Defaults.Exposed › Rešenja › HTTPS i preusmjeravanje na sigurnu vezu

Kako popraviti HTTPS i preusmjeravanje na sigurnu vezu

HTTPS je katanac u traci pretraživača — šifrira sve što putuje između vašeg sajta i vaših kupaca da ne može biti pročitano ili izmijenjeno u tranzitu. Prisilno preusmjeravanje na sigurnu vezu osigurava da posjetioci automatski budu preusmjereni na tu šifrovanu verziju, čak i kad unesu adresu bez 'https://'. Zajedno su najosnovnija stvar koju sajt mora imati da se smatra bezbednim uopšte.

Suština za vaše poslovanje: Bez HTTPS-a, svaka lozinka, broj kartice i poruka koje kupac vam pošalje prelazi internet kao čitljiv tekst, a Chrome, Edge, Safari i Firefox svi označavaju vaš sajt 'Nije bezbedno' za svakog posjetioca pre nego što pročitaju i reč. Bez preusmjeravanja, čak i sajtovi koji imaju sertifikat ostavljaju prvu posjetu nezaštićenu. Oboje vam koštaju poverenje, prodaju i rang u pretrazi — i oboje je besplatno popraviti za nekoliko minuta.

Šta vam ovo može koštati

• Prviput posetilac vidi veliko upozorenje 'Nije bezbedno' čim se stranica učita. Većina pretpostavi da je sajt lažan, pokvaren ili nesiguran i ode kod konkurenta — a vi nikad ne znate da je prodaja izgubljena.
• Kupac unosi podatke kartice ili se prijavljuje putem nešifrovane veze iz kafića, hotela ili aerodroma. Neko na istom WiFi-ju to čita kao čist tekst, a prevarni troškovi koji slede bivaju pripisani vama.
• Nabavni ili bezbednosni tim većeg klijenta vrši brzo skeniranje pre potpisivanja, vidi da nema HTTPS-a ili nedostaje preusmjeravanje na sigurnu vezu i parkira ugovor dok ne možete dokazati da je to ispravljeno.
• Google vas rangira niže od konkurenata koji koriste HTTPS, pa tiho gubite saobraćaj iz pretrage godinama bez da to ikad povežete s ovim propustom.
• Regulator ili vaš provajder za plaćanja tretira slanje ličnih ili kartičnih podataka nešifrovano kao prijavljiv propust, pretvarajući petominutnu besplatnu popravku u compliance problem.

Zašto je to važno. HTTPS je pod, ne plafon, web bezbednosti — to je ono što čini da katanac izgleda i ono što sprečava da sve što vaši kupci šalju bude pročitano ili izmijenjeno na putu. Prisilno preusmjeravanje zatvara prazninu koju sam sertifikat ostavlja otvorenu: ljudi skoro nikad ne upisuju 'https://', pa bez preusmjeravanja njihov prvi zahtjev putuje nezaštićeno pre nego što se sigurna verzija uopšte učita. Sajtu koji nema ni jedno ni drugo izgleda nebezbedno posetiocima, rangira niže u pretrazi i izlaže prave podatke kupaca — zbog čega je ovo najteze pondera jedan neuspeh kojeg bodujemo.

Šta je ovo, jednostavnim rečima

HTTPS je sigurna, šifrovana verzija vašeg sajta — ona koja prikazuje katanac u traci adrese. Kad je posjetilac na HTTPS-u, sve što prolazi između njihovog pretraživača i vašeg sajta (stranice koje vide, forme koje popunjavaju, lozinke, kartični podaci) je šifrovano tako da ga niko u sredini ne može čitati ili mjeniti. Obična verzija, HTTP, sve to šalje kao čitljiv tekst koji svako na istoj mreži može presresti.

Postoje dva dijela da ovo ispravno podesimo, i oba provjeravamo:

• Je li HTTPS uopšte dostupan? Da li vaš sajt ima radni bezbednosni sertifikat tako da sigurna, katancem zaštićena verzija postoji? Ovo je ozbiljnija od dve stvari — bez toga nema nikakve enkripcije.
• Da li vaš sajt prisiljava posjetioce na nju? Skoro niko ne upisuje “https://” ručno. Ako neko upiše samo vaše ime domene, pretraživač najpre probuje običnu HTTP verziju. Prisilno preusmjeravanje na sigurnu vezu automatski preusmjeri taj zahtjev na šifrovanu verziju. Bez njega, prvi trenuci svake posjete su nezaštićeni čak i kad imate sertifikat.

Želite oboje. Sertifikat bez preusmjeravanja je zaključana prednja vrata kroz koja posjetioci mogu jednostavno zaobići.

Poslovni ulozi

Ovo je najosnovniji signal da li je sajt siguran — a ključno, to je nešto što vaši kupci sami mogu vidjeti. Svaki moderni pretraživač (Chrome, Edge, Safari, Firefox) označava sajt bez HTTPS-a kao “Nije bezbedno” odmah u traci adrese i prikazuje upozorenje ako neko pokuša upisati u formu. Vaši posjetioci ne trebaju znati šta je sertifikat da bi reagirali na tu reč.

Pored vidljivog upozorenja, ovo utiče na tri stvari kojima vlasnici direktno brinu: poverenje (ljudi napuštaju sajtove koji izgledaju nebezbedno), rang u pretrazi (Google koristi HTTPS kao signal rangiranja godinama i favorizuje sigurne sajtove) i prava izloženost (podaci poslani putem obične HTTP-a zaista mogu biti pročitani od strane drugog na istoj mreži). To je i vrsta stvari koju bezbednosni tim većeg klijenta provjeri za sekunde tokom due diligence — a nedostatakto može zaustaviti posao.

Šta vam ovo može koštati

• Tihi odboj. Potencijalni kupac klikne iz rezultata pretrage ili oglasa, i stranica se učita s sivom oznakom “Nije bezbedno” — ili gore, upozorenjem na celom ekranu. Ne šalju vam imejl da pitaju zašto; samo zatvore tab i kliknu sledeći rezultat. Platili ste za tu posjetu i izgubili je pre nego što pročitaju i reč, i ništa u vašoj analitici vam ne govori zašto.
• Presretnuta prijava ili plaćanje. Kupac se prijavi ili odradi checkout na hotelskom ili kafićkom Wi-Fi-ju. Jer veza nije šifrovana, neko u blizini snima njihovu lozinku i broj kartice u čistom tekstu. Prevara koja sledi prijavljuje se kao vaš proboj, a vi ste ti koji primaju ljutite pozive i chargebacks.
• Posao koji zastaje. Veći potencijalni klijent je spreman da potpiše, ali njihov nabavni proces uključuje brzu bezbednosnu provjeru vašeg sajta. Vraća se flagujući bez HTTPS-a, ili nedostajuće preusmjeravanje na sigurnu vezu. Odjednom objašnjavate osnovni bezbednosni propust umjesto da zatvarate — i ugovor čeka, ili tiho ide kod konkurenta koji je prošao provjeru.
• Sporo curenje rangiranja. Dvije firme nude iste stvari; jedna koristi sigurni HTTPS, a jedna ne. Pretraživači guraju sigurnu više. Tokom meseci gubite stalan mlaz besplatnog saobraćaja i nikad to ne povežete s ovim jednim podešavanjem.
• Ubačen sadržaj koji niste pisali. Na nešifrovanoj vezi, bilo ko u sredini — loša javna mreža, kompromitovani ruter — može ubaciti lažne pop-upove, prevarnu ponudu ili malware u vaše stranice dok ih posjetilac učitava. Tom posjetiocu izgleda kao da je vaš sajt to učinio.

Šta je to zapravo

Kad pretraživač poveže na sajt putem HTTPS-a, dešavaju se dvije stvari. Prvo, sajt prezentuje sertifikat — kredencijal izdat od poverljive vlasti koji dokazuje da je sajt onaj koji tvrdi. Drugo, pretraživač i server se dogovore o ključu za šifrovanje i koriste ga za šifrovanje svega što razmjenjuju. Naša prva provjera, HTTPS dostupan, jednostavno pita: možemo li uspostaviti sigurnu TLS vezu s vašim sajtom na standardnom sigurnom portu (443) i dobiti nazad validan sertifikat? Ako da, katanac može izaći i enkripcija je uključena. Ako ne, nema sigurne verzije vašeg sajta uopšte — a to je najtezi jedan neuspeh kojeg bodujemo.

Druga provjera, prisilno preusmjeravanje na sigurnu vezu, pokriva prazninu koju sam sertifikat ostavlja otvorenu. Ljudi upisuju “vasadomena.com”, ne “https://vasadomena.com”. Taj goli zahtjev najpre ide na običnu HTTP verziju. Preusmjeravanje je jednolinijska instrukcija koja kaže “pošalji svakoga ko stigne na nesigurnu verziju odmah na sigurnu.” Naša provjera pita: kad zatražimo vašu običnu HTTP adresu, da li nas vaš sajt odbacuje na HTTPS? Ako da, svaki posjetilac završava zaštićeno bez obzira kako su upisali vašu adresu. Ako ne, taj prvi nezaštićeni hop nosi sve što pretraživač pošalje — kolačiće, podatke forme — u čistom tekstu.

Kako izgleda “dobro”: validan, poverljiv sertifikat da katanac izgleda na svakoj stranici, i svaki obični HTTP zahtjev automatski preusmjeren na HTTPS verziju (idealno s trajnim “301” preusmjeravanjem, koje i čisto prenosi vaš rang u pretrazi na sigurnu adresu).

Kako popraviti (besplatno, ~15 minuta)

Prosledite ovaj odeljak vašoj IT osobi ili podršci hosting provajdera — popravka je besplatna. Oba dijela ne koštaju ništa: poverljivi sertifikati su besplatni i obnavljaju se sami, a uključivanje preusmjeravanja je jedno podešavanje na većini platformi. Nema plaćenog proizvoda potrebnog da prođete ovo.

Postoje dvije stvari za uključiti. Na većini modernog hostinga, urađivanjem prvog često se drugi pretvori u jednoklik toggle.

1. Nabavite sertifikat da HTTPS funkcioniše (katanac).

• Cloudflare: ako je vaš sajt iza Cloudflare-a, SSL je za vas rješen. Postavite SSL/TLS mod na “Full” (ili “Full (strict)” ako vaš origin server ima i sertifikat).
• Graditelji sajtova i managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, većina Microsoft 365 / Google Workspace web hostova): HTTPS je automatski obezbjeđen; samo se pobrinite da je omogućen u vašim podešavanjima sajta/domena — obično nema ničeg za instalirati.
• cPanel hosting: otvorite SSL/TLS Status i pokrenite AutoSSL, koji izdaje besplatan Let’s Encrypt sertifikat.
• Vlastiti server (VPS): instalirajte Let’s Encrypt s Certbotom — sudo certbot --nginx -d vasadomena.com (ili --apache). Dohvaća i instalira besplatan sertifikat i podešava automatsko obnavljanje.
• Bilo što ostalo: kontaktirajte podršku vašeg hosting provajdera i zamolite ih da “omoguće besplatan SSL sertifikat za moj domen.” Skoro svi nude ovo bez troška.

2. Prisilite svakog posjetioca na HTTPS (preusmjeravanje).

• Cloudflare: SSL/TLS → Edge Certificates → uključite “Always Use HTTPS.” To je ceo posao.
• Graditelji sajtova (Squarespace, Wix, Shopify itd.): potražite toggle “Force HTTPS” ili “Secure (HTTPS)” u podešavanjima sajta i uključite ga.
• Nginx: dodajte server blok na portu 80 koji vraća trajno preusmjeravanje — return 301 https://$host$request_uri;.
• Apache (.htaccess): omogućite rewriting i preusmjerite svaki non-HTTPS zahtjev — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): instalirajte URL Rewrite modul i dodajte pravilo preusmjeravanja “HTTP na HTTPS”.

Nakon što su oba uključena, testirajte: upišite adresu s običnom http:// ispred i potvrdite da pretraživač skočina katancom zaštićenu https:// verziju automatski i da katanac prikazuje na glavnim stranicama.

Česte greške

• Sertifikat instaliran, ali bez preusmjeravanja. Najčešća praznina. Vidite katanac kad posjećujete vlastiti sajt (jer vaš pretraživač pamti HTTPS), pa pretpostavljate da je gotovo — ali novi posjetioci koji upisuju goli domen i dalje pristižu na HTTP prvi. Uvek eksplicitno testirajte obični http:// verziju.
• Miješani sadržaj. Vaša stranica se učitava putem HTTPS-a, ali vuče sliku, skriptu ili font sa stare http:// adrese. Pretraživači ili blokiraju ili degradiraju katanac na upozorenje. Ažurirajte te reference na https:// (ili na relativne linkove). Većina platformi ima izvještaj o “miješanom sadržaju” koji ih pronalazi.
• Privremeno (302) preusmjeravanje umjesto trajnog (301). 302 radi za posjetioce, ali govori pretraživačima da je premještanje privremeno, pa se vrijednost rangiranja ne prenosi čisto na vašu sigurnu adresu. Koristite trajni 301.
• Preusmjeravanje samo golog domena, a ne “www” (ili obrnuto). Pobrinite se da i vasadomena.com i www.vasadomena.com završe na HTTPS-u, inače je jedan put i dalje izložen.
• Dopuštanje isticanja sertifikata. Istekli sertifikat prikazuje grešku na celom ekranu koja zaustavi posjetioce. Besplatni Let’s Encrypt sertifikati se automatski obnavljaju; ako ste kupili ručno, postavite podsjetnik u kalendaru dovoljno unapred od isteka.

FAQ

Pogledajte pitanja iznad — pokrivaju netehničko “mogu li ovo srediti sam”, razliku između imanja katanca i prisiljavanja preusmjeravanja, trošak sertifikata i obnavljanje, da li brošurni sajtovi trebaju ovo i kako se ovo odnosi na HSTS.

Često postavljana pitanja