HTTPS – PUT KA VIŠE POSETA I KUPACA

12 Oct 2017

HTTPS protokol počeo je masovno da se primenjuje od početka ove decenije i danas ga koristi većina internet sajtova koji su tržišno orijentisani. Podaci iz juna 2017. godine govore da je 45% stranica učitanih u Firefox-u koristilo HTTPS, kao i da 41.3% najpopularnijih 140.000 sajtova na svetu koristi HTTPS. Od kada je Google najavio da će sajtovi bez HTTPS protokola biti tretirani kao nebezbedni, interesovanje za primenu HTTPS protokola je poraslo, zbog čega je i velika većina klijenata Smart Web-a koji imaju nešto starije sajtove prihvatila našu preporuku da pređu na novi standard, dok svi novi sajtovi naših klijenata koriste HTTPS po default-u. Bez obzira da li već koristite ovaj protokol ili ne, hajde da se ukratko podsetimo koja je njegova funkcija i zašto je HTTPS tako važan za razvoj internet servisa, za korisnike interneta i vlasnike sajtova.

HTTP + TLS = HTTPS

Slovo S u imenu protokola dolazi od naziva HTTP Secure, što je jedan od prihvaćenih punih naziva protokola, dok su u opticaju još HTTP over Transport Layer Security (TLS) i HTTP over Secure Sockets Layer (SSL). HTTPS čini standardna komunikacija HTTP protokolom, ali sa slojem TLS zaštite, koja funkcioniše u oba pravca između klijenta i servera. Svaka HTTPS komunikacija je enkriptovana tako da zlonamerne strane ne mogu da je prisluškuju, čime hakeri ostaju bez osnovnog oruđa. To u praksi znači da kada ostavljate broj vaše kartice na nekom sajtu kako bi izvršili plaćanje, taj broj će biti poznat samo agentu koji vrši plaćanje, i nijedna strana koja pokušava da prisluškuje vašu komunikaciju neće doći do informacija bilo koje vrste. Ovo je od posebne važnosti prilikom korišćenja javnih Wi-Fi mreža, jer u teoriji haker može da presretne celokupan signal unutar jedne takve mreže. Ipak, još važnije od zaštite od hakera je uspostavljanje poverenja između učesnika u transakcijama putem interneta, jer korisnik sajta zna da obavlja transakciju sa sajtom koji poseduje SSL sertifikat, što garantuje da se iza imena kompanije tj. sajta ne krije neko drugi, te da posluje sa licem čiji su podaci poznati provajderu u slučaju potrebe – ukratko rečeno, da posluje sa firmom od poverenja.

SSL sertifikati

Kao i kod svakog drugog sertifikata (zamislimo restoran), između korisnika i pružaoca usluga stoji nezavisna treća strana od poverenja, koja korisniku usluga garantuje da pružalac usluga ispunjava određene standarde. Sertifikat se sastoji od dva ključa, od kojih je jedan poznat sertifikacionom telu a drugi je poznat samo vlasniku sajta. U zahtevu za izdavanje sertifikata, sajt mora da navede sve najvažnije podatke koji ga identifikuju, što sertifikaciona kompanija proverava. Sajt potom dobija SSL sertifikat koji browser koristi kako bi proverio autentičnost sajta i kako bi uspostavio enkriptovanu komunikaciju. SSL sertifikate izdaje uglavnom nekoliko velikih kompanije koje su za to specijalizovane (najvažnije su Symantec, Comodo, GoDaddy i GlobalSign), a hosting provajderi širom sveta prodaju njihovu uslugu korisnicima. Cena sertifikacije nije velika i kreće se od par desetina do par stotina dolara, na šta treba dodati i cenu transfera kompletnog sajta na HTTPS standard, budući da je potrebno napraviti backup, redirektovati sve stranice i zaokružiti čitav proces sa tehničke strane. Sve je moguće izvesti veoma brzo, čak i za velike sajtove, tako da kompletna migracija na HTTPS može biti obavljena za 24 sata.

notprivate HTTPS

Ako browser pronađe sumnjiv sertifikat, korisnik dobija upozorenje

 

Uticaj HTTPS protokola na pretraživače i browser-e

Svi savremeni browser-i upozoravaju korisnika ako na nekoj strani očekuju sertifikat ali ga ne pronalaze, a sajtovi koji i dalje koriste HTTP tretiraju se kao nesigurni. U ovoj fazi sajtovi koji nemaju HTTPS još uvek se ne markiraju direktnim upozorenjem, već ispred imena sajta stoji slovo „i“, kliktanjem na koje se dobija informacija da veza sa sajtom nije bezbedna.

Savremeni browser-i idu ka tome da u rezultatima pretrage daju samo HTTPS rezultate, a već danas možete instalirati addon HTTPS EVERYWHERE za browser-e Chrome, Firefox i Opera, koji pretvara svaku konekciju u HTTPS

Savremeni browser-i idu ka tome da u rezultatima pretrage daju samo HTTPS rezultate, a već danas možete instalirati addon HTTPS Everywhere za browser-e Chrome, Firefox i Opera, koji pretvara svaku konekciju u HTTPS konekciju, čak i u slučajevima kada su sajtovi prešli na HTTPS protokol ali još uvek sadrže linkove ka HTTP stranama. Google sajtovima koji koriste HTTPS preporučuje da odu i korak dalje i koriste HSTS (HTTP Strict Transport Security) standard, koji upućuje browser da traži učitavanje HTTPS stranica čak i kada korisnik unese HTTP adresu, i daje Google-u samo bezbedne rezultate u pretrazi. Sam Google pruža blagu prednost HTTPS sajtovima u pretrazi, ali ono gde HTTPS sajtovi imaju zaista veliku prednost je znak bezbedne transakcije ispred naziva sajta, što višestruko povećava šansu za obavljanje novčane transakcije preko takvog sajta u odnosu na sajt koji je označen kao nesiguran. Korisnici uglavnom vide zeleni katanac iza koga piše „Secure“ na sajtovima koji koriste ovaj protokol, ili vide ime sajta/kompanije, takođe zelenim slovima (kod najnaprednijeg EV sertifikata, kao na smartweb.rs), uz obaveštenje da je veza bezbedna. U ovom prostoru takođe može biti i ime agenta koji je izdao sertifikat, dok se informacije o sajtu dobijaju klikom, što zavisi od browser-a koji se koristi i vrste sertifikata.

SSLsaibez HTTPS

Primer sajta bez HTTPS protokola i sa HTTPS protokolom

 

Tipovi SSL Sertifikata

Svi SSL sertifikati obavljaju istu funkciju, međutim deo njih je posebno rigorozan, a sa tim i skuplji, a namenjeni su sajtovima koji imaju veliki promet i moraju da pruže besprekornu uslugu.

Shared sertifikati su najmanje sigurni. Njih provajderi najčešće dele besplatno uz hosting pakete. Kod ovog sertifikata za sajt ne garantuje kompanija za sertifikaciju, već samo provajder.

DV – Domain validated sertifikat, predstavlja plod automatskog procesa validacije, zbog čega se ne preporučuje se sajtovima koji obavljaju finansijske transakcije. Jeftin je i izdaje se za samo nekoliko minuta, a koriste ga sajtovi koji pružaju samo informacije, kao i male kompanije.

OV – Organization validated sertifikat je pogodan za kompanije srednje veličine, a podrazumeva ne-automatsku (ljudsku) proveru vlasnika sajta.

EV – Extended validated sertifikat, garantuje da je sajt prošao rigoroznu kontrolu. Preporučuje se za web prodavnice i druge sajtove na kojima se redovno obavljaju finansijske transakcije.

Ako imate blog, mali lični sajt ili drugu prezentaciju na kojoj nećete obavljati novčane transakcije, a koja je trenutno na HTTP adresi, naš je savet da je prebacite na novi protokol – većina provajdera će besplatno obaviti podešavanja ako platite cenu sertifikata, koja može biti svega 20-ak evra za godinu dana (npr. za Rapid SSL sertifikat).

Korišćenje novog protokola otvara put ka HTTP/2 protokolu budućnosti. Ovaj protokol sadržaće, pored bezbednosnih standarda i mnoge funkcije koje će omogućiti brže učitavanje strana, što je posebno važno u modernom okruženju, kada strane postaju sve „teže“.

Share: Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn

DOĐI

Heroja Milana Tepića 5 Beograd

ZOVI

+381 11 228 71 79
+381 65 88 60 801

PIŠI

office@smartweb.rs