Przejdź do głównej zawartości

Domena śledząca z protokołem HTTPS

Przekierowanie linków z newslettera przez protokół HTTPS, HSTS, błąd „Twoje połączenie nie jest prywatne”, zarządzany HTTPS, CDN oraz reverse proxy.

Napisane przez Weronika Bonczková

O korzyściach płynących z własnej domeny śledzenia i sposobie jej dodania pisaliśmy już w artykule Weryfikacja domeny śledzenia.

Domena śledzenia z protokołem HTTPS

Być może jednak spotkałeś się z sytuacją, w której link w newsletterze po wielokrotnym kliknięciu prowadzi do następującego komunikatu błędu 👇

W tym artykule dowiesz się, jak dany błąd powstaje i jak możesz go rozwiązać.

  1. Dlaczego dochodzi do błędu z protokołem HTTPS

  2. Jak mogę zapobiec wyświetlaniu komunikatu błędu

    a. Konfiguracja Managed HTTPS

    b. Konfiguracja Content Delivery Network

    c. Konfiguracja reversed proxy

  3. Usunięcie domeny śledzenia

1. Dlaczego dochodzi do błędu z protokołem HTTPS?

Przeglądarki internetowe łączą się ze stronami internetowymi za pomocą protokołu. Dawniej powszechnie stosowany był protokół HTTP, dziś preferuje się HTTPS, który oferuje możliwość szyfrowanego przesyłu danych, a tym samym wyższe bezpieczeństwo. HTTPS jest preferowanym protokołem dla całego nowoczesnego oprogramowania (przeglądarka internetowa, zapora sieciowa, kontrola antywirusowa).

Ponadto hostingi mogą dodawać tzw. nagłówek HSTS, który wymusza połączenie wyłącznie przez HTTPS. Z tego powodu warto od razu wybrać śledzenie za pomocą domeny HTTPS. W tym celu konieczne jest, aby Twoja domena śledzenia uzyskała certyfikat HTTPS / SSL.

W przypadku braku certyfikatów dochodzi do następującej sytuacji: próbujesz kliknąć link śledzenia w e-mailu, otwiera się link do Twojej strony internetowej, jednak bez weryfikacji, ponieważ serwer jest skonfigurowany tak, aby przekierowywać wszystkie żądania na protokół HTTPS. Przeglądarka internetowa ocenia tę sytuację jako potencjalnie niebezpieczne połączenie i blokuje dostęp.

Jeśli przy domenie śledzenia wyświetla się ikona HTTP (np. go.ecomail.pl), oznacza to, że domena śledzenia nie wymusza użycia protokołu HTTPS i można ją skonfigurować w niezaszyfrowanym trybie HTTP. Możliwe jednak, że niektórzy odbiorcy z bardziej zaawansowaną ochroną internetową napotkają informację o niezabezpieczonym połączeniu.

Jeśli chcesz zapobiec tej sytuacji, dostępne są następujące opcje:

a) konfiguracja Managed HTTPS

b) konfiguracja Content Delivery Network

c) konfiguracja reversed proxy

d) usunięcie domeny śledzenia

💡 Konfigurację CDN lub reversed proxy może wykonać wyłącznie właściciel lub administrator domeny, a nie Ecomail jako strona trzecia. Ponieważ jest to technicznie bardziej zaawansowana konfiguracja, zalecamy skonsultowanie tej kwestii z Twoimi specjalistami IT.

2. Jak mogę zapobiec wyświetlaniu komunikatu błędu?

a) Konfiguracja Managed HTTPS

Najprostsze rozwiązanie, w którym certyfikat SSL (Let's Encrypt) jest wydawany i automatycznie odnawiany przez Sparkpost — Ty nie musisz nic robić. Rekord CNAME musi wskazywać na v2.spgo.io. Więcej informacji na temat konfiguracji znajdziesz w tej instrukcji.

b) Konfiguracja Content Delivery Network

Poniższe rozwiązanie zalecamy skonsultować lub wdrożyć bezpośrednio przy pomocy technika.

  • Jeśli nie masz jeszcze utworzonej domeny śledzenia, możesz to zrobić za pomocą tej instrukcji.

  • Następnie konieczne jest przedstawienie ważnego certyfikatu, któremu przeglądarka odbiorcy wiadomości e-mail będzie ufać. Do zarządzania certyfikatami i kluczami dla dowolnych własnych domen śledzenia zaangażowania użyj usługi CDN, takiej jak Cloudflare, Fastly lub AWS Cloudfront. (Usługi te umożliwiają przepuszczenie żądania przez protokół HTTPS (Twój serwer), a następnie na protokół HTTP usługi Sparkpost)

  • Procedury weryfikacji znajdziesz pod poniższymi linkami (instrukcje są w języku angielskim):

CloudFlare

Instrukcja tworzenia domeny

*Certyfikaty są dla CloudFlare wydawane automatycznie

AWS CloudFront

Utwórz domenę

Wydaj certyfikat

Fastly

Utwórz domenę

Wydaj certyfikat

Google Cloud Platform

Utwórz domenę

Wydaj certyfikat

Microsoft Azure

Utwórz domenę

Wydaj certyfikat

Ponieważ weryfikacja odbywa się za pośrednictwem platform stron trzecich, w przypadku niejasności prosimy o kontakt z pomocą techniczną tych usług, gdzie uzyskają Państwo odpowiednie informacje dotyczące weryfikacji certyfikatu.

Ponadto:

  • Zalecamy ustawienie TTL na 10 sekund. Zapobiegnie to dużej liczbie żądań do punktu końcowego Sparkpost, na przykład w sytuacji, gdy serwer pocztowy skanuje linki w wiadomości e-mail. 10 sekund to z kolei wystarczający czas na przepuszczenie kliknięć prawdziwego użytkownika.

UWAGA: Po wykonaniu kroków z powyższych linków prosimy o kontakt z pomocą techniczną Ecomail w celu skonfigurowania Twojej domeny śledzenia jako zabezpieczonej (secured).

c) Konfiguracja reversed proxy

Poniższe rozwiązanie zalecamy skonsultować lub wdrożyć bezpośrednio przy pomocy technika.

Aby linki w Twoim newsletterze były przekierowywane z protokołem HTTPS, możesz – poza Managed HTTPS lub CDN – skorzystać również z reversed proxy.

Z tej opcji skorzystasz w przypadku gdy:

  • Chcesz zautomatyzować tworzenie certyfikatów za pomocą usługi Let's Encrypt, masz serwer Linux podłączony do internetu, skonfigurowany jako punkt końcowy dla Twojej domeny śledzenia w DNS.

  • Masz na serwerze uprawnienia root access do instalacji oprogramowania itp. i używasz nowoczesnego systemu operacyjnego Linux z menedżerem pakietów.

W oficjalnej instrukcji znajdziesz procedury (instrukcje są w języku angielskim) dla:

a) nginx

b) Apache

UWAGA: Po wykonaniu kroków z powyższych linków prosimy o kontakt z pomocą techniczną Ecomail w celu skonfigurowania Twojej domeny śledzenia jako zabezpieczonej (secured).

💡 Testowanie poprawnie skonfigurowanej domeny śledzenia (dla CDN i reversed proxy)

Możesz przetestować, czy domena jest poprawnie skierowana, za pomocą polecenia curl:

curl -v https://track.mydomain.com/f/a/b/c/d

Wynik wyświetli informację o ważności certyfikatu.

Przykład:

*Server certificate:
*subject: CN=track-aws.thetucks.com
*start date: Oct 8 00:00:00 2020 GMT
*expire date: Nov 7 12:00:00 2021 GMT
*subjectAltName: host "track-aws.thetucks.com" matched cert's "track-*aws.thetucks.com"
*issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*SSL certificate verify ok.

Jeśli przekierowanie jest poprawnie skonfigurowane, wyświetlona zostanie odpowiedź 302 z punktu końcowego usługi Sparkpost. Wartość nagłówka server: msys-http lub server: msys-et oznacza, że Twoja sieć CDN poprawnie kieruje do punktu końcowego usługi Sparkpost:

< HTTP/2 302 < content-type: text/plain < content-length: 0 < date: Sat, 31 Oct 2020 10:52:44 GMT < server: msys-http

3. Usunięcie domeny śledzenia

Jeśli z jakiegoś powodu musisz przeprowadzić wysyłkę natychmiast i w najbliższym czasie nie masz możliwości skonsultowania się z Twoimi technikami lub administratorami domeny, ewentualnie nie chcesz w ogóle zajmować się konfiguracją CDN, możesz albo przejść na Managed HTTPS (patrz wyżej), albo (tymczasowo) usunąć własną domenę śledzenia.

Dokonasz tego poprzez usunięcie domeny śledzenia z aplikacji (oczywiście również z hostingu) i jej odpięcie od domeny wysyłkowej. ​

W domenie wysyłkowej wybierz opcję Zmień domenę śledzenia, patrz PrtSc 🔽 ​

A następnie wybierz opcję ustawienia domyślnej domeny śledzenia, patrz PrtSc 🔽

Po usunięciu własnej domeny śledzenia, w kolejnych wysyłkach będzie używana domyślna domena śledzenia, która nie korzysta z Twojej domeny i jest skonfigurowana po naszej stronie dla prawidłowego przekierowania za pomocą protokołu HTTPS.

Po usunięciu własnej domeny śledzenia linki będą wyglądać następująco 🔽

Link w tej postaci oznacza, że nie posiadasz własnej domeny śledzenia, lecz używana jest domena domyślna w ramach aplikacji Ecomail.

Na potrzeby przyszłych wysyłek zalecamy zweryfikowanie domeny śledzenia z ważnym certyfikatem, aby zapewnić najwyższy możliwy poziom bezpieczeństwa Twojej wysyłki.


Masz pytania? Napisz do nas na [email protected]

Artykuły powiązane
Weryfikacja domeny śledzącej
Czy to odpowiedziało na twoje pytanie?