Prelazak na HTTPS

?to je SSL?

SSL je naziv za kriptografske protokole koji omogu?avaju sigurnu komunikaciju kroz ra?unalne mre?e. SSL (Secure Sockets Layer) je prethodnik TLS-a (Transport Layer Security) te se razli?ite verzije navedenih protokola primjenjuju tijekom kori?tenja internet preglednika, emaila, slanja instant poruka (Facebook, WhatsApp, Viber), VOIP poziva i sli?no.

HTTPS je protokol nastao kombinacijom HTTP i SSL/TLS protokola. Omogu?ava potvrdu autenti?nosti posje?ene web stranice, za?titu privatnosti te o?uvanje integriteta podataka koji se razmjenjuju. U narednim godinama se o?ekuje kako ?e ve?ina web stranica koristiti HTTPS protokol, prema statistikama Googleovog Chrome web preglednika trenutno se preko 50% stranica prikazuje preko HTTPS protokola i na takvim, sigurnim stranicama korisnici provode 2/3 vremena ukupnog surfanja.

SSL certifikati

SSL certifikati op?e su prihva?eni mehanizam podizanja sigurnosti internetskih stranica na vi?u razinu i dana?nja su norma za jamstvo sigurnosti na internetu. SSL certifikatom mo?ete nenametljivo i provjereno potvrditi da je va?a internetska stranica sigurna. Naime, kada je certifikat uspje?no instaliran na poslu?itelju, protokol HTTP izmijenit ?e se u HTTPS (gdje S stoji za ?siguran“) a preglednik ?e pokazati uo?ljivu ikonu lokota.

U globalu, svi SSL certifikati rade istu stvar, razlikuju se prema nivou povjerenja koji pru?aju te po vizualnom prikazu u web pregledniku u slu?aju EV SSL certifikata.

Razlikujemo tri vrste SSL certifikata:

  • DV (Domain Validation) – povoljna cijena, brzo i lako izdavanje, provjerava se samo vlasni?tvo nad domenom, prikazuje se kao ikona zaklju?anog lokota nakon kojeg slijedi https:// te ime domene
  • OV (Organization Validation) – srednje visoka cijena uz osnovnu provjeru tvrtke koja naru?uje certifikat
  • EV (Extended Validation) – visoka cijena, izdavanje mo?e potrajati od 1-10 dana, vr?i se temeljita provjera tvrtke koja naru?uje certifikat. Ovaj certifikat je specifi?an po tome ?to se u web pregledniku prikazuje u obliku duga?ke zelene trake adresnog polja u web pregledniku s imenom poduze?a.

Za?to bi trebali koristiti SSL na svojim web stranicama?

Sigurnost

Jedan od bitnijih razloga za?to je va?no imati SSL certifikat te koristiti HTTPS protokol je zbog sigurnosti. Web trgovinama i web stranicama koje vr?e naplatu proizvoda i usluga putem kreditnih i debitnih kartica SSL certifikat je neophodan zbog potrebe za enkriptiranim prijenosom povjerljivih podataka. Za neke od stranica bitan razlog je za?tita administracijskog su?elja – npr. kod WordPress login stranica korisni?ko ime i lozinka se ne ?alju direktno iz va?eg web preglednika na web poslu?itelj, ve? prolaze kroz mnogo drugih ure?aja na Internetu. Ako ne koristite HTTPS, podaci nisu enkriptirani, ve? u obliku obi?nog teksta ?to zna?i da se tako poslani korisni?ki podaci mogu presresti na putu do odredi?ta.

Povjerenje i kredibilitet

Dodavanjem SSL certifikata podi?ete razinu povjerenja korisnika te pozitivno utje?ete na kredibilitet va?e web stranice. Korisnike sve vi?e brine mogu?nost presretanja njihovih podataka ili kori?tenja njihovih podataka za nezakonite aktivnosti – npr. kra?a identiteta. Po Globalsign-ovom istra?ivanju, 84% ispitanih korisnika iz zemalja EU bi odustalo od kupovine u web trgovini ako bi se podaci slali preko neza?ti?ene veze (HTTP). Osim toga, u prosjeku se gotovo 50% online kupaca brine o mogu?nosti kra?e njihovih podataka kreditne kartice.

chrome-security

Od sije?nja 2017. Google Chrome web preglednik (od verzija 56 nadalje) ?e HTTP web stranice koje sadr?e polja za upisivanje lozinki ili kreditnih kartica ozna?avati sa “Not secure”, te se naknadno mo?e o?ekivati isticanje upozorenja putem crvene ikone i teksta “Not secure”.

chrome-security-http-not-secure

SEO

Google je jo? 2014. godine objavio kako ?e se primjena HTTPS-a na web stranicama biti jedan od faktora koje ?e utjecati na rangiranje web stranica.

Iz tog razloga je korisno implementirati HTTPS na web stranici i s vremenom o?ekivati ne?to vi?i ranking na Google tra?ilici te na taj na?in dobiti vi?e posjeta.

Bolji prikaz refferal podataka

Ako koristite Google Analytics za pra?enje posjeta na va?oj web stranici, izme?u ostalog, bilje?e se podaci kako korisnici dolaze na va?u stranicu.

Korisnici mogu do?i putem tra?ilice (Search Traffic), direktno upisivanjem imena domene u preglednik (Direct Traffic) te putem preporuke (Refferal Traffic) odnosno linka na nekoj drugoj web stranici – npr. to mo?e biti link na Facebooku prema va?em webu. Google Analytics blokira refferal podatke koji idu sa HTTPS stranica na HTTP stranice.

?to to zna?i? Ukratko, ako korisnik dok surfa po nekoj HTTPS web stranici klikne na link prema va?oj web stranici koja ne podr?ava HTTPS, onda se ti podaci ne bilje?e kao Refferal Traffic ve? kao Direct Traffic pa ne?ete imati potpune informacije odakle vam dolaze posjeti na web stranicu.

Migracija sa HTTP na HTTPS

1. Kupovina SSL certifikata ili kori?tenje besplatnog certifikata – AutoSSL / Let’s Encrypt
2. Instalacija i provjera SSL certifikata
3. Izmjena svih HTTP linkova u HTTPS linkove
4. Postavljanje trajnog (301) preusmjerenja na nove HTTPS linkove
5. SEO – optimizacija za tra?ilice

Napomena:
Nakon ?to instalirate SSL certifikat mo?i ?ete pristupiti i HTTP i HTTPS verziji stranice, te se na postoje?oj HTTP verziji stranice ne?e ni?ta promijeniti. U ve?ini slu?ajeva ?ete nakon ?to se uvjerite da sve radi bez problema ?eljeti koristiti isklju?ivo HTTPS verziju, obje verzije stranice ?e vam raditi istovremeno, mo?ete na to gledati kao dvije kopije iste web stranice pa ?emo naknadno tra?ilicama dati do znanja koju verziju ?elimo koristiti.

Kupovina SSL certifikata ili kori?tenje besplatnog certifikata – AutoSSL / Let’s Encrypt

Za prelazak sa HTTP na HTTPS protokol, biti ?e vam potreban SSL certifikat. Certifikat mo?ete zakupiti preko hosting tvrtke kao ?to je Plus Hosting , zatim putem slu?benih web stranica tvrtki koje izdaju certifikate (Comodo, GeoTrust, Thawte, RapidSSL) ili putem web trgovina koje sura?uju s vi?e tvrtki i prodaju SSL certifikate uz ne?to povoljnije cijene.

Jedno od mogu?ih rje?enja je kori?tenje besplatnih SSL certifikata, npr. kod odre?enih hosting providera mo?e se koristiti AutoSSL – nova funkcionalnost koja omogu?ava automatsko generiranje i instalaciju besplatnog SSL certifikata, radi se o osnovnom, DV – Domain Validated certifikatu koji autorizira ili cPanel u suradnji s Comodom, ili Let’s Encrypt.

Plus Hosting svojim korisnicima omogu?uje besplatno generiranje i instalaciju SSL certifikata uz AutoSSL.

Instalacija i provjera SSL certifikata

Ako ste koristili AutoSSL / Let’s Encrypt, instalacija SSL certifikata bi trebala biti automatski odra?ena.

Ako ste kupili SSL certfikat, potrebno ga je instalirati na web poslu?itelj / server. Ovaj dio mo?ete prepustiti hosting tvrtki ili podesiti samostalno. U nastavku su upute za pode?avanje servera (na engleskom jeziku):

Nakon ?to je SSL certifikat postavljen na server, trebali bi mo?i otvoriti i http i https verziju domene te provjeriti da li se u?itavaju sve povezane datoteke na https verziji web stranice.

Provjeru ispravnosti certifikata mo?ete testirati web alatima:
https://www.ssllabs.com/ssltest/analyze.html
https://www.htbridge.com/ssl/

Izmjena svih HTTP linkova u HTTPS linkove

Kod prelaska na HTTPS, ?elimo osigurati da se sve datoteke u?itavaju putem HTTPS protokola kako bi ih browser sve mogao prikazati – neki browseri upozoravaju na “mixed content”, a neki ne prikazuju datoteke ako se stranici pristupa preko HTTPS protokola, a da se datoteke u?itavaju sa HTTP protokola. Najbolja praksa je koristiti relativne URL-ove (npr./images/blue.png), umjesto apsolutnih (npr. http://www.example.com/images/blue.jpg). Ako se prilikom pregleda HTTPS verzije stranice ne prikazuju odre?ene datoteke, treba izmijeniti te apsolutne, hardkodirane linkove u relativne linkove – ili ru?no ili putem alata koji taj proces mogu automatizirati.

Ako koristite WordPress, mogli bi vam dobro do?i pluginovi kao ?to su “Search & Replace” za izmjenu serijaliziranih podataka u bazi podataka odnosno “Really Simple SSL” koji se jednostavno koristi i ne zahtjeva puno pode?avanja. Jo? jedan plugin koji dobro radi svoj posao iako dugo vremena nije iza?la nova verzija je “WordPress HTTPS“.

Nemojte zaboraviti na stati?ne datoteke koje va?a web stranica poziva/dohva?a sa vanjskih servera – razli?ite CSS i JS datoteke (npr. jQuery, Google Fonts, Google Analytics) te izmjenite linkove da pozivaju HTTPS verzije tih datoteka (obi?no je dovoljno zamijeniti http sa https prefiksom).

Koristan alat za testiranje va?ih web stranica koji provjerava da li se svi resursi u?itavaju preko HTTPS protokola je dostupan na: https://www.jitbit.com/sslcheck/

Nakon ?to utvrdite da HTTPS verzija web stranica radi ispravno, da se ne javljaju ‘Mixed-Content” upozorenja, te da se u internet pregledniku prikazuje zeleni lokot u adresnoj traci mo?ete krenuti dalje.

Postavljanje trajne (301) redirekcije sa HTTP na HTTPS verziju web stranice

S obzirom da nam i HTTP i HTTPS verzija stranice rade, ako ?elimo svim posjetiteljima osigurati sigurnije surfanje te izbje?i Googleove penale zbog duplog sadr?aja, trebamo podesiti 301 redirekciju kako bi se posjetitelji koji do?u na HTTP verziju automatski preusmjerili na HTTPS verziju, a postoje?i HTTP linkovi prenijeli link-juice na HTTPS linkove. Nakon dodavanja redirekcije obavezno testirajte da li sve radi kako treba.

Primjer konfiguracije za Apache servere – navedeni kod se dodaje u .htaccess datoteku.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

ili

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>

Ako trebate preusmjeriti sve posjetitelje na www varijantu domene i forsirati https protokol te ?elite najbolje performanse ili vam je Google PageSpeed Insights alat predlo?io “Avoid landing page redirects” koristite sljede?a pravila:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC,OR]
RewriteCond %{HTTPS} off
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [R=301,L,NE]
</IfModule>

SEO – optimizacija za tra?ilice

Kako bi migracija na HTTPS protekla bez problema odnosno da nova verzija stranice (HTTPS) ?to prije bude indeksirana, pripremili smo nekoliko korisnih savjeta.

Google Search Console

Dodajte obje verzije domene (http i https) u Google Search Console, uklju?uju?i varijantu sa i bez www. Odaberete opciju “Add Property” te ako va?a domena glasi “primjer.hr”, dodate:
http://primjer.com i http://www.primjer.com te https://primjer.com i https://www.primjer.com. Verifikaciju domene obavite putem jedne od ponu?enih metoda – obi?no je najbr?e postaviti HTML datoteku u public_html folder ili koristiti Google Analytics metodu verifikacije.

Ako koristite poddomenu, primjenite isti postupak – dakle dodajete: http://poddomena.primjer.com i https://poddomena.primjer.com

U Google Search konzoli odaberete preferiranu verziju va?e web stranice, onu koju ?elite vidjeti u rezultatima pretrage, obi?no je to https verzija sa www prefiksom (https://www.primjer.com).

Sitemap

Generirajte novi sitemap – XML datoteku koja sadr?i sve https linkove va?e stranice koju ?ete u?itati u Google Search konzolu i to u profil HTTPS verzije web stranice (https://www.google.com/webmasters/tools/sitemap-list). Ako ste ve? imali u?itan sitemap u HTTP profilu stranice, njega ne dirate – s vremenom ?e se broj indeksiranih linkova pove?avati na HTTPS profilu, a smanjivati na HTTP profilu u Google Search konzoli.

Za generiranje XML sitemapa, iskoristite besplatni online alat: https://www.xml-sitemaps.com

Sitemap nije nu?an da bi vam Google indeksirao web stranicu, ali mo?e vam dobro do?i kako bi provjerili da li je indeksiranje pro?lo uspje?no odnosno ?to je potrebno napraviti kako bi Google izvr?iti indeksiranje.

Sitemap osim u Google Search konzolu mo?ete u?itati i u Bing i Yandex webmaster tools.

robots.txt datoteka

robots.txt datoteka kontrolira kojim dijelovima va?e web stranice Googlebot i ostali roboti za indeksiranje stranica mogu pristupiti te iste indeksirati. Bitno je omogu?iti robotima pristup svim stranicama koje ?elite indeksirati, a zabraniti indeksiranje samo za administracijsko su?elje ili sli?no. Koristan online alata s kojim mo?ete kreirati robots.txt: http://www.robotsgenerator.com/

Primjer minimalne robots.txt datoteke – dopu?ten je pristup svim robotima i imaju dopu?tenje indeksirati sve linkove na koje nai?u te je dodana mapa weba odnosno sitemap iako je sitemap datoteku najbolje ru?no u?itati u Google/Bing/Yandex webmaster su?elje.

User-Agent: *
Disallow:
 
Sitemap: https://www.primjer.com/sitemap.xml

Google Analytics

Posjetite Google Analytics, te u administratorskom su?elju pod postavkama za va?u web stranicu izmijenite Default URL u https verziju. Ukratko: Property Settings -> Basic Settings -> Default URL izmijenite iz http:// u https://

Na taj na?in ne?ete izgubiti dosada?nje podatke o posje?enosti ve? ?e se posjete od tog trenutka bilje?iti za https verziju stranice.

Ostali savjeti

?elimo dati jasan signal tra?ilicama da odsad koristimo https verziju stranice. Izmijenite sve ostale linkove koji vode prema va?oj web stranici kako bi odsad koristili https varijantu.

  • PPC kampanje – AdWords, Bing, Facebook oglasi
  • email marketing kampanje – Aweber, MailChimp itd.
  • linkove na dru?tvenim mre?ama – Facebook, Twitter, Google+, LinkedIn
  • ostale linkove na vanjskim web stranicama koji vode na va?u web stranicu

Povezani ?lanci

  1. Hvala na odli?nom ?lanku, nekako sam uspio se prebaciti na besplatni ssl.

    Najbolji ste i uvjek vas preporucavam dalje, sve najbolje, pozdrav

Odgovori

Va?a adresa e-po?te ne?e biti objavljena. Obavezna polja su ozna?ena sa *