Defaults.Exposed › Ispravci › Zdravlje TLS certifikata

Kako popraviti Zdravlje TLS certifikata

Vaš SSL/TLS certifikat je digitalna osobna iskaznica koja dokazuje posjetitelju da zaista razgovara s vašom web stranicom — a ne s imitatorom — i pokreće lokot u pregledniku. Ova provjera gleda je li taj certifikat valjan i pouzdan, nije li blizu isteka te je li izgrađen s jakom, modernom kriptografijom.

Zaključak za vaše poslovanje: Neispravan ili istekao certifikat zamjenjuje vašu web stranicu punozaslonskim crvenim upozorenjem 'Vaša veza nije privatna' u svakom pregledniku. Većina posjetitelja odmah ode i ne vraća se — online prodaja staje, prijave staju, a veza koja je trebala biti privatna može biti tiho presretnuta.

Što vas ovo može koštati

• Vaš certifikat tiho istekne vikendom; do ponedjeljka svaki posjetitelj nailazi na upozorenje na cijeloj stranici, vaša naplata i kontakt obrasci su neaktivni, a vi gubite prodaju za svaki sat koji treba primijetiti i obnoviti ga.
• Klijent koji plaća na Wi-Fi kafića ili hotela dobiva upozorenje da se vaš certifikat ne podudara s vašom domenom — pretpostavljaju da je stranica lažna ili hakirana, napuštaju kupovinu i drugima kažu da je 'izgledalo sumnjivo'.
• IT tim većeg klijenta provede sigurnosno skeniranje prije ugovora, vidi samo-potpisani ili nepouzdani certifikat i označi vas kao rizik — posao stane zbog nečega što ne košta ništa popraviti.
• Vaš certifikat koristi zastarjelu metodu potpisivanja ili slab ključ; moderni preglednici počnu prikazivati upozorenja, a sigurnosni audit vas ocijeni loše za kriptografiju koja je s preporučenog popisa skinuta godinama.
• Primate kartična plaćanja i vaš pružatelj platnih usluga vas ponovo revidira; slab ključ ili istekao certifikat narušava pravila sigurnosti plaćanja i vaša online naplata je zamrznuta dok se ne ispravi.

Zašto je to važno. Certifikat je najvidljiviji dio sigurnosti vaše web stranice — kad je zdrav, nevidljiv je, a kad se pokvari, povlači cijelu stranicu s jezivim upozorenjem koje goni klijente ravno kod konkurenata. Istek certifikata broj je jedan uzrok neočekivanih prekida rada web stranice, a potpuno je spriječiv. Dobivanje valjanog certifikata je besplatno, a održavanje zdravim uglavnom je stvar dopuštanja automatskog obnavljanja.

Što je ovo, jednostavnim riječima

Kad netko posjeti vašu web stranicu, dvoje se mora dogoditi da se osjeća sigurno upisujući lozinku ili broj kartice. Prvo, veza mora biti šifrirana kako je stranci ne bi mogli čitati. Drugo — i ovo je dio koji ljudi zaborave — preglednik posjetitelja mora biti siguran da je na drugom kraju zaista vaša web stranica, a ne imitator koji je postavio uvjerljivu kopiju. Stvar koja obavlja oba posla je vaš TLS certifikat (često nazivan “SSL certifikatom”).

Zamislite ga kao osobnu iskaznicu vašoj domeni otpornu na krivotvorenje. Izdaje ga priznat autoritet, žigosana je s imenom vaše domene i datumom isteka, i nosi kriptografski ključ koji šifrira vezu. Kad sve prođe provjeru, preglednik prikazuje lokot i vaša stranica se normalno učitava. Kad nešto nije u redu s iskaznicom, preglednik radi suprotno od umirenja posjetitelja — prikazuje punozaslonsko upozorenje koje kaže, u suštini, “ova stranica možda nije sigurna.”

Ova provjera gleda zdravlje te iskaznice kroz četiri stvari koje je svaka neovisno mogu pokvariti:

• Je li valjana i pouzdana? — izdana od priznatog autoriteta, podudarajuće vaše točne domene, nije samo-potpisana i nije istekla.
• Istječe li uskoro? — jer certifikat koji mine gasi cijelu vašu stranicu.
• Je li potpisan jakom metodom? — stari algoritmi potpisa mogu se krivotvoriti.
• Je li mu ključ dovoljno jak? — slab ključ može se, u principu, probiti.

Dobra vijest unaprijed: dobivanje zdravog certifikata je besplatno, a njegovo zdravlje uglavnom je stvar dopuštanja automatskog obnavljanja da ne mora ručno pamtiti nitko.

Što vas ovo može koštati

• Vikendom prekid. Certifikat tiho doseže datum isteka kasno u petak. Obnavljanje koje se trebalo pokrenuti nije (server je premješten, skripta se pokvarila, nitko nije primijetio). Do subotnjeg jutra svaki posjetitelja — i svaki Googleov robot — vidi punozaslonsko crveno upozorenje umjesto vaše početne stranice. Vaša trgovina je zatvorena, a vi to ni ne znate. Tehnički popravak traje minute; izgubljena vikend prodaja i klijenti koji su zaključili da ste “prestali poslovati” ne vraćaju se.

• Napuštena naplata. Klijent kupuje s telefona na hotelskom Wi-Fi-ju. Vaš certifikat se ne poklapa baš s domenom koju su upisali (recimo pokriva shop.vasatvrtka.com, ali ne i čistu vasatvrtka.com koju su koristili). Preglednik ih upozori da stranica “možda oponaša” vašu. Tehničkom kupcu to se čita kao prijevara — zatvaraju karticu, a vi ne znate da je prodaja uopće postojala.

• Usporeni ugovor. Sigurnosni tim većeg potencijalnog partnera provede rutinsko skeniranje prije potpisa. Vraća se s prikazom samo-potpisanog ili nepouzdanog certifikata na jednoj od vaših poddomeni. Čak i ako je sve ostalo u redu, ta jedna crvena zastava pretvara brzo odobravanje u komunikaciju koja odgađa posao — zbog problema koji ne košta ništa popraviti.

• Usporeno upozorenje. Vaš certifikat je tehnički valjan, ali potpisan s SHA-1, starom metodom koju preglednici postupno ukidaju. Jedno ažuriranje preglednika kasnije, dio vaših posjetitelja počne vidjeti upozorenja koja ne možete reproducirati na vlastitom ažuriranom uređaju. Tiketi podrške počnu pristizati govoreći da stranica “izgleda pokvarenom”, a vi ne možete shvatiti zašto.

• Neuspjeh usklađenosti. Primate kartična plaćanja. Tijekom ponovne revizije provjere vašeg pružatelja označavaju slab ključ ili certifikat koji je istekao. Pravila sigurnosti plaćanja zahtijevaju jaku, aktualnu enkripciju — pa vaša online naplata bude suspendirana dok ne izdate novi, zamrzavajući prihode u najgorem mogućem trenutku.

Što je to zapravo (četiri dijela)

Certifikat može biti nezzdrav na četiri posebna načina, i ova stranica pokriva sve njih. Svaki je posebna provjera ispod haube, ali za vas su svi “je li moj certifikat u redu?“

1. Valjan i pouzdan

Ovo je ključno — i jedini dio zdravlja certifikata koji je provjera kritičnog, najvišeg prioriteta. Certifikat je “valjan i pouzdan” samo kad sve od ovoga vrijedi:

• Izdan je od strane priznatog certifikatnog autoriteta kojemu preglednici već vjeruju (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon i slično).
• Podudara se s točnom domenom koju posjetitelj koristi — uključujući poddomene. Certifikat za www.vasatvrtka.com koji ne pokriva i vasatvrtka.com upozorit će na čistoj domeni.
• Nije samo-potpisan — tj. nije onaj koji ste sami sebi izdali, koji šifrira ali ništa ne dokazuje tko ste.
• Trenutačno je unutar svog datumskog okvira — nije istekao, i nije (neobično, ali se događa) datiran da počne u budućnosti.
• Lanac povjerenja je netaknut — autoritet koji ga je potpisao i sam je pouzdan, sve do korijena.

Ako ijedna od ovih ne prođe, preglednici prikazuju svu poznatu stranicu “Vaša veza nije privatna”, i ova provjera čvrsto ne uspjeva. Dobro izgleda: certifikat priznatog autoriteta, koji pokriva svaku domenu i poddomenu koju zaista koristite, ugodno unutar datuma.

2. Ne istječe uskoro

Svaki certifikat ima tvrdi krajnji datum. Besplatni obično traju 90 dana; plaćeni često godinu. Nakon datuma, povjerenje trenutačno nestaje — nema gracije. Ova provjera mjeri koliko je dana ostalo i kako to djeluje s tko ga je izdao:

• Ako je već istekao, ili istječe za manje od 7 dana, to se tretira kao kritično — znak da obnavljanje nije uspjelo.
• Ako istječe u roku od 30 dana i nije automatski upravljan, to je upozorenje za obnavljanje sada.
• Ako je od pružatelja s auto-obnavljanjem (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL i slični) s barem tjedan dana preostalog, prolazi — jer se očekuje da će se obnoviti sam prije roka.
• Puno zalihe (90+ dana, ili automatski upravljan) je čisto prolaz.

Dobro izgleda: automatski upravljan certifikat koji se obnavlja sam bez da itko ga dira. Jedan najpouzdaniji način da nikad ne imate prekid zbog isteka je da stroj, a ne čovjek, bude odgovoran za obnavljanje.

3. Jak algoritam potpisa

Svaki certifikat je “potpisan” korištenjem kriptografskog algoritma koji preglednicima omogućuje otkrivanje krivotvorenja. Stari algoritmi — MD5 i SHA-1 — pokazano je da se mogu krivotvoriti, što znači da napadač može u principu izraditi lažni certifikat koji izgleda legitimno vaš. Ova provjera prolazi kad certifikat koristi jak, moderan potpis: SHA-256 ili jači (SHA-384, SHA-512), moderan ECDSA, ili Ed25519/Ed448. MD5 i SHA-1 ne prolaze. Dobro izgleda: SHA-256 ili bolji — što je zadano na svakom besplatnom i modernom certifikatu, pa to rijetko je problem za certifikate izdane u posljednjim godinama.

4. Jak ključ

Certifikat nosi kriptografski ključ koji obavlja stvarno šifriranje. Ako je taj ključ previše kratak, moderna računalna snaga može — uz dovoljno resursa — probiti ga, dopuštajući napadaču da se lažno predstavlja kao vaša stranica ili dešifrira promet. Prihvaćeni minimum su 2048-bitni RSA ili 256-bitni eliptički krivuljni (EC). Ova provjera prolazi na tim veličinama ili iznad i ne uspijeva ispod njih. Dobro izgleda: 2048-bitni (ili 4096-bitni) RSA, ili 256-bitni EC ključ poput P-256 — opet, zadano na modernim besplatnim certifikatima.

Napomena o posljednja tri: valjan i pouzdan je kritičan koji pokreće stranicu s upozorenjem. Jačina potpisa i ključa tiče se buduće otpornosti i audita — nedavni besplatni certifikat gotovo uvijek ih automatski prolazi, ali to su stvari koje sigurnosni pregled provjerava, pa ih vrijedi ispraviti.

Kako to popraviti (besplatno, ~15 minuta)

Proslijedite ovaj odjeljak onome tko vodi vašu web stranicu ili hosting — popravak je besplatan. Valjan, jak, automatski obnavljajući certifikat ne košta ništa kroz Let’s Encrypt ili bilo koji moderni host. Mi naplaćujemo samo praćenje da ostane zdravo, ne popravak. Ako nemate IT osobu, napomene po platformama u nastavku dovest će većinu vlasnika do rješenja.

Korak 1 — Nabavite (ili zamijenite) certifikat besplatnim, pouzdanim. Ovaj jedan korak ispravlja valjanost, potpis i jačinu ključa odjednom, jer moderni besplatni certifikati koriste SHA-256 i jake ključeve po zadanom.

• Cloudflare: u SSL/TLS → Pregled, postavite mod na Full (Strict). Cloudflare izdaje i automatski obnavlja pouzdan rubni certifikat za vas; provjerite da vaš server podrijetla također ima valjani certifikat kako bi “Strict” radio.
• Google Workspace / Microsoft 365 hosting ili bilo koji cPanel host: potražite SSL/TLS Status i pokrenite AutoSSL. Automatski dodjeljuje i obnavlja besplatne certifikate.
• Graditelji stranica (Squarespace, Wix, Shopify, moderni WordPress hostovi): SSL je obično uključen po zadanom — potvrdite da je omogućen u postavkama domene/sigurnosti, i da pokriva i vasatvrtka.com i www.vasatvrtka.com.
• Vlastiti Linux server (Nginx/Apache): instalirajte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasatvrtka.com -d www.vasatvrtka.com (ili --apache). Za moderan EC ključ, dodajte --key-type ecdsa. Navedite svako ime hosta koje servirate s -d da se certifikat podudara sa svima.

Korak 2 — Automatizirati obnavljanje da nikad ne istekne. Ovo je korak koji sprječava scenarij vikendom-prekida.

• Na Let’s Encrypt serveru, potvrdite da je timer obnavljanja aktivan i testirajte ga: sudo certbot renew --dry-run. Certbot obično instalira automatski timer; ako ne, dodajte dnevni cron posao: 0 3 * * * certbot renew --quiet.
• Na Cloudflare, cPanel AutoSSL-u i upravljanom/graditelju stranica, obnavljanje je za vas odrađeno — nema ništa za zakazivanje.

Korak 3 — Provjerite pokriva li prava imena. Najčešći uzrok “valjanog ali upozorenja” je nepodudaranje imena. Certifikat mora pokriti svako ime hosta koje klijenti zaista koriste — čistu domenu, www i sve poddomene poput shop. ili app.. Pri generiranju certifikata, uključite svako (zamjenski znak poput *.vasatvrtka.com pokriva sve poddomene odjednom).

Korak 4 — Ako je samo snaga potpisa ili ključa označena, samo iznova izdajte. Ne trebate ništa kupovati: generirajte svježi certifikat (Korak 1) i novi će automatski koristiti SHA-256 i jak ključ. Na vlastitom serveru možete eksplicitno pričvrstiti moderan ključ — npr. openssl ecparam -genkey -name prime256v1 -out server.key za EC, ili openssl genrsa -out server.key 4096 za RSA — zatim iznova izdajte.

Korak 5 — Verificirajte, zatim ovdje ponovo provjerite. Potvrdite datume, izdavatelja i ključ brzom naredbom — echo | openssl s_client -servername vasatvrtka.com -connect vasatvrtka.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — zatim ponovo pokrenite ovu provjeru.

Česte greške

• Tretiranje ‘instalirali smo SSL jednom’ kao gotovog. Certifikati istječu na sat. Bez automatskog obnavljanja, pitanje nije ako iscuri nego kad — obično u najnezgodniji mogući trenutak.
• Pokrivanje www ali ne i čiste domene (ili obratno). Oba moraju biti na certifikatu, ili jedno od njih baca upozorenje o nepodudaranju. Ista zamka uhvati nove poddomene dodane kasnije.
• Ostavljanje samo-potpisanog certifikata na ‘testnoj’ poddomeni koja je zapravo javna. Šifrira, pa se osjeća sigurno — ali preglednici (i sigurnosni skeneri) ga tretiraju kao nepouzdan, i to je klasična crvena zastava revizije.
• Pretpostavljanje da plaćeno znači sigurnije. Besplatni Let’s Encrypt certifikat jednako je pouzdan i šifriran kao skupi. Plaćanje više ne čini jači lokot.
• Obnavljanje certifikata, ali zaboravljanje ponovnog pokretanja servera. Novi certifikat koji leži na disku ništa ne čini dok web server nije ponovo pokrenut da ga preuzme — iznenađujuće čest uzrok “obnovio sam ga, ali i dalje prikazuje isteklog.”
• Automatsko obnavljanje koje je tiho neuspjelo. Posao obnavljanja može se pokvariti (premješten fajl, DNS promjena, blokiran port) i nastaviti “uspješno” tiho. Praćenje datuma isteka — a ne samo posla obnavljanja — je ono što zapravo uhvati ovo prije nego nas ugrizne.

Česta pitanja