Što je SSL certifikat i Zašto ga Svaka Web-stranica Treba

ssl certifikat Let's Encrypt

SSL je kratica od Secure Sockets Layer. U osnovi, to je sigurnosna tehnologija za uspostavljanje šifrirane veze između servera (na primjer, WP Developeri) i klijenta (vašeg web preglednika).

SSL je usko povezan s TLS-om (Transport Layer Security). TLS je ažurirana verzija originalnog SSL protokola. 1.0 verziju razvio je Netscape 1993. godine, koja zbog sigurnosnih nedostataka, nikada nije puštena u javnost. Prvo javno objavljivanje bilo je u veljači 1995. godine (2.0).

Iako je poboljšana, verzija 2.0 je također sadržavala mnogo sigurnosnih propusta, što je dovelo do potpunog redizajna i nove inačice 3.0 godinu dana kasnije.

3.0 je posljednja javna inačica, zamijenjena je 1999. godine kada je TLS uveden. U ovom trenutku, više se ni verzija 3.0 ne smatra sigurnom zbog njezine ranjivosti na POODLE napad.

 

Koje su prednosti korištenja?

Mnogi ljudi misle da SSL protokol nudi prednosti samo web-stranicama koje obrađuju osjetljive podatke poput kreditnih kartica ili bankovnih podataka. I dok je on neophodan za te web-stranice, njegove prednosti ni na koji način nisu ograničene samo na ta područja.

Jedna od glavnih njegovih prednosti je kriptiranje. Kad god vi ili vaši posjetitelji unesete podatke na web-stranicu, ti podaci prolaze kroz više “točaka” prije nego što dosegnu konačno odredište. Bez SSL-a ti podaci slali bi se kao običan tekst, a zlonamjerni ljudi mogu prisluškivati, ukrasti ili mijenjati te podatke.

Druga prednost je integritet podataka. Kriptirane veze osigurava privatnost podataka tijekom transporta, tako što se dodaje kod za autentifikaciju ili MAC. To osigurava da se podaci koji se šalju, primaju bez ikakvih promjena.

Treće, Google je 2014. godine službeno objavio: HTTPS je faktor u rangiranju.

Čak i stranica za prijavu na WordPress treba biti kriptirana!

 

Kako prepoznati sigurne web-stranice?

Prefiks HTTPS pojavit će se ispred URL-a umjesto zadanog HTTP-a. Također ćete primijetiti da se u adresnom polju web preglednika pojavljuje zeleni lokot i/ili poruka. Na primjer, u Google Chromeu možete vidjeti zeleni lokot i poruku: “Sigurno”.

 

google chrome prikazuje sigurnu web stranicu

 

Dok će Firefox, prikazati samo zeleni lokot.

 

firefox prikazuje web stranicu sa sigurnom vezom

 

Ako kupite Extended Validation SSL Certificat od neke certifikacijske kuće (Certificate Authority), adresna traka će biti potpuno zelena ili će ime tvrtke biti zelene boje prije URL-a web-stranice. Primjer: WordPress.com.

 

Da li Google kažnjava web-stranice koje ne upotrebljavaju SSL?

Web preglednik Chrome, od siječnja 2017. godine prikazuje upozorenja na web-stranicama koje traže podatke o kreditnim karticama.

Od srpnja 2018. godine, Chrome označava sve HTTP web-stranice kao nesigurne. To znači da čak i ako ne tražite od korisnika da ispune bilo koju vrstu obrasca, vaša web-stranica će biti označena kao nesigurna!

 

Što učiniti nakon instalacije

Da, postoje tehničke i ne-tehničke radnje koje trebate izvršiti nakon instalacije.

Prvo, na tehničkoj razini, važno je preusmjeriti sav HTTP promet na HTTPS. Također biste trebali osigurati da ne učitavate slike i ostale datoteke putem HTTP-a.

Nakon što ste izvršili tehničke detalje na samoj web-stranici, trebate izvršiti i sljedeće zadatke, ovisno o alatima koje upotrebljavate:

 

Kako ga verificirati

Nakon instalacije, uvijek trebate pokrenuti provjeru kako biste se uvjerili da je sve ispravno postavljeno. Ako nemate ispravne postavke, posjetitelji će dobiti upozorenje u svojim web preglednicima da je vaša web-stranica nesigurna.

Preporučujem vam upotrebu besplatnog online alata. Sve što trebate učiniti je upisati naziv domene u polje “Hostname” i kliknuti na “Submit”.

Dobit ćete ocjenu od A (odlično) do F (loše). U slučaju loše ocjene zamolite korisničku podršku za pomoć.

 

verifikacija ssl-a

 

Što napraviti kada prestane raditi

Ako je certifikat istekao, postao nevažeći ili je self-signed, lokot postaje crven i prefiks HTTPS je precrtan.

Kada istekne, vlasnik/administrator web-stranice jednostavno ga treba obnoviti putem svojih ovlasti i kriptiranje će se nastaviti. Najbolje je ne dopustiti da istekne, kako bi zaštita web-stranice bila besprijekorna.

Certifikat može postati nevažeći zbog mnogo razloga, primjerice ako je SHA kriptiranje zastarjelo. Hashing je pretvorba većih objekata (znakova) u manje, kako bi se generirao provodi se niz matematičkih pravila. Kako tehnologija napreduje, snažniji hashing je potreban kako bi sigurnost ostala na visokom nivou.

Ako koristite self-signed certifikat, tj. niste ga kupili od neke kuće koja potvrđuje njegovu valjanost, mogli bi imati problema s većinom web preglednika, jer oni vjeruju samo certifikatima koje izdaju pouzdane certifikacijske kuće.

Ako se žuti lokot pojavio, vjerojatno je uzročnik veza na vašoj web-stranici, provjerite da li se sve slike, stavke izbornika i poveznice učitavaju s HTTPS-a u URL-u.

Da biste lako pronašli izvor nevažeće potvrde, možete upotrijebiti odličan besplatan alat: Why No Padlock.