт със сигурна връзка Opera

Opera

В уеб браузъра Opera когато се достъпи даден сайт, като се ползва сигурна връзка през https:// и се зареди съдържание от несигурен източник, се получава съобщение Content blocked.

Има опция Unblock ако искате да се заредят несигурните ресурси (не се препоръчва).


Кой ресурс на сайта не се зарежда през HTTPS? link-to-this-section

Можете да откриете елементите от съдържанието на сайта, които се зареждат през HTTP, по няколко начина.

1. Погледнете изходния код на страницата и потърсете URL адреси започващи с http://.

Ресурсите може да са зададени в кода на сайта, с пълен адрес до тях, например http://mysupersite.com/image.png.

За да видите кода на дадена уеб страница, заредете уеб сайта през сигурна връзка (https://mysupersite.com) и натиснете едновременно клавишите от клавиатурата Ctrl и U. Тази клавишна комбинация работи при повечето уеб браузъри, но ако не се отвори нищо, потърсете опция в браузъра като "View Page Source", "Преглед на изходния код на страницата" или подобно.

След като се визуализира кода можете да потърсите (Ctrl+F) за наличие на URL адреси започващи с http://.

2. Използвайте уеб инструмент за сканиране на сайта.

Следният уеб инструмент проверява всички ресурси, които се зареждат на дадения сайт и показва списък с несигурните елементи: https://www.whynopadlock.com

3. Използвайте инструмент за уеб дизайнери в уеб браузъра.

При различните уеб браузъри можете да намерите различни помощни инструменти за проверка на елементите на уеб страницата.

Mozilla Firefox (инструмент Web Console)

В Mozilla Firefox можете да ползвате вградената функционалност Web Console или Firebug.

Преглед на ресурсите на уеб страницата

След като заредите сайта в браузъра, по https://, изберете от клавиатурата F12. Ще се отвори инструментът за разработчици Firebug. Кликнете на таба Net, за да видите ресурсите, които се зареждат на сайта.

В случай че Firebug не се отвори, опитайте с другия инструмент - Web Console. Изберете от клавиатурата клавишна комбинация Ctrl + Shift + K (натискате и задържате последователно трите клавиша).

В конзолата (Console) обърнете внимание на редовете с "Blocked loading mixed active content..." и "Loading mixed (insecure) display content on a secure page...".

Ако за версията на вашия Firefox не е налична тази функционалност, може да инсталирате например Firebug.

Google Chrome (инструмент Developer tools)

В уеб браузъра Google Chrome също можете да използвате вградената функционалност Developer tools. За да видите заредените и блокираните ресурси на страницата, след като се зареди, изберете F12 или клавишна комбинация Ctrl + Shift + C. Отворете таба Security и погледнете съобщенията в Console, най-долу в прозореца.

Преглед на ресурсите на уеб страницата

Друг начин за стартиране на инструмента е, като кликнете с десен бутон независимо къде в страницата и от менюто изберете Inspect element (Проверка на елемента). Презаредете сайта (Ctrl + F5).

В отворилия се прозорец в долната част на екрана кликнете на индикатора (!) за съобщения за грешки.

В конзолата обърнете внимание на редовете с "Mixed Content: The page at ... was loaded over HTTPS, but requested an insecure resource ... This request has been blocked; the content must be served over HTTPS." и "Mixed Content: The page at ... was loaded over HTTPS, but requested an insecure image ... This content should also be served over HTTPS".

Opera (инструмент Developer tools)

Преглед на ресурсите на уеб страницата

В Opera инструментът Developer tools се достъпва с клавишна комбинация Ctrl + Shift + I.

Отворете таба Security и погледнете съобщенията в Console, най-долу в прозореца.

В конзолата обърнете внимание на редовете с "[blocked] The page at..." и "The page at ... was loaded over HTTPS, but displayed insecure content from ...: this content should also be loaded over HTTPS".


Как може несигурните ресурси да се зареждат през HTTPS? link-to-this-section

info-iconБележка: Адресите на несигурните ресурси може да са зададени в кода (файловете) на сайта или да са записани в базата му данни.

info-iconАко ползвате WordPress можете, с няколко клика на мишката, да коригирате всички несигурни (HTTP) ресурси в сайта, през опцията "Проверка за HTTP ресурси (на HTTPS сайт)" в cPanel -> WordPress Manager -> SSL (Let's Encrypt).

Несигурните ресурси може да се зареждат през HTTPS, като се променят адресите им в кода или базата данни на сайта. Ако ресурсът се намира в същия хостинг акаунт, под същия домейн, можете да зададете релативен адрес до него например:

src="/wp-content/uploads/image.jpg"

Адресът може да бъде и по следния начин:

src="//my-website.com/wp-content/uploads/image.jpg"

Ако ресурсът е на друг сървър, тоест външен ресурс, адреса му може да се зададе с https://:

src="https://othersite.net/script.js"

или

src="//other-website.com/resource/image.jpg"

Имайте предвид, че ако отдалеченият сайт не поддържа сигурна връзка, ресурсът няма да се изтегли през https. В такъв случай, можете да свалите ресурса и да го качите във вашия хостинг акаунт. След това можете да го извикате в кода с релативен път например "/wp-content/uploads/script.js".

Ако ресурсът се извиква в стила (.css) на сайта, адреса му би могъл да се зададе по този начин:

background: url("//my-website.com/wp-content/uploads/image.jpg" ...);

При готовите системи като WordPress, Joomla! и други, несигурните ресурси може да се получат при:

  • Плъгин с некоректна настройка и системни файлове, в които адресите на ресурсите са записани с http://
  • В някой файл на темата има извикване на ресурс с http:// (header.php ...)
  • Във файла за стила на темата е добавено извикване за ресурс с адрес http:// (style.css ...)
  • В самата статия/страница е сложен директен линк към картинка или друго, с пълен адрес започващ с http://...
  • На сайта има извикване на външен ресурс, който е зададен с http://.

500px270px
SuperHosting.BG
    SSL сертификати
  • Let's Encrypt сертификати
    През опцията Let's Encrypt SSL в cPanel можете да изискате издаване и да инсталирате SSL сертификат за всеки един от добавените домейни в хостинг акаунта. С Let's Encrypt сертификатите можете да... »
  • Конвертиране и изтегляне на SSL сертификат в .PFX формат
    Ако за инсталацията на SSL сертификата е необходимо той да бъде в .pfx формат, например за Windows базиран сървър, е необходимо да го конвертирате. След като имате вече издаден SSL сертификат,... »
  • Преиздаване на SSL сертификат от GeoТrust
    Преиздаване на SSL сертификат е възможно, ако сертификатът вече е издаден. При преиздаване могат да се променят данните в заявката за издаване на сертификат CSR (фирма, адрес и други), но... »
  • Създаване на CSR в cPanel
    За да създадете заявка за издаване на сертификат (Certificate Signing Request - CSR) достъпете контролния панел cPanel и изберете меню SSL/TLS. След това кликнете на Генериране, преглед, качване или изтриване на... »
  • SSL сертификатите – сигурност при комуникацията
    Защо е важно да има SSL сертификат? С всеки изминал ден Интернет става все по-важна част от нашето ежедневие. Ние общуваме онлайн, пазаруваме онлайн, разплащаме сметките си онлайн. Прекарваме голяма... »
Всички права запазени © 2005-2017 , www.superhosting.bg