Google u oktobru ove godine sprema sledeću fazu svog projekta čiji je cilj da se stranice koje se serviraju preko http protokola označe kao nesigurne. Cilj tog projekta je sigurniji i brži internet.

Šta je to http, https i ssl?

HTTP (HyperText Transfer Protocol) i HTTPS (HyperText Transfer Protocol Secure) su protokoli za prenos informacija između web servera na kojem stoje sajtovi i klijenata odnosno posjetilaca sajta. HTTPS je protokol koji se koristi za bezbjednu komunikaciju preko interneta. Komunikacija preko HTTPS-a je šifrovana između klijenta i servera, što osigurava da se komunikacija ne prisluškuje, da niko ne mijenja podatke i sl.

SSL (Secure Socket Layer) je kriptografski protokol koji https koristi da osigura podatke.

Ono što trebate znati je da je HTTPS bezbjedna veza do nekog sajta koja koristi SSL, dok HTTP to nije. Komunikaciju standardnom HTTP konekcijom neovlašćene strane teorijski mogu posmatrati dok sa HTTPS-om to nije moguće.

Andrija Vučković

Andrija Vučković

Backend Developer

Sistematično pristupa svemu, od pretvaranja korisničkih želja u funkcionalni, pedantno organizovani programski kod, do analize i tumačenja Tolkinovog Gospodara prstenova. Zaraznim smijehom i dobroćudnim pristupom je osvojio simpatije cijelog tima ali i svih partnera sa kojima radi.

Google i https

Već 2014 godine google je objavio da će se sajtovi koji imaju https bolje rangirati. Http sajtovi nisu kažnjavani ali je https bio dobar način da se izdvojite od konkurencije.

Početkom ove godine google je na svom Chrome pretraživaču izvršio promjenu u prikazu http stranica koje imaju password polje ili polje preko kojeg se unose brojevi kreditnih kartica.

Dodatna upozorenja za HTTP stranice su vjerovatno zamišljena kao dodatni pritisak na vlasnike sajtova da nabave potrebne SSL sertifikate i postave HTTPS na svojim serverima. Kako je polje za pretragu veoma često ovo upozorenje obuhvata veliki broj sajtova.

Počevši od oktobra ove godine sa verzijom 62 Chrome pretraživača, google će označiti sve HTTP stranice u koje korisnici mogu unijeti bilo kakve podatke kao nesigurne. Ovo obuhvata i sve stranice koje imaju polja za pretragu.

Još jedna važna promjena koja stiže sa verzijom 62 je ponašanje Chrome-a unutar privatnih tabova. Gdje će korisnici biti upozoravani da stranica nije sigurna nezavisno od polja za unos ukoliko sajt koristi HTTP.

Šta uraditi i koliko to košta?

Jedino rješenje je da nabavite SSL sertifikat ukoliko isti već nemate 🙂 . Postoje tri osnovna tipa sertifikata:

  • Single Domain – Ova vrsta SSL sertifikata važi samo za jedan domen, ne uključujući njegove poddomene
  • Multi Domain – Obezbjeđuje više domena. U ovom slučaju bi postavili primarni domen i mogli bi dodati do 99 SAN-ova (Subject Alternative Names) koje bi pokrivao jedan sertifikat
  • Wildcard – Ova vrsta sertifikata osigurava sve poddomene koje možete imati za jedan domen

Cijena SSL sertifikata varira od njegovog tipa, garancije itd. Vaš hosting provajder vjerovatno ima sertifikate u ponudi, a često ih možete nabaviti i direktno od Certificate Authority-a kao što su Comodo, Symantec, Thawte i sl. A od prošle godine postoji i besplatni Let's Encrypt sertifikat. Ovaj sertifikat ima period važenja od 90 dana, dok većina plaćenih opcija važe 1 godinu. Ali kako su provjere za Let's Encrypt SSL manje stroge i automatske (ACME protokol), vrlo često je moguće automatizovati proces obnove sertifikata. Naravno, postoji još razlika između ovog i plaćenih sertifikata koji se tiču novčane garancije (Let's Encrypt je ne nudi), korisničke podrške i slično. Besplatni sertifikat je dobra opcija u ograničenom broju slučajeva – ukoliko ne koristite ecommerce i sl, a možete automatizovati proces obnove sertifikata.

Šta će Alicorn uraditi?

S obzirom na to da se nigdje na sajtu ne prenose osjetljive informacije, Alicorn će u najkraćem roku implementirati Let's Encrypt, a sa prvom potrebom za sakupljanjem osjetljivijih informacija neki od Comodo sertifikata.

Migracija sa http na https

Uopšteno govoreći ima 4 koraka u seljenju sa HTTP-a na HTTPS:

  • nabavka sertifikata
  • instaliranje sertifikata na serveru i podešavanje servera da koristi HTTPS umjesto HTTP-a
  • redirektovanje svih zahtjeva sa HTTP-a na HTTPS
  • Potvrđivanje vlasništva sajta u Google Search Console-i ažuriranje web property konfiguracije u Google Analitici

Kada izvršite ovu migraciju može vam se desiti da vam se na kratko saobraćaj na sajtu smanji. Zbog toga je i redirektovanje zahtjeva veoma važno. Čak iako ste izvršili redirekciju zahtjeva trebate zamijeniti sve http linkove na vašem sajtu i oglasima ka njemu ako je to moguće, jer sama redirekcija usporava učitavanje stranice.

Zaključak

Vrlo brzo će migracija sa http-a na https postati skoro pa obavezna. Sem već pomenutih promjena google najavljuje da je kranji cilj da uz sve http stranice prikaže upozorenje nezavisno od toga da li na njima postoji neki unos podataka.

Do sada smo se koncentrisali na sigurnost kao glavnu prednost HTTPS-a ali kao što možete vidjeti ovdje, uz to što je sigurniji HTTPS je i mnogo brži.

Andrija Vučković

Andrija Vučković

Backend Developer

Sistematično pristupa svemu, od pretvaranja korisničkih želja u funkcionalni, pedantno organizovani programski kod, do analize i tumačenja Tolkinovog Gospodara prstenova. Zaraznim smijehom i dobroćudnim pristupom je osvojio simpatije cijelog tima ali i svih partnera sa kojima radi.

Ostanite u toku!

Ostanite u toku!

Prijavite se na Alicorn e-mail časopis i budite u toku sa najnovijim člancima našeg tima. Nema spama. Poruke šaljemo rijetko, isključivo kad imamo nešto važno da kažemo.

Hvala! Uspješno ste se prijavili!