Defaults.Exposed › Ispravci › HTTPS i prisilno sigurno preusmjeravanje

Kako popraviti HTTPS i prisilno sigurno preusmjeravanje

HTTPS je lokot u adresnoj traci preglednika — šifrira sve što putuje između vaše web stranice i vaših klijenata da se ne može čitati ni mijenjati u prijenosu. Prisilno sigurno preusmjeravanje osigurava da posjetitelji automatski stignu na tu šifriranu verziju, čak i kad upišu vašu adresu bez 'https://'. Zajedno su jedna jedina najosnovnija stvar koja web stranici treba da se uopće smatra sigurnom.

Zaključak za vaše poslovanje: Bez HTTPS-a, svaka lozinka, broj kartice i poruka koje vam klijent pošalje prolaze internetom kao čitljivi tekst, a Chrome, Edge, Safari i Firefox označe vašu stranicu 'Nije sigurno' za svakog posjetitelja prije nego pročita i jedan red. Bez preusmjeravanja, čak i stranice koje imaju certifikat ostavljaju prvi posjet nezaštićenim. Oboje košta povjerenje, prodaju i rang u pretraživanju — a oboje je besplatno popraviti za nekoliko minuta.

Što vas ovo može koštati

• Novi posjetitelj vidi veliko upozorenje 'Nije sigurno' čim se stranica učita. Većina pretpostavi da je stranica lažna, pokvarena ili nesigurna i ode kod konkurenta — a vi nikad ne znate da je prodaja izgubljena.
• Klijent unese podatke kartice ili se prijavi putem nešifrirane veze iz kafića, hotela ili zračne luke. Netko na istom Wi-Fi-ju to čita u otvorenom tekstu, a lažne naplate koje uslijede svaliju se na vas.
• Nabavni ili sigurnosni tim većeg klijenta provede brzo skeniranje prije potpisa, vidi da nema HTTPS-a ili nedostaje prisilno sigurno preusmjeravanje i parkira ugovor dok ne dokažete da je ispravljeno.
• Google vas rangira ispod konkurenata koji koriste HTTPS, pa tiho gubite pretraživački promet godinama bez da ikad to povežete s ovim propustom.
• Regulator ili vaš pružatelj plaćanja tretira slanje osobnih ili kartičnih podataka nešifrirano kao prijavljivi propust, pretvarajući besplatni petominutni popravak u problem usklađenosti.

Zašto je to važno. HTTPS je pod, a ne strop, web sigurnosti — to je ono što uzrokuje pojavu lokota i što sprječava čitanje ili mijenjanje svega što vaši klijenti šalju na putu. Prisilno sigurno preusmjeravanje zatvara jaz koji samo certifikat ostavlja otvorenim: ljudi gotovo nikad ne upisuju 'https://', pa bez preusmjeravanja njihov prvi zahtjev putuje nezaštićen prije nego se sigurna verzija uopće učita. Stranici koja nedostaje ijednog od toga klijentima izgleda nesigurno, rangira se niže u pretraživanju i izlaže stvarne korisničke podatke — što je razlog zašto je ovo jedini najveći neuspjeh koji ocjenjujemo.

Što je ovo, jednostavnim riječima

HTTPS je sigurna, šifrirana verzija vaše web stranice — ona koja prikazuje lokot u adresnoj traci. Kad je posjetitelj na HTTPS-u, sve što prolazi između njihovog preglednika i vaše stranice (stranice koje vide, obrasci koje ispunjavaju, lozinke, podaci kartice) je zamiješano tako da ga nitko između ne može čitati ni mijenjati. Obična verzija, HTTP, šalje sve to kao čitljivi tekst koji bilo tko na istoj mreži može presresti.

Dvije su stvari koje treba ispravno postaviti, i obje provjeravamo:

• Je li HTTPS uopće dostupan? Ima li vaša stranica radni sigurnosni certifikat da postoji sigurna, zaključana verzija? Ovo je ozbiljnije od dvoje — bez njega nema nikakve enkripcije.
• Prisiljava li vaša stranica posjetitelje na njega? Gotovo nitko ne upisuje “https://” ručno. Ako netko upiše samo ime vaše domene, njihov preglednik najprije pokuša običnu HTTP verziju. Prisilno sigurno preusmjeravanje automatski odbacuje taj zahtjev na šifriranu verziju. Bez njega, prve sekunde svakog posjeta su nezaštićene čak i kad imate certifikat.

Trebate oboje. Certifikat bez preusmjeravanja je zaključana ulazna vrata oko kojih posjetitelji jednostavno mogu hodati.

Poslovni ulozi

Ovo je najosnovniji signal je li web stranica sigurna — i što je ključno, to je nešto što vaši klijenti mogu sami vidjeti. Svaki moderni preglednik (Chrome, Edge, Safari, Firefox) označava stranicu bez HTTPS-a kao “Nije sigurno” desno u adresnoj traci, i prikazuje upozorenje ako netko pokuša nešto upisati u obrazac. Vaši posjetitelji ne trebaju znati što je certifikat da bi reagirali na tu riječ.

Osim vidljivog upozorenja, ovo utječe na tri stvari koje vlasnicima direktno stalo: povjerenje (ljudi napuštaju stranice koje izgledaju nesigurno), rang u pretraživanju (Google koristi HTTPS kao signal rangiranja godinama i favorizira sigurne stranice) i stvarna izloženost (podaci poslani putem običnog HTTP-a zaista mogu biti pročitani od strane ostalih na istoj mreži). Ovo je i vrsta stvari koju sigurnosni tim većeg klijenta provjeri u sekundama tijekom due diligence — a nedostaje li, može zaustaviti posao.

Što vas ovo može koštati

• Tiho odlaženje. Potencijalni klijent klikne kroz rezultat pretraživanja ili oglas, i stranica se učita s sivim odznakom “Nije sigurno” — ili, još gore, punozaslonskim upozorenjem. Ne e-pošte vam da pita zašto; jednostavno zatvore karticu i kliknu sljedeći rezultat. Platili ste za taj posjet i izgubili ste ga prije nego su pročitali i jedan red, i ništa u analitici vam ne govori zašto.
• Presretnuta prijava ili plaćanje. Klijent se prijavi ili plati na dijeljenom Wi-Fi-ju hotela ili kafića. Budući da veza nije šifrirana, netko u blizini uhvati njihovu lozinku ili broj kartice u otvorenom tekstu. Prijevara koja uslijedi prijavljuje se kao vaš propust, a vi ste oni koji primaju ljutite pozive i povratne naplate.
• Posao koji stane. Veći potencijalni partner spreman je potpisati, ali njihov nabavni proces uključuje brzu sigurnosnu provjeru vaše web stranice. Vraća se s oznakom da nema HTTPS-a, ili nedostaje prisilno sigurno preusmjeravanje. Iznenada objašnjavate temeljni sigurnosni propust umjesto da zatvarate — a ugovor čeka, ili tiho ide kod konkurenta koji je prošao provjeru.
• Sporo curenje ranga. Dvije tvrtke nude istu stvar; jedna pruža sigurni HTTPS, a jedna ne. Pretraživači lagano guraju sigurnu naviše. Kroz mjesece gubite stalni trickle besplatnog prometa i nikad to ne povežete s ovom jednom postavkom.
• Ubačeni sadržaj koji niste napisali. Na nešifriranoj vezi, netko u sredini — sumnjiva javna mreža, kompromitirani ruter — može ubaciti lažne skočne prozore, prijevarne ponude ili malware u vaše stranice dok ih posjetitelja učitava. Tome posjetitelju, izgleda kao da je vaša stranica to napravila.

Što je to zapravo

Kad preglednik se spoji na web stranicu putem HTTPS-a, dvije se stvari dogode. Najprije, stranica predstavlja certifikat — akreditiv izdan od pouzdanog autoriteta koji dokazuje da je stranica ona za koju se predstavlja. Zatim, preglednik i server se dogovore o enkripcijskom ključu i koriste ga za zamiješavanje svega što razmjenjuju. Naša prva provjera, HTTPS dostupan, jednostavno pita: možemo li uspostaviti sigurnu TLS vezu s vašom stranicom na standardnom sigurnom priključku (443) i dobiti valjani certifikat? Ako da, lokot se može pojaviti i enkripcija je uključena. Ako ne, ne postoji sigurna verzija vaše stranice — i to je jedini najtežije ocijenjeni neuspjeh koji bodujemo.

Druga provjera, prisilno sigurno preusmjeravanje, pokriva jaz koji certifikat sam ostavlja otvorenim. Ljudi upisuju “vasotvrtka.com”, ne “https://vasatvrtka.com”. Taj čisti zahtjev ide na prvu običnu HTTP verziju. Preusmjeravanje je jednolinirajska uputa koja kaže “pošaljite svakoga tko stigne na nesigurnu verziju odmah na sigurnu.” Naša provjera pita: kad zatražimo vašu običnu HTTP adresu, preusmjeruje li vas vaša stranica na HTTPS? Ako preusmjeruje, svaki posjetitelja završi zaštićen bez obzira kako su upisali vašu adresu. Ako ne, taj prvi nezaštićeni hop nosi što god preglednik šalje — kolačiće, podatke obrasca — u otvorenom.

Kako izgleda ‘dobro’: valjani, pouzdani certifikat da lokot prikazuje na svakoj stranici, i svaki obični-HTTP zahtjev automatski preusmjeren na HTTPS verziju (idealno s permanentnim “301” preusmjeravanjem, koje i rang vašeg pretraživanja čisto prenosi na sigurnu adresu).

Kako to popraviti (besplatno, ~15 minuta)

Proslijedite ovaj odjeljak vašoj IT osobi ili podršci vašeg pružatelja hostinga — popravak je besplatan. Oba dijela ne koštaju ništa: pouzdani certifikati su besplatni i obnavljaju se sami, a uključivanje preusmjeravanja je jedna jedina postavka na većini platformi. Nema plaćenog proizvoda potrebnog za prolaz ovoga.

Dvije su stvari za uključiti. Na većini modernog hostinga, činjenje prve često čini drugu jednim klikom.

1. Nabavite certifikat da HTTPS radi (lokot).

• Cloudflare: ako je vaša stranica iza Cloudflarea, SSL je za vas odrađen. Postavite SSL/TLS mod na “Full” (ili “Full (strict)” ako vaš server podrijetla također ima certifikat).
• Graditelji stranica i upravljani hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, većina Microsoft 365 / Google Workspace web hostinga): HTTPS je automatski pružen; samo provjerite da je omogućen u postavkama stranice/domene — obično nema ništa za instalirati.
• cPanel hosting: otvorite SSL/TLS Status i pokrenite AutoSSL, koji izdaje besplatni Let’s Encrypt certifikat.
• Vlastiti server (VPS): instalirajte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasadomena.com (ili --apache). Dohvaća i instalira besplatni certifikat i postavlja automatsko obnavljanje.
• Sve ostalo: kontaktirajte podršku vašeg pružatelja hostinga i zamolite ih da “omoguće besplatni SSL certifikat za moju domenu.” Gotovo svi to nude bez troškova.

2. Prisilite svakog posjetitelja na HTTPS (preusmjeravanje).

• Cloudflare: SSL/TLS → Rubni certifikati → uključite “Uvijek koristi HTTPS.” To je cijeli posao.
• Graditelji stranica (Squarespace, Wix, Shopify, itd.): potražite “Prisili HTTPS” ili “Sigurno (HTTPS)” prebacivanje u postavkama vaše stranice i uključite ga.
• Nginx: dodajte server blok na priključku 80 koji vraća permanentno preusmjeravanje — return 301 https://$host$request_uri;.
• Apache (.htaccess): omogućite pisanje i preusmjerite bilo koji non-HTTPS zahtjev — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): instalirajte modul URL Rewrite i dodajte pravilo preusmjeravanja “HTTP na HTTPS”.

Nakon što su oba uključena, testirajte: upišite svoju adresu s običnim http:// ispred i potvrdite da preglednik skočio na zaključanu https:// verziju automatski, i da lokot prikazuje na vašim glavnim stranicama.

Česte greške

• Certifikat instaliran, ali nema preusmjeravanja. Najčešći propust. Vidite lokot kad posjetite vlastitu stranicu (jer vaš preglednik je zapamtio HTTPS), pa pretpostavljate da je gotovo — ali novi posjetitelji koji upišu čistu domenu još uvijek najprije stižu na HTTP. Uvijek testirajte običnu http:// verziju eksplicitno.
• Miješani sadržaj. Vaša stranica se učitava putem HTTPS-a, ali povlači sliku, skriptu ili font sa stare http:// adrese. Preglednici je ili blokiraju ili snizuju lokot na upozorenje. Ažurirajte te reference na https:// (ili na relativne linkove). Većina platformi ima izvješće “miješani sadržaj” ili “nesiguran sadržaj” koje ih pronalazi.
• Privremeno (302) preusmjeravanje umjesto permanentnog (301). 302 radi za posjetitelje, ali pretraživačima govori da je premještanje privremeno, pa vrijednost ranga se ne prenosi čisto na vašu sigurnu adresu. Koristite permanentno 301.
• Preusmjeravanje samo čiste domene, ne ‘www’ (ili obratno). Provjerite da i vasadomena.com i www.vasadomena.com završe na HTTPS-u, inače jedna putanja i dalje je izložena.
• Dopuštanje isteka certifikata. Istekli certifikat baca punozaslonsku greška preglednika koja zaustavlja posjetitelje. Besplatni Let’s Encrypt certifikati se automatski obnavljaju; ako ste kupili jedan ručno, postavite podsjetnik u kalendaru dobro pred njegovim istekom.

FAQ

Pogledajte pitanja gore — pokrivaju netehničko “mogu li ovo sam”, razliku između lokota i prisilnog preusmjeravanja, trošak i obnavljanje certifikata, je li brošurskim stranicama to potrebno i kako ovo odnosi se na HSTS.

Česta pitanja