Prelazak na HTTPS
Šta je SSL?
SSL je naziv za kriptografske protokole koji omogućavaju sigurnu komunikaciju putem računarske mreže. SSL (Secure Sockets Layer) je prethodnik TLS-a (Transport Layer Security) pa se različite verzije navedenih protokola primenjuju u korišćenju internet čitaca, emaila, slanja instant poruka (Facebook, WhatsApp, Viber), VOIP poziva i slično.
HTTPS je protokol nastao kombinacijom HTTP i SSL/TLS protokola. Omogućava potvrdu autentičnosti posećene web stranice, zaštitu privatnosti samim tim i očuvanje integriteta podataka koji se razmenjuju. U narednim godinama se očekuje, kako će većina web stranica koristiti HTTPS protokol, prema statistikama Google-ovog Chrome web preglednika trenutno se preko 50% stranica prikazuje preko HTTPS protokola i na takvim, sigurnim stranicama korisnici provode 2/3 vremena ukupnog surfovanje.
SSL sertifikati
SSL sertifikati su prihvaćeni mehanizmi koji podižu sigurnost internet stranica na viši nivo i oni su današnja norma za garanciju sigurnosti na internetu. SSL sertifikatom možete nenametljivo i provereno potvrditi da je vaša internet stranica sigurna. Naime, kada je sertifikat uspešno instaliran na server, protokol HTTP izmeniće se u HTTPS (gde S stoji za „siguran“) a pretraživač(brauzer) će pokazati uočljivu ikonu lokota.
U globalu, svi SSL sertifikati rade istu stvar, razlikuju se prema nivou poverenja koju pružaju kao i po vizualnom prikazu u web pretraživaču u slučaju EV SSL sertifikata.
Razlikujemo tri vrste SSL sertifikata:
- DV (Domain Validation) – povoljna cena, brzo i lako izdavanje, proverava se samo vlasništvo nad domenom, prikazuje se kao ikona zaključanog lokota nakon kojeg sledi https:// pa ime domena
- OV (Organization Validation) – srednje visoka cena uz osnovnu proveru firme koja naručuje sertifikat
- EV (Extended Validation) – visoka cena, izdavanje može da potraje od 1 do 10 dana, vrši se temeljna provera firme koja naručuje sertifikat. Ovaj sertifikat je specifičan po tome što se u web pretraživaču prikazuje u obliku dugačke zelene trake adresnog polja u web pretraživaču s imenom preduzeća.
Zašto bi trebali koristiti SSL na svojim web stranicama?
Sigurnost
Jedan od bitnijih razloga zašto je važno imati SSL sertifikat, tacnije koristiti HTTPS protokol je zbog sigurnosti. Web prodavnicama i web stranicama koje vrše naplatu proizvoda i usluga putem kreditnih i debitnih kartica, SSL sertifikat je neophodan zbog potrebe za enkriptovanim prenosom poverljivih podataka. Za neke od stranica bitan razlog je zaštita administrativnog interfejsa – npr. kod WordPress login stranica korisničko ime i lozinka se ne šalju direktno iz vašeg web pretraživača na web server, već prolaze kroz mnogo drugih uređaja na Internetu. Ako ne koristite HTTPS, podaci nisu enkriptovani, već u obliku običnog teksta što znači da se tako poslani korisnički podaci mogu presresti na putu do odredišta.
Poverenje i kredibilitet
Dodavanjem SSL sertifikata podižete nivo poverenja korisnika te pozitivno utičete na kredibilitet vaše web stranice. Korisnike sve više brine mogućnost presretanja njihovih podataka ili korišćenja njihovih podataka za nezakonite aktivnosti – npr. krađa identiteta. Po Globalsign-ovom istraživanju, 84% ispitanih korisnika iz zemalja EU bi odustalo od kupovine u web prodavnici ako bi se podaci slali preko nezaštićene veze (HTTP). Osim toga, u proseku se gotovo 50% online kupaca brine o mogućnosti krađe njihovih podataka kreditne kartice.
Od januara 2017. Google Chrome web pretraživač (od verzija 56 nadalje) će HTTP web stranice koje sadrže polja za upisivanje lozinke ili kreditnih kartica označavati sa “Not secure”, pa se naknadno može očekivati isticanje upozorenja putem crvene ikone i teksta “Not secure”.
SEO
Google je još 2014. godine objavio kako će se primena HTTPS-a na web stranicama biti jedan od faktora koji ćeuticati na rangiranje web stranica.
Iz tog razloga je korisno implementirati HTTPS na web stranici i s vremenom očekivati nešto viši ranking na Google pretraga, pa na taj način dobiti više poseta.
Bolji prikaz refferal podataka
Ako koristite Google Analytics za praćenje poseta na vašoj web stranici, između ostalog, beleže se podaci kako korisnici dolaze na vašu stranicu.
Korisnici mogu doći putem pretrage (Search Traffic), direktno upisivanjem imena domena u pretraživac (Direct Traffic) takodje i putem preporuke (Refferal Traffic) odnosno linka na nekoj drugoj web stranici – npr. to može biti link na Facebooku prema vašem webu. Google Analytics blokira refferal podatke koji idu sa HTTPS stranica na HTTP stranice.
Šta to znači? Ukratko, ako korisnik dok surfuje po nekoj HTTPS web stranici klikne na link prema vašoj web stranici koja ne podržava HTTPS, onda se ti podaci ne beleže kao Refferal Traffic već kao Direct Traffic pa nećete imati potpune informacije odakle vam dolaze posete na web stranicu.
Prebacivanje sa HTTP na HTTPS
1. Kupovina SSL sertifikata ili korišćenje besplatnog sertifikata – AutoSSL / Let’s Encrypt
2. Instalacija i provera SSL sertifikata
3. Izmena svih HTTP linkova u HTTPS linkove
4. Postavljanje trajnog (301) preusmerenja na nove HTTPS linkove
5. SEO – optimizacija za pretraživače
Napomena:
Nakon što instalirate SSL sertifikat moći ćete pristupiti i HTTP i HTTPS
verziji stranice, te se na postojećoj HTTP verziji stranice neće ništa
promeniti. U većini slučajeva ćete nakon što se uverite da sve radi bez
problema želeti koristiti isključivo HTTPS verziju, obe verzije stranice
će vam raditi istovremeno, možete na to gledati kao dve kopije iste web
stranice pa ćemo naknadno pretraživačima dati do znanja koju verziju
želimo da koristimo.
Kupovina SSL sertifikata ili korišćenje besplatnog sertifikata – AutoSSL / Let’s Encrypt
Za prelazak sa HTTP na HTTPS protokol, biće Vam potreban SSL sertifikat. Sertifikat možete zakupiti preko hosting kompanije kao što je Plus Hosting, zatim putem službenih web stranica firme koje izdaju sertifikate (Comodo, GeoTrust, Thawte, RapidSSL) ili putem web prodaje koje sarađuju s više firmi i prodaju SSL sertifikate uz nešto povoljnije cene.
Jedno od mogućih rešenja je korišćenje besplatnih SSL sertifikata, npr. kod određenih hosting provajdera može se koristiti AutoSSL – nova funkcionalnost koja omogućava automatsko generisanje i instalaciju besplatnog SSL sertifikata, radi se o osnovnom, DV – Domain Validated sertifikatu koji autorizuje ili cPanel u saradnji sa Comodom, ili Let’s Encrypt.
Plus Hosting svojim korisnicima omogućava besplatno generisanjei instalaciju SSL sertifikata uz AutoSSL.
Instalacija i provera SSL sertifikata
Ako ste koristili AutoSSL / Let’s Encrypt, instalacija SSL sertifikata bi trebala da bude automatski odrađena.
Ako ste kupili SSL sertfikat, potrebno ga je instalirati na web pretrazivač / server. Ovaj deo možete prepustiti hosting kompaniji ili podesiti samostalno. U nastavku su smernice za podešavanje servera (na engleskom jeziku):
- Instalacija SSL sertificata – Apache
- Instalacija SSL sertificata – NGINX
- Instalacija SSL sertificata – Microsoft IIS 7.x – 8.x
- Instalacija SSL sertificata – WHM / cPanel
Nakon što je SSL sertifikat postavljen na server, trebalo bi da možete da otvorite i http i https verziju domena, i nakon toga proveriti da li se učitavaju sve povezane datoteke na https verziji web stranice.
Proveru ispravnosti sertifikata možete testirati web alatom:
https://www.ssllabs.com/ssltest/analyze.html
Izmena svih HTTP linkova u HTTPS linkove
Kod prelaska na HTTPS, želimo da osiguramo da se sve datoteke učitavaju putem HTTPS protokola kako bi ih pretraživač sve mogao prikazati – neki pretraživači
upozoravaju na “mixed content”, a neki ne prikazuju datoteke ako se
stranici pristupa preko HTTPS protokola, a da se datoteke učitavaju sa
HTTP protokola. Najbolja praksa je koristiti relativne URL-ove (npr./images/blue.png
), umesto apsolutnih (npr. http://www.example.com/images/blue.jpg
).
Ako se prilikom pregleda HTTPS verzije stranice ne prikazuju određene
datoteke, treba izmeniti te apsolutne, hardkodovane linkove u relativne
linkove – ili ručno ili putem alata koji taj proces mogu automatizovati.
Ako koristite WordPress, mogli bi Vam dobro doći plaginovi kao što su “Search & Replace” za izmenu serijalizovanih podataka u bazi podataka odnosno “Really Simple SSL” koji se jednostavno koristi i ne zahteva puno podešavanja. Još jedan plagin koji dobro radi svoj posao iako duže vreme nije izašla nova verzija je “WordPress HTTPS“.
Nemojte zaboraviti na statične datoteke koje Vaša web stranica poziva/hvata sa drugih spoljnih servera – različite CSS i JS datoteke (npr. jQuery, Google Fonts, Google Analytics), izmenite linkove da pozivaju HTTPS verzije tih datoteka (obično je dovoljno zameniti http sa https prefiksom).
Koristan alat za testiranje vaših web stranica koji proverava da li se svi resursi učitavaju preko HTTPS protokola je dostupan na: https://www.jitbit.com/sslcheck/
Nakon što utvrdite da HTTPS verzija web stranica radi ispravno, da se ne javljaju ‘Mixed-Content” upozorenja, da se u internet pretraživaču prikazuje zeleni lokot u adresnoj traci –> možete krenuti dalje.
Postavljanje trajne (301) redirekcije sa HTTP na HTTPS verziju web stranice
S obzirom da nam i HTTP i HTTPS verzija stranice rade, ako želimo svim posetiocima da osiguramo sigurnije surfovanje i da izbegnemo Googleove penale (zbog duplog sadržaja), treba da podesimo 301 redirekciju kako bi se posetioci koji dođu na HTTP verziju automatski preusmerili na HTTPS verziju, a postojeći HTTP linkovi preneli link-juice na HTTPS linkove. Nakon dodavanja redirekcije obavezno testirajte da li sve radi kako treba.
Primer konfiguracije za Apache servere – navedeni kod se dodaje u .htaccess datoteku.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
ili
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
SEO – optimizacija za pretraživače
Kako bi prebacivanje na HTTPS protekla bez problema odnosno da nova verzija stranice (HTTPS) što pre bude indeksirana, pripremili smo nekoliko korisnih saveta.
Google Search Console
Dodajte obe verzije domena (http i https) u Google Search Console, uključujući varijantu sa i bez www. Odaberete opciju “Add Property”, pa ako vaša domen glasi “primer.rs”, dodate:http://primer.rs i
http://www.primer.rs ;
https://primer.rs
i https://www.primer.rs
. Verifikaciju domena obavite putem jedne od ponuđenih metoda – obično je najbrže da postavite HTML datoteku u public_html folder ili da koristite Google Analytics metodu verifikacije.
Ako koristite poddomen, primenite isti postupak – dakle dodajete: http://poddomena.primer.rs
i https://poddomena.primer.rs
U Google Search konzoli, odaberete željenu verziju Vaše web stranice, onu koju želite da vidite u rezultatima pretrage, obično je to https verzija sa www prefiksom (https://www.primer.rs
).
Sitemap
Generišite novi sitemap – XML datoteku koja sadrži sve https linkove vaše stranice koju će te učitati u Google Search konzolu i to u profil HTTPS verzije web stranice (https://www.google.com/webmasters/tools/sitemap-list). Ako ste već imali učitan sitemap u HTTP profilu stranice, njega ne dirajte – s vremenom će se broj indeksiranih linkova povećavati na HTTPS profilu, a smanjivati na HTTP profilu u Google Search konzoli.
Za generisanje XML sitemapa, iskoristite besplatni online alat: https://www.xml-sitemaps.com
Sitemap nije nužan da bi vam Google indeksirao web stranicu, ali može Vam dobro doći kako bi proverili da li je indeksiranje prošlo uspešno odnosno šta je sve potrebno napraviti da bi Google izvršio indeksiranje stranice.
Sitemap osim u Google Search konzoli možete učitati i u Bing i Yandex webmaster tools.
robots.txt datoteka
robots.txt datoteka kontroliše kojim delovima Vaše web stranice Googlebot i ostali roboti za indeksiranje stranica mogu da pristupe pa samim ti ida ih indeksiraju. Jako je bitno da se omogući robotima pristup ka svim stranicama koje želite da indeksirate, a takodje da zabranite indeksiranje samo za administracijski interfejs ili slično. Koristan online alata s kojim možete kreirati robots.txt: http://www.robotsgenerator.com/
Primer minimalne robots.txt datoteke – dopušten je pristup svim robotima i imaju dopuštenje da indeksiraju sve linkove na koje naiđu, samim tim je dodana mapa weba (sitemap), iako je sitemap datoteku najbolje ručno učitati u Google/Bing/Yandex webmaster interfejsu.
User-Agent: *
Disallow:
Sitemap: https://www.primer.com/sitemap.xml
Google Analytics
Posetite Google Analytics, i u administrativnom interfejsu pod postavkama za Vašu web stranicu izmenite Default URL u https verziju.
Ukratko:
Property Settings -> Basic Settings -> Default URL, takodje izmienite iz http:// u https://
Na taj način nećete izgubiti dosadašnje podatke o posećenosti, već će se posete od tog trenutka beležiti za https verziju stranice.
Ostali saveti
Želimo da damo jasan signal pretraživačima da od sad koristimo https verziju stranice. Izmenite sve ostale linkove koji vode prema vašoj web stranici kako bi odsad koristili https varijantu.
- PPC kampanje – AdWords, Bing, Facebook oglasi
- email marketing kampanje – Aweber, MailChimp itd.
- linkove na društvenim mrežama – Facebook, Twitter, Google+, LinkedIn
- ostale linkove sa drugih web stranica koje vode na vašu web stranicu