Skorzystaj z panelu Zabezpieczenia w Narzędziach deweloperskich w Chrome, aby sprawdzić, czy protokół HTTPS jest prawidłowo zaimplementowany na stronie. Z artykułu Dlaczego HTTPS ma znaczenie, dowiesz się, dlaczego warto zabezpieczać każdą witrynę za pomocą protokołu HTTPS – nawet te, które nie obsługują poufnych danych użytkowników.
Otwórz panel Bezpieczeństwo
Panel Bezpieczeństwo to główne miejsce w Narzędziach deweloperskich, gdzie można sprawdzać zabezpieczenia strony.
- Otwórz Narzędzia deweloperskie.
Kliknij kartę Bezpieczeństwo, aby otworzyć panel Bezpieczeństwo.
Rysunek 1. Panel Bezpieczeństwo
Typowe problemy
Niezabezpieczone źródła główne
Jeśli główne źródło strony nie jest bezpieczne, na stronie Przegląd zabezpieczeń wyświetlany jest komunikat Ta strona nie jest bezpieczna.
Rysunek 2. Niezabezpieczona strona
Ten problem występuje, gdy odwiedzony URL został wysłany przez HTTP. Dla bezpieczeństwa musisz wysłać
żądanie przez HTTPS. Na przykład jeśli spojrzysz na adres URL w pasku adresu, prawdopodobnie wygląda on podobnie do http://example.com. Aby był bezpieczny, URL powinien mieć postać https://example.com.
Jeśli na serwerze jest już skonfigurowany protokół HTTPS, wystarczy skonfigurować serwer, aby przekierowywał wszystkie żądania HTTP do HTTPS.
Jeśli na serwerze nie masz skonfigurowanego protokołu HTTPS, możesz użyć bezpłatnego i stosunkowo prostego sposobu na rozpoczęcie procesu – Let's Encrypt. Możesz też rozważyć hosting witryny w sieci CDN. Obecnie większość głównych witryn hostujących sieci CDN korzysta z protokołu HTTPS.
Wskazówka Kontrola Przekieruj ruch HTTP do HTTPS w Lighthouse może pomóc w automatyzacji procesu sprawdzania, czy wszystkie żądania HTTP są przekierowywane do HTTPS.
Treść mieszana
Treść mieszana oznacza, że główne źródło strony jest bezpieczne, ale strona zażądała zasobów z niezabezpieczonych źródeł. Strony z treścią mieszaną są chronione tylko częściowo, ponieważ treść HTTP jest dostępna dla snifferów i podatna na ataki typu „man in the middle”.
Rysunek 3. Treść mieszana
Na Rys. 3 powyżej kliknięcie Wyświetl żądanie w panelu Sieć spowoduje otwarcie panelu Sieć i użycie filtra mixed-content:displayed, dzięki czemu w dzienniku sieci będą widoczne tylko niezabezpieczone zasoby.
Rysunek 4. Różne zasoby w dzienniku sieci
Wyświetl szczegóły
Wyświetl główny certyfikat pochodzenia
Na stronie Przegląd zabezpieczeń kliknij Wyświetl certyfikat, aby szybko sprawdzić certyfikat głównego źródła.
Rysunek 5. główny certyfikat pochodzenia,
Wyświetl szczegóły punktu początkowego
Kliknij jeden z wpisów w panelu nawigacyjnym po lewej stronie, aby wyświetlić szczegóły punktu początkowego. Na stronie szczegółów znajdziesz informacje o połączeniu i certyfikatach. Widoczne są też informacje o przejrzystości certyfikatu.
Rysunek 6. Szczegóły głównego punktu początkowego