SR

Tag: SSL


SSL sertifikati: zašto su bitni i kako dodati HTTPS na vaš sajt?

Ako mislite da vaš sajt neće izgubiti svoje posetioce zbog manjka SSL sigurnosti, grešite 🤭

Momenat kada nam svima bezbednost sajta postane od izuzetne važnosti jeste kada treba da unesete podatke svoje kartice i kupite nešto online. Jedno od istraživanja kaže da čak 85% internet kupaca odustane od kupovine na sajtu koji im se ne čini bezbednim. Većina ljudi prepoznaje simbol katanca u URL-u kao znak bezbednosti, ali šta ovo zapravo znači i zbog čega je bitno?

 

Šta je SSL bezbednost?

Ako ste ikad pogledali URL na vrhu ekrana web pretraživača, sigurno ste videli da neki sajtovi počinju sa “HTTP”, a neki sa “HTTPS”. Upravo ovo S znači “secure”, iliti bezbedno – i postiže se obezbeđivanjem vašeg sajta SSL sertifikatom. Ono što zapravo HTTPS sajtovi imaju jeste dodatni sloj zaštite za sve osetljive podatke koji se razmenjuju.

Kao što smo već napomenuli, sajtovi koji su zaštićeni SSL-om obično imaju zeleni katanac koji se prikazuje u prozoru URL-a. Ovo je ikonica koju internet korisnici prepoznaju kao znak poverenja za online prodavce.

SSL je oblik šifrovanja podataka gde web pretraživač koji koristite uspostavlja sigurnu vezu sa web stranicom koju posećujete. To radi tako što podatke deli napred i nazad između ta dva i šifruje ih. Podatke može videti samo sajt koji ima SSL sertifikat, jer poseduje ključ za dešifrovanje. 

 

Online poverenje

Jedno od najstarijih pravila trgovine, fizičke ili online, jeste da ljudi uvek kupuju od brendova kojima veruju. Kada kupujete uživo, ovaj momenat je mnogo lakši, ali, kako možete najlakše da utvrdite to online?

Odgovor je jednostavan – autentifikacijom SSL bezbednosti, jer se tada poverenje između kupca i online prodavca može postići najefikasnije.

Kao protokol, SSL bezbednost je postala popularna alatka za zaštitu podataka. SSL sertifikat omogućava ljudima da koriste kreditnu karticu, svoje privatne podatke poput adrese, JMBG-a i slično, između email servera, pretraživača i sajta. Na ovaj način SSL sertifikati svakodnevno štite milione transakcija na internetu. 

Dakle, ukoliko sajt ima “HTTPS://”, to znači da poseduje SSL sertifikat, dok ukoliko samo vidite “HTTP”, nije bezbedan. Svakako, u julu 2018. godine, Google Chrome je počeo da označava sajtove kao nebezbedne (not secure), pa će vam detekcija biti mnogo lakša.

I, samo razmislite, da li biste pre kupili par cipela na sajtu gde dobijate informaciju da je vaša transakcija bezbedna, ili na onom gde vidite da transakcija nije obezbeđena? 🤔

 

Zašto dodati SSL?

Online korisnici svakog dana postaju sve više obrazovaniji kada je reč o internetu, bezbednosti i slično. Činjenica da imate SSL sertifikat pokazuje vašim klijentima i posetiocima da imate najviši nivo bezbednosti i da mogu da vam veruju. Kao dodatni bonus, u miru ste, jer znate da postoji mala verovatnoća da dođe do kršenja podataka na vašem sajtu. Bez SSL-a, podaci koji putuju između kupca i sajta prilikom online trgovine, u opasnosti su i podložni hakerskim napadima koji kradu podatke onda kada su najosetljiviji.

Pored ovih, postoji još jedan veliki razlog za dodavanja SSL sigurnosti – Google. Google uzima u obzir SSL kao faktor za svoje SEO algoritme, tako da se sajtovi sa SSL-om više rangiraju od onih koji ga nemaju. A, iskreno, u ovim današnjim teškim ratovima za što bolji rang na Google-u, sve ide u prilog da dobijete koji bod više.

 

Kako dodati SSL na vaš sajt?

Možete koristiti besplatan SSL koji je dostupan za sve hosting pakete kod nas, a možete i zakupiti plaćene SSL-ove, razlike između besplatnih i plaćenih su sve manje pa preporučujemo da za početak koristite besplatne.

Ukoliko se odlučite da koristite usluge Web hostinga kod nas, u unlimited.rs, dobijate besplatan Let’s Encrypt sertifikat nevezano za činjenicu koji hosting paket odaberete.

Sertifikat je automatski dostupan po dodavanju domena na hosting, a ako bude potrebna pomoć možete je dobiti od našeg tima podrške

Osim toga, da bi sajt funkcionisao putem HTTPS-a neophodno je napraviti određene izmene na samom sajtu, ne uvek, ali u većini slučajeva. Najbolje da se obratite programeru koji je radio na sajtu ili našoj podršci.

Bilo da se radi o poboljšanju SEO, zaštiti podataka, izgradnji poverenja, ili čak održavanja postojeće baze klijenata, posedovanje SSL sertifikata je danas zaista postalo neophodno za svaki sajt.

 

25 dana do Google penala svim sajtovima bez SSL sertifikata

Približava nam se još jedan događaj do čijeg početka primene korisnici interneta (ne)voljno odbrojavaju dane i doslovno sekunde.

Najpre je to bio GDPR, a sada — takozvano “Not Secure” obeležavanje sajtova na Google Chrome pretraživaču.

Za manje od mesec dana, tačnije 23. jula, Google će započeti etiketiranje i “davanje penala” sajtovima koji nemaju SSL sertifikat (odnosno i HTTPS i zeleni katanac ispred www) sa Ova stranica nije bezbedna, odnosno Not Secure.

Kada je Google najavio ovu regulativu u februaru ove godine, procenat sajtova koji koriste HTTPS porastao je na 69,7.

Samo godinu dana pre toga, svega 52,5% svih sajtova sveta koristio je SSL/TLS — protokol za enkripciju iza HTTPS-a.

Dakle, nade ima, progres je očigledan.

Ipak, i dalje postoji veliki broj, čak i velikih igrača na webu koji ne podržavaju HTTPS (ili naprosto fejluju da ga implementiraju i redirektuju neproverene, sumnjive i nesigurne zahteve).

Oni i njima slični, uskoro će biti penalizovani od strane Google. Šta to tačno znači?

Em će dobiti etiketu nesigurnosti, em će biti zakucani na stranama Google pretrage na koje niko ne zalazi.

Poprilično plemenita namera ovog najkorišćenijeg pretraživača koja zapravo demonstrira svu silu Googla, odnosno kompanije Alphabet. Koliko god plemenito, toliko je i zastrašujuće.

Stavljajući tu realnost na kratko u stranu, skenirajući najposećenije sajtove (njih 946.039) i njihove SSL profile, zapazili smo sledeće:

Na pitanje zašto, oni bez ikakve verzije SSL-a, ne štite svoje sajtove, ali i posetioce, sa prostom implementacijom HTTPS-a, odgovore bismo ugrubo mogli da stavimo u tri grupe:

1. “Ma, to nam ne treba”,

2. “To nam je dosta teško da uradimo sada”,

3. “Sajt će nam biti neviđeno spor sa njim”.

I da, ni jedan od tih argumenata nije legitiman, ali u isto vreme oni predstavljaju veoma česte zablude među stanovnicima našeg divljeg, divljeg weba.

Pa, pređimo svaki od njih i demistifikujmo ih u par rečenica.

 

Mit #1: “HTTPS je komplikovan za implementaciju”

Za pojedince i njihove sajtove, ovo je moglo da pije vodu… ali u devedesitima. Međutim, ovaj iskaz je sve osim tačan u 2018. godini. Tada, iako ste imali zahtev za SSL-om, niste imali ni najmanju ideju kako da ga “nabavite”. Proces je mogao da se iskomplikuje i traje mesecima — tačno.

Ali to zaista više nije slučaj.

Hvala kosmosu, očekivano, dosta smo napredovali od tada. Danas možemo da zaštitimo svoje sajtove SSL-om za svega par sekundi, čak i za 0 dinara, ukoliko nam nije potrebna zahtevna zaštita. Recimo, putem Let’s Encrypt-a kojeg i mi nudimo u web hosting paketima sasvim besplatno. Sigurnost i privatnost na interrnetu (nam) je važna.

 

Mit #2: “HTTPS mi nije potreban”

Ovaj argument je, dozvolićete, čista nelogičnost, pogotovo za ljude koji bi, realno, trebalo da znaju bolje, plus — prikupljaju vaše lične podatke i operišu sa njima. Čak i ako takve igrače performanse ne zanimaju u tolikoj meri (pogledajte mit #3) mora im biti stalo do online bezbednosti, ali i privatnosti korisnika koji posećuju njihove sajove.

Usput, evo jedne zanimljive činjenice:

Bez HTTPS-a, svako ko se nađe između posetioca na vašem websajtu ili API-ju, može da pogleda, pa čak i modifikuje sadržaj bez vaše saglasnosti.

Ovo može da ima najviše efekta na vladine institucije, poslodavce, pa čak i internet provajdere.

Ne sviđa vam se šta čujete? Čitajte dalje šta imamo da vam kažemo.

Ukoliko vam je stalo do vaših korisnika i želite da dobijaju vaš sadržaj u nepromenjenom obliku i ostanu bezbedni, bez uticaja zlonamernih online oglašavanja ili malware-a, potrebno je da obratite pažnju na integrisanje HTTPS-a.

Osim sigurnosti, koja je svakako jedna od najvažnijih stavki, postoje i dodatne koristi, kao što su bolji SEO i pristup novim web funkcijama.

Naročito interesantno jeste da sve više velikih kompanija poput Apple, Googla, Mozille i Microsofta, ograničavaju funkcionalnosti, tako da rad bude u potpunosto omogućen samo putem HTTPS-a.

Kada je reč o mobilnim apikacijama, Google će, takođe, uskoro blokirati otvorene (nešifrovane) konekcije, a ove promene se očekuju u predstojećoj verziji Androida.

Slične inovacije nisu strane ni Apple kompaniji, koja je najavila da će uskoro sve aplikacije u MacOS i iOS operativnim sistemima morati da koriste HTTPS.

Mit #3: “HTTPS me usporava”

Ovu rečenicu čujemo dosta često.

“HTTPS usporava naše onlajn iskustvo.”

A, takvo uverenje datira od trenutka kada je SSL/TLS zapravo i mogao da ima negativan efekat na websajt.

Ipak, stvari su se promenile i to više nije slučaj danas.

Dežurni internet kritizeri obično misle da ih HTTPS usporava iz dva razloga:

1) potrebno je malo više CPU snage za šifrovanje i dešifrovanje podataka i

2) uspostavljanje TLS sesije traje dva mrežna kružna putovanja koja se obavljaju između pretraživača i servera.

Ipak, prema mišljenju Adama Langlija, čak i sa malo starijim hardverom, SSL/TLS dodaje manje od 1% opterećenja na CPU. Isto tako, današnji procesori dolaze sa detaljnim uputstvima kao što su AES-NI, koji pomažu kod povećanja performansi. U budućnosti se očekuje da napredna tehnologija znatno umanji TLS 1.2 i TLS 1.3, ili potpuno eliminiše kružna putovanja.

Kada se pošaje HTTPS sadržaj, obično je potrebno 10-20 milisekunde kako bi on sa websajta došao do vaših korisnika.

Zaključujemo: sajtovi sa SSL/TLS tehnologijom su veoma brzi. Performanse se ne umanjuju, čak ni kada se HTTPS ne postavlja “sa ivice”.

Kako da izbegnem da mi sajt bude obeležen kao nebezbedan?

Ukoliko želite da vas Google ne etiketira kao “Not Secure” u Chrome pretraživaču, sve što vam je potrebno je SSL sertifikat sa kojim ćete svom sajtu “dodati” HTTPS redirekciju.

Svi unlimited.rs korisnici su obezbeđeni sa besplatnim SSL-om, i to na svim našim cPanel Web hosting paketima.

A ukoliko Vaš trenutni hosting provajder ne pruža besplatan SSL, kod nas ćete dobiti 20% popusta za prvu godinu korišćenja, na bilo koji izabrani hosting paket.

Toliko je prosto.

Ukoliko vam je potrebna pomoć u implementaciji, tu smo za vas.

Pišite nam na chatu u dnu ove strane ili putem maila [email protected].

Čekamo vas i pre 23. jula.

Pre toga, proverite da li vaš sajt podržava HTTPS.

Šta je SSL i zašto je važan za sigurno surfovanje webom?

U poslednje vreme, sve češće čujemo glasine o nebrojenim krađama identiteta putem interneta, curenju lozinki, “ubacivanja” virusa, i za brojne laike nižu se novi pojmove i reči — poput ransomware.

Sve te sigurnosno-bezbednosne falinke imaju bar jednog zajedničkog imenioca — takozvani socijalni inženjering (social engineering), situacija u koju ste doslovno prevareni i “naterani” da kliknete na sadržaj ili link koji, u najmanju ruku, neće biti dobar za vas i vaše podatke. Nakon klika, otvara se pandorina kutija trikova, virusa i crva koji imaju samo jedan cilj — da naude žrtvi krađom podataka.

Međutim, suprotno uvreženom mišljenju, ovakve se greške mogu desiti svima i to vrlo lako. Website izgleda okej, čak i vrlo sličan recimo e-bankingu vaše banke, ali je naravno upitanju prevara koju je lako uočiti na vreme — ukoliko znate šta je SSL.O tome pišemo u ovom blogu. Opuštenim tonom prikazaćemo šta je to SSL, koja mu je validna vrednost i zašto bi svi trebalo da koriste neku njegovu verziju u svakodnevnom surfovanju, životom i poslovanju na netu.

 

Šta je to SSL uopšte i kako to funkcioniše?

Najpre, počnimo sa osnovama: SSL je skraćenica od Secure Sockets Layer i predstavlja parče koda na vašem web serveru koje omogućava bezbednu online komunikaciju. Kada pretraživač uspostavi vezu sa bezbednim sajtom, SSL sertifikat omogućava kriptovanu vezu. To je kao kada zapečatite koverat pre nego što ga ubacite u poštansko sanduče.

SSL sertifikati takođe ulivaju poverenje jer svaki SSL sertifikat sadrži podatke za identifikaciju. Kada pošaljete zahtev za izdavanje SSL sertifikata, treća strana verifikuje podatke o vašoj organizaciji i izdaje vam jedinstveni sertifikat koji sadrži te podatke. Ovaj proces naziva se autentifikacija.

SSL se od “običnog sigurnosnog omotača” vremenom nadogradio na SSL/TLS (Secure Sockets Layer/Transport Layer Security), ali je i dalje poznat po svom originalnom skraćenom nazivu SSL. Ovaj sertifikat je takođe osnova za siguran HTTP ili HTTPS — što znači da je praktično website transportovan kroz protokol za transfer hiperteksta koji prolazi kroz bezbednu, kriptovanu konekciju.

Uh, previše IT žargona u par rečenica? Hajde da pojednostavimo stvari kroz par analogija.

Recimo da želite da otvorite račun u banci. Dođete na šalter, upitate službenicu da vam pomogne, međutim ona ne želi da vam otvori račun jer joj niste predali nikakva lična dokumenta i prosto, nema osnova da vam veruje da ste vi —vi. Šta dalje činiti? Jedna opcija je da službenica pozove lokalne insitucije (MUP, recimo) kako one sigurno imaju vaše lične podatke. Ali to je i u teoriji i u praksi vrlo naporna i nepotrebna opcija, što nas dovodi do zaključka da će službenica najpre da vas pita da joj date neki važeći lični dokument.

I vi joj date ličnu kartu, u kojoj se nalazi vaše ime i prezime i JMBG koji služi za proveru vašeg identiteta u ovom slučaju. Međutim, dokument sam po sebi ne radi ništa drugo do vašeg jednostavnog identifikovanja. Ne možete, recimo, sa ličnom kartom ili pasošem da podignete novac sa bankomata. Ali možete da bilo koji validan lični dokument, upotrebite za otvaranje računa u banci na osnovu kojeg ćete dobiti debitnu karticu za bankomate.

Vrlo sličan scenario dešava se i kada želite da pristupite bezbednom sajtu. Po dolasku na datu web adresu, vašem klijentu se dostavljaju autentifikacija i identifikacija od web servera i to putem SSL sertifikata. Vaš website ne može samo da kaže “Ja sam Narodna Banka Srbije” —potreban je validan sertifikat da potvrdi taj identitet. Ovo je “SSL rukovanje” koje je zapravo forma kontinuirane dvosmerne komunikacije koja za cilj ima da uspostavi vezu i jasnu identifikaciju pre nego li pretraživač zapravo zatraži potrebne informacije.

 

Znači tako je jednostavno? Mogu li onda da uzmem sertifikat kod bilo kog provajdera?

Pa, ne baš. Nisu svi SSL sertifikati i provajderi isti.

Sertifikati se razlikuju po nivou sigurnosti kao i po uslovima po kojima se izdaju. U ponudi tako možete pronaći sertifikate koji koštaju nekoliko hiljada dolara godišnje, pa i besplatne sertifikate, kao što je Comodo SSL koji mi nudimo besplatno uz sve Unlimited shared hosting pakete.

Kako bismo pojednostavili i razjasnili, možemo SSL uporediti sa pasošem. Pasoš je dokument koji je jasan i siguran dokaz vašeg identiteta i državljanstva, a koristi se kako biste mogli da putujete u druge zemlje. Mada, nisu svi pasoši isti, neki su “moćniji” od drugih. Na primer, nekome je potrebna viza za odlazak u određenu zemlju, potrebno je da dodatno potvrdi svoj identitet drugim dokumentima, a nekima nije.

Na isti način se razlikuju i SSL sertifikati. Postoje sertifikati kao što je ovaj koji mi koristimo za naš sajt, gde je prikazan naziv firme u samom pretraživaču pored domena. Ovaj sertifikat se zove EV (Extended Validation) sertifikat, on pruža viši nivo zaštite. Drugi sertifikati, sa nižim nivoom sigurnosti, uglavnom imaju samo oznaku Secure, ali ime vlasnika sertifikata nije prikazano.

Ne brinite se, nije potrebno da svi sajtovi imaju najviši nivo sigurnosti. Ukoliko vodite blog, sigurnost u vidu SSL sertifikata je poželjna, ali nije neophodna. Sa druge strane, neki od naprednijih SSL sertifikata je neophodan ako imate online prodavnicu ili neki drugi sajt gde se od korisnika zahteva da ostavljaju osetljive podatke, kao što su brojevi platnih i kreditnih kartica, adresa, i sl.

Razmislite koji SSL bi bio najbolji za vas, a ukoliko vam je potreban dodatni savet, slobodno nas kontaktirajte. Uz sve naše shared hosting pakete se dobija besplatan Comodo SSL, ali pored toga imamo i naprednije SSL sertifikate za korisnike kojima je to potrebno.

Dakle, SSL sertifikat vas ne može zaštititi od potencijalnih opasnosti kao što su napadi socijalnog inženjeringa, spoofing napadi i slično.

Ipak, SSL je zaista minimum sigurnosti koji obezbeđuje sigurne transakcije i komunikaciju između klijenta i servera. Svaki web sajt ili aplikacija bi trebalo da poseduje neku vrstu SSL sertifikata, a vi kao korisnici bi trebalo da pazite da ne ostavljate svoje podatke na nesigurnim sajtovima.

 

Da sumiramo: Zašto mi treba SSL?

SSL sertifikati čuvaju privatnost online interakcija čak i kada putuju preko javnog interneta, i ulivaju kupcima poverenje da je vaš sajt bezbedan za obavljanje transakcija. Ako od korisnika vašeg web sajta tražite da se prijave, ako unose lične podatke kao što su brojevi kreditnih kartica, ili na vašem sajtu mogu da vide neke poverljive podatke, onda morate da zaštitite privatnost tih podataka. Takođe morate da ih uverite da je vaš sajt autentičan.

SSL se takođe koristi za email servere, web aplikacije, server-to-server komunikaciju i još mnogo toga.

Kome treba SSL?

Svakome kome je potreban bezbedan prenos informacija preko interneta. Koristite SSL da zaštitite: 

1. Online transakcije kreditnim karticama, web forme i login podatke korisnika

2. Email i webmail aplikacije

3. Korporativne komunikacije na intranetu, ekstranetu, internim mrežama, file sharing i Microsoft SharePoint

4. Komunikacije na cloud platformama i virtualizovanim aplikacijama

 

Šta je enkripcija i zašto postoje različiti nivoi?

Enkripcija je matematički proces kodiranja i dekodiranja informacija. Broj bitova (40-bit, 56-bit, 128-bit, 256-bit) govori o veličini ključa. Kao i duža lozinka, veći ključ ima više mogućih kombinacija. Štaviše, 128-bitna enkripcija je jedan trilion puta jača od 40-bitne enkripcije. Kada se uspostavi kriptovana sesija, jačina se određuje na osnovu kapaciteta web browsera, SSL sertifikata, web servera i operativnog sistema na kompjuteru koji pristupa sajtu.

Kako SSL čini sajt pouzdanim?

SSL sertifikat sadrži verifikovane informacije o sajtu koji štiti, s ciljem da uveri korisnike da je sajt na kome su zaista vaš (tj. da nisu na phishing sajtu). Proširena validacija je najviši standard verifikacije i na upadljiv način uverava korisnike u autentičnost i bezbednost sajta: tako što adresna traka browsera postaje zelena.

Osim adrese, korisnike sajta u autentičnost uverava i pečat, odnosno žig poverenja (Trust mark, trust seal), koju dobijate sa sertifikatom i koju možete da instalirate na sajt. Kada korisnik klikne na pečat može da vidi inofrmacije o vlasniku sajta, nezavisnom telu koje je sertifikat izdalo i datum isteka SSL sertifikata. U novijim browserima, informaciju o sajtu mogu da se pojave kadda korisnik pređe mišem preko adresne trake. Takođe, informacije se vide i kada kliknu na ikonicu katanaca ispred adrese.

Želite da stupite u kontakt sa nama?

KONTAKTIRAJTE NAS
+381 11 428 08 08
[email protected]
Pokreni odmah