Online sigurnost: Implementacija SSL sertifikata na web sajt


Online sigurnost: Implementacija SSL sertifikata na web sajt

Možda se pitate zbog čega bi uopšte trebalo svoj vebsajt da prebacite sa HTTP protokola na HTTPS. Odgovor je jednostavan – zbog toga što će veb pregledač Google Chrome, počevši od jula 2018. godine, smatrati sve sajtove koji su zasnovani na HTTP protokolu nebezbednim za korisnike, dok recimo Mozilla Firefoxveć neko vreme primenjuje takav pristup. Drugim rečima, uskoro će jedino sajtovi sa prefiksom HTTPS biti posmatrani kao sigurni.

Zato verujemo da je važno razmotriti opciju prebacivanja sajta na HTTPS, a u nastavku teksta donosimo vam i detaljan vodič kroz proces implementacije SSL sertifikata i tranzicije sa jednog protokola na drugi.

Šta je SSL sertifikat i kome je potreban?

SSL je akronim engleskog naziva Secure Sockets Layer i ukazuje na činjenicu da je postojanjem tog sertifikata vebsajt zaštićen dodatnim slojem sigurnosne zaštite. Reč je o veb tehnologiji koja uz pomoć enkripcije osetljivih ličnih podataka korisnika omogućava bezbednu i privatnu vezu između pojedinaca i vebsajta, odnosno servera.

Da pojasnimo, SSL sertifikatom se uvodi enkripcija koja prenos podataka čini sigurnim i nemogućim za dešifrovanje bez SSL ključa za dekripciju koji je inkorporiran u HTTPS protokol. Drugim rečima, ukoliko neko treće lice presretne komunikaciju, neće moći da vidi informacije koje se prenose na relaciji između korisnika i servera.

SSL je najviše korišćen sigurnosni protokol u svetu, a podaci koji su njime zaštićeni jesu imena korisnika, adrese elektronske pošte, njihove adrese stanovanja, brojevi kreditnih kartica i sve ono što u privatnoj razmeni sa jednim vebsajtom korisnik ostavi kao lični podatak.

Sigurna veza zaštićena sertifikatom najpotrebnija je onima koji posluju u obasti elektronskog bankarstva i elektronske trgovine.

Ipak, čak i ako nemate onlajn prodavnicu i ne prikupljate podatke sa platnih kartica posetioca, posedovanje SSL sertfikata će povećati kredibilitet vašeg sajta i ukazati na to da je siguran za korišćenje. To će doprineti i boljem pozicioniranju vaše internet prezentacije prilikom pretrage na internetu.

Bez obzira na to da li vodite multinacinalnu korporaciju, prodajete proizvode i usluge putem interneta ili imate prezentacioni sajt kao pojedinac, da biste se prebacili sa HTTP na HTTPS protokol biće vam potreban verifikovan SSL sertifikat.

Zastita podataka ssl enkripcijom Securion-pay

Zaštita podataka uz pomoć SSL enkripcije / Izvor slike: Securion pay

 

Kako do SSL sertifikata?

Kao prvo, treba voditi računa od koga kupujete sertifikat. Naime, jedino za kompanije koje nose oznaku ovlašćenog, akreditovanog tela (eng. certificate authority, CA) možete da budete sigurni da vas neće prevariti.

Skoro celokupnu trgovinu SSL sertifikatima u svetu obavljaju četiri kompanije – Symantec (u čijem vlasništvu su i firme VeriSign, Thawte i Geotrust), zatim Comodo SSL, Go Daddy i GlobalSign.

Nakon kupovine sertifikata, uslediće verifikacija da je osoba ili organizacija koja preuzima sertifikat zaista vlasnik određenog sajta i tek nakon toga će SSL biti izdat. U zavisnosti od vrste sertifikata, verifikacija može da traje nekoliko sati ili nekoliko dana.

Po dobijanju sertifikata, potrebno ga je instalirati na server na kom se nalazi vaš sajt.

Vodič za prebacivanje sajta sa HTTP na HTTPS

Da li da prebacim čitav sajt odjednom ili postepeno; da li će prelazak na HTTPS negativno uticati na rezultate SEO optimizacije koja je već urađena; da li će sajt morati ponovo da se optimizuje; mogu li uspešno da završim prelazak na HTTPS iako se ne bavim programiranjem ili veb dizajnom – sve su to pitanja koja mogu da iskrsnu prilikom prelaska sa HTTP na HTTPS. Pokušaćemo da odgovorimo na neka o njih u sklopu detaljnog uputstva koje smo pripremili.

Celokupan proces svakako nije lak, jer postoji veliki broj zadataka koje treba ispuniti. Samo jedna greška tokom prelaska sa jednog protokola na drugi mogla bi da dovede do toga da implementacija SSL sertifikata izgubi smisao i da podaci ostanu nezaštićeni. Zbog toga je važno svakoj od pojedinačnih stranica posvetiti dovoljno pažnje.

U svakom slučaju, iako proces nije jednostavan, nemojte izgubiti iz vida činjenicu da HTTPS protokol ima mnogo prednosti i postavka sajta na sigurnom protokolu može toliko toga pozitivnog da donese samom sajtu, pa i vlasnicima sajta.

Slede smernice za prelazak sa HTTP protokola na HTTPS.

  • Uradite detaljnu analizu trenutnog stanja sajta dok je još zasnovan na HTTP-u
  • Započnite proces prelaska na HTTPS na test serveru, kako biste obezbedili prostor za testiranje rezultata i kako biste izbegli greške na online verziji sajta. Ovo nije obavezno, ali je svakako preporučljivo
  • Pročitajte svu dokumentaciju za HTTPS u vezi sa mrežom za dostavu sadržaja, odnosno distributivnim sistemom servera raspoređenih širom interneta (eng. content delivery network, CDN)
  • Kupite SSL sertifikat za sajt i instalirajte ga na server
  • Pripremite spisak svih URL adresa sa vašeg vebsajta, koristeći trenutnu HTTP strukturu, ukoliko je reč o vebsajtu sa manjim brojem stranica
  • Zamenite sve HTTP URL adrese HTTPS adresama ukoliko je u pitanju statička verzija vebsajta
  • Preusmerite na serveru, ili putem .htaccess fajla, sav saobraćaj na jednu verziju sajta (https://www ili samo https://) uz pomoć permanentne redirekcije 301
  • Ažurirajte sve linkove u sadržaju na vašim stranicama. To možete uraditi u bazi podataka jednostavnim pronalaskom ključnih reči i njihovom zamenom. Svi interni linkovi, dakle, trebalo bi da počinju prefiksom HTTPS
  • Ažurirajte i reference u ustanovljenim formama na sajtu (eng. template). Važno je da sve što upućuje na tekstove, slike i linkove bude obezbeđeno HTTPS protokolom
  • Ažurirajte kanoničke adrese, koje su u HTML kodu prikazane pod oznakom rel=“canonical“ i koje pretraživačima ukazuju na to da URL adresa predstavlja master kopiju jedne stranice. Većina sistema za upravljanje sadržajem na internetu (eng. content management system, CMS) učiniće to automatski, ali za svaki slučaj proverite svaku oznaku još jednom
  • Ažurirajte takozvane hreflang adrese ukoliko imate višejezični sajt. U HTML kodu takva oznaka za engleski jezik, recimo, glasi “ hreflang=“en“. I u ovom slučaju, CMS će najverovatnije to automatski uraditi, ali ipak i sami proverite
  • Ažurirajte sve spoljašnje dodatke koje koristite na sajtu (eng. plug-in, module, add-on) i proverite da li sve funkcioniše kako treba
  • Promenite podešavanja unutar samog CMS-a, za šta ćete pronaći uputstva u internom vodiču i dokumentaciji za prenos podataka

Napomena: Sada, kad imate kompletiranu HTTPS verziju vašeg sajta dodajte je u sve verzije administrativnih alata koje koristite u veb pretraživačima kako biste u njih učitali novu mapu sajta (eng. sitemap). Ovo je veoma važan korak za SEO optimizaciju, budući da ukazuje pretraživačima na to da postoji nova, bezbedna verzija vašeg sajta. Ukoliko to ne uradite, Gugl, Bing i drugi pretraživači će i dalje indeksirati staru HTTP verziju.

  • Kada je postavljena nova verzija sajta, sledeći korak je detaljna analiza te verzije kako biste se uverili da nešto nije promaklo i da svi postojeći linkovi sada funkcionišu na HTTPS osnovi
  • Ažurirajte i linkove koji su ranije bili preusmereni na vaš sajt. Najčešće greške dešavaju se upravo u ovom segmentu, kako je objašnjeno u tekstu na portalu Search Engine Land, zbog čega treba posebno obratiti pažnju na stare linkove
  • Ažurirajte mapu sajta kako bi ubuduće koristila verzije URL adresa sa HTTPS protokolom
  • Ažurirajte datoteke robots.txt kako bi uključile novu mapu sajta
  • Poželjno je da omogućite HSTS, odnosno takozvanu striktnu sigurnost saobraćaja za HTTP (eng. HTTP strict transport security, HSTS). To je opcija specifična za veb aplikacije koja za komunikaciju sa veb pregledačima koristi posebno zaglavlje sajta. Kada pregledač primi informaciju o postojanju takvog zaglavlja, sprečiće bilo kakav prenos podataka putem HTTP protokola i koristiće isključivo HTTPS
  • Omogućite onlajn protokol za proveru sertfikata (eng. online sertificate status protocol, OCSP). Time ćete omogućiti server da proveri validnost bezbednosnog sertifikata koji posedujete, kako bi se oslobodio veb pretraživač te dužnosti, a samim tim i ubrzala konekcija
  • Uključite podršku za HTTP/2
  • Uradite test formi za kontaktiranje ili poručivanje proizvoda ili usluga

Ukoliko ste većinu prethodnih koraka radili na test serveru, sada je trenutak za javno objavljivanje nove verzije sajta.

Zatim sledi još nekoliko zadataka.

  • U sklopu platforme za web analitiku i u webmaster centrali unesite novu HTTPS adresu vašeg sajta i podesite da ona bude podrazumevana verzija
  • Ažurirajte podatke za sve plaćene kampanje digitalnog marketinga koje ste započeli, kao i za one koje planirate da pokrenete
  • Prilagodite sve alate koje koristite prilikom SEO optimizacije sajta kako biste i u tom segmentu koristili isključivo HTTPS protokol
  • Ne zaboravite da izmenite linkove i postavite HTTPS protokol i na svim profilima koje imate na društvenim mrežama
prelaz sa http na https ranklio

Prelaz sa HTTP na HTTPS / Izvor slike: Ranklio

Kako HTTPS utiče na vaše poslovanje

Kao što smo već pomenuli – Guglov veb pregledač Chrome će uskoro samo one sajtove koji su na HTTPS osnovi početi da smatra bezbednim za korišćenje. Drugim rečima, ako nastavite da koristite HTTP protokol i Gugl indeksira vaš sajt kao nesiguran, to se u velikoj meri može negativno odraziti na vaše onlajn poslovanje.

prikaz stranice http ubuduce Google Security Blog

Primer budućeg prikazivanja stranice u Google Chrome, zasnovane na HTTP protokolu / Izvor: Google Security Blog

U vreme kada se širom sveta, a posebno u Evropskoj uniji donose uredbe koje će direktno uticati na povećanje bezbednosti i bolju zaštitu ličnih podataka pojedinaca na internetu, kao i veću odgovornost kompanija koje iz bilo kog razloga prikupljaju osetljive informacije, sigurni smo da ne biste voleli da se nađete među onima koji su okaraketrisani kao nesigurni, nepouzdani ili oni čiji sajt nije bezbedan.

Više o Opštoj uredbi o zaštiti podataka o ličnosti (eng. General Data Protection Regulation, GDPR) koja će u Evropskoj uniji stupiti na snagu 25. maja 2018. godine i uticati na sve one koji posluju sa pravnim subjektima iz EU, a o kojoj je bilo reči na nedavno održanoj konferenciji Dan internet domena Srbije (DIDS), možete pročitati u našem izveštaju sa konferencije DIDS 2018.

U ovom tekstu, pak, dodatno ukazujemo na to kako svoj vebsajt možete da priključite grupi bezbednih sajtova na internetu prelaskom sa HTTP na HTTPS. To znači da će korišćenjem HTTPS protokola i SSL enkripcije vaš vebsajt biti pozitivno ocenjen, što će uticati i na bolju sliku koju javnost ima o vašem brendu ili uslugama koje nudite, a korisnici se neće plašiti da putem vašeg sajta ili onlajn prodavnice kupe željene proizvode jer će znati da su svi njihovi privatni podaci koje ostave sigurni i zaštićeni.

Zaključak

Nažalost, uvek postoji mogućnost od hakerskog napada na server ili kompletnu mrežu, postoje i slabe tačke softvera, a moguće su čak i slabije performanse SSL enkripcije, u zavisnosti od verzije sertifikata. Zbog toga ne postoje garancije da će korišćenjem HTTPS protokola vaš sajt biti stopostotno zaštićen od neželjenih napada, zloupotreba ili krađe poverljivih podataka.

Ipak, jedno je sigurno – ukoliko pređete na stranu sigurnih i bezbednih HTTPS sajtova, manje ćete briga imati, vaši posetioci takođe neće morati da brinu o bezbednosti svojih podataka, a i vaše veb stranice će biti prepoznate od strane pregledača i pretraživača kao pouzdane, kredibilne i kao stranice od integriteta.

Nije to mala stvar, složićete se.


 

Nadamo se da smo vam ovim tekstom pomogli u razumevanju značaja osiguravanja vebsajta i zaštite ličnih podataka korisnika. Očekujemo vaše komentare ili pitanja u odeljku ispod teksta ili na našoj Fejzbuk stranici.

 


Pogledajte i slične tekstove:

Nađa Božović

Community Manager at PopArt Studio
Inspired by original narratives and amazed by effective visuals. Enjoys diving deep into the story research. A lifelong learner and an eternal optimist.
Nađa Božović

Latest posts by Nađa Božović (see all)

facebook
twitter
google
pinterest