Come aggiungere manualmente SSL a WordPress gratuitamente utilizzando Let's Encrypt?

Stai cercando di passare da HTTP a HTTPS e installare un certificato SSL sul tuo sito WordPress? Quindi continua a leggere per sapere come aggiungere SSL a WordPress gratuitamente. Ogni utente di Internet condivide molte informazioni personali ogni giorno. Noi tutti facciamo. Quando fai acquisti online, crei account, accedi a diversi siti web, ecc.

Se non crittografate correttamente, queste informazioni possono essere ottenute da qualcuno. È qui che viene in soccorso SSL. Fornisce la tecnologia di crittografia per proteggere la connessione tra il browser di un utente e il server web.

Ad ogni sito viene rilasciato un certificato SSL univoco a scopo di identificazione. Se un server finge di essere su HTTPS e il suo certificato non corrisponde, la maggior parte dei browser moderni avviserà l'utente quando si connette al sito.

In precedenza, l'unico modo per proteggere i siti con SSL era utilizzare un certificato SSL a pagamento. Fino a quando Let's Encrypt non è diventato disponibile pubblicamente .

Che cos'è Let's Encrypt?

Let's Encrypt è un'autorità di certificazione aperta gratuita che fornisce un certificato SSL per il pubblico in generale. È un progetto di Internet Security Research Group (ISRG). Let's Encrypt è sponsorizzato da molte aziende tra cui Google, Facebook, Sucuri, Mozilla, Cisco, ecc.

Non c'è momento migliore per installare il certificato SSL sui tuoi siti Web WordPress. Soprattutto quando il team di Google Chrome Security ha annunciato che il proprio browser inizierà a etichettare le connessioni HTTP come non sicure a partire da gennaio 2017:

A partire da gennaio 2017 (Chrome 56), contrassegneremo come non sicuri i siti HTTP che trasmettono password o carte di credito, come parte di un piano a lungo termine per contrassegnare tutti i siti HTTP come non sicuri", ha affermato un membro del Chrome Security Team Emily Schecher. Il primo passaggio del piano consiste nel visualizzare un'etichetta "Non sicuro" nella barra degli indirizzi.

I proprietari di siti che desiderano evitare che i propri siti HTTP vengano etichettati come non sicuri non hanno molto tempo per proteggere i propri siti.

Un altro vantaggio di avere SSL sul tuo sito è la possibilità di utilizzare HTTP/2 che è essenzialmente un'evoluzione del protocollo HTTP. I siti Web con HTTP/2 sono più veloci in quanto consentono il trasferimento simultaneo di più file.

Avevo intenzione di implementare SSL su tutti i miei siti da un po' di tempo. Il problema era che non sapevo come implementare Let's Encrypt SSL gratuito.

Ho letto molti tutorial su come aggiungere Let's Encrypt SSL a WordPress. Ma mi sembrano tutti complicati. Alla fine, dopo molte letture, ho trovato un modo semplice per installare Let's Encrypt SSL.

Il mio metodo può essere trovato di seguito. Ci sono anche altri modi. Questa guida è pensata per essere adatta ai principianti e si basa sulla mia esperienza nell'installare SSL su alcuni dei miei siti WordPress gratuitamente utilizzando Let's Encrypt.

Senza la necessità di SSH, accesso root, esecuzione di comandi e altri processi che l'utente medio non comprende (me compreso) e che la maggior parte delle guide sull'implementazione SSL di WordPress menziona.

Questo post è piuttosto lungo con molte informazioni ma se sei interessato, prima di passare alla sezione su come implementare facilmente Let's Encrypt sul tuo sito/i WP, controlla le spiegazioni su alcuni dei termini di seguito.

Cosa sono HTTPS e SSL?

Ogni giorno condividiamo le nostre informazioni personali con diversi siti web. Che si tratti di effettuare un acquisto o semplicemente di accedere. Per proteggere il trasferimento dei dati, è necessario creare una connessione sicura. È allora che entrano in gioco SSL e HTTPS.

Potresti aver notato che ogni volta che interagisci con un sito sicuro (come il tuo portale di online banking), l'indirizzo nella barra del browser ha https:// davanti invece del solito http H:// .

In aggiunta a ciò, la maggior parte dei browser moderni mostrerà un piccolo lucchetto nella barra del browser quando sei connesso a un tale sito.

HTTPS o Secure HTTP è un metodo di crittografia. Protegge la connessione tra il browser degli utenti e il tuo server. Ciò rende più difficile per gli hacker intercettare la connessione.

Perché dovresti passare da HTTP a HTTPS e installare un certificato SSL? Il protocollo imposta la connessione tra i due, dove una volta stabilita la relazione con successo, verranno trasferite solo le informazioni crittografate.

Ciò significa che tutte le informazioni di testo semplice che potrebbero essere lette da qualsiasi idiota là fuori verranno scambiate con lettere casuali e stringhe di numeri che non sono leggibili dagli umani.

Se un hacker riesce a interferire con lo scambio di informazioni, la crittografia rende molto più difficile dargli un senso.

Standard di crittografia

SSL e HTTPS hanno standard di crittografia diversi. Il più vecchio si chiama SHA e non è più in uso. Il suo successore SHA1 , mentre è ancora in circolazione, è attualmente deprecato.

Google Chrome, ad esempio, ha iniziato a emettere avvisi per i siti che utilizzano questo standard all'inizio del 2016.

L'attuale standard di crittografia per i protocolli SSL è SHA2 . Tuttavia, ad un certo punto, lascerà il posto a SHA3 che è attualmente in fase di sviluppo.

NOTA : SSL in realtà non è più il nome corretto per il certificato. La tecnologia è stata migliorata alla fine degli anni '90 e il suo nome è cambiato in TLS (Transport Layer Security). Tuttavia, l'acronimo SSL è rimasto bloccato ed è evidentemente utilizzato fino ad oggi. Quindi, lo userò anche principalmente in questo post.

Perché hai bisogno di HTTPS e SSL?

Se stai gestendo un sito eCommerce, allora hai sicuramente bisogno di un certificato SSL (Secure Sockets Layer). Soprattutto se stai raccogliendo informazioni di pagamento. La maggior parte dei fornitori di servizi di pagamento come Stripe, PayPal Pro, Authorize.net, ecc. richiederà una connessione sicura tramite SSL.

Google ha dichiarato di utilizzare HTTPS e SSL come segnale di posizionamento nei risultati di ricerca. Ciò significa che l'utilizzo di SSL contribuirà a migliorare la SEO del tuo sito.

Inoltre, implementando SSL puoi utilizzare HHTP/2 che, come ho già detto, consente il trasferimento simultaneo di più file, migliorando così il tempo di caricamento del tuo sito.

Utilizzando SSL, non solo puoi proteggere i dati sensibili come indirizzi e-mail, informazioni sulla carta di credito, password, ecc., Da possibili attacchi di hacker, ma anche migliorare il posizionamento e la velocità del tuo sito.

Prima che i certificati SSL fossero costosi. Da $ 10 all'anno a $ 200. Ma grazie al progetto Let's Encrypt è ora possibile attivare gratuitamente un numero illimitato di certificati.

Perché il sito WooCommerce ha bisogno di SSL/TLS?

Il problema della sicurezza è molto importante in qualsiasi sito web, soprattutto per i negozi online. Ci sono molte interazioni tra un client e un server in un sito di eCommerce. Il cliente deve fornire le proprie informazioni personali come i numeri della carta di credito per completare il processo di pagamento.

Pertanto, è necessario proteggere tutte le loro informazioni private. Ti aiuta anche a costruire la fiducia dei clienti, la chiave più importante per un sito di e-commerce di successo. Nessuno vuole acquistare prodotti in un negozio online non protetto dove gli hacker possono rubare le loro informazioni.

Utilizzando SSL, i dati vengono immediatamente crittografati , impedendo agli hacker di leggere i dati in transito. Qualsiasi sito Web WooCommerce che utilizza il metodo di pagamento PayPal Standard avrà bisogno di un SSL per una maggiore sicurezza, quindi avere SSL è il requisito per il tuo sito WooCommerce nel caso in cui utilizzi PayPal per il pagamento e molti altri gateway di pagamento.

Perché Criptiamo?

Let's Encrypt è un'autorità di certificazione gratuita, automatizzata, senza la necessità di un IP dedicato e aperta e molte aziende la supportano. Inoltre, molte società di hosting, provider CDN e altri hanno implementato Let's Encrypt, quindi è ancora più semplice applicarlo al tuo sito.

Le caratteristiche principali di Let's Encrypt sono :

• È gratuito: puoi installarlo gratuitamente su tutti i tuoi domini.
• Sicuro: utilizza i più elevati standard di sicurezza per lo scambio di informazioni.
• Trasparente – Tutti i certificati emessi o revocati saranno registrati e pubblicamente disponibili affinché chiunque possa ispezionarli (questo può anche essere considerato uno svantaggio).
• Nessun IP dedicato : non è necessario spendere soldi per un IP dedicato.
• Compatibilità – Compatibile con tutti i browser.
• Hosting condiviso : può essere utilizzato su hosting condiviso e non solo dedicato o VPS (controlla i migliori provider di hosting WordPress convenienti).

L'unico aspetto negativo di Let's Encrypt è che deve essere rinnovato ogni 90 giorni. Ma questo processo può essere automatizzato senza il tuo intervento manuale.

Come aggiungere SSL a WordPress?

Poiché Let's Encrypt sta diventando popolare, molte società di hosting WordPress hanno già iniziato a offrire una facile configurazione SSL Let's Encrypt integrata .

Il modo più semplice per aggiungere SSL gratuito Let's Encrypt a WordPress è registrarsi con una società di hosting che offre un'integrazione integrata. Sfortunatamente, non tutte le società di hosting supportano Let's Encrypt. Ecco l'elenco completo delle aziende di hosting che supportano Let's Encrypt.

#1 Le tue offerte di hosting Crittografiamo l'integrazione (FACILE)

È facile configurare Let's Encrypt per il tuo sito se la tua società di hosting offre l'integrazione. Non ha nemmeno bisogno di essere un provider di hosting.

La maggior parte dei servizi CDN offre l'integrazione gratuita di Let's Encrypt con il loro servizio. Un esempio di questi provider CDN è KeyCDN, MaxCDN, CDNSun o Incapsula (controlla la recensione di Incapsula) che offre il certificato SSL gratuitamente con piani a pagamento.

In questi casi, inoltre, non devi preoccuparti del rinnovo del certificato poiché verrà eseguito automaticamente per te. Spiegherò sull'esempio di Siteground.

Accedi alla tua dashboard cPanel (che cos'è cPanel) e scorri verso il basso fino alla sezione sicurezza. Lì dovrai fare clic sull'icona Let's Encrypt.

Questo ti porterà alla pagina di installazione di Let's Encrypt. Dovrai selezionare il nome di dominio in cui desideri utilizzare SSL.

Ora puoi fare clic sul pulsante Installa. Let's encrypt emetterà un certificato SSL univoco per il tuo sito web. Al termine, vedrai un messaggio di successo.

È tutto. Hai integrato con successo Let's Encrypt SSL gratuito nel tuo sito WordPress. Qui non devi fare altro.

Tuttavia, il tuo sito WordPress non è ancora pronto per l'uso. Per prima cosa dovrai aggiornare gli URL di WordPress e quindi correggere eventuali problemi di contenuto non sicuro. Puoi trovare tutto al riguardo qui sotto.

#2 Aggiunta di Crittografia SSL gratuita se il tuo hosting non offre l'integrazione

Se il tuo host web non fornisce l'integrazione come SiteGround, DreamHost e altre società di hosting che offrono Let's Encrypt, dovrai seguire una procedura piuttosto lunga.

Ma non c'è bisogno di iniziare a farsi prendere dal panico. Ti mostrerò un modo semplice per aggiungere ancora SSL al sito Web WordPress se il tuo hosting o CDN non offre l'integrazione.

Questo metodo differisce da un host web all'altro. La maggior parte delle società di hosting dispone di un documento di supporto che spiega il processo. Puoi anche contattare il loro personale di supporto per istruzioni dettagliate o chiedere loro di farlo per te.

Alcune società di hosting installeranno il certificato SSL per te . Devi solo fornire loro chiave privata, certificato e CA. Questo è quello che ho fatto con Half Dollar Hosting. Li ho appena contattati e lo hanno fatto per me in quanto non consentono che tu lo configuri da solo.

Devi fornire loro un certificato per ogni dominio. E nel caso di Let's Encrypt è necessario ricontattarli ogni 90 giorni per rinnovare il certificato per ogni sito.

Installazione manuale di un certificato SSL sul tuo server utilizzando cPanel

Per prima cosa vai su SSL gratuitamente. Non preoccuparti, è sicuro da usare e rilasciano certificati in collaborazione con Let's Encrypt. Inserisci il tuo nome di dominio con www o senza. SSL For Free aggiungerà anche un'altra versione al certificato, quindi non importa. Per impostazione predefinita, utilizzo www con tutti i miei siti, quindi lo metto sempre come primario.

Quindi fare clic sul pulsante Crea certificato SSL gratuito . Ti verrà quindi chiesto di verificare di essere il proprietario del dominio a cui desideri aggiungere il certificato. Puoi scegliere tra la verifica FTP automatica e la verifica manuale .

Se selezioni Verifica FTP automatica dovrai inserire le tue informazioni FTP per l'account del server del dominio come utente, password... e la verifica verrà eseguita automaticamente. Preferisco andare con la verifica manuale, quindi mostrerò i passaggi per il manuale.

I passaggi necessari in questo caso sono spiegati sul sito in modo che tu non possa sbagliare. Scarichi i file, accedi al tuo cPanel, vai alla cartella del tuo dominio e crea nuove cartelle seguendo i passaggi nella pagina. Quindi carica i file scaricati nella cartella "acme-challenge".

Dopo aver verificato che tutto sia stato eseguito correttamente, fai clic sul pulsante Scarica certificato SSL . Non ho mai spuntato Ho la mia CSR. In tal caso, te ne verrà fornito uno.

Ora otterrai chiave privata, certificato e CA. Clicca per scaricarli e otterrai il file .zip. Questo file lo fornisci al tuo hosting se verrà installato per te o lo estrai se installerai il certificato da solo.

Puoi anche abilitare l'opzione per essere avvisato quando il tuo certificato sta per scadere. Nel caso in cui tu abbia dimenticato il certificato Let's Encrypt è valido per 90 giorni. Successivamente, è necessario rinnovarlo seguendo gli stessi passaggi.

Ora dopo aver acquisito un certificato. È il momento di installarlo sul server. Segui i passaggi seguenti per installare l'SSL per il tuo sito :

1. Accedi al tuo account cPanel

2. Individua e fai clic su SSL/TLS Manager nella sezione Sicurezza

3. Fare clic su "Gestisci siti SSL" nel menu Installa e gestisci SSL per il tuo sito web (HTTPS) . Se non hai l'opzione Gestisci siti SSL , prova a contattare il tuo provider di hosting e chiedi se possono installare il certificato per te.

4. Copia il codice del certificato che hai ricevuto incluso —–BEGIN CERTIFICATE—– e —–END CERTIFICATE—– e incollalo nel campo 'Certificato: (CRT)'.

Puoi fare clic sul pulsante Compila automaticamente per certificato , che appare accanto al certificato inserito. Il sistema tenterà di recuperare il nome di dominio e la chiave privata.

Puoi anche scegliere il dominio dall'elenco a discesa e inserire manualmente il certificato e la chiave privata nelle caselle corrispondenti. Ricorda di includere intestazioni e piè di pagina Begin/End per il certificato e la chiave.

NOTA: le immagini sottostanti sono solo ed esemplificative. Non avrai le stesse informazioni, emittente, certificato, ecc.

Copia e incolla il pacchetto CA nella casella sotto Pacchetto autorità di certificazione (CABUNDLE). Se desideri utilizzare questo certificato per i servizi di posta, seleziona la casella di controllo "Abilita SNI per i servizi di posta".

In questo caso, sarai in grado di utilizzare il tuo dominio, su cui è stato installato il certificato SSL, come nome host del server di posta configurando i tuoi client di posta affinché funzionino tramite porte protette.

Questa opzione è disponibile solo a partire da cPanel 11.48. Se hai una versione precedente di cPanel, non puoi utilizzare il tuo certificato per la posta.

5. Fare clic sul pulsante " Installa certificato "

Congratulazioni! Il certificato è ora installato sul server del tuo sito. Il sito dovrebbe ora essere accessibile tramite https://.

Testa il tuo certificato e controlla il tuo sito utilizzando https nel browser per vedere se verrà visualizzato correttamente.

Aggiornamento degli URL di WordPress dopo aver impostato SSL utilizzando il plug-in

Dopo aver impostato il certificato SSL gratuito con Let's Encrypt, il passaggio successivo è spostare l'URL di WordPress dall'utilizzo di HTTP a HTTPS. Un sito standard senza certificato SSL utilizza il protocollo HTTP. Di solito è evidenziato con il prefisso http negli indirizzi web, in questo modo: http://www.example.com

I siti Web protetti con certificati SSL utilizzano il protocollo HTTPS. Ciò significa che i loro indirizzi hanno questo aspetto: https://www.example.com. Senza modificare gli URL sul tuo sito WordPress, non utilizzerai SSL e il tuo sito non sarà sicuro per la raccolta di dati sensibili.

1. Aggiornamento degli URL di WordPress su HTTPS per il nuovissimo sito Web WordPress

Se stai lavorando su un sito Web nuovo di zecca, puoi semplicemente accedere alla tua area di amministrazione di WordPress e fare clic su Impostazioni. Lì dovrai aggiornare l'URL di WordPress e i campi dell'URL del sito per utilizzare https.

Non dimenticare di salvare le modifiche.

2. Aggiornamento degli URL di WordPress su HTTPS per un sito WordPress esistente

Se il tuo sito è attivo da un po', è probabile che sia indicizzato dai motori di ricerca. Altre persone potrebbero essersi collegate ad esso utilizzando HTTP nell'URL. Devi assicurarti che tutto il traffico venga reindirizzato all'URL https.

Non devi far altro che installare e attivare il plugin Really Simple SSL. Questo plugin rileverà automaticamente il tuo certificato SSL e configurerà il tuo sito web per usarlo. Nella maggior parte dei casi, non sarà necessario apportare ulteriori modifiche. Il plugin risolverà anche il problema del contenuto non sicuro.

3. Aggiornamento degli URL di WordPress dopo aver aggiunto SSL al sito Web WordPress esistente senza plug-in

Se vuoi forzare il tuo intero sito web a passare attraverso https, ma senza l'uso di plugin, puoi aggiungere queste regole al tuo file .htaccess:

Possibile problema di errore di contenuto misto dopo l'installazione di SSL

Quando installi un certificato SSL su un nuovo dominio, tutte le pagine e tutte le risorse come le immagini, vengono servite automaticamente con il protocollo HTTPS.

Ma se il certificato è abilitato su un dominio già in uso, potresti avere dei problemi con la miscelazione dei contenuti . Ciò significa che hai contenuti che vengono serviti con HTTPS e contenuti che vengono serviti con HTTP.

I contenuti misti si verificano quando parti dei tuoi contenuti continuano a essere consegnate tramite HTTP mentre il resto del tuo sito è passato al più sicuro HTTPS.

In questo caso, i browser moderni mostreranno un avviso, facendo sì che i tuoi utenti considerino il tuo sito non sicuro.

Utilizza lo strumento gratuito SSL Check per scansionare l'intero sito alla ricerca di immagini, script, file CSS e altro non sicuri. Con queste informazioni, puoi quindi intraprendere un'azione correttiva. Un'alternativa al controllo delle singole pagine è Why No Padlock?.

Puoi anche cercare il simbolo del lucchetto nella barra del browser mentre navighi nel tuo sito. Mostrerà un avviso quando stai visitando una parte che ha contenuti misti su di essa.

Se incontri una pagina del genere, puoi scoprire il colpevole dando un'occhiata alla console negli strumenti di sviluppo di Chrome o Firefox. Questo articolo elenca i vari metodi per risolvere il problema del contenuto misto.

Risolvere l'errore del contenuto mix utilizzando CloudFlare

Se il tuo sito è su CloudFlare, puoi utilizzare CloudFlare Automatic HTTPS Rewrites. La riscrittura automatica HTTPS è una funzionalità che riscrive i collegamenti a risorse non crittografate da HTTP a HTTPS.

Prima che la riscrittura venga applicata e servita nell'HTML inviato ai tuoi visitatori web, viene controllato un set di regole per garantire che i riferimenti siano accessibili tramite HTTPS.

Se ti connetti al tuo sito tramite HTTPS e l'icona del lucchetto non è presente o presenta un triangolo di avvertenza giallo, il tuo sito potrebbe contenere riferimenti a risorse HTTP ("contenuto misto").

Il contenuto misto è spesso dovuto a fattori che non sono sotto il tuo controllo. Possono essere contenuti di terze parti incorporati o sistemi di gestione dei contenuti complessi.

Riscrivendo gli URL da "http" a "https", la riscrittura automatica HTTPS semplifica il compito di rendere disponibile l'intero sito Web su HTTPS, aiutando a eliminare gli errori di contenuto misto e garantendo che tutti i dati caricati dal sito Web siano protetti.

Correggi gli elementi non protetti sul tuo sito

Installa il plug-in SSL Insecure Content Fixer. Gestirà tutti gli elementi inclusi e risolverà le risorse non https nel caso in cui esistano. Assicurati di controllare le impostazioni dei plugin se non funzionano immediatamente.

Cosa succede se il certificato scade?

Quando il tuo certificato scade, i visitatori ricevono un avviso al riguardo e si consiglia di non accedere al tuo sito. Non dovresti lasciare che questo accada. Assicurati sempre che il tuo certificato venga rinnovato in tempo . Lo stesso avviso può essere dato anche per i certificati autofirmati che non sono stati convalidati da un'autorità esterna.

Aggiorna le impostazioni di Google Analytics dopo il passaggio a HTTPS

Se hai installato Google Analytics sul tuo sito WordPress, devi aggiornare le sue impostazioni e aggiungere il tuo nuovo URL con https. Accedi alla tua dashboard di Google Analytics e fai clic su "Amministratore" nel menu in alto. Successivamente, devi fare clic sulle impostazioni della proprietà sotto il tuo sito web.

Lì vedrai l'opzione URL predefinita. Fare clic su HTTP e quindi selezionare https. Non dimenticare di fare clic sul pulsante Salva per memorizzare le tue impostazioni. Inoltre, aggiungi https://www e senza www ai tuoi strumenti per i webmaster di Google per il tuo sito.

Impostazione di SSL solo su determinate pagine

Se per qualche motivo desideri aggiungere SSL solo a pagine specifiche del tuo sito, allora avrai bisogno del plugin chiamato WordPress HTTPS (SSL).

Nonostante il fatto che questo plugin non sia stato aggiornato per un po', funziona ancora bene. Al momento dell'attivazione, il plug-in aggiungerà una nuova voce di menu denominata HTTPS nel pannello di amministrazione di WordPress. Puoi fare clic su di esso per visitare la pagina delle impostazioni del plug-in.

La prima opzione della pagina di configurazione ti chiede di inserire il tuo host SSL. Per lo più è il tuo nome di dominio. Tuttavia, se stai configurando il sito su un sottodominio e il certificato SSL che hai ottenuto è per il tuo nome di dominio principale, allora entrerai nel dominio principale.

Se stai utilizzando un certificato SSL condiviso fornito dal tuo host web , dovrai inserire le informazioni sull'host che hanno fornito invece del tuo nome di dominio.

L'impostazione Force SSL Administration impone a WordPress di utilizzare HTTPs su tutte le pagine dell'area di amministrazione. Devi selezionare questa casella per assicurarti che tutto il traffico verso la tua area di amministrazione di WordPress sia sicuro.

L'opzione successiva consiste nell'utilizzare Force SSL esclusivamente . Selezionando questa casella verrà utilizzato SSL solo nelle pagine in cui è stata selezionata l'opzione Forza SSL. Tutto il resto del traffico andrà all'URL HTTP standard.

Funziona se si desidera utilizzare SSL solo su pagine specifiche come un carrello della spesa, un checkout, pagine dell'account utente, ecc. Fare clic sul pulsante Salva modifiche per memorizzare le impostazioni del plug-in.

Se desideri utilizzare HTTPS solo per pagine specifiche, devi modificare tali pagine e selezionare la casella di controllo Forza SSL . Una volta terminato, visita la tua pagina per assicurarti di avere un lucchetto verde in Chrome e in altri browser.

Come impostare Let's Encrypt With CloudFlare?

Se stai utilizzando CloudFlare con il tuo sito, probabilmente conosci CloudFlare Flexible SSL o come lo chiamano Universal SSL. Universal SSL è semplicemente il nome del servizio SSL gratuito di CloudFlare.

Nel 2014 CloudFlare ha annunciato SSL universale gratuito per tutti i suoi utenti. Sembra davvero fantastico, soprattutto sapendo che puoi usarlo nel loro pacchetto gratuito.

Ma molti non capiscono come funziona esattamente CloudFlare Flexible SSL. L'opzione SSL flessibile fornisce solo traffico sicuro tra l'utente e la rete CloudFlares .

Non tra CloudFlare e il tuo sito web. Ciò significa che il traffico dell'utente è esposto su Internet come normale traffico HTTP.

SSL flessibile non è consigliato se disponi di informazioni sensibili sul tuo sito web. Questa opzione dovrebbe essere utilizzata solo come ultima risorsa se non sei in grado di configurare SSL sul tuo server web. Questa opzione è molto meno sicura dell'opzione SSL completa indicata di seguito. – CloudFlare

Allora qual è il problema con questo? Bene, il proprietario del sito web potrebbe saperlo o non saperlo. Possono accettarlo e scegliere di utilizzare l'SSL flessibile. Sono loro che scelgono di correre il rischio.

Ma per quanto riguarda gli utenti del sito web? Gli utenti del sito web non conosceranno la differenza. Vedranno HTTPS.

Pensa che sia un certificato valido e usa felicemente il sito Web, fornisci informazioni personali, dettagli bancari, ecc. Senza sapere che stanno effettivamente passando su HTTP non sicuro.

Quindi, se utilizzi SSL flessibile da CloudFlare, non modificare il tuo sito in URL HTTPS. Lascialo così com'è per impostazione predefinita o passa a Full Strict dopo aver installato Let's Encrypt.

La modalità SSL flessibile di CloudFlare è l'impostazione predefinita per i siti CloudFlare con piano gratuito. Per sfruttare la nostra modalità Full and Strict SSL, che crittografa la connessione tra CloudFlare e il server di origine, è necessario installare un certificato sul server di origine .

Quando installi il certificato SSL Let's Encrypt sul tuo sito, vai alle impostazioni di CloudFlare Crypto per il tuo sito su cui hai installato il certificato e modifica l'impostazione SSL su Full (strict) .

Ora hai il vantaggio aggiuntivo di una connessione autenticata e crittografata al tuo server di origine.

Puoi anche invece di Let's Encrypt installare CloudFlare Origin Certificate. I certificati Cloudflare Origin sono certificati TLS gratuiti emessi da Cloudflare che possono essere installati sul tuo server di origine per facilitare la crittografia end-to-end per i tuoi visitatori tramite HTTPS.

Puoi trovare questa opzione in CloudFlare nella scheda Crypto. Per impostazione predefinita, i certificati appena generati sono validi per 15 anni. Puoi anche accorciarlo.

Il certificato di origine CloudFlare non è ancora considerato attendibile dai browser. Ma sarà considerato attendibile da CloudFlare , consentendo alla connessione di back-end di essere sia crittografata che autenticata.

Ciò protegge anche il tuo sito se una delle autorità di certificazione pubblicamente attendibili viene compromessa da aggressori e utilizzata per emettere certificati illegittimi.

NOTA: quando metti in pausa CloudFlare o le singole zone con nuvole grigie, tieni presente che tu e i tuoi visitatori potreste ricevere errori nei loro browser per il vostro sito con il certificato CloudFlare Origin fino a quando non li attiverete di nuovo con nuvola arancione (proxy inverso).

Chrome e altri browser non si fidano dei certificati di origine di CloudFlare. Questi sono destinati ad essere utilizzati solo dai server di origine che si trovano dietro il servizio di CloudFlare.

Ma sono disponibili anche i certificati di root. Aggiungerli ai tuoi trust store TLS locali ti consentirà di convalidarli direttamente, senza passare per CloudFlare.

CloudFlare SSL flessibile vs SSL completo vs SSL completo rigoroso

Scegli " Flessibile " solo se il tuo server web di origine non può accettare connessioni sicure (HTTPS). Seleziona " Completo " se disponi di un certificato SSL autofirmato e scegli " Completo (rigoroso) " se disponi di un certificato SSL valido.

Off : Nessuna connessione sicura tra il tuo visitatore e CloudFlare e nessuna connessione sicura tra CloudFlare e il tuo server web.

Ciò significa che i visitatori possono visualizzare il tuo sito Web solo su HTTP e qualsiasi visitatore che tenti di connettersi tramite HTTPS riceverà un reindirizzamento HTTP 301 alla versione HTTP semplice del tuo sito.

SSL flessibile : connessione sicura tra il tuo visitatore e CloudFlare, ma nessuna connessione sicura tra CloudFlare e il tuo server web. Non è necessario disporre di un certificato SSL sul tuo server web, ma i tuoi visitatori continuano a vedere il sito come HTTPS abilitato.

Questa opzione non è consigliata se disponi di informazioni sensibili sul tuo sito web. Dovrebbe essere usato solo come ultima risorsa se non sei in grado di configurare SSL sul tuo server web. È meno sicuro di qualsiasi altra opzione (anche "Off") e potrebbe persino causare problemi quando decidi di abbandonarlo.

SSL completo : connessione sicura tra il tuo visitatore e CloudFlare e connessione sicura (ma non autenticata) tra CloudFlare e il tuo server web. Dovrai avere il tuo server configurato per rispondere alle connessioni HTTPS, con almeno un certificato autofirmato.

Full SSL (Strict) : connessione sicura tra il visitatore e CloudFlare e connessione sicura e autenticata tra CloudFlare e il tuo server web.

Dovrai avere il tuo server configurato per rispondere alle connessioni HTTPS, con un certificato SSL valido. Questo certificato deve essere firmato da un'autorità di certificazione, avere una data di scadenza futura e rispondere al nome di dominio della richiesta (nome host).

Ho il certificato installato sul server. Perché vedo il certificato CloudFlare?

Quando usi CloudFlare, decrittografano i dati sul loro perimetro per memorizzare nella cache e filtrare il traffico dannoso. A seconda delle impostazioni SSL, possono crittografare nuovamente o inviarlo come testo normale.

Poiché ogni certificato necessita di un indirizzo IP dedicato , aggiungono il nome di dominio e il dominio con caratteri jolly (*.domain.com) nella SAN (Subject Alt Name) al certificato.

Se usi il piano gratuito di CloudFlare e hai un certificato di terze parti installato (come Let's Encrypt), quando controlli il certificato del tuo sito mostrerà sempre il certificato CloudFlare.

Se non vuoi che il nome di CloudFlare venga visualizzato quando un visitatore controlla il certificato, hai bisogno del piano CloudFlare Business/Enterprise. In altre parole, devi pagare.

I clienti con questi piani possono caricare la propria chiave e certificato SSL e il nome di CloudFlare non verrà mostrato.

Come trasferire il certificato SSL?

Ti stai trasferendo su un nuovo server ma hai ancora tempo per il tuo vecchio certificato? Potresti riuscire a spostare il tuo certificato sul nuovo server. Quando si sposta un SSL, il certificato deve essere per lo stesso nome di dominio sul nuovo server.

Come aggiungere manualmente SSL alle parole finali gratuite di WordPress

In questi giorni HTTPS è una necessità. Aumenta la privacy dei tuoi utenti, ti consente di utilizzare nuove funzionalità del browser e ti consente di mantenere l'accesso alle funzionalità esistenti.

Come hai visto, con Let's Encrypt, ottenere un certificato SSL è facile e può essere gratuito . Siamo solo all'inizio di una piccola ma significativa rivoluzione nella sicurezza della rete Internet.

Se stai eseguendo un sito Web WordPress che si occupa di dati sensibili, SSL è necessario. Senza la crittografia del traffico, il rischio che le informazioni del tuo cliente vengano intercettate è troppo alto.

Oltre ad essere un fornitore di servizi responsabile, il livello di sicurezza aggiuntivo è anche un segnale positivo per i motori di ricerca . So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.