Zabezpieczenia – przełączanie HTTPS, HSTS, certyfikaty

W tym artykule dowiesz się:

HTTPS w ramach ochrony WEDOS

Protokół HTTPS stanowi podstawowy wymóg dla nowoczesnych stron internetowych — szyfruje on dane przesyłane między użytkownikami a serwerem, chroniąc je przed przechwyceniem i manipulacją. Usługa WEDOS Protection zapewnia wbudowaną obsługę protokołu HTTPS, umożliwiając bezpieczną obsługę ruchu na poziomie serwera proxy przy zachowaniu wysokiej wydajności i rygorystycznych środków bezpieczeństwa.

Domyślnie usługa WEDOS Protection działa jako bezpieczny serwer proxy odwrotny. Szyfrowane połączenie TLS od użytkownika jest przerywane na granicy sieci WGP, gdzie żądanie jest tymczasowo odszyfrowywane w celu sprawdzenia pod kątem ataków. Po przeprowadzeniu wszystkich kontroli bezpieczeństwa żądanie jest ponownie szyfrowane i bezpiecznie przekazywane do serwera źródłowego.

Oznacza to, że aby pełna ochrona na poziomie warstwy aplikacji (L7) była skuteczna, usługa WGP musi posiadać ważny certyfikat dla Twojej domeny. Usługa WEDOS Protection może zarządzać tym automatycznie za pośrednictwem Let’s Encrypt, lub możesz przesłać własny certyfikat w planie Expert i wyższych.

Tryb przelotowy

Tryb Pass-Through określa sposób przetwarzania i zabezpieczania ruchu HTTPS dla danej domeny — od pełnej ochrony na poziomie warstwy aplikacji (ustawienie domyślne), przez ochronę wyłącznie na poziomie sieci, aż po całkowity brak kontroli. Dostępne są trzy opcje:

  • Pełna ochrona (L3/L4 i L7) — ustawienie domyślne. Funkcja pass-through jest wyłączona, a WGP chroni Twoją domenę na wszystkich warstwach. Połączenia TLS są kończone na granicy sieci WGP, ruch jest sprawdzany przez filtry zarówno na poziomie sieci, jak i aplikacji (w tym przez WAF), a następnie ponownie szyfrowany przed przekazaniem do serwera źródłowego.
  • Ochrona sieci (tylko warstwy L3/L4). Ochrona na poziomie L7 jest wyłączona, a do domeny stosowane są wyłącznie reguły i filtry na poziomie sieci. WGP nie przerywa połączeń TLS, więc nie jest możliwa kontrola na poziomie aplikacji. Rozwiązanie to sprawdza się, gdy połączenie z serwerem źródłowym musi pozostać szyfrowane od początku do końca, a jednocześnie wymagana jest ochrona przed atakami DDoS i filtrowanie na poziomie sieci.
  • Przekierowanie (bez kontroli/ochrony). Nie stosuje się żadnych środków ochrony, kontroli ani rejestrowania. Wszystkie żądania są przekazywane do serwera źródłowego bez zmian. Należy stosować tę opcję wyłącznie wtedy, gdy szyfrowanie musi pozostać ściśle typu „end-to-end”, a użytkownik samodzielnie zapewnia ochronę na serwerze źródłowym.

HSTS

HSTS (HTTP Strict Transport Security) to polityka bezpieczeństwa egzekwowana przez przeglądarkę, która nakazuje przeglądarkom użytkowników, aby zawsze łączyły się z witryną za pośrednictwem protokołu HTTPS — nigdy zwykłego HTTP. Gdy funkcja HSTS jest włączona w usłudze WEDOS Protection, WGP dodaje Strict-Transport-Security nagłówek odpowiedzi we wszystkich odpowiedziach HTTPS dla tej domeny.

Gdy funkcja HSTS jest włączona:

  • Przeglądarki automatycznie przekształcają http:// prośby o https:// zanim jakiekolwiek dane opuszczą urządzenie.
  • Zapobiega się atakom typu „downgrade” oraz atakom polegającym na usuwaniu certyfikatów SSL.
  • Blokowany jest przypadkowy dostęp przez niezabezpieczony protokół HTTP.

Pomaga to chronić użytkowników przed atakami typu „man-in-the-middle” i zapewnia wszystkim odwiedzającym stałą, szyfrowaną komunikację.

Funkcję HSTS należy włączać wyłącznie wtedy, gdy protokół HTTPS jest w pełni skonfigurowany i działa poprawnie dla danej domeny oraz wszystkich jej subdomen. Gdy przeglądarka zapisze zasady HSTS, nie można ich ominąć aż do wygaśnięcia tych zasad, więc nieprawidłowa konfiguracja może tymczasowo uniemożliwić użytkownikom dostęp do strony.

Let’s Encrypt i certyfikaty niestandardowe

Usługa WEDOS Protection obsługuje dwa rodzaje certyfikatów SSL/TLS: certyfikaty Let’s Encrypt zarządzane automatycznie (ustawienie domyślne) oraz certyfikaty własne przesłane przez klienta.

HTTPS z Let’s Encrypt

Domyślnie usługa WEDOS Protection automatycznie wydaje i odnawia certyfikaty Let’s Encrypt dla Twojej domeny. Ta opcja:

  • Nie wymaga ręcznego zarządzania certyfikatami.
  • Oferuje sprawdzone i powszechnie uznawane certyfikaty.
  • Certyfikaty są automatycznie odnawiane przed upływem terminu ważności.

Jest to opcja zalecana dla większości użytkowników. Odnowieniem zajmuje się WGP przy użyciu weryfikacji DNS-01, więc nie jest wymagana żadna ręczna interwencja, o ile domena pozostaje w ramach delegacji DNS WGP.

HTTPS z niestandardowym certyfikatem

Klienci korzystający z planu Expert i wyższych mogą przesyłać własne certyfikaty SSL/TLS oraz zarządzać nimi. Certyfikaty niestandardowe są zazwyczaj stosowane w następujących przypadkach:

  • Wymagane jest zaświadczenie wydane przez organizację.
  • Wymagana jest certyfikacja rozszerzona (EV) lub konkretny urząd certyfikacji.
  • Należy ponownie wykorzystać istniejącą infrastrukturę certyfikatów.

Po przesłaniu certyfikat niestandardowy jest wykorzystywany przez usługę WEDOS Protection do zabezpieczenia ruchu HTTPS dla wybranej domeny. Przed upływem terminu ważności certyfikatu klient musi samodzielnie zadbać o jego odnowienie.

Konfiguracja protokołu HTTPS

Aby skonfigurować ustawienia HTTPS, wykonaj następujące czynności:

  1. Zaloguj się do panelu administracyjnego WEDOS Global ⧉.
  2. Wybierz domenę (lub szablon) do skonfigurowania.
  3. W menu po lewej stronie kliknij opcję „ HTTPS”.
Ustawienia HTTPS w panelu administracyjnym WGP
Ustawienia HTTPS w panelu administracyjnym WGP

Włącz tryb przelotowy

W sekcji „Tryb pass-through” wybierz z listy rozwijanej jeden z trzech dostępnych trybów. Szczegółowy opis każdej opcji znajduje się w rozdziale „Tryb pass-through” powyżej.

Domyślnym trybem jest „Pełna ochrona” (L3/L4 i L7). Zalecamy pozostawienie tej opcji włączonej dla całego ruchu produkcyjnego, który nie wymaga ścisłego szyfrowania typu end-to-end.

Włącz HSTS

W HSTS w sekcji, kliknij Włącz HSTS aby włączyć HSTS dla tej domeny. WGP rozpocznie dodawanie Strict-Transport-Security nagłówek do wszystkich odpowiedzi HTTPS. Aby ponownie wyłączyć HSTS, kliknij ten sam przycisk (na którym teraz pojawi się napis Wyłącz HSTS).

Przed włączeniem HSTS upewnij się, że:

  • Protokół HTTPS działa poprawnie dla tej domeny i wszystkich poddomen objętych tym zakresem.
  • Zainstalowano prawidłowy certyfikat (Let’s Encrypt lub niestandardowy).
  • Wszystkie linki wewnętrzne i zasoby są ładowane przez protokół HTTPS (bez treści mieszanej).

Zarządzaj certyfikatem

W sekcji „Certyfikat niestandardowy” użyj listy rozwijanej, aby wybrać opcję HTTPS z certyfikatem Let’s Encrypt (ustawienie domyślne) lub HTTPS z certyfikatem niestandardowym.

Po wybraniu opcji Let’s Encrypt nie trzeba podejmować żadnych dalszych działań — WGP automatycznie wydaje i odnawia certyfikat.

Po wybraniu opcji „Certyfikat niestandardowy ” rozwiń sekcję, aby przesłać pliki certyfikatu. Konieczne będzie podanie:

  • Plik certyfikatu (w formacie PEM).
  • Plik zawierający klucz prywatny.
  • Łańcuch certyfikatów pośrednich, o ile nie jest dołączony do certyfikatu.

Możliwość przesyłania własnych certyfikatów jest dostępna w planie Expert i wyższych. Należy pamiętać, że certyfikaty własne nie odnawiają się automatycznie — należy je wymienić przed upływem terminu ważności, aby uniknąć błędów TLS u odwiedzających.

FAQ

Czy mój serwer źródłowy musi posiadać własny certyfikat SSL podczas korzystania z usługi WEDOS Protection?

W domyślnym trybie pełnej ochrony (L3/L4 i L7) WGP kończy połączenie TLS na granicy sieci, korzystając z własnego certyfikatu. Serwer źródłowy może nadal używać protokołu HTTPS do połączenia z zapleczem (zalecane ze względów bezpieczeństwa), ale odwiedzający widzą wyłącznie certyfikat WGP. W trybach ochrony sieci (tylko L3/L4) i trybie pass-through serwer źródłowy musi posiadać własny ważny certyfikat, ponieważ uzgodnienie TLS odbywa się bezpośrednio z serwerem źródłowym.

Czy przełączanie HTTPS to to samo, co wyłączenie WGP?

Nie. W trybie „Pass-through” (bez kontroli/ochrony) ruch nadal przepływa przez sieć WGP — po prostu nie jest on sprawdzany, filtrowany ani rejestrowany. Zachowujesz routing i dostępność sieci Anycast, ale tracisz ochronę na poziomie warstwy aplikacji i warstwy sieciowej. Aby przywrócić ochronę, przełącz się z powrotem na tryb „Full Protection” lub „Network Protection”.

W jaki sposób WGP automatycznie odnawia certyfikaty Let’s Encrypt?

WGP wykorzystuje weryfikację DNS-01 do odnawiania certyfikatów Let’s Encrypt. Tymczasowy rekord TXT jest umieszczany w _acme-challenge.yourdomain.com, Let’s Encrypt weryfikuje go, a odnowiony certyfikat jest instalowany na serwerze brzegowym WGP. Odbywa się to automatycznie i nie wymaga żadnych ręcznych działań, o ile domena pozostaje przypisana do serwerów DNS WGP.

Czy włączenie HSTS spowoduje, że moja strona przestanie działać?

Tylko wtedy, gdy protokół HTTPS nie działa poprawnie przy włączonej funkcji HSTS. Gdy przeglądarki zapiszą zasady HSTS, odmawiają one przełączania na protokół HTTP na czas obowiązywania tych zasad. Przed włączeniem funkcji HSTS upewnij się, że strona ładuje się poprawnie przez protokół HTTPS w domenie głównej oraz we wszystkich subdomenach, z których korzystają użytkownicy, a także że nie pojawiają się ostrzeżenia o mieszanej zawartości.

Czy to było pomocne?

Dziękujemy za opinię!
Selektory ogólne
Tylko dokładne dopasowania
Wyszukiwanie w tytule
Wyszukiwanie w treści
Selektory typów postów
Spis treści artykułu
Przeglądaj kategorie