HTTP - HTTPS - Biti ili ne biti

Dali ste prebacivali Vaše postojeće web stranice na HTTPS ?
Dali ima smisla prelaziti na HTTPS ako je web sajt adult niše ili neke niše koja se ne baziraju na web prodaji?

i dali ste nakon prelaska na HTTPS imali nekih problema? dali su svi pluginovi radili ok,. popunderi, reklame,…

.
.

- digresija:

HTTPS
HyperText Transfer Protocol Secure (HTTPS) je internetski protokol nastao kombinacijom protokola HTTP s protokolom SSL/TLS.

Svojstva HTTPS-a
Ovaj protokol omogućava kriptiranu komunikaciju i sigurnu identifikaciju web poslužitelja mreže. HTTPS veze često se koriste za novčane transakcije na World Wide Webu i ostale povjerljive transakcije u korporativnim informacijskim sustavima.

HTTPS je URI shema koja ima identičnu sintaksu poput standardnog HTTP programa, osim svoje znakovne sheme. Međutim, HTTPS signalizira pregledniku za korištenje dodatnog zaštitnog SSL/TLS protokola kako bi zaštito promet. SSL je posebno pogodan za HTTP jer može pružiti određenu zaštitu čak i ako je samo jedna strana komunikacije ovjerena (autentična). To je slučaj HTTP transakcije preko Interneta, gdje je obično samo poslužitelj ovjeren.

Osnovna ideja HTTPS je stvoriti siguran kanal preko nesigurne mreže. To osigurava razumnu zaštitu od prisluškivanja i napada Man-in-the-middle, pod uvjetom da je korištena odgovarajuća enkripcija i da je poslužiteljev certifikat provjeravan i pouzdan.

Web preglednici znaju kako vjerovati HTTPS web stranicama na temelju certifikata koji dolaze pre-instalirani u njihovom softveru. Izdaju ih posebne tvrtke (engl. Certificate authorities) (npr. VeriSign / Thawte / itd.) kojima proizvođači Internet preglednika (Mozilla, Google, Microsoft) vjeruju. Logično, slijedi da korisnik mora imati povjerenja u HTTPS povezivanje na web stranicu onda i samo onda ako je sljedeće navedeno istinito:

  1. Korisnik vjeruje da je internet preglednik ispravno implementirao podršku za HTTPS s ispravnim predinstaliranim certfikatom izdanim od ovlaštenih CA (certificirani autoritet).

  2. Korisnik vjeruje certificiranom autoritetu CA da jamči samo za legitimne web stranice.

  3. Internetska stranica daje valjani certifikat, što znači da je potpisan od strane pouzdanog certificiranog autoriteta.

  4. Potvrda ispravno identificira web stranice (npr. kad preglednik posjeti “https://example.com”, dobiveni certifikat je ispravan za “Example Inc”, a ne neki drugi subjekt). 5. ili da je Internet mreža vjerodostojan, ili korisnik vjeruje da je sloj kriptiranog protokola (TLS/SSL) dovoljna zaštita protiv prisluškivanja.

Razlika od HTTP-a
HTTPS standardno rabi TCP/IP-port 443 a njegovi URL-ovi počinju s “https://”. S druge strane, HTTP standardno rabi TCP/IP-port 80 a njegovi URL-ovi počinju s “http://”.

HTTP je nezaštićen i predmet je napada čovjek-u-sredini i prisluškivanje, što može dopustiti napadačima pristup web računima i osjetljivim informacijama. HTTPS je dizajniran da izdrži takve napade i smatra se sigurnim protiv takvih napada (uz iznimku izvan upotrebe starije verzije SSL).

HTTP djeluje na najvišem sloju OSI modela, aplikacijski sloj, ali sigurnosni protokol radi na nižim podrazinama, kodirajući HTTP poruku prije prijenosa i dekriptirajući poruku pri dolasku. Strogo govoreći, HTTPS nije zasebni protokol, ali se odnosi na korištenje običnog HTTP preko kriptirane SSL / TLS veze.

Sve u HTTPS porukama je kodirano, uključujući i zaglavlja. S iznimkom mogućeg kriptografskog napada, napadač može znati činjenicu da se veza odvija između dviju stranaka, naziv domene i IP adrese ali kriptografski algoritmi korišteni za kodiranje su toliko sigurni da ih je u realnim uvjetima nemoguće probiti.

Ograničenja protokola
SSL dolazi u dvije opcije, jednostavna i zajednička.

Zajednička verzija je sigurnija, ali zahtijeva od korisnika instaliranje osobnog certifikata u svom pregledniku kako bi se prepoznao.

Koja god se strategija koristi (jednostavna ili zajednička), razina zaštite uvelike ovisi o ispravnosti provedbe web preglednika i poslužiteljevog softvera i kriptografskih algoritama koje podržava.

SSL ne sprječava potpuno indeksiranje web stranica od strane pretraživača (npr. Google)

S arhitektonske točke gledišta:

  1. SSL/TLS vezom upravlja prvi (frontalni) server, ako se kojim slučajem aplikacija koji se pristupa ne nalazi na tom serveru, treba postojati riješenje koje će proslijediti informacije o korisniku i certifikatu tom aplikacijskom serveru.

  2. Za SSL s zajedničkom autentifikacijom, SSL/TLS sjednica (session) je upravljana od strane prvog poslužitelja koji inicira vezu. U situacijama gdje se šifriranje mora širiti povezanim serverima, upravljanje istekom sjednice postaje vrlo komplicirana zadatak za provedbu. 3. S zajedničkim SSL/TLS, sigurnost je maksimalna, ali na strani klijenta, ne postoji način da se pravilno završi SSL veza i isključi korisnika osim čekanjem da SSL sjednica istekne ili zatvori sve povezane aplikacije klijenata. 4. Zbog preformasni statički sadržaj koji nije specifičan za korisnika ili transakciju, obično se dostavlja putem ne kriptiranog prednjeg poslužitelja ili zasebnog poslužitelja bez SSL-a. Kao posljedica toga, ovaj sadržaj obično nije zaštićen. Mnogi preglednici upozoravaju korisnika kada stranica pomiješa kodirane i ne kodirane dijelove

Sofisticiran tip MITM predstavljen je na Blackhat Conference 2009. Ova vrsta napada probija sigurnost koju pruža HTTPS promjenom https: linka u http:link, uzimajući prednost činjenice da rijetki korisnci Interneta zapravo upisuju “https” u njihov preglednik. Korisnici odlaze na sigurnu stranicu putem linka misleci da koriste HTTPS dok ustvari koriste HTTP. Napadač tada komunicira jasno s klijentom.

1 Like

Baš sam pred par dana aktivirao SSL odnosno uradio redirekciju sa http na https. Nisam imao opravdane potrebe, osim možda pozitivnog signala prema google-u i mogućeg web shopa u budućnosti.
Riječ je o WP-u i VPS-u.
Redirekcija, WP i svi plugini rade OK. Google je već uvažio https pa će svi koji dođu putem tražilice dobiti ponudu sa https predznakom. Dosadašnji linkovi se naravno redirektaju sa 301 u htaccess file-u.
Problem imam, trenutno se promatra i traži uzrok a to je povremeni prekid prema stranici. Kada ugasim redirekciju sve radi odlično, ali kada je izričito naglašena redirekcija na https zna mi se često dogoditi da stoji poruka “Establishing secure connection” i po pola minute, a nakon toga dobijem jako spor odaziv i učitavanje sadržaja. Kako rekoh, gledamo ukloniti problem.

1 Like

Koristim Let’s Encrypt SSL na svim web stranicama, ali bas svim bez iznimke.

I ja sam htio staviti Let’s Encrypt SSL, ali citam da to usporava stranicu i da se preporuca vps ili dedi, ako tko ima nekih iskustava stavljanje Let’s Encrypt SSL na shared sto se tice brzine javite.

Ja sam danas ipak udario https na http i necu se vracati.

Trebam jos samo vidjeti kako da google to sto bolje prihvati jer sam uradio promjene u kratko vrijeme.

Imam sada 4 verzije sajta u WMT http:// http://www https:// i https://www

Pitanje za znalce, dali brisati ove viska ili uraditi nesto jos osim sto sam u htaccess udario redirect na http://www ?

Vratio sam se na http.
Sreca pa google kuzi to na vrijeme i vraca stvari na svoje mjesto. Ne, nije pingvin 4.0 nego povratak sa https na http

1 Like

Mislim da je https beskoristan osim u slucaju nekog online shopa. Sta ce recimo https na news portalu ?

Potpuno si u pravu.

Pa navodno google bolje rangira https stranicu…

Btw, zakaj za ove www redirektove ne koristite CDN?

To su price,jednako kao i sto emd nema veze…

Neces postavljat CDN radi www redirecta… Toliko drugih nacina.

Pa normalno da ne samo radi toga, ali mi cdn resolva sva ta sranja. Bolje to nego htaccess…

Ok, kuzim ti imas rutu na CDN i sve 5. Kakve sad ima veze tvoja ponuda ovdje u ovoj temi da se koristi CDN za www redirekciju?

Evo pogledam jos jednom, ali ne sjecam se da sam igdje spomenuo da koristim CDN.

Evo prelistao i nigdje nema spomena na CDN i sad opet meni nije jasan tvoj prijedlog.

Pitao si sto raditi s www-om. Stavis ga kao redirekt u CDN-u i zaboravis. Osim toga s CDN-om rijesis i neke druge probleme, sadasnje i buduce.
Ako neznas cemu sluzi CDN, proguglaj.

Nisam to nigdje pitao…
Znam sta je CDN, koristio sam ga dugo godina i nikada za www no-www redirekciju.

Nego, kolega @sproject
Tek sada vidim da je ova tema u birtiji… Jesi ti stavio, ili admini misle da tu treba biti? Ne mislim na svoja dva zadnja posta :smile:

:slight_smile: stvarno nemam pojima gdje sam stavio, al ok je i u bitriji :wink:

nego jedno pitanje vidim da spominjete www ili bez www… bas sad podizem jedan novi sajt i moram odluciti dali sa www ili bez… u cemu je uopce razlika? ili je to isto?

Razlika psiholoske prirode. Gdje god netko stavio link, ili ga upisivao ici ce sa www… Inace, tvoje je sa tehnicke strane ispostovati proceduru prema google i odluciti se za jednu od opcija…

Po meni www bolje stoji

i ja preferiram sa www.
kada je bez www kao da se ne prica o web…

malo sam cito o tome sa i bez www i imam dojam da nitko nezna stvarnu razliku… možda za neke stvari je bolje www, a za neke bolje bez www…

cuo sam da ekipa koja ima www ima problem na twitter … a mozda je to bilo davno jer sam cito stare clanke

1 Like

Da li netko zna zašto je ovdje http://www.httpvshttps.com navedena tolika supriornost u brzini https.a nad http.om?

Ako je https.u primarna stvar kriptiranje podataka?

Da li se toliko benefit u brzini dobiva time što je https na http/2 tehnologiji, ili je posrijedi nešto drugo?


Copyright © 2022 WM Forum - AboutContact