Bezbednost sajta: Zašto da se prebacite na HTTPS protokol

zasto da se prebacite na HTTPS protokol

Google u poslednje vreme sve više vodi računa o sigurnosti svojih stranica, kao i o tome da prikazane stranice imaju dobre performanse. Upravo zato, stranice koje ispunjavaju ove uslove, bivaju bolje rangirane u rezultatima pretrage, a kada to imamo u vidu, postalo je jasno da je prelazak na HTTPS protokol obavezan. O čemu se ovde radi i zašto bi trebalo da i vi razmotrite ovu opciju saznajte u nastavku vodiča koji smo vam pripremili.

Šta je SSL?

SSL je akronim za Secure Sockets Layer, a reč je o kriptografskom protokolu za uspostavljanje šifrovane veze između klijenta i servera, odnosno, vaših posetilaca i vašeg sajta. SSL je ipak zastareli termin koji se koristio samo u periodu dok nije postojao drugi protokol te vrste na internetu.

Danas se SSL zbog zastarelosti i samim tim svojih slabosti više ne koristi, već je ovaj termin zamenio TLS (Transport Layer Security), a čak da neko i dalje koristi izraz SSL, sigurno misli na TLS, a da to i ne zna!

Šta je TLS?

Kao i SSL, i TLS je kriptografski protokol. Ipak, reč je novijem i poboljšanom protokolu koji koristi jače algoritme za šifrovanje i u poređenju sa SSL-om nudi mnogo bolju privatnost, ali i performanse. Najnoviju verziju TLS 1.3 koristi veliki broj web hostinga kao i CDN kompanija. Naravno, kao i kod svake inovacije, i za širenje ove kroz ceo svet će biti potrebno malo više vremena, ali mi smo tu i strpljivo čekamo!

Najznačajnija promena koju donosi TLS 1.3 je to što će uspostavljanje sigurne veze postati još brže i sigurnije nego što je to slučaj sa trenutno korišćenim 1.1 i 1.2 protokolima.

Za šta se koriste SSL/TLS protokoli?

TLS protokol se najčešće koristi za šifrovanje veza sa web stranicom i mail servisima, ali i za šifrovanje veze između pametnog telefona i proizvođača u slučaju ažuriranja liste kontakata, kada koristite e-banking usluge, kao i kada beskrajno “skrolujete” Tinderom ili Instagramom. TLS se koristi i za mnoge uređaje kao što su IP kamere, frižideri, termostati, pametni automobili i svi oni kojima je potrebno sigurno, šifrovano povezivanje sa svojim HQ. Dakle, poenta je da sigurno već koristite TLS protokol, a da za to i ne znate!

U kontekstu web stranica, TLS se koristi za obezbeđivanje sigurnog HTTP protokola (odatle “S” u HTTPS) koji zapravo predstavlja povezivanje web lokacije koju posećujete i vašeg računara na kojem koristite browser.

Koliko je bezbedan SSL/TLS protokol?

Sam protokol jeste bezbedan, ali sigurnost vaše stranice zavisiće i od još mnogo drugih faktora koji nemaju direktne veze sa protokolom.

U suštini, ako neko želi da vam “provali” na stranicu, verovatno će to i učiniti jer aktivnosti ovakve vrste obično izvode visoko kvalifikovani stručnjaci koji uz to raspolažu dobrom podrškom i još boljim budžetom – naravno ovo je slučaj ako govorimo o velikim i važnim sistemima za koje postoji interes da budu hakovani.

Šta je najgore što može da se desi? Kada se naruši privatnost web lokacije, verovatno je da će “kradljivac” moći da dođe do vaših ličnih podataka, imena i adrese, a u najgorem slučaju može da sazna i lozinke, podatke o kreditnoj kartici, poslovne tajne i slično. Sve naravno zavisi od toga koliko je vaša stranica potencijalnom napadaču bitna. Uglavnom, kada se desi da neko treće lice dobije pristup vašoj web lokaciji i svim njenim fajlovima, postoje mnogo važniji problemi o kojima treba brinuti, a što sada već nije sigurnost web stranice.

Šifarski sistem

Snaga šifriranja zavisi od šifarskog sistema (seta algoritama) koji koristi web server ili pretraživač i koji predstavlja svojevrsni dogovor o tome na koji način će se komunikacija obavljati.

Postoji nekoliko grupa šifarskih sistema (modern compatibility, intermediate compatibility, old backward compatibility) koje koriste sistemski administratori i inženjeri kako bi odredili minimalnu kompatibilnost aplikacija i odlučili da li će se podržavati stariji mobilni uređaji koji svojim vlasnicima ne nude savremene sigurnosne funkcije.

Specifikacije za sva tri šifarska sistema su sledeće:

Modern:

Firefox 27, Chrome 30, IE 11 za Windows 7, Edge, Opera 17, Safari 9, Android 5.0, Java 8

Intermediate:

Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7

Old:

Windows XP IE6, Java 6

Najvažnije implementacije SSL/TLS biblioteka

Trenutno postoji nekoliko različitih SSL implemetacija (skupova funkcija višestruke kriptografije) koje su u određenoj meri kompatibilne i mogu se koristiti kao jednokratna zamena jedna za drugu. Ove različite implementacije su stvorene sa ciljem da se očisti kod, pojača sigurnost i/ili se obezbede dodatne funkcije, u zavisnosti od projekata ili ciljeva matičnih kompanija.

  • OpenSSL (project website) – originalna “open source” biblioteka kojom upravlja zajednica i koja se koristi u većini softverskih i hardverskih implementacija.
  • LibreSSL (project website) – alternativna biblioteka nastala sa ciljem modernizacije kodne baze, poboljšavanja sigurnosti i primene procesa najboljih praksi. Ova biblioteka je manje “ranjiva” od prethodno navedene pa se često koristi u tehnološkoj i bezbednosnoj zajednici, kao i kod nekih većih “igrača” poput kompanije Apple.
  • BoringSSL (project website) – još jedna alternativna biblioteka koju koristi sam Google u svojim projektima. Za razliku od prethodno navedenih, ova biblioteka nije namenjena opštoj upotrebi iako postoji mogućnost za korišćenje preko prethodno kreiranih paketa u okviru operativnog sistema. BoringSSL je podrazumevana SSL/TLS biblioteka za Chrome, Android i druge Google aplikacije.
  • GnuTLS (project website) – alternativna biblioteka koja se pridržava GPL licence i koristi kod “open source” projekata kao što su GNOME, Exim, Wireshark, Emacs, CUPS i drugi.

Kako da dobijete sertifikat?

Da biste mogli da koristite HTTPS protokol, neophodno je da nabavite X.509 sertifikat i potrebne fajlove od pouzdane Certificate Authority (CA) organizacije i to popunjavanjem Certificate Signing Request (CSR) u kojem bi trebalo da date informacije o preduzeću ili domenu kao dokaz identiteta.

Nakon što CA potvrdi vaš identitet, biće vam poslat ZIP folder koju možete da preuzmete ili mail koji sadrži sve potrebne datoteke za konfigurisanje vašeg web servera. Postoji mnogo CA organizacija, a u zavisnosti od vaših potreba, sertifikat možete da platite ili dobijete potpuno besplatno.

Let’s Encrypt je odličan izbor jer pruža besplatnu modernu kriptografiju i zaista se može lako koristiti. Imajte na umu da sertifikat koji dobijate na ovaj način traje samo 90 dana, dok sertifikati koje pružaju komercijalni proizvođači traju godinu dana ili više. Ipak, to što je sertifikat ograničenog i kratkog trajanja ne mora da bude problem. Sertifikati koji traju kraće smanjuju šanse za napad jer potencijalni napadač ima manje vremena da provali u sistem, a kako se obnavljaju automatski neće biti potrebno da u sam proces uključujete još ljudi, osim u slučaju povremene revizije. Još jedna dobra vest – mnoge hosting kompanije su počele da koriste Let’s Encrypt kao deo svoje standardne ponude, te će biti dovoljno da samo kliknete na dugme za automatsku obnovu sertifikata i to je to!

zasto da se prebacite na HTTPS protokol

Napomena o samopotpisanim sertifikatima

Programeri su nekada sami kreirali sertifikate da bi mogli da testiraju aplikacije preko HTTPS protokola i ovde je reč o samopotpisanim protokolima.

Iako vam možda ne deluju sigurno, samopotpisani sertifikati vam mogu pružiti isti nivo enkripcije, sigurnosti i privatnosti (praktično vas čine sopstvenom CA organizacijom). Međutim, ukoliko pretraživači ne prihvataju samopotpisane sertifikate, kada posetite stranicu pojaviće se ovo upozorenje:

zasto da se prebacite na HTTPS protokol

Iako je i dalje sasvim u redu da koristite samopotpisane sertifikate, ova praksa se polako napušta upravo zato što postoje besplatni i pouzdani sertifikati poput onih koje obezbeđuje Let’s Encrypt.

Nekoliko reči o CA organizacijama

Sertifikati koje izdaju CA organizacije direktno se proveravaju od strane pretraživača. Tako, čak i sertifikati sa autoritetom mogu biti označeni kao validni ili nepoverljivi, ukoliko se primeti da ne ispunjavaju neke od uslova koje su CA propisale.

Na primer, Google je uklonio iz Chrome-a sertifikate jedne kineske CA organizacije na osnovu nekoliko incidenata u kojima nisu bili ispunjeni visoki standardi koji se očekuju od jedne CA organizacije. Rezultat ove akcije bio je taj da su stranice koje su koristile ove sertifikate počele da se prikazuju sa sigurnosnim upozorenjima svojim korisnicima jer pretraživači više nisu prepoznavali njihov bezbednosni sertifikat.

Zaključak se sam nameće – ukoliko su već propisani od autoriteta i ukoliko su već provereni od strane pretraživača, sertifikati zaista moraju konstantno da ispunjavaju visoke standarde kako bi i dalje ostali prisutni u pretraživačima.

Koji sertifikat vam je potreban?

Ukoliko želite da svojim korisnicima komunicirate visok nivo bezbednosti, najbolje je da se odlučite za Extended Validation (EV) koji će adresu u pretraživaču prikazivati u zelenoj boji kako bi se označio sadržaj koji je bezbedan i kojem se može verovati.

EV sertifikat obično prikazuje naziv brenda i geolokaciju u traci pretraživača na ovaj način:

zasto da se prebacite na HTTPS protokol

Cene ovih sertifikata se kreću od 50 do 300 dolara u zavisnosti od prodavca, a valja naglasiti da su ovih dana EV sertifikati pouzdani koliko i OV (Organization Validated) ili DV (Domain Validated) sertifikati. Ovo naglašavamo zato što DV sertifikate možete dobiti i preko Let’s Encrypt koji je, kao što smo već naglasili, besplatan.

Koja je razlika između DV, OV i EV sertifikata?

  • DV sertifikati su najbrže i najjeftinije rešenje koje možete da dobijete, a uz to je potrebno najmanje vremena za validaciju identiteta od strane CA organizacije. Ovi sertifikati su namenjeni malim preduzećima, maloprodajnim e-radnjama, opštim web stranicama i blogovima.
  • OV sertifikati su nešto skuplji i neophodna je detaljnija provera identiteta od strane CA organizacije koja obuhvata proveru online baze podataka vlade ili drugih javno dostupnih informacija kako bi se potvrdili podaci koje je osoba dala prilikom podnošenja CSR zahteva.
  • EV sertifikati su još skuplji i potrebno je još više vremena da ih CA organizacija odobri. Osim već navedenih koraka u proveri identiteta, proveravaju se i pravni dokumenti, bankovni izvodi i ostale stavke koje će potvrditi postojenje vaše kompanije. Zbog navedenog, ovi sertifikati su namenjeni velikim korporacijama, preduzećima i vladinim organizacijama, tako da pojedinci koji nisu vlasnici neke kompanije ne mogu da dobiju ovu vrstu sertifikata.

Postoje i SSL sertifikati koji su najskuplji i za razliku od do sada navedenih, uključuju zaštitu svih poddomena koje želite da osigurate (web sajt, webmail i slično). Upravo zato su oni i namenjeni izrazito velikim kompanijama.

Dakle, ukoliko imate ili planirate da napravite veliku firmu, pametnije bi bilo da nabavite EV sertifikat, dok u svim drugim “manjim” slučajevima dobro prolaze i DV sertifikati koje izdaje Let’s Encrypt.

Kako funkcioniše HTTPS protokol?

Najjednostavnije rečeno, ovako:

  1. Klijent pokušava da se poveže sa serverom,
  2. Server šalje sertifikat klijentu,
  3. Klijent potvrđuje da sertifikat pripada organizaciji kojoj veruje i da ta organizacija potvrđuje da sertifikat pripada serveru sa kojim klijent želi sigurno da komunicira,
  4. Klijent generiše “random” ključ, šifrira ga javnim ključem iz sertifikata i šalje ga nazad serveru,
  5. Server dekriptuje ključ i koristi ove tajne informacije koje server i klijent moraju da osiguravaju u daljim komunikacijama.

Kako da dobijete i implementirate HTTPS protokol?

Mnogi serveri i CMS rešenja konfigurišu ovaj protokol na različite načine, ali osnovni koncept izgleda ovako:

  1. Nabavite sertifikat i key files i postavite ih u permissions-restricted deo na serveru,
  2. Izmenite glavne ili pojedinačne konfiguracije na serveru kako biste omogućili rad SSL, kao i odredili mesta za sertifikat i key files,
  3. Ponovo pokrenite softver web servera kako biste aktivirali promene,
  4. Ukoliko je potrebno, konfigurišite svoj CMS da biste koristili HTTPS šemu i izvršite operaciju pronalska/zamene u svojoj bazi podataka kako biste sve HTTP URL adrese zamenili HTTPS adresama,
  5. Upotrebite 301 redirect rule kako biste osigurali da se sve HTTP URL adrese preusmere na HTTPS šemu,
  6. Kreirajte novi Google Search Console nalog sa HTTPS adresom i prilagodite konfiguraciju Google analitike sa novom HTTPS URL adresom vašeg sajta,
  7. Testirajte svoje stranice pomoću alatke Qualys SSL Labs.

Napomena! Pre celokupne procedure, za svaki slučaj, uradite kompletan backup sajta.

Idealna kofiguracija bi izgledala ovako (kada se klikne na IP servera, otkrije se više informacija o povezivanju):

zasto da se prebacite na HTTPS protokol

Koje su prednosti korišćenja HTTPS protokola?

I, napokon smo stigli do najvažnijeg dela ovog teksta! Postoji više pogodnosti kada je reč o korišćenju bezbednih HTTPS protokola umesto onih starijih, HTTP.

  1. Poboljšana percepcija brenda

Pretraživači kao što su Google Chrome ili Firefox stranice sa starim HTTP protokolima označavaju kao nesigurne, odnosno, korisnicima signaliziraju da bi trebalo da obrate pažnju i to naročito ukoliko te stranice sadrže obrasce za popunjavanje ličnih podataka ili podataka o kreditnoj kartici. Zapravo, kada pokušavate da unesete bilo koji tekst unutar neke stranice sa HTTP protokolom, ova aktivnost će se označiti kao nesigurna, naravno, za vaše dobro i za svaki slučaj.

zasto da se prebacite na HTTPS protokol

Kada koristite HTTPS protokol, to u očima vaših (potencijalnih) klijenata deluje kao određena doza kredibiliteta – vi znate šta radite, poštujete njihovu sigurnost i privatnost. S obzirom na to da poverenje i kredibilitet predstavljaju važne odrednice online kupovine i generalno percepcije samog brenda koji je na web-u, vrlo je verovatno da ćete uz malo ovih zelenih slova uspeti da povećate broj konverzija i, naravno, prodaju.

Iako mnogi korisnici ne obraćaju pažnju na ovo i ne razumeju se u SSL/TLS, nemojte izbegavati uvođenje HTTPS protokola kako zbog sebe, tako i zbog budućnosti vašeg brenda i sigurnosti vaših klijenata – neko će to umeti da ceni!

zasto da se prebacite na HTTPS protokol

  1. Poboljšani performansi

Web performans i odlično korisničko iskustvo je nešto što Google voli. Dakle, samim tim ćete biti bolje rangirani u rezultatima pretrage samo zato što koristite bezbednu HTTPS vezu.

Osim toga, iako se nekada verovalo da je HTTPS protokol sporiji od HTTP, ovaj mit je definitivno srušen – najsavremenije hosting kompanije i serveri prosto sprečavaju da se ovo desi koristeći najrazličitije operacije za ubrzavanje performansa i šifrovanja.

  1. Poboljšana sigurnost

Dok se koristio stari HTTP protokol, bilo je lako presresti saobraćaj i iskoristiti informacije koje ne bi trebalo. Međutim, ukoliko neko prati saobraćaj, a vi koristite HTTPS protokol, moći će da vidi samo neke informacije koje nisu poverljive jer bi mu za nešto više od toga bilo potrebno dešifrovanje.

  1. Poboljšano rangiranje na Google-u

Kao što smo već napomenuli, korišćenje sigurne veze stvara neke uslove koje Google voli zbog čega bivate bolje rangirani u rezultatima pretrage. Ukoliko vaši konkurenti još uvek nisu prešli na HTTPS protokol – eto dodatne prednosti za vas!

Koji su nedostaci korišćenja HTTPS protokola?

Nedostaci nisu povezani samo sa samim protokolom, već pre sa složenom implementacijom i mogućim ishodima. Na primer, mnogi će odlučiti da se prebace na HTTPS protokol, ali neće sprovesti ostale korake u implementaciji koji su neophodni da bi Google razumeo ovu promenu. Dakle, za uspešno sprovođenje HTTPS protokola neophodno je konfigurisati i već pomenuta 301 pravila jer se u suprotnom može desiti da se:

  1. sadržaj duplira (redovni sadržaj, e-shop stranice, verzije stranica koje se koriste samo za štampanje i slično) – Google se trudi da ovo svede na minimum, ali se dupliranje ipak dešava,
  2. sadržaj pomeša (Google je navikao na http:// stranice, a vi ga niste obavestili o prelasku na https:// ili niste promenili podešavanja zbog čega vaša stranica sada može biti označena kao nebezbedna ili se sadržaj neće u potpunosti prikazati). To izgleda ovako:

zasto da se prebacite na HTTPS protokol

zasto da se prebacite na HTTPS protokol

zasto da se prebacite na HTTPS protokol

Ovi detalji su dostupni klikom na F12!

HTTPS protokol je budućnost interneta

Google je svojom HTTPS inicijativom jasno naglasio da su upravo HTTPS protokol i šifrovanje budućnost interneta. Uostalom, ko ne želi sigurno i bezbedno surfovanje kao i zaštitu važnih podataka?! Ipak, zapamtite da, ukoliko imate HTTP i HTTPS protokol, morate da sprovedete i 301 redirection pravila kako ne bi dolazilo do grešaka koje vam mogu “srozati” reputaciju na internetu, ali i poremetiti sam sadržaj. Google mnoge stvari radi automatski, ali nešto je ipak do vas. Zato, kada prelazite na novi protokol, uradite to kako treba, a pomoć stručnjaka nikada nije naodmet. Preuzmite inicijativu i u ovom slučaju, zarad vaše web stranice, ne dozvoljavajte da Google sam obavlja zadatke koje bi trebalo da završite vi. Takođe, za razliku od ranijeg perioda i početka prelaska na HTTPS protokol, sada se sve obavlja sve brže i brže tako da ćete bez mnogo muke preći na sigurniju mrežu.

I, da zaključimo, HTTPS protokol je odličan način da svojim korisnicima pružite neophodnu sigurnost, naročito u doba sajber kriminala, što vam obezbeđuje bolje korisničko iskustvo, što vam obezbeđuje bolju SEO optimizaciju. Osim toga, vaša web stranica će izgledati profesionalnije, a vi odgovornije. Verovali ili ne, sve ovo vam na duže staze sasvim sigurno donosi razne benefite kada je vaš biznis u pitanju.

Izvor: fourdots.com