SSL certifikat je danes pogoj, ne dodatek. Ko obiskovalec odpre vašo spletno stran in v naslovni vrstici zagleda majhno ključavnico, podzavestno presodi, ali vam lahko zaupa svoje podatke. Brez šifrirane povezave brskalniki kot Chrome in Firefox prikažejo opozorilo “Povezava ni varna”, kar marsikoga odvrne še preden vidi vašo vsebino. V nadaljevanju razložimo, kako SSL certifikat dejansko deluje, zakaj vpliva na vašo uvrstitev v iskalnikih in kako ga vzpostavite brez nepotrebnih stroškov.
Kaj je SSL certifikat in kako deluje
SSL (Secure Sockets Layer) je tehnologija, ki vzpostavi šifrirano povezavo med brskalnikom obiskovalca in strežnikom, na katerem teče vaša spletna stran. Sodobni certifikati uporabljajo novejši protokol TLS (Transport Layer Security), a se je v vsakdanjem govoru ohranila kratica SSL. Vloga je ista: poskrbeti, da podatki na poti od uporabnika do strežnika ostanejo nečitljivi za vsakogar, ki bi jih poskušal prestreči.
Postopek je hitrejši, kot se sliši. Ko brskalnik prvič stopi v stik s stranjo, sproži tako imenovani TLS handshake. Strežnik pokaže svoj certifikat, brskalnik preveri, ali ga je izdal zaupanja vreden certifikacijski organ, in če je vse v redu, se v nekaj milisekundah dogovorita o šifrirnem ključu. Od tega trenutka so vsi podatki, ki potujejo med njima, zakodirani. Tudi če bi jih nekdo prestregel na javnem Wi-Fi omrežju, bi videl samo nesmiselno zaporedje znakov.
Vrste SSL certifikatov
Vsi certifikati niso enaki. Razlikujejo se po obsegu preverjanja identitete in po tem, koliko domen pokrivajo:
- DV (Domain Validation): potrjuje le lastništvo domene. Izda se v nekaj minutah in zadošča za bloge, predstavitvene strani in manjše projekte.
- OV (Organization Validation): certifikacijski organ preveri tudi obstoj podjetja. Primeren za poslovne strani, kjer šteje verodostojnost.
- EV (Extended Validation): najstrožja raven preverjanja, pogosta pri bankah in večjih trgovinah.
- Wildcard: z enim certifikatom zaščitite osnovno domeno in vse poddomene, na primer trgovina.vasadomena.si in blog.vasadomena.si.
Kako prepoznate varno spletno stran
Najpreprostejši znak je ključavnica levo od naslova v brskalniku. Klik nanjo razkrije, kdo je certifikat izdal in do kdaj velja. Drugi znak je predpona naslova: varne strani se začnejo s “https”, kjer črka “s” pomeni “secure”. Če stran teče samo na “http”, brskalnik to označi kot nezaščiteno, pri vnosnih poljih pa pogosto izpiše dodatno opozorilo.
Kot lastnik strani lahko stanje preverite tudi z brezplačnimi orodji, na primer SSL Labs od podjetja Qualys. Ta vam izpiše oceno nastavitve od A do F in opozori na šibke šifre ali certifikat, ki kmalu poteče. Veljavnost je vredno spremljati, saj sodobni certifikati veljajo le 90 dni do enega leta, potek pa obiskovalcem prikaže grozeče opozorilo o nezaupanju.
Zakaj je SSL nujen za vsako spletno stran
Najbolj očiten razlog je varnost prenosa občutljivih podatkov. Gesla, e-poštni naslovi, telefonske številke in podatki o karticah med prenosom potujejo zaščiteni, kar onemogoči prestrezanje in zlorabo. Pri spletnih trgovinah to ni izbira, ampak zahteva varnostnega standarda PCI DSS, ki ureja obdelavo plačil s karticami.
Drugi razlog je zaupanje. Raziskave o spletnem nakupovanju dosledno kažejo, da ljudje zapustijo košarico, če se jim postopek ne zdi varen. Ključavnica in https sta majhna, a močna signala, da skrbite za njihove podatke. Tretji razlog je tehnične narave: številne sodobne funkcije, na primer geolokacija, obvestila in plačilni vmesniki, brez šifrirane povezave sploh ne delujejo, ker jih brskalniki blokirajo.
SSL certifikat in SEO uvrstitve
Google je https kot rahel rangirni signal potrdil že leta 2014. Sam po sebi ne bo dvignil strani na vrh rezultatov, deluje pa kot eden od dejavnikov, ki ob sicer enaki kakovosti vsebine prevesi tehtnico v vašo korist. Pomembnejši je posredni učinek. Opozorilo “ni varno” zviša odstotek obiskovalcev, ki takoj zapustijo stran, in ta slabši signal o uporabniški izkušnji se sčasoma pozna pri uvrstitvah.
Šifrirana povezava je tudi pogoj za protokol HTTP/2, ki strani naloži opazno hitreje, hitrost pa Google upošteva neposredno. Če SEO jemljete resno, je SSL le eden od gradnikov. Kako se ujema z ostalimi, smo razčlenili v prispevku o spletni optimizaciji za višjo uvrstitev na Googlu, koristen pa je tudi pregled osnovnih SEO izrazov za začetnike.
Kako pridete do SSL certifikata
Dobra novica je, da vam za osnovno zaščito ni treba odšteti niti evra. Brezplačno možnost ponuja Let’s Encrypt, neprofitni certifikacijski organ, čigar certifikate samodejno obnavlja večina sodobnih gostovanj. Mnogi slovenski ponudniki, kot je na primer Minimum, brezplačni SSL že vključujejo v paket gostovanja in ga vklopite z enim klikom.
Pot do varne strani v grobem poteka takole:
- Pri ponudniku gostovanja preverite, ali je SSL že vključen. V večini primerov je.
- Vklopite certifikat v nadzorni plošči ali pri Let’s Encrypt sprožite samodejno izdajo.
- Vse interne povezave in vire (slike, skripte) preusmerite s http na https, da ne ostane mešana vsebina.
- Nastavite trajno preusmeritev (301) s http na https, da obiskovalci in iskalniki vedno pristanejo na varni različici.
- Posodobite naslov strani v Google Search Console in v orodjih za analitiko.
Plačljiv certifikat se izplača takrat, ko potrebujete OV ali EV raven preverjanja, dodatno garancijo ali tehnično podporo. Za večino predstavitvenih strani in blogov povsem zadošča brezplačna DV možnost.
Pogosta vprašanja
Ali brezplačen SSL certifikat ščiti enako dobro kot plačljiv?
Z vidika šifriranja da. Brezplačni DV certifikat uporablja enako močno šifriranje kot plačljivi. Razlika je v ravni preverjanja identitete podjetja, dodatnih garancijah in podpori, ne pa v sami zaščiti podatkov med prenosom.
Kaj se zgodi, ko certifikat poteče?
Brskalnik obiskovalcem prikaže opozorilo o nezaupanju, ki večino odvrne od nadaljevanja. Zato je smiselna samodejna obnova, ki jo večina gostovanj in Let’s Encrypt opravi brez vašega posega.
Ali SSL upočasni spletno stran?
V praksi ne. Vzpostavitev šifrirane povezave doda zanemarljivo zakasnitev, hkrati pa SSL odpre vrata protokolu HTTP/2, ki nalaganje strani celo pohitri.
Kdaj se posvetovati s strokovnjaki
Vklop osnovnega certifikata zmore vsak, ki se znajde v nadzorni plošči gostovanja. Pri večjih projektih, migracijah trgovin in odpravljanju mešane vsebine pa se hitro pojavijo pasti, ki vplivajo na uvrstitve in prodajo. V takih primerih se splača prepustiti delo nekomu, ki to počne vsak dan. Spoznajte storitve agencije Pakt, kjer poskrbijo za varen prehod na https in poskrbijo, da vaša stran ostane vidna in zaupanja vredna.