Połączenie HTTPS jest „niebezpieczne” ze względu na obrazy

Obecnie pracuję na stronie internetowej i pomyślnie zainstalowałem mój certyfikat SSL.

Kontroler GeoTrust SSL / TLS potwierdził, że łańcuch certyfikatów (w tym CA) jest poprawnie zainstalowany. W Chrome wszystko wygląda dobrze, ale moja kłódka nie jest zielona, ​​a w Firefoksie faktycznie stwierdza, że ​​strona nie jest bezpieczna, ponieważ są w niej niezaszyfrowane elementy.

Użyłem usługi online, aby sprawdzić, dlaczego tak jest, i okazuje się, że moje zdjęcia nie są uważane za bezpieczne adresy URL. Jak poradzić sobie z tą sytuacją, czyli jak bezpiecznie osadzać obrazy na mojej stronie?

Twoje tagi graficzne muszą obecnie wyglądać następująco:

<img src="http://example.com/images/image.jpg">

To httpoznacza, że ​​obraz NIE jest bezpiecznie obsługiwany. Osoba atakująca może zmienić obraz w trakcie przesyłania, a tym samym zmienić wygląd Twojej bezpiecznej strony dla użytkowników.

Zamiast tego możesz użyć dowolnego z poniższych sposobów, aby bezpiecznie obsługiwać obrazy:

• Link do httpsjawnie:<img src="https://example.com/images/image.jpg">
• Użyj względnego linkowania do obrazów we własnej domenie: <img src="/images/image.jpg">
• Użyj protokołu względnego łączenia, aby użyć obrazów z innych domen: <img src="//example.com/images/image.jpg">

Jawne httpszawsze będzie bezpiecznie obsługiwać obraz (nawet jeśli strona nie jest bezpiecznie obsługiwana), natomiast względne łącza będą bezpiecznie obsługiwać obraz tylko wtedy, gdy strona będzie bezpiecznie obsługiwana.

W przeglądarce Firefox i chrome możesz kliknąć kłódkę i uzyskać więcej informacji o problemie. Po zrobieniu tego, oto zrzut ekranu z Firefoksa pokazujący listę wszystkich obrazów na stronie. Łatwo jest zeskanować listę i zobaczyć, które to http:

Problem polega na tym, że Twoja strona wyświetla linki z lokalizacji http w przeciwieństwie do https. Wynika to z używania bezwzględnych łączy http do zasobów odniesienia, takich jak obrazy. Istnieją dwie lepsze metody, które pozwolą ci odwoływać się do linków w http lub https i uniknąć tego problemu.

Wymaga to odnalezienia tych linków i zmiany ich na:

1. linki względne: tj./wp-content/yourtheme/images/image1.jpg
2. lub umieść // z przodu domeny, jak w polu.//example.com/wp-content/wp-content/yourtheme/images/image1.jpg Będzie to następnie obsługiwać te zasoby przez http lub https w zależności od tego, które żądanie zostało złożone.

Zarówno w przeglądarce Chrome, jak i Firefox możesz kliknąć ikonę kłódki, a następnie kliknąć, aby wyświetlić listę niebezpiecznych linków. A jeśli nie widzisz żadnych obrazów lub innych zasobów podświetlonych w przeglądarce, ale nadal występują błędy, możesz odkryć, że istnieje wywołanie javascript, które odwołuje się do linków absolutnie przez http .

To jest naprawdę podstawowe. Podczas budowania witryn obsługiwanych za pomocą protokołu SSL (https) wszelkie odwołania w kodzie, które nie są poprzedzone https, powodują wyświetlenie ostrzeżeń bezpieczeństwa - innych niż linki. Zauważ, że większość (wszystkich) przeglądarek również domyślnie wyświetla linki względne do http. Więc jeśli odwołujesz się do /uploads/12/5/img.jpg lub /js/jquery.js, domyślnym protokołem przesyłania jest http - co jest naprawdę denerwujące.

Wszystkie przeglądarki traktują ostrzeżenia nieco inaczej, ale dostaniesz jakąś wiadomość. Ogólnym stwierdzeniem byłoby, że im nowa przeglądarka, tym ostrzejszy będzie komunikat. Niektóre starsze przeglądarki praktycznie ignorują te błędy, podczas gdy nowsze przeglądarki mogą zachowywać się, jakby twój świat był atakowany z powodu brakujących „s”.

Jeśli żadna z tych sugestii nie pomoże, jeśli chodzi o niemożność wyświetlania obrazów po włączeniu protokołu SSL na swojej stronie internetowej, sprawdź na wszelki wypadek ustawienia cPanel dla Hotlinks, które znajdują się w sekcji Bezpieczeństwo cPanel. Jest bardzo możliwe, że w tym ustawieniu masz następujące opcje: http://example.comi http://www.example.comsą włączone, aby umożliwić dostęp do obrazów, podczas gdy ich httpswersja nie jest włączona.

Sprawdź konfigurację bezpiecznego adresu URL w swoim cms / wordpress / magento lub innej używanej platformie. Możesz także udostępnić niektóre ze swoich tagów graficznych, ale podstawowe obrazy img src nie powodują tego rodzaju błędów.

Struktura tagu obrazu jest ważna, ale myślę, że w centrum twojego pytania jest relacja z „typem” certyfikatu SSL zainstalowanym na twojej stronie. Osobista sprawa przydarzyła mi się ze „Standardowym certyfikatem SSL GoDaddy.

Zobaczysz ikonę ostrzeżenia w pasku wyszukiwania adresu URL przeglądarki Firefox (konkretnie), informującą, że w Twojej witrynie mogą znajdować się niezabezpieczone obrazy lub elementy. O ile wiem, to tylko kwestia tego, jak Firefox przetwarza informacje o certyfikacie lub informacje w nim zawarte. Nie dzieje się tak w Safari, Chrome ani innych przeglądarkach. Znalazłem rozwiązanie tego problemu, instalując zamiast „Standardowego SSL” „Premium SSL Certificate lub EVC Extended Validation Certificate ”, który zawiera bardziej szczegółowe informacje o firmie. Otrzymasz zielony pasek kłódki.

Jednak certyfikat premium ssl może być nieco droższy, około 150–200 USD rocznie.