כדי לוודא ש-HTTPS מוטמע כראוי בדף, משתמשים בחלונית אבטחה בכלי הפיתוח ל-Chrome. במאמר למה HTTPS חשוב מוסבר למה צריך להגן על כל אתר באמצעות HTTPS, גם אתרים שלא מטפלים בנתוני משתמשים רגישים.
פתיחת חלונית האבטחה
החלונית אבטחה היא המקום העיקרי בכלי הפיתוח שבו בוחנים את אבטחת הדף.
- פותחים את כלי הפיתוח.
לוחצים על הכרטיסייה אבטחה כדי לפתוח את החלונית אבטחה.
איור 1. חלונית האבטחה
בעיות נפוצות
מקורות ראשיים לא מאובטחים
כשהמקור הראשי של דף לא מאובטח, בסקירה הכללית על האבטחה תופיע ההודעה This page is notsecure (הדף הזה לא מאובטח).
איור 2. דף לא מאובטח
הבעיה הזו נגרמת כשנשלחת בקשה לכתובת ה-URL שאליה נכנסתם באמצעות HTTP. כדי לאבטח אותו, צריך לבקש אותו ב-HTTPS. לדוגמה, אם תסתכלו על כתובת ה-URL בסרגל הכתובות, סביר להניח שהיא תיראה דומה ל-http://example.com
. כדי לאבטח, כתובת ה-URL צריכה להיות https://example.com
.
אם כבר הגדרתם HTTPS בשרת, כל מה שצריך לעשות כדי לפתור את הבעיה הוא להגדיר את השרת כך שיפנה את כל בקשות ה-HTTP ל-HTTPS.
אם לא מוגדר HTTPS בשרת שלכם, האפשרות Let's Encrypt מספקת דרך חינמית וקלה יחסית להתחיל את התהליך. לחלופין, מומלץ לארח את האתר ב-CDN. כברירת מחדל, רוב רשתות ה-CDN הראשיות מארחים אתרים ב-HTTPS כברירת מחדל.
טיפ הביקורת הפניה אוטומטית של HTTP ל-HTTPS ב-Lighthouse יכולה לעזור להפוך את התהליך לאוטומטי לוודא שכל בקשות ה-HTTP יופנו ל-HTTPS.
תוכן מעורב
המשמעות של תוכן מעורב היא שהמקור הראשי של הדף מאובטח, אבל הדף ביקש משאבים ממקורות לא מאובטחים. דפים עם תוכן מעורב מוגנים רק באופן חלקי, כי תוכן ה-HTTP נגיש לסורקים וחשוף למתקפות מסוג אדם בתווך.
איור 3. תוכן מעורב
באיור 3 שלמעלה, לחיצה על הצגת בקשה אחת בחלונית הרשת פותחת את החלונית רשת ומחילה את המסנן mixed-content:displayed
כך שיומן הרשת יציג רק משאבים לא מאובטחים.
איור 4. משאבים מעורבים ביומן הרשת
הצגת פרטים
צפייה באישור המקור הראשי
בדף Security Overview לוחצים על View certificate כדי לבחון במהירות את האישור של המקור הראשי.
איור 5. אישור מקור ראשי
הצגת פרטי המקור
לוחצים על אחת מהרשומות בתפריט הניווט הימני כדי להציג את פרטי המקור. בדף הפרטים אפשר לראות מידע על החיבור והאישורים. המידע על שקיפות האישורים יוצג גם כשהוא זמין.
איור 6. פרטי המוצא הראשי