Defaults.Exposed › Rešenja › Zdravlje TLS sertifikata

Kako popraviti Zdravlje TLS sertifikata

Vaš SSL/TLS sertifikat je digitalna lična karta koja dokazuje posetiocu da zaista razgovara s vašim sajtom — a ne s lažnom kopijom — i pokreće katanac u pretraživaču. Ova provjera razmatra da li je taj sertifikat validan i poverljiv, da li uskoro ističe i da li je izgrađen s jakom, modernom kriptografijom.

Suština za vaše poslovanje: Pokvaren ili istekao sertifikat zamenjuje vaš sajt crvenim upozorenjem 'Vaša veza nije privatna' na celom ekranu u svakom pretraživaču. Većina posetilaca odmah odlazi i ne vraća se — prodaja staje, registracije staju, a veza koja je trebalo da bude privatna može biti tiho presretnuta.

Šta vam ovo može koštati

Vaš sertifikat tiho ističe tokom vikenda; do ponedeljka svaki posetilac nailazi na upozorenje bezbednosti na celom ekranu, vaše forme za plaćanje i kontakt su mrtve, a vi gubite prodaju za svaki sat koji treba da primetite i obnovite.
Kupac koji plaća na Wi-Fi-ju u kafiću ili hotelu dobija upozorenje da vaš sertifikat ne odgovara vašem domenu — pretpostavljaju da je vaš sajt lažan ili hakovan, napuštaju kupovinu i drugima govore da je 'izgledao sumnjivo'.
IT tim većeg klijenta vrši bezbednosno skeniranje pre potpisivanja ugovora, vidi samopotpisani ili nepoverljivi sertifikat i označi vas kao rizik — posao kasni zbog nečeg što ništa ne košta da se popravi.
Vaš sertifikat koristi zastareli metod potpisivanja ili slab ključ; moderni pretraživači počinju prikazivati upozorenja, a bezbednosna revizija vas ocjenjuje slabijim za kriptografiju koja godinama nije na preporučenoj listi.
Primate kartična plaćanja i vaš provajder za plaćanja vas ponovo revidira; slab ključ ili istekli sertifikat krši pravila bezbednosti plaćanja i vaša online narudžba biva zamrznuta dok se to ne ispravi.

Zašto je to važno. Sertifikat je najvidljiviji deo bezbednosti vašeg sajta — kad je zdrav, nevidljiv je, a kad se pokvari, povlači ceo vaš sajt s jezivim upozorenjem koje tjera kupce pravo kod konkurenata. Isticanje sertifikata je broj jedan uzrok neočekivanih ispada sajta, i u potpunosti je predvidljivo. Dobijanje validnog sertifikata je besplatno, a održavanje zdravog uglavnom se svodi na dopuštanje automatskog obnavljanja.

Šta je ovo, jednostavnim rečima

Kad neko posjeti vaš sajt, dvije stvari moraju se desiti da se osjete sigurno upisujući lozinku ili broj kartice. Prvo, veza mora biti šifrirana da je stranci ne mogu čitati. Drugo — i to je deo koji se zaboravlja — pretraživač posjetioca mora biti siguran da se zaista nalazi na vašem sajtu na drugom kraju, a ne na lažnoj kopiji. Stvar koja obavlja oba posla je vaš TLS sertifikat (često zvan “SSL sertifikat”).

Zamislite to kao otpornu na krivotvorenje ličnu kartu za vaš domen. Prepoznata vlast je izdaje, označena je imenom vašeg domena i datumom isteka, i nosi kriptografski ključ koji šifrira vezu. Kada sve prođe provjeru, pretraživač prikazuje katanac i vaš sajt se normalno učitava. Kad nešto nije u redu s ličnom kartom, pretraživač radi suprotno od umirenja posjetioca — prikazuje upozorenje na celom ekranu koje kaže, u suštini, “ovaj sajt možda nije siguran.”

Ova provjera gleda zdravlje te lične karte kroz četiri stvari koje svaka od kojih ga može nezavisno pokvariti:

Je li validan i poverljiv? — izdat od prepoznate vlasti, koji odgovara tačno vašem domenu, nije samopotpisan i nije istekao.
Je li uskoro istekao? — jer sertifikat koji istekne ruši ceo vaš sajt.
Je li potpisan jakom metodom? — stari algoritmi potpisivanja mogu se krivotvoriti.
Je li mu ključ dovoljno jak? — slab ključ se u principu može probiti.

Dobra vest unapred: dobijanje zdravog sertifikata je besplatno, a održavanje zdravog uglavnom se svodi na dopuštanje automatskog obnavljanja da niko ne mora pamtiti.

Šta vam ovo može koštati

Ispad tokom vikenda. Sertifikat tiho dostiže datum isteka u petak kasno noću. Obnavljanje koje je trebalo da se pokrene nije se pokrenulo (server se preselio, skripta se pokvarila, niko nije primijetio). Do subote ujutro svaki posetilac — i svaki Google pretraživač — vidi crveno upozorenje umesto vaše početne stranice. Vaša radnja je zatvorena i vi to ne znate. Tehnička popravka traje minuta; izgubljena prodaja tokom vikenda i kupci koji su odlučili da ste “prestali s radom” se ne vraćaju.
Napušten checkout. Kupac kupuje putem telefona na hotelskom Wi-Fi-ju. Vaš sertifikat se ne podudara baš s domenom koji su upisali (recimo pokriva shop.vasadomena.com, ali ne i golo vasadomena.com koje su koristili). Pretraživač ih upozori da sajt “možda lažira” vaš. Za netehničkog kupca to čita se kao prevara — zatvore tab, a vi nikad ne saznate da je prodaja postojala.
Zaustavljen ugovor. Bezbednosni tim većeg potencijalnog klijenta vrši rutinsko skeniranje pre potpisivanja. Vraća se s samopotpisanim ili nepoverljivim sertifikatom na jednom od vaših subdomjena. Čak i ako je sve ostalo u redu, taj jedini crveni flag pretvara brzo odobrenje u razmenu koja odgađa posao — zbog problema koji ništa ne košta da se popravi.
Upozorenje u sporom napredovanju. Vaš sertifikat je tehnički validan, ali potpisan SHA-1, starom metodom koju pretraživači postupno ukidaju. Jedno ažuriranje pretraživača kasnije, deo vaših posjetioca počinje vidjeti upozorenja koja ne možete reprodukovati na vlastitom ažuriranom računaru. Tiketi za podršku kapu u kojima piše da sajt “izgleda pokvaren” i ne možete shvatiti zašto.
Compliance neuspeh. Primate kartična plaćanja. Tokom ponovne revizije, provjere vašeg provajdera flaguju slab ključ ili sertifikat koji je istekao. Pravila bezbednosti kartica zahtevaju jaku, aktuelnu enkripciju — pa vaša online narudžba biva obustavljena dok ne reizdate, zamrzavajući prihod u najgorem mogućem trenutku.

Šta je to zapravo (četiri dijela)

Sertifikat može biti nezdrav na četiri različita načina, i ova stranica pokriva sve. Svaki je zasebna provjera, ali za vas su svi “je li moj sertifikat u redu?“

1. Validan i poverljiv

Ovo je glavna stvar — i jedini deo zdravlja sertifikata koji je kritičan, provjera s najvećom težinom. Sertifikat je “validan i poverljiv” samo kada su sve ove stavke istinite:

Izdat je od prepoznate sertifikacione vlasti kojoj pretraživači već vjeruju (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon itd.).
Odgovara tačnom domenu koji posetilac koristi — uključujući subdomene. Sertifikat za www.vasadomena.com koji ne pokriva i vasadomena.com će upozoriti na goli domen.
Nije samopotpisan — tj. nije onaj koji ste sebi izdali, koji šifrira, ali ništa ne dokazuje o tome ko ste.
Trenutno je unutar datumskog prozora — nije istekao, i nije (čudno, ali dešava se) datiran da počne u budućnosti.
Lanac poverenja je netaknut — vlast koja ga je potpisala sama je poverljiva, sve do vrha.

Ako bilo koje od ovih padne, pretraživači prikazuju dreaded stranicu “Vaša veza nije privatna”, a ova provjera tvrdno pada. Dobro izgleda ovako: sertifikat od prepoznate vlasti, koji pokriva sve domene i subdomene koje zaista koristite, komforno unutar datuma.

2. Ne uskoro ističe

Svaki sertifikat ima tvrdi datum isteka. Besplatni obično traju 90 dana; plaćeni često godinu. Prošavši datum, poverenje odmah nestaje — nema perioda milosti. Ova provjera mjeri koliko dana preostaje i kako to stupa u interakciju s ko je ga izdao:

Ako je već istekao, ili ističe za manje od 7 dana, to se tretira kao kritično — znak da je obnavljanje palo.
Ako ističe za 30 dana i nije automatski upravljan, to je upozorenje za obnavljanje sada.
Ako je od auto-obnavlja juće vlasti (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL i slično) s barem nedeljom preostatih, prolazi — jer se očekuje da se obnovi samo pre roka.
Dosta piste (90+ dana, ili automatski upravljan) je čist prolaz.

Dobro izgleda ovako: automatski upravljan sertifikat koji se obnavlja sam bez da ga iko dira. Najpouzdaniji način da se nikada ne desi ispad zbog isteka je da mašina, ne čovjek, bude odgovorna za obnavljanje.

3. Jak algoritam potpisivanja

Svaki sertifikat je “potpisan” kriptografskim algoritmom koji pretraživačima dozvoljava da otkriju krivotvorenje. Stari algoritmi — MD5 i SHA-1 — dokazano su krivotvorivi, što znači da napadač u principu može napraviti lažni sertifikat koji izgleda legitimno kao vaš. Ova provjera prolazi kada sertifikat koristi jak, moderan potpis: SHA-256 ili jači (SHA-384, SHA-512), moderan ECDSA, ili Ed25519/Ed448. MD5 i SHA-1 padaju. Dobro izgleda ovako: SHA-256 ili bolji — što je default na svakom besplatnom i modernom sertifikatu, pa to rijetko je problem na svemu što je izdato u nedavnim godinama.

4. Jak ključ

Sertifikat nosi kriptografski ključ koji vrši stvarno šifriranje. Ako je taj ključ prekratak, moderna računarska moć može — uz dovoljno resursa — probiti ga, dozvoljavajući napadaču da se lažno predstavlja kao vaš sajt ili dekriptuje saobraćaj. Prihvaćeni minimumi su 2048-bitni RSA ili 256-bitni eliptični (EC). Ova provjera prolazi na tim veličinama ili više i pada ispod. Dobro izgleda ovako: 2048-bitni (ili 4096-bitni) RSA, ili 256-bitni EC ključ poput P-256 — opet, default na modernim besplatnim sertifikatima.

Napomena o poslednja tri: validan-i-poverljiv je kritičan koji pokreće stranicu s upozorenjem. Jačina potpisa i ključa tiče se budućeg osiguranja i revizija — nedavni besplatni sertifikat ih gotovo uvek automatski prolazi, ali to su stvari koje bezbednosna revizija proverava, pa ih vrijedi ispraviti.

Kako popraviti (besplatno, ~15 minuta)

Prosledite ovaj odeljak ko god pokreće vaš sajt ili hosting — popravka je besplatna. Validan, jak, auto-obnavlja juć sertifikat ništa ne košta putem Let’s Encrypt-a ili modernog hosta. Naplaćujemo samo praćenje da ostane zdravo tokom vremena, a ne popravak. Ako nemate IT osobu, napomene o platformi ispod će dovesti većinu vlasnika tamo.

Korak 1 — Dobijte (ili zamijenite) sertifikat besplatnim, poverljivim. Ovaj jedan korak ispravlja valjanost, potpis i jačinu ključa odjednom, jer moderni besplatni sertifikati po defaultu koriste SHA-256 i jake ključeve.

Cloudflare: u SSL/TLS → Overview, postavite mod na Full (Strict). Cloudflare izdaje i automatski obnavlja poverljivi edge sertifikat za vas; pobrinite se da vaš origin server ima validan sertifikat da “Strict” funkcioniše.
Google Workspace / Microsoft 365 hosting ili bilo koji cPanel host: potražite SSL/TLS Status i pokrenite AutoSSL. Automatski providi i obnavlja besplatne sertifikate.
Graditelji sajta (Squarespace, Wix, Shopify, moderni WordPress hostovi): SSL je obično podrazumevano uključen — potvrdite da je omogućen u podešavanjima domena/bezbednosti, i da pokriva i vasadomena.com i www.vasadomena.com.
Vlastiti Linux server (Nginx/Apache): instalirajte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasadomena.com -d www.vasadomena.com (ili --apache). Za moderan EC ključ, dodajte --key-type ecdsa. Navedite svako ime hosta koje servirate s -d da sertifikat svima odgovara.

Korak 2 — Neka obnavljanje bude automatsko da nikad više ne istekne. Ovo je korak koji sprečava scenario ispada tokom vikenda.

Na Let’s Encrypt serveru, potvrdite da je tajmer obnavljanja aktivan i testirajte ga: sudo certbot renew --dry-run. Certbot normalno instalira automatski tajmer; ako nije, dodajte dnevni cron: 0 3 * * * certbot renew --quiet.
Na Cloudflare-u, cPanel AutoSSL-u i managed/site-builder hostovima, obnavljanjem se upravlja za vas — nema ničeg za zakazivanje.

Korak 3 — Pobrinite se da pokriva prava imena. Najčešći uzrok “validan, ali upozorenje” je nepodudaranje imena. Sertifikat mora pokriti svako ime hosta koje kupci zaista koriste — goli domen, www i sve subdomene poput shop. ili app.. Kod generisanja sertifikata, uključite svaki (wildcard poput *.vasadomena.com pokriva sve subdomene odjednom).

Korak 4 — Ako je samo jačina potpisa ili ključa označena, samo reizdate. Ne trebate ništa kupovati: generišite novi sertifikat (Korak 1) i novi će automatski koristiti SHA-256 i jak ključ. Na vlastitom serveru možete eksplicitno pričvrstiti moderan ključ — npr. openssl ecparam -genkey -name prime256v1 -out server.key za EC, ili openssl genrsa -out server.key 4096 za RSA — zatim reizdate.

Korak 5 — Verifikujte, zatim ponovo provjerite ovdje. Potvrdite datume, izdavaoca i ključ brzom komandom — echo | openssl s_client -servername vasadomena.com -connect vasadomena.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — zatim ponovo pokrenite ovu provjeru.

Česte greške

Tretiranje ‘instalirali smo SSL jednom’ kao gotovog. Sertifikati ističu po satu. Bez auto-obnavljanja, pitanje nije ako istekne, nego kada — obično u najnezgodnijem trenutku.
Pokrivanje www, ali ne i golog domena (ili obrnuto). Oba moraju biti na sertifikatu, ili jedan od njih prikazuje upozorenje o nepodudaranju. Ista zamka hvata nove subdomene dodane kasnije.
Ostavljanje samopotpisanog sertifikata na ‘test’ subdomenu koji je zapravo javan. Šifrira, pa izgleda sigurno — ali pretraživači (i bezbednosni skeneri) ga tretiraju kao nepoverljivog i klasičan je crveni flag revizije.
Pretpostavljanje da plaćeni znači sigurniji. Besplatan Let’s Encrypt sertifikat tačno je isto poverljiv i šifriran kao i skupi. Plaćanje više ne čini jači katanac.
Obnavljanje sertifikata, ali zaboravljanje restarta servera. Novi sertifikat koji leži na disku ništa ne radi dok web server ne bude restartovan da ga pokupi — iznenađujuće čest uzrok “obnovio sam ga, ali i dalje prikazuje isteklo.”
Auto-obnavljanje koje je tiho palo. Posao obnavljanja se može pokvariti (premješten fajl, promjena DNS-a, blokiran port) i nastaviti “uspješno” tiho. Praćenje datuma isteka — ne samo posla obnavljanja — je ono što zaista to hvata pre nego što ujede.

Često postavljana pitanja

Nisam tehničar — mogu li ovo srediti sam?

Ne morate razumeti kriptografiju. Validan sertifikat je besplatan (putem Let's Encrypt-a i većine modernih hostova), a na managed hostingu je obično automatizovano. Prosledite odeljak 'Kako popraviti' ispod ko god pokreće vaš sajt ili hosting — za veliku većinu preduzeća to je brz, besplatan posao, a ne kupovina.

Moj sajt prikazuje katanac — znači li to da je sertifikat u redu?

Katanac samo znači da sigurna veza trenutno postoji. Ne govori vam da sertifikat uskoro ističe, da je izgrađen na jakom ključu, ili da će sutra pretraživači i dalje vjerovati njemu. Ova provjera gleda iza katanca na četiri stvari koje ga zaista drže upaljenim: da li je sertifikat validan i poverljiv, da li uskoro ističe, da li je potpisan jakim algoritmom i da li mu je ključ dovoljno jak.

Moram li platiti za SSL sertifikat?

Ne. Besplatni sertifikati od Let's Encrypt-a (i ugrađeni u Cloudflare, cPanel AutoSSL i većinu modernih hostova) poverljivi su od svakog pretraživača i jednako su bezbedni kao plaćeni. Plaćeni sertifikati uglavnom kupuju ugovore o podršci, garancije ili oznake proširene validacije — od kojih ništa ne utiče na to da li je vaš sajt šifriran ili poverljiv. Nikad ne naplaćujemo popravku; naplaćujemo samo praćenje da ostane zdravo.

Kako sertifikat može 'isteći' — i zašto to ruši moj sajt?

Svaki sertifikat ima fiksni datum isteka (često 90 dana za besplatne). Nakon tog datuma, pretraživači odbijaju mu vjerovati i prikazuju stranicu s upozorenjem na celom ekranu umesto vašeg sajta. To nije postepeno opadanje — radi savršeno do roka, a zatim se potpuno pokvari. Zbog toga je automatsko obnavljanje toliko bitno: ono uklanja čovjeka koji bi inače zaboravio.

Šta je 'samopotpisani' sertifikat i zašto pada?

Samopotpisani sertifikat je onaj koji ste sami sebi izdali, a ne dobili od prepoznate vlasti. On šifrira vezu, ali ništa ne garantuje da ste zaista vi — pa pretraživači to tretiraju kao nepoverljivo i upozoravaju posetioce, baš kao što bi za lažni sertifikat napadača. Za javni sajt uvek trebate sertifikat od poverljive vlasti, što je besplatno.

Šta zapravo znači 'slab ključ' i 'slab algoritam potpisivanja' za moje preduzeće?

Oboje su načini na koje sertifikat može biti tehnički validan danas, ali kriptografski krhak. Slab ključ (ispod 2048-bitnog RSA ili 256-bitnog EC) se u principu može probiti, dozvoljavajući napadaču da se lažno predstavlja kao vaš sajt. Slabi potpis (SHA-1 ili MD5) može se krivotvoritit da stvori uvjerljiv lažni sertifikat. Moderni besplatni sertifikati po defaultu koriste jake ključeve i potpise, pa je popravka gotovo uvek samo reizydavanje — bez troška.