Da bi se stranica otvarala kao sigurna mora imati instaliran SSL certifikat.
Pravilno podešen SSL certifikat omogućuje da podaci na stranici budi sigurni. Točnije da je komunikacija između preglednika (browsera) korisnika i poslužitelja (servera) enkriptirana.
Time se sprječava mogućnost krađe podatka hakerskim napadima poput man-in-the-middle (“prisluškivanje” komunikacije i mogućnost izmjena u komunikaciji). Stoga je vrlo važno da se SSL certifikat koristi naročito ako imate webshop ili drugi tip web stranice na koji posjetitelji unose osjetljive i povjerljive podatke.
Komercijalni SSL certfikati
Osim besplatnog AutoSSL certifikata ( koji nudimo na našem hosting paketu i koji se obnavlja svakih 90 dana) nudimo i komercijalne SSL certifikate:
1. PositiveSSL
– domain validation certifikate – štiti glavnu domenu i www poddomenu
– provjera putem emaila, najmanje rigorozna provjera vlasništva što čini certifikat brzo spremnim za instalaciju
2. Wildcard certifikat
– štiti sve poddomene i glavnu domenu
– provjera je jednako jednostavna kao domain validation certifikata
– preporučujemo za veće web stranice koje uz glavnu domenu imaju i puno poddomena koje treba štiti.
3. Extended Validation certifikat
– najsigurniji certifikat uz najrigorozniju provjeru
– provjera tvrtke se vrši putem dostupnih registara, potvrda fizičke lokacije tvrtke, telefonski pozivi za provjeru validnosti narudžbe certifikata i više
– prikladan za stranice koje zahtijevaju vrlo visoku razinu zaštite
Vrijednost komercijalnih certifikata leži u njihovoj praktičnosti i pouzdanosti jer se instaliraju samo jednog godišnje. Uz to kupnjom jednog od gore navedenih certifikata Vašim klijentima nenametljivo ukazujete da je Vaša stranica sigurna i da Vam je sigurnost bitna. Mnogi online kupci neće odraditi kupnju sa stranice koja nije sigurna.
Zakup i instalaciju SSL certifikata koji je zakupljen za domenu hostanu kod nas na Infonetu odrađuju naši agenti. Korisnik (web developer stranice) mora podesiti da se stranica otvara s HTTPS protokola. Zakup SSL certifikata može biti napravljen i za stranice koje nisu hostane kod nas. Stoga ako Vam treba certifikat slobodno nam se obratite na info@infonet.hr za više informacija.
Narudžbu možete napraviti putem https://www.infonet.hr/ssl-certifikati/ .
Kako podesiti HTTPS ?
Kada je certifikat instaliran potrebno je podesiti trajnu (301) redirekciju za sve linkove na HTTPS protokol.
Kada posjetitelj otvori stranicu da se ona odmah otvoriti s https://vašadomena.tld .
Prije podešavanja redirekcije treba otvoriti stranicu preko https:// URL-a i provjeriti učitavaju li se svi resursi preko HTTPS protokola. Tako ćete izbjeći problem s miješanim sadržajem tj. mixed contentom. Više o tome niže u tekstu.
Postoji nekoliko načina da se podesi trajna redirekcija s HTTP na HTTPS verziju web stranice.
Obzirom na to da nam i HTTP i HTTPS verzija stranice rade, ako želimo svim posjetiteljima osigurati sigurnije surfanje te izbjeći Googleove penale zbog duplog sadržaja. Zato trebamo podesiti 301 redirekciju kako bi se posjetitelji koji dođu na HTTP verziju automatski preusmjerili na HTTPS verziju, a postojeći HTTP linkovi prenijeli link-juice na HTTPS linkove. Nakon dodavanja redirekcije obavezno testirajte da li sve radi kako treba.
Primjer konfiguracije za Apache servere
[ navedeni kod se dodaje u .htaccess datoteku ]
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
ili
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Ako trebate preusmjeriti posjetitelje na www varijantu domene i forsirati https protokol ( ili vam je Google PageSpeed Insights alat predložio “Avoid landing page redirects” ) :
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC,OR]
RewriteCond %{HTTPS} off
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [R=301,L,NE]
Mixed content
Mixed content se javi kad se postavi redirekcija s HTTP na HTTPS protokol, ali nisu svi URL-ovi u bazi ispravni tj. učitani putem HTTPS protokola. Rješenje je ispraviti url-ove u bazi.
Za provjeru mixed contenta u pregledniku možete koristiti :
1. Firefox -> desni klik -> inspect element-> console
2. Chrome -> desni klik -> inspect-> console
3. online alat putem stranice https://gf.dev/mixed-content-test
Mixed content na WordPress stranici
Ako koristite WordPress preporučamo pluginove:
– “Search & Replace” za izmjenu serijaliziranih podataka u bazi podataka
– “Really Simple SSL” – u čijim postavkama možete uključiti i trajnu (301) redirekciju na HTTPS i ispravljanje Mixed Contenta.
Zaključno, imati web stranicu bez SSL certifikata loša je praksa i svakako preporučamo postupiti prema gornjim uputama.
