Krenemo li od početka, većina aktivnosti koje su za prosječnog korisnika na Internetu odvijaju se putem HTTP-a (eng. hypertext transfer protocol). Radi se o skupu pravila koja definiraju način prijenosa hipertekstualnih dokumenata (web stranica) između dva računala – najčešće krajnjeg korisnika i nekog web servera. Pojednostavljeno, neko računalo šalje zahtjev za određenim sadržajem nekom web serveru, a taj web server potom traženi sadržaj šalje tom računalu. Vizualno, to bi izgledalo otprilike kao na slici u nastavku.

http mehanizam
Otprilike … (slika preuzeta sa ilmlinks.com)

Vrlo bitna informacija već u ovoj fazi je da je HTTP nezaštićena komunikacija između dva računala, odnosno – ukoliko bi neko treće računalo u lokalnoj mreži “slušalo” digitalni promet (pakete) koji se razmjenjuju između servera i računala, lako bi se moglo doći do tog sadržaja, ili čak uključiti u “razmjenu” te poslati nešto drugo kao da se radi o drugom računalu (web serveru). Ovo predstavlja očiti sigurnosni rizik te je kao odgovor na taj problem razvijen HTTPS, kao zaštićena (eng. secure) verzija sustava za razmjenu hipertekstualnih dokumenata. Razlika između jednog i drugog sustava, prikazana je na slici koja slijedi.

http https
Prikaz HTTP i HTTPS protokola (slika preuzeta sa tiptopsecurity.com)

Kada je ova priča krenula?

Relativno rano – internet kakav danas poznajemo krenuo je sa radom 1990. godine, a već 1994. godine je tvrtka Netscape Communications razvila enkripcijski protokol SSL (eng. secure socket layer) kao dopunu HTTP-u. Ova kombinacija nazvana je “HTTP over SSL“, odnosno HTTP Secure. Skraćeno – HTTPS. Ideja je bilda da s vremenom sve web stranice budu standardno enkriptirane, kako bi se povećala sigurnost u razmjeni informacija između računala na Internetu, a trenutno je po određenim analizama tek (ili već?) oko 50% web stranica na HTTPS protokolu (no tek 1% ih ima cijelu priču oko digitalne sigurnosti riješenu od A do Ž).

Treba napomenuti kako se bilježi eksponencijalni rast HTTPS-a kod web stranica, zbog određenih događaja koji su ukazali na sigurnosne propuste i manjak sigurnosti web sustava, ali i relativno nedavne promjene Google-ovog sustava indeksiranja i rangiranja web stranica, koji pored ostalog uzima u obzir i da li je neka domena zaštićena SSL/TLS certifikatom ili nije (one koje nisu biti će rangirane niže u rezultatima pretraživanja).

Kako HTTPS radi?

Enkripcijski mehanizam brine se za sadržaj koji se razmjenjuje između (u pravilu) Vašeg internetskog preglednika i web servera na kojemu se nalazi tražena web stranica. To znači da bilo tko, tko bi mogao “slušati” internetski promet, a u što su uključeni Vaš internet provider, haker, različite službe ili neki slučajan prolaznik koji je nekako uspio doći između Vas i servera u komunikacijskom kanalu, može vidjeti što Vaše računalu i neki konkretan server razmjenjuju (npr. da ste pretraživali određene pojmove, preuzeli određen slike, video i sl.).

Već smo naveli da je SSL “stari” proizvod, nastao prije 25 godina. Njegova novija verzija zove se TLS (eng. transport layer security), ali u osnovi se radi o istome. S tehničke strane, mi ćemo podrazumijevati TLS u nastavku teksta, jer se ipak radi o novijem (i aktualnom) rješenju. Kako bite nešto enktiptirali, potrebna su Vam, tri elementa: (1) podaci, (2) jedinstven enkripcijski ključ – u pravilu nasumični brojevi i znakovi te (3) enkripcijski algoritam – mehanika koja zamijenjuje originalni sadržaj sa nečime nečitljivim (za sve ostale).

U algoritam ulaze Vaši podaci i enkripcijski ključ, a izlaz je kriptirani (eng. cipher) sadržaj. Takav sadržaj je nerazumljiv svima onima koji bi do njega mogli doći, odnosno, koji bi ga mogli “pročitati” ako su nekako uspjeli ući u komunikacijski kanal između Vas i web servera. Slikovito, kao da stojite između dva kineza i slušate njihov razgovor – a ne znate ni riječ kineskog.

Kako bi se sadržaj dekriptirao na drugoj strani, potrebno je okrenuti proces i uz korištenje istog enkripcijskog ključa doći do originalnog sadržaja. Cijeli proces počiva na tajnosti enkripcijskog ključa. Samo ciljani primatelji bi ga trebali imati – u protivnom je cijeli proces bezvrijedan.

Zašto bi stranice trebale koristiti HTTPS?

Ne ulazeći u tehničke detalje samog procesa enkripcije, SSL/TLS cerfitikat jamči krajnjim korisnicima da sve podatke koje unesu na nekoj web stranici vide samo na drugoj strani (a ne negdje između). Najčešći primjer tog sustava, kao i njegova najranija primjena vidljiv je u online trgovinama, gdje se u procesu prikupljanja podataka o kupcu i načinu plaćanja u pravilu preusmjeravalo na zaštićeni dio web stranice (checkout).

google chrome
Google Chrome lijepo ističe nesigurne i sigurne web stranice (slika preuzeta sa hackercombat.com)

Moramo napomenuti kako su stranice koje koriste HTTPS sporije, jer se u odnosu na HTTP ipak šalje nešto više podataka u svakom zahtjevu i odgovoru (zbog enkripcijskih ključeva i cipher sadržaja). Uz današnje brzine internetske veze (a i stalno unaprijeđenje mrežne infrastrukture) i druge prateće terminalne opreme, to ne predstavlja veliki problem, ali činjenica jest da se u milisekundama HTTP brže “vrti” kroz mrežu nego HTTPS.

HTTPS daje posjetitelju neke web stranice do znanja da se nalazi na sigurnoj web stranici, što se tiče “slušanja” prometa, odnosno sigurnost u smislu da za sve što bude razmijenjeno između servera i nekog računala nitko ne može znati o kakvom sadržaju se radi, ako bi eventualno u ušao u komunikacijski kanal između ta dva računala (što može biti u lokalnoj mreži, mobilnom internetu i sl.).

Što je Google smislio?

Još 2014. godine su iz Google-a najavili kako će web stranice koje nemaju SSL/TLS certifikat biti penalizirane u novijim indeksiranjima web stranica na internetu, jer žele krajnjim korisnicima ponuditi sigurniji digitalni svijet. Više o tome možete pročitat na njihovoj blog objavi. Pojednostavljeno – ukoliko Vaša web stranica nema HTTPS protokol, a imate digitalnu konkurenciju koja to ima, Vaš sadržaj će biti niže rangiran od njihovog, samo i razloga što Vam web stranica nije sigurna (čak i da je 100% sadržaja na obje stranice identično).

Ovo je pokrenulo navalu na izdavanje SSL certifikata, što nije loše, čak dapače – ali sama implementacija SSL certifikata na postojeće stranice nije uvijek dovedena do kraja kako treba. Između ostalog, sve poveznice na Vašoj web stranici trebale bi upućivati na https://, umjesto http://, jer to također ulazi u indeksiranje koje provode tražilice, kao i u konačan rezultat pri pretraživanju. A pored toga, smanjuje se teret na web server, koji ne mora “ispravljati” krivu poveznicu (to jedno slovo s u https-u je potpuno druga poveznica u odnosu na stariju http varijantu), te se samim time sadržaj prije može prikazati na ekranu (ukoliko se radi o web stranici koja ima veliku posjećenost – sve što može olakšati obradu zahtjeva na serverskoj strani reflektira se i na korisničku stranu u boljem “user experience“-u).

Ukoliko imate SSL certifikat na Vašoj web stranici, a zanima Vas kvaliteta njegove implementacije, možemo Vam preporučiti jedan od mnogobrojnih besplatnih online alata koji može odraditi provjeru ključnih elemenata sigurne web stranice – SSLLabs Server Test.

Za korisnike Google Search Console, prelazak na SSL/TLS također ima određene korake koji se trebaju poduzeti ukoliko se želi izvući najviše iz te tehničke činjenice.

google search console
Nije isto da li definirate web stranicu sa ili bez “s”

Meni to ne treba …

Kao i vjerojatno mnogo drugih stvari u životu, no ova Vam može pomoći kako biste izgledali i djelovali ozbiljnije na Internetu, neovisno o tome da li se radi o samostalnom obrtniku ili velikoj tvrtki (pa čak i za osobne potrebe). Web stranica koja ima SSL certifikat pokazuje želju i namjeru njenog vlasnika smanjiti digitalne rizike na najmanju moguću mjeru, a vrsta SSL certifikata dokazuje tu ozbiljnost. Certifikati se kreću u cjenovnom rasponu od oko 500 kn za godinu dana, do nekoliko stotina tisuća kuna za godinu dana. Razlog te razlike u cijeni je ono što sve taj SSL certifikat omogućava – koliko ga se može iskoristiti (da li pokriva samo osnovnu domenu, ili i poddomene i dr.), te koliku odštetu pokriva, ukoliko certifikat bude “provaljen” od strane hakera i izvrši se napad na web stranicu (odštetne klauzule iznose milijune dolara kod najskupljih certifikata).

Prema dostupnim statistikama, najmanje jednom svake minute se dogodi pokušaj hakiranja neke web stranice na Internetu (a od toga je nešto manje od polovice usmjereno na mikro i mala poduzeća – pretpostavka da ona najmanje ulažu ili najmanje mogu uložiti u sigurnost svih svojih digitalnih sustava, uključujući vlastitu web stranicu).

Jedan ključan element koji se često ignorira jest namjera industrije da sve prijeđe na HTTPS – a to znači da nedostatak SSL certifikata podrazumijeva da vlasnik web stranice ne drži dovoljno do računalne sigurnosti, odnosno – da će potencijalni klijent prije posjetiti konkurentsku stranicu ukoliko želi dogovoriti neku uslugu (a pogotovo ako se radi o nekoj vrsti registracije ili plaćanja – isključujući sustave poput PayWay-a, PayPal-a i slične koju u pravilu vode na vlastitu infrastrukturu) ukoliko ima više rezultat za svoj upit na nekoj tražilici.

Sigurna veza koja osigurava neku web stranicu njenom posjetitelju (krajnjem korisniku) osigurava slijedeće:

  • pouzdanost zbog enkripcije, što podrazumijeva da se korisnika teže može pratiti i teže se mogu ukrasti njegovi ili njezini podaci
  • pouzdanost u dobiveni sadržaj, jer se radi o sigurnom komunikacijskom kanalu koji onemogućava presretanje podataka i njihovu modifikaciju
  • pouzdanost u sustav koji je otporan na napade, a samim time raste i povjerenje krajnjeg korisnika u web stranicu koju koristi

Trebamo li još jednom ponoviti riječ pouzdanost? To bi bio najsažetiji mogući zaključak koju se može vezati uz pojam HTTPS-a. Za kraj smo sa Vama odlučili podijeliti jedan zanimljiv filmić koji prikazuje način funkcioniranja SSL-a kada se implementira na nekoj web stranici (kvaliteta videa nešto je lošija, jer se radi o sada već “starom” filmiću, ali vjerujemo da njegov sadržaj nikoga neće ostaviti ravnodušnim, pogotovo za one koji znaju engleski jezik).

Facebook komentari

© 2022. leramis d.o.o. | Sva prava pridržana | Pravila korištenja | Izjava o privatnosti

“Kolačići” na ovoj web stranici koriste se za postavke prikaza (jezik), kako bi web stranica bila bolje prilagođena potrebama korisnika. Pored toga, moguće je da se koriste sustavi za praćenje korištenja web stranice (poput Google Analytics ili sličnih), koji također koriste “kolačiće”, kako bi se korisnika moglo pratiti na razini stranice. View more
Cookies settings
Prihvaćam
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active
“Kolačić” je mala datoteka koja traži Vaše dopuštenje da bude smještena na Vaš tvrdi disk na računalu. Jednom kada ga prihvatite, ta datoteka se smješta na Vaš tvrdi disk te pomaže analizirati web promet ili Vas obavještava o posjetima određenim web stranicama. “Kolačići” omogućuju web aplikacijama da odgovaraju na Vaše individualne potrebe. Web aplikacija može prilagoditi svoje djelovanje Vašim potrebama i željama tako da prikuplja i pamti podatke o Vašim interesima i navikama. Mi koristimo tzv. “tracking cookie” kako bismo identificirali stranice koje koristite i posjećujete. To nam pomaže analizirati podatke o Vašim navikama koje koristimo kako bismo poboljšali našu web stranicu i kako bi je prilagodili potrebama korisnika. Mi koristimo ove podatke za statističke analize, a zatim se ti podaci uklanjaju iz sustava. “Kolačići” nam pomažu pružiti bolju web stranicu, omogućuju nam pratiti koje stranice su Vam korisne, a koje ne. “Kolačići” nam ni na koji način ne daju pristup Vašem računalu ili bilo kakve informacije o Vama, osim podataka koje ste odabrali podijeliti s nama. Možete prihvatiti ili odbiti “kolačiće” prilikom prvog posjeta ovoj web stranici. Većina web preglednika automatski prihvaća “kolačiće”, ali uobičajeno je da možete podesiti web preglednik da odbije “kolačiće” koje želite odbiti. To Vas može spriječiti da u najvećoj mogućoj mjeri iskoristite mogućnosti i funkcionalnosti web stranica.
Save settings