Zakaj je HTTPS naenkrat postal nujen in se toliko govori o njem? Predvsem zato, ker je Google pričel uresničevati svojo napoved, da bo opazno izpostavil spletna mesta, ki HTTPS-ja ne uporabljajo, in da bo njegova uporaba pripomogla spletni strani k boljši uvrstitvi med rezultati iskanja.

Kaj je sploh HTTPS?

HTTPS je komunikacijski protokol, ki omogoča varen prenos podatkov med spletno stranjo in njenim obiskovalcem. Gre za različico protokola HTTP, ki pa ne preprečuje, da bi podatkov med prenosom kdo prestregel in jih celo spremenil. HTTPS, za razliko od HTTP, te zlorabe preprečuje, ker šifrira podatke pri njihovem prenosu med strežnikom spletne strani in brskalnikom obiskovalca.

Zakaj je šifrirana izmenjava podatkov pomembna?

Šifrirana povezava je še posebej pomembna, ko se med obiskovalcem in spletno stranjo prenašajo podatki, ki niso namenjeni javnosti, kot so npr. obiskovalčevi osebni podatki, email naslov, vsakršna gesla, podatki o kreditnih karticah (npr. v spletnih trgovinah), podatki urednika spletnega mesta za dostop do uredniškega vmesnika (login) ipd.

Uporaba HTTPS prinaša več koristi. Šifriranje omogoča varen prenos podatkov, da ostanejo nedostopni in skriti pred nepovabljenimi očmi. Poleg tega ohranja tudi integriteto podatkov, kar pomeni, da podatkov med prenosom med strežnikom in brskalnikom ni možno neopazno spreminjati ali izkrivljati.

Nešifrirana izmenjava podatkov predstavlja varnostno luknjo, ki jo lahko zlonamerni heker izkoristi npr. za krajo gesel, vdor v vaše spletno mesto, ga spremeni, vsili svoja sporočila ali oglase, postavi lažno kopijo vašega spletnega mesta ali širi zlonamerno kodo. Lastnik spletnega mesta s HTTPS svojim obiskovalcem torej zagotavlja zaščito prenosa podatkov pred vohunjenjem in zlorabo, varno poslovanje in utrjuje svoj ugled.

Kako prepoznamo spletno mesto, ki uporablja šifrirano izmenjavo podatkov?

V brskalniku to najlažje prepoznamo po obliki spletnega naslova, ki se mora začeti s https ter imeti poleg še zeleno zaklenjeno ključavnico. Npr. https://www.imedomene.si .

Bodite pozorni, če zelena zaklenjena ključavnica ni prikazana ali je celo rdeče barve ali če se spletni naslov začne s http (brez s-ja na koncu), npr. http://www.imedomene.si .

Kaj ima Google opraviti s HTTPS in zakaj se to tiče tudi vašega marketinga?

V prizadevanjih za večjo varnost uporabnikov na internetu se je Google že leta 2014 zavezal, da bo z različnimi ukrepi spodbujal lastnike spletnih strani k uporabi HTTPS-ja in šifriranih povezav.

Tako je Google uporabo šifrirane povezave uvrstil med merila za rangiranje spletnih mest v iskalniku Google. Uporaba HTTPS pripomore k višji uvrstitvi na lestvici rezultatov iskanja.

Na začetku letošnjega leta pa je Google pri spodbujanju uporabe HTTPS naredil še korak dlje. V svojem brskalniku Chrome je uvedel prikazovanje t.i. varnostnih indikatorjev, ki obiskovalca opozorijo, ali je povezava s spletnim mestom, ki so ga pravkar obiskali, varna ali ne. Tej iniciativi so se pridružili tudi drugi brskalniki, npr. Applov Safari, Mozillin Firefox in drugi.

Varnostni indikatorji, ki se v brskalniku prikažejo v naslovni vrstici poleg naslova spletnega mesta, postajajo vse bolj opazni in informativni. Trenutno večina brskalnikov spletnim mestom, ki uporabljajo HTTPS, v naslovni vrstici poleg naslova prikaže tudi zelen gumb s ključavnico. Odsotnost tega simbola je opozorilo obiskovalcu na potencialna tveganja pri komunikaciji s spletnim mestom, kar meče slabo luč na lastnika spletnega mesta.

Primeri

Naslovna vrstica v brskalnikih Chrome in Firefox za primer spletnega mesta, ki uporablja HTTPS

• Chrome (verzija 64):

• Firefox (verzija 59):

Naslovna vrstica v brskalnikih Chrome in Firefox za primer spletnega mesta, ki ne uporablja HTTPS:

• Chrome (verzija 64):

• Firefox (verzija 59):

Google pa napoveduje še nadaljnje ukrepe v primeru, če spletna stran ne bo uporabljala šifrirane povezave. Jasno in še bolj očitno bo z različnimi označbami izpostavil vsako spletno mesto brez HTTPS, kar bo pri uporabnikih zamajalo občutek varnosti in zaupanja. Označbe, kot so »Not secure« ali »Povezava ni varna« pri naslovu spletnega mesta, bodo pri obiskovalcih povzročile nelagodje in bodo vplivale na zaupanje in obiskanost tega spletnega mesta.

Potencialno opozorilo v naslovni vrstici brskalnika Chrome za primer spletnega mesta, ki ne bo uporabljalo HTTPS:

Več o varnostnih indikatorjih, ki jih uporabljajo najbolj popularni spletni brskalniki.

Kako deluje HTTPS oz. šifrirana izmenjava podatkov?

HTTPS za šifriranje uporablja kriptografski protokol SSL ali njegovo novejšo in bolj varno različico TLS. Za šifrirano komunikacijo med brskalnikom in strežnikom mora biti na strežniku spletne strani nameščen elektronski ključ, ki je potreben za šifriranje oz. dešifriranje prenesenih podatkov in zagotavlja avtentičnost spletnega mesta. Elektronskemu ključu rečemo tudi certifikat in ga moramo pridobiti pri verodostojnem certifikacijskem organu. Isti certifikat je možno uporabiti ne glede na izbrani kriptografski protokol, zato je ta certifikat pogosto poimenovan kot certifikat SSL, certifikat SSL/TLS ali tudi certifikat TLS – gre za tri poimenovanja ene in iste zadeve.

Kako pristopiti k implementaciji HTTPS?

Preverite, ali vaše spletno mesto uporablja HTTPS in komunicira z obiskovalci preko šifrirane povezave. Če je odgovor ne, vam svetujemo, da se čim prej odločite za implementacijo.

Obstajajo trije splošni tipi certifikatov SSL/TLS, izbira med njimi pa temelji na tem, kakšna raven varnosti je potrebna za vaše spletno mesto. Pri implementaciji HTTPS vam svetujemo, da se obrnete na svojega izdelovalca oz. skrbnika spletnega mesta, ki bo:

• svetoval, kateri certifikat SSL/TLS je primeren za vaš primer
• pridobil in namestil ustrezni certifikat
• tehnično realiziral HTTPS
• preveril in po potrebi modificiral delovanje vseh povezav (linki, slike, skripte …) na vašem spletnem mestu
• preusmeril vaše spletne naslove s http-ja na https
• preveril pravilnost delovanja vašega spletnega mesta z nameščenim certifikatom
• poskrbel za periodično in pravočasno obnovo certifikata, preden mu poteče veljavnost

Osnovno različico certifikata SSL/TLS je danes možno pridobiti hitro in celo brezplačno pri certifikacijskem organu Let's Encrypt ali pa kar neposredno v administratorskem vmesniku strežnka vašega spletnega mesta.