Vse, kar morate vedeti o SSL in HTTPS

Google že od leta 2014 priporoča, da spletne strani delujejo na varnem protokolu HTTPS. Ta nasvet so na začetku večinoma upoštevale le spletne trgovine. Vse pa se je spremenilo, ko je Google napovedal, da bo med rezultati iskanj višje uvrščal strani, ki delujejo na tem protokolu. Dodatno spremembo pričakujemo oktobra 2017. Če bo spletna stran vsebovala kakršen koli element za vpisovanje podatkov (na primer kontaktni obrazec ali obrazec za naročilo na e-novice) in bo delovala na protokolu HTTP, bo stran dobila oznako Not Secured.

Uporaba protokola HTTPS je torej zelo pomembna za vse lastnike spletnih strani. V tokratni objavi bomo pogledali vse, kar morate vedeti o njem in kako ga aktivirate s pomočjo SSL certifikata.

Razumevanje HTTPS

HTTP je kratica za HyperText Transfer Protocol, kar pomeni Protokol za prenos informacij na spletu. Večinoma se uporablja za prenos podatkov med strežnikom in uporabnikom, z namenom, da slednjemu prikaže želeno spletno vsebino. Ta protokol so v preteklosti uporabljale vse spletne strani. Njegova največja pomanjkljivost je, da se podatki med strežnikom in brskalnikom pretakajo popolnoma nezaščiteni, zato jih spletni virusi enostavno prestrežejo in zlorabijo.

HTTPS je kratica za HyperText Transfer Protocol Secure. Gre za protokol, ki ima dodan varnostni element. Pri njegovi uporabi so podatki šifrirani, kar dosežemo z uporabo SSL (Secure Socket Layer) certifikata. Podatki se v berljivi obliki prikažejo samo uporabniku spletne strani. Tudi če podatke prestreže spletni virus, jih zaradi enkripcije ne more prebrati.

HTTPS je dodatno zaščiten s protokolom TLS (Transport Layer Security). Le-ta zagotavlja integriteto podatkov in preprečuje, da bi med prenosom prišlo do spreminjanja ali kakršnekoli druge manipulacije podatkov. To pomeni, da bo spletni uporabnik res prišel na spletno stran, ki jo je želel obiskati, in ne bo preusmerjen na lažno stran.

V primeru, da je spletna stran na zavarovanem HTTPS protokolu, bodo to takoj opazili tudi spletni uporabniki. Že pogled na naslov spletne strani (URL) takoj razkrije, kateri protokol uporablja spletna stran. Nekatere vrste certifikatov omogočajo tudi dodatne vizulane elemente, ki uporabniku še bolj jasno povedo, da so na zavarovani povezavi.

Na zgornji sliki je prikazan razširjeni SSL certifikat (EV SSL), ki z zelenim okvirjem in imenom podjetja poskrbi za še dodatno vidnost certifikata.

Prednosti uporabe protokola HTTPS

Na začetku prispevka smo že omenili, da uporaba protokola HTTPS pripomore k izboljšani optimizaciji za iskalnike (SEO). Podrobneje bomo pogledali tri pomembne prednosti njegove uporabe:

1. Boljše uvrstitve v iskalniku

Google je 6. avgusta 2014 na svojem uradnem blogu napovedal, da bo višje uvrščal strani, ki uporabljajo protokol HTTPS. Zavarovana spletna stran se tudi na splošno uvršča višje, saj jo obišče več spletnih uporabnikov, ki takšnim stranem zaupajo bolj kot nezavarovanim. Zaradi večjega obiska Google vašo stran razume tudi kot bolj relevantno za ostale spletne uporabnike, kar vašo stran zopet uvršča višje med rezultati iskanj.

2. Grajenje zaupanja

HTTPS protokol šifrira celotno komunikacijo med vašo stranjo in spletnim uporabnikom, zato slednji brez skrbi na vašo stran vpisujejo občutljive podatke, med katere spadajo:

• osebni podatki,
• uporabniška imena in gesla,
• bančni podatki.

Ker uporabniki vedo, da so njihovi podatki na varnem, bodo brez zadržkov prenašali tudi vsebine, ki jih ponujate na svoji strani, ali opravili nakup, če imate spletno trgovino. Uporaba HTTPS protokola bo torej pozitivno vplivala na vašo spletno prepoznavnost in uspešnost spletne prodaje.

3. Možnost uporabe AMP-ja

AMP je kratica za Accelerated Mobile Pages in pomeni Pospešene strani za mobilne naprave. Kot smo že omenili, vedno več uporabnikov za brskanje po spletu uporablja mobilne naprave, zato je še toliko bolj pomembno, da vaša stran uporablja AMP. V jedru je AMP okrnjena verzija HTML- ja, kar omogoča, da se spletna stran na mobilnih napravah naloži bistveno hitreje, s tem pa zagotovi boljšo uporabniško izkušnjo. Če želite uporabljati AMP na svoji strani, potem potrebujete HTTPS.

Kako hitro trenutno deluje vaša spletna stran na mobilnih napravah? Testirajte jo z orodjem mobiReady.

SEO nastavitve po prehodu na HTTPS

Ko izvedete prehod s HTTP na HTTPS, lahko naletite na določene težave, ki so povezane predvsem z optimizacijo za iskalnike. V nadaljevanju bomo pogledali najpogostejše scenarije in njihove rešitve.

a. Poskrbite za pravilne trajne preusmeritve (301).

Ko izvedete prehod na HTTPS, morate poskrbeti še za ustrezne preusmeritve, ki bodo obiskalce s starih URL naslovov preusmerjale na nove. To uredite tako, da v datoteko .htaccess dodate naslednjo kodo:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]

Če imate spletno stran izdelano v sistemu WordPress in ne želite imeti opravka s kakršnokoli kodo, lahko za izdelavo preusmeritev uporabite tudi temu namenjen vtičnik (npr. WP Force SSL).

b. Obvestite Google, da ste izvedli prehod s HTTP na HTTPS.

Že res, da bo Google prej ali slej zaznal spremembe na vaši strani in sam ugotovili, da uporabljate HTTPS, a to lahko traja dolgo časa. Google zato čim prej po namestitvi obvestite, da ste začeli uporabljati zavarovan protokol. To storite tako, da v Google Search Console dodate svojo domeno z varnim protokolom:

• https://moja-domena.si,
• https://www.moja-domena.si.

c. Bodite natančni pri prehodu s HTTP na HTTPS.

V pomoč so vam lahko Google Search Console in druga analitična orodja, s katerimi preverite, da prehod poteka brez napak. V primeru, če se le-te pojavijo, jih čim prej odpravite, da morebitno nepravilno delovanje stani ne bo negativno vplivalo na SEO.

Proces prehoda s HTTP na HTTPS

Zdaj, ko poznate vse prednosti protokola HTTPS, je čas, da ga uporabite na svoji spletni strani ali trgovini. Da bo prehod na HTTPS čim bolj preprost in seveda uspešen, smo pripravili navodila po korakih.

1. Na naši podstrani SSL certifikati naročite ustrezen SSL certifikat za svojo spletno stran. Ne veste, kateri je pravi? Obrnite se na našo podporo in z veseljem vam bomo svetovali.

2. Če SSL certifikat naročite pri nas, vam ga bomo brezplačno namestili mi. V primeru, da boste SSL na vašo spletno stran nameščali sami, pa sledite naslednjim korakom.

3. Pred prehodom na HTTPS vam svetujemo, da naredite rezervno kopijo svoje spletne strani. Če imate WordPress spletno stran, vam bo v pomoč objava Top 4 vtičniki za izdelavo rezervne kopije WordPress strani.

4. Na svoji strani vse HTTP spletne naslove zamenjajte s HTTPS. Če uporabljate WordPress, to enostavno naredite s katerim od namenskih vtičnikov. Poleg tega poskrbite za posodobitev vseh povezav v podatkovni bazi, pri tem pa si pomagajte z vtičnikom Better Search Replace.

5. Preverite vse zunanje povezave, usmerjene na vašo stran. Tiste, ki jih lahko upravljate, ustrezno spremenite s HTTP na HTTPS.

6. Uporabite orodje Screaming Frog, da preverite, ali so vse povezave ustrezno nastavljene na HTTPS.

7. Poskrbite za trajne preusmeritve 301. Več o tem smo pisali v blog objavi Nastavitev trajnih preusmeritev (301) v .htaccess.

8. Omogočite HSTS in s tem brskalnikom povejte, da naj vedno uporabi HTTPS. Deluje na podoben način, kot preusmeritve 301, le da v tem primeru na nivoju brskalnika. Če je vaša spletna stran izdelana v WordPressu, v datoteko .htaccess dodajte kodo:

# Enable HSTS on WordPress
 Header set Strict-Transport-Security "max-age=2592000; includeSubDomains;
 preload" env=HTTPS

Kot vidite, je treba vložiti nekaj truda in časa, da bo vaša stran delovala izključno na protokolu HTTPS. A ves trud se bo na koncu obrestoval, zaradi vseh prednosti, ki smo jih omenili v prvi polovici objave.

Se vam celoten postopek prehoda na HTTPS zdi prezahteven? Kontaktirajte našo tehnično podporo in skupaj bomo poiskali ustrezno rešitev.