Skorzystaj z panelu Zabezpieczenia w Narzędziach deweloperskich w Chrome, aby sprawdzić, czy protokół HTTPS jest prawidłowo wdrożony na stronie. Przeczytaj artykuł Dlaczego HTTPS jest ważny, aby dowiedzieć się, dlaczego każda witryna powinna być chroniona za pomocą protokołu HTTPS, nawet jeśli nie przetwarzają one poufnych danych użytkownika.
Otwieranie panelu bezpieczeństwa
Panel Zabezpieczenia to główne miejsce w Narzędziach deweloperskich, które służy do sprawdzania bezpieczeństwa strony.
- Otwórz Narzędzia deweloperskie.
Kliknij kartę Zabezpieczenia, aby otworzyć panel Zabezpieczenia.
Rysunek 1. Panel bezpieczeństwa
Typowe problemy
Główne niezabezpieczone źródła
Gdy główne źródło strony nie jest bezpieczne, w sekcji Przegląd zabezpieczeń wyświetla się komunikat Ta strona nie jest zabezpieczona.
Rysunek 2. Niezabezpieczona strona
Ten problem występuje, jeśli odwiedzonego adresu URL zażądano za pośrednictwem protokołu HTTP. Aby było zabezpieczone,
musisz używać go przez HTTPS. Jeśli np. widzisz adres URL na pasku adresu, prawdopodobnie wygląda on podobnie do adresu http://example.com
. Aby był bezpieczny, adres URL powinien mieć postać https://example.com
.
Jeśli na Twoim serwerze jest już skonfigurowany protokół HTTPS, wystarczy, że skonfigurujesz go tak, aby przekierowywał wszystkie żądania HTTP do HTTPS, aby rozwiązać ten problem.
Jeśli na serwerze nie masz skonfigurowanego protokołu HTTPS, Let's Encrypt umożliwia bezpłatne i stosunkowo łatwe rozpoczęcie tego procesu. Możesz też hostować swoją witrynę w sieci CDN. Obecnie większość głównych sieci CDN hostuje witryny za pomocą protokołu HTTPS.
Wskazówka: audyt Przekieruj ruch HTTP do HTTPS w Lighthouse może pomóc zautomatyzować proces pilnowania, aby wszystkie żądania HTTP były przekierowywane do HTTPS.
Treść mieszana
Treść mieszana oznacza, że główne źródło strony jest zabezpieczone, ale strona żądała zasobów z niezabezpieczonych źródeł. Strony z treścią o mieszanym charakterze są tylko częściowo chronione, ponieważ treść HTTP jest dostępna dla snifferów i podatna na ataki typu „man in the middle”.
Rysunek 3. Treść mieszana
Na Rys. 3 powyżej kliknięcie Wyświetl 1 żądanie w panelu Sieć otwiera panel Sieć i stosuje filtr mixed-content:displayed
, aby w dzienniku sieciowym były widoczne tylko niezabezpieczone zasoby.
Rysunek 4. Zasoby mieszane w logu sieci
Wyświetl szczegóły
Wyświetl certyfikat głównego źródła
W sekcji Przegląd zabezpieczeń kliknij Wyświetl certyfikat, aby szybko sprawdzić certyfikat głównego źródła.
Rysunek 5. Certyfikat głównego źródła
Wyświetl szczegóły punktu początkowego
Kliknij jeden z wpisów w panelu nawigacyjnym po lewej stronie, aby wyświetlić szczegóły źródła. Na stronie szczegółów możesz wyświetlić informacje o połączeniu i certyfikacie. Informacje o przejrzystości certyfikatu są też wyświetlane, jeśli są dostępne.
Rysunek 6. Szczegóły głównego punktu początkowego