Blog w pełni bezpieczny – włączyłem SSL

Zrobiłem mały update bloga, dzięki czemu działa już w pełni na SSL. W teorii oznacza to, że moja strona jest w pełni bezpieczną i zaufaną stroną, co dla czytelników ma ogromne znaczenie. Od strony praktycznej, nie widzę sensu, aby z tego korzystać na blogu, poza oczywiście panelem administracyjnym.

Dlaczego dopiero teraz?

Od dłuższego czasu planowałem wprowadzić SSL, ale lista zmian, jakie miałem przeprowadzić, troszkę mnie przerażała. Wiecie, zmiana linków z http na https, przemapowanie plików, wreszcie wygenerowanie certyfikatów, etc.

Ubzdurało mi się, że Cloudflare, z którego korzystam od dawna – dzięki radom Michała sprzed kilku lat – każe płacić za odpalenie certyfikatów pod własnymi domenami. I byłem pewien, że musiałbym zmigrować DNSy do macierzystego Zenboxa,  wygenerować darmowy certyfikat na startssl, by ostatecznie wgrać go do ustawień serwerwa u wspomnianych Mnichów.

Olśnienie

Zajrzałem dziś do Ignormatyka i w trakcie dyskusji natchnęło mnie do ponownej weryfikacji wiedzy w panelu CF. Okazało się, że wsparcie SSL (flexible) było od dawna włączone za darmo i czekało na kontynuację zmiany.

Damn. Jak mogłem to przeoczyć?

Natchniony głupotą z mojej strony, zabrałem się za resztę. Zacząłem od zmiany podstawowego URL’a (http -> https) i w efekcie strona (łącznie z motywem) przestała poprawnie wyświetlać załączone pliki (css/img/js) – głównie z powodu błędu typu “mixed content”.

Powolne zmiany

Spodziewałem się tego błędu, ponieważ niemal wszystkie pliki pamiętały poprzednie adresy, wiec trzeba było wesprzeć dodatkowym pluginem, choćby SSL Insecure Content Fixer (za radą Ignormatyka).

Problem został prawie rozwiązany. Strona w całości wczytała się poprawnie, ale przeglądarka zgłaszała problem z kiloma plikami (tak, mixed content). Okazało się, ścieżka dostępu była jeszcze po staremu, więc trzeba było odświeżyć ustawienia motywu z poziomu customizera.

Najprościej było wyłączyć motyw i włączyć go z powrotem – tak jak w starym w dowcipie informatyków. Dla pewności zrobiłem reupload logotypów i odczekałem kilka minut, aż zmiany wejdą w życie.

Teoretyczne zalety SSL

Osobiście nie widzę istotnych zalet z zastosowania SSL na blogu, który nie jest ani bankiem, ani tym bardziej sklepem i nie przetwarza wraźliwych danych, jak np. numer karty czy PESEL.

Ale … mogę się mylić.

Popytałem Wujka Google i jest kilka argumentów za SSLem, które delikatnie zmieniły moje podejscie do tego tematu. Giganci tacy jak Google czy WordPress wzięli się ostro za promocję zielonej kłódki.

Warto zajrzeć na post Matta Mullenwega, który zapowiedział sporo zmian, chocby rewizję funkcji (głównie API) – działających tylko i wyłącznie via SSL.

Z kolei Google traktuje HTTPS jako jeden z wielu ważnych czynników, wpływających na pozycjonowanie. Nie znaczy to, że moja strona nagle stanie się nr 1 w wyszukiwarce, ale może konkurować z innymi o podobej tematyce (zakładając, że konkurencja nie ma wlączonego SSLa).

Podsumowanie

Zatem SSL to nie tylko marketingowy zabieg, ale też gwarancja wiarygodności strony wsród wielu innych o podobnej tematyce / podobnym URL etc. W konców tych “bobików” jest sporo w sieci i trzeba pilnować własnego ogródka.

[ecko_alert color=”red”]Jeśli zauważycie niepoprawne działanie bloga pod https, dajcie znać :)[/ecko_alert]