Stále v prohlížeči nevidíte po úspěšné aktivaci DV SSL a nastavení automatického přesměrování obsahu na protokol HTTPS plně zabezpečenou doménu?
V takovém případě bude některá část webu načtena přes nezabezpečený protokol HTTP, například obrázky, javascript soubory a jiné.
V prohlížečích se vám tedy mohou zobrazovat o zabezpečení tyto informace:
Upozornění na zabezpečení v prohlížečích
Aby se plně zobrazovala informace o zabezpečeném webu(zámek), musí být všechny části webu načteny přes protokol HTTPS.
K zjištění jaký obsah a nebo odkazy nejsou načteny přes protokol HTTPS, můžete využít různé offline i online nástroje.
Na stránkách
https://www.whynopadlock.com/ můžete zadat vaší zabezpečenou stránku do
"Secure Address" a spustit pomocí
"Test Page" kontrolu zabezpečení HTTPS:
Otestování HTTPS na Why No Padlock
Po dokončení testu se vám zobrazí informace o nastavení HTTPS a SSL certifikátu. Pod těmito informacemi již uvidíte červeně zvýrazněné "Mixed Content - Errors":
Výsledek testu na Why No Padlock
V souhrnu jsou uvedeny na zadané URL části webu, které nejsou načteny přes protokol HTTPS.
Dle tohoto výsledku můžete provést potřebné úpravy v obsahu vašich webových stránkách.
Obvykle stačí doplnit ve zdrojovém kódu stránky nebo šabloně v odkazu písmeno "s" do protokolu HTTP, tak jako by níže byla opravena první chyba "Hard Failure":
Hard Failure:
<script src="http://http.badssl.com/test/imported.js"></script>
Chyba opravena:
<script src="https://http.badssl.com/test/imported.js"></script>
Tento problém je možné také řešit pomocí HTTP hlavičky Content-Security-Policy: "upgrade-insecure-requests;". Tato hlavička zajistí načtení souborů přes protokol HTTPS - není pak již nutné zasahovat do obsahu webu.
Hlavičku vložíte do souboru s názvem .htaccess v rootu webu (adresář /www) na FTP účtu k ostatnímu obsahu v něm. V případě provozu webhostingu na serveru s OS Linux:
Header set Content-Security-Policy: "upgrade-insecure-requests;"
U webhostingu s OS Windows vložíte níže uvedený obsah také v rootu webu (adresář /www) do konfiguračního souboru s názvem web.config:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="upgrade-insecure-requests" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
Pokud odkazujete na obsah mimo váš web, musí být tento obsah dostupný přes protokol HTTPS.