Siite
Ponuda
Web

HTTPS i SSL — što hosting ne pokriva

SSL certifikati u 2026, Let's Encrypt, Cloudflare integracija, mixed content fix za WordPress. Praktičan vodič za sigurnu hrvatsku stranicu.

Nicklas Dyrmose Autor: Nicklas Dyrmose 17. lipnja 2026. 8 min čitanja

Bez HTTPS-a u 2026. — Chrome označava vašu stranicu kao “Not secure”, Google ne rangira, korisnici odlaze. Većina hrvatskih hostera daje besplatan SSL preko Let’s Encrypt-a, ali to ne znači da je sve riješeno. Mixed content, neispravni redirecti, neažurirani certifikati — sve su uobičajeni problemi koji ostavljaju vašu stranicu tehnički HTTPS, ali praktički slabu.

1. SSL osnove

SSL/TLS certifikat enkriptira komunikaciju između browser-a i servera. Bez njega:

  • Browser pokazuje “Not secure”
  • Google penalizira SEO
  • Plaćanje karticom ne radi
  • GDPR usklađenost ugrožena

2. Vrste SSL certifikata

Let’s Encrypt (besplatan)

  • Auto-renewal svakih 90 dana
  • Većina hrvatskih hostera (Avalon, CyberFolks) automatski daje
  • 500+ milijuna stranica koristi
  • Sufficient za 95% MSP stranica

Komercijalni (DV, OV, EV)

  • Domain Validated (DV): 10–50 €/godišnje, isto kao Let’s Encrypt
  • Organization Validated (OV): 100–200 €/godišnje, verifikacija firme
  • Extended Validation (EV): 200–600 €/godišnje, “green bar” više ne postoji (Chrome 77+)

Većina firmi ne treba komercijalni — Let’s Encrypt je dovoljan.

Wildcard SSL

Pokriva sve subdomene (*.vasadomena.hr). Korisno za:

  • Multi-language sa subdomenama (en.site.hr, de.site.hr)
  • Aplikacije (app.site.hr, api.site.hr)

Let’s Encrypt podržava wildcard besplatno.

3. Cloudflare integracija — najjača kombinacija

Cloudflare nudi:

  • Besplatan SSL na edge serveru
  • Auto HTTPS Rewrites
  • DDoS zaštita
  • Performance optimizacije

Postavka

  1. Dodaj domenu u Cloudflare
  2. Promijeni nameservere
  3. Postavi SSL mode na Full (Strict) — ne Flexible
  4. Aktiviraj “Automatic HTTPS Rewrites”
  5. Aktiviraj “Always Use HTTPS”

Najčešća greška: Flexible mode

Flexible SSL šifrira samo browser↔Cloudflare, ali ne Cloudflare↔server. To uzrokuje mixed content i petlje preusmjeravanja.

Uvijek koristi Full (Strict) — origin server treba SSL certifikat (Let’s Encrypt na hostingu).

4. Mixed content — kako popraviti

Mixed content = HTTPS stranica učitava HTTP resurse (slike, skripte). Browser blokira ili upozorava.

Uzroci u WordPressu

  • Slike uploadane prije HTTPS migracije (URL-ovi u bazi i dalje http://)
  • Hardkodirani HTTP linkovi u temi
  • External resursi (CDN-ovi, third-party scripts) bez HTTPS-a

Fix u 3 koraka

1. Database search & replace:

Plugin Better Search Replace (besplatan):

  • Find: http://vasadomena.hr
  • Replace: https://vasadomena.hr
  • Pokreni — sve URL-ove u bazi mijenja

2. .htaccess redirect:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

3. Cloudflare Auto HTTPS Rewrites aktiviran kao backup.

5. HSTS — extra sigurnost

HTTP Strict Transport Security tjera browser da uvijek koristi HTTPS.

Header:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Postaviti kroz Cloudflare ili .htaccess. Plus: dodatna sigurnost, plus SEO bonus.

6. Što izbjegavati

  1. Flexible SSL u Cloudflare-u — mixed content garantiran
  2. Self-signed certifikat za produkciju — browser pokazuje upozorenja
  3. Zaboravljeni renewal — Let’s Encrypt traje 90 dana, auto-renewal mora raditi
  4. Mixed scripts (<script src="http://...">) — sigurnosna rupa
  5. HTTP→HTTPS redirect kroz JavaScript (sporo, browser kažnjava)

Kratak zaključak

HTTPS u 2026. nije opcionalan. Postavka traje 30 minuta s Let’s Encrypt + Cloudflare Free.

Audit vaše stranice (mixed content, certifikat status, headers) je besplatan. Konkretne brojke koje treba popraviti dobivate u 30 min.

Neobvezujući razgovor

Spremni za rast vašeg poslovanja?

Dogovorimo kratki razgovor. Pregledat ćemo vašu web stranicu, oglase, SEO i recenzije te vam poslati pisani plan — bez obzira angažirate li nas ili ne.

Zatražite ponuduili nazovite 099 7707 829