Все сайты должны быть защищены с помощью HTTPS, даже те, которые не обрабатывают конфиденциальные данные. Это включает в себя отказ от смешанного контента , когда некоторые ресурсы загружаются через HTTP, несмотря на то, что первоначальный запрос обслуживается через HTTPS. HTTPS предотвращает вмешательство злоумышленников или пассивное прослушивание сообщений между вашим приложением и вашими пользователями и является обязательным условием для HTTP/2 и многих новых API веб-платформ.
Дополнительную информацию о том, почему все сайты должны быть защищены с помощью HTTPS, см. в разделе «Почему HTTPS важен» .
Почему HTTPS-аудит Lighthouse терпит неудачу
Lighthouse помечает страницы, не использующие HTTPS:
Как перенести сайт на HTTPS
Рассмотрите возможность размещения вашего сайта на CDN. Большинство CDN безопасны по умолчанию.
Чтобы узнать, как включить HTTPS на ваших серверах, см. статью Google «Включение HTTPS на ваших серверах» . Если у вас есть собственный сервер и вам нужен дешевый и простой способ создания сертификатов, Let's Encrypt — хороший вариант.
Если ваша страница уже работает по протоколу HTTPS, но вы не прошли проверку, возможно, у вас проблемы со смешанным контентом . Страница имеет смешанный контент, когда сама страница загружается по HTTPS, но запрашивает незащищенный (HTTP) ресурс. Ознакомьтесь со следующим документом на панели безопасности Chrome DevTools, чтобы узнать, как отлаживать такие ситуации: Общие сведения о проблемах безопасности с помощью Chrome DevTools .
Ресурсы
- Исходный код для проверки HTTPS не используется
- Почему вы всегда должны использовать HTTPS
- Включение HTTPS на ваших серверах
- Понимание проблем безопасности с помощью Chrome DevTools
- Что такое смешанный контент?
- Давайте зашифруем
Все сайты должны быть защищены с помощью HTTPS, даже те, которые не обрабатывают конфиденциальные данные. Это включает в себя отказ от смешанного контента , когда некоторые ресурсы загружаются через HTTP, несмотря на то, что первоначальный запрос обслуживается через HTTPS. HTTPS предотвращает вмешательство злоумышленников или пассивное прослушивание сообщений между вашим приложением и вашими пользователями и является обязательным условием для HTTP/2 и многих новых API веб-платформ.
Дополнительную информацию о том, почему все сайты должны быть защищены с помощью HTTPS, см. в разделе «Почему HTTPS важен» .
Почему HTTPS-аудит Lighthouse терпит неудачу
Lighthouse помечает страницы, не использующие HTTPS:
Как перенести сайт на HTTPS
Рассмотрите возможность размещения вашего сайта на CDN. Большинство CDN безопасны по умолчанию.
Чтобы узнать, как включить HTTPS на ваших серверах, см. статью Google «Включение HTTPS на ваших серверах» . Если у вас есть собственный сервер и вам нужен дешевый и простой способ создания сертификатов, Let's Encrypt — хороший вариант.
Если ваша страница уже работает по протоколу HTTPS, но вы не прошли проверку, возможно, у вас проблемы со смешанным контентом . Страница имеет смешанный контент, когда сама страница загружается по HTTPS, но запрашивает незащищенный (HTTP) ресурс. Ознакомьтесь со следующим документом на панели безопасности Chrome DevTools, чтобы узнать, как отлаживать такие ситуации: Общие сведения о проблемах безопасности с помощью Chrome DevTools .