Odabir pravog SSL certifikata ovisi o vašoj situaciji. Ukratko rečeno, imate dvije mogućnosti.
 

1. Ili ste privatna osoba i uglavnom želite sigurnu web stranicu. U tom slučaju, sve što trebate je SSL certifikat s provjerom valjanosti domene.

2. Jeste li tvrtka ili obavljate komercijalnu djelatnost? Tada biste trebali odabrati SSL certifikat s proširenom provjerom valjanosti. Podaci o vašoj tvrtki tada će biti uključeni u vaš SSL certifikat. To će omogućiti posjetiteljima da saznaju sve o tvrtki koja stoji iza web stranice, što će pobuditi više povjerenja i povećati vašu prodaju.

Za web trgovinu važno je izgraditi što veće povjerenje posjetitelja. Moraju znati da imaju posla s pouzdanom tvrtkom i da se sve odvija u sigurnom okruženju, zbog čega SSL certifikat s validacijom domene nije dovoljan. Za web trgovinu važno je da su podaci o tvrtki integrirani u sigurnosni certifikat. Stoga svakako odaberite SSL certifikat s proširenom validacijom za svoju web trgovinu. To će pomoći vašoj web trgovini da ostvari povećanje prodaje od 15%!

SSL (Secure Sockets Layer) certifikat je digitalni sigurnosni certifikat koji pruža sigurnu vezu između preglednika vaših posjetitelja i poslužitelja koji hosta vašu web stranicu. Šifrira sve podatke koji se šalju, kao što su lozinke, kontakt podaci, podaci o plaćanju i drugi osjetljivi podaci. Zbog toga je hakerima teže presresti ili ukrasti te podatke.

Jednostavno rečeno, SSL certifikat je vrsta sigurnosti na vašoj web stranici koja je čini sigurnom za vaše posjetitelje i čini je pouzdanom. Mali lokot prikazan na traci preglednika ili "https" odmah označava da web stranica koristi SSL certifikat i stoga je sigurna.

Cijena SSL certifikata varira ovisno o vrsti SSL certifikata koji ste odabrali i imenima domena za koje se koristi.

Za jeftini SSL certifikat najbolje je odabrati SSL certifikat s validacijom domene koji vrijedi za jedan naziv domene. SSL certifikati s opsežnijom provjerom valjanosti (provjera valjanosti organizacije ili proširena provjera valjanosti) koštaju više.

Cijena se također povećava ako vaš SSL certifikat vrijedi za više naziva domena ili poddomena.

Jeftini SSL certifikati (npr. besplatni SSL certifikat koji izdaje Let's Encrypt) imaju neke nedostatke u odnosu na one skuplje.

Jeftini SSL certifikati ne dopuštaju opsežnu provjeru valjanosti , što znači da detalji o tvrtki ne mogu biti uključeni u njega. Stoga će vam posjetitelji manje vjerovati. A ograničeno povjerenje znači ograničenu prodaju, zbog čega web trgovine pod svaku cijenu trebaju izbjegavati korištenje jeftinih SSL certifikata. SSL certifikat s proširenom validacijom jamči najmanje 15% veću prodaju.

Besplatni SSL certifikat poput onih koje izdaje Let's Encrypt prikladan je samo za web mjesto . Za poslužitelje datoteka, aplikacije, e-poštu i slično potreban vam je plaćeni SSL certifikat.

Ne možete koristiti zamjenski SSL certifikat za sve vaše poddomene. Dakle, i ovdje se preporučuje premium certifikat (kao što je onaj s produženom validacijom).

S jeftinim SSL certifikatom ne možete dodati ni Trust Seal na svoju stranicu za plaćanje. Dodavanjem njihove oznake vaši posjetitelji će vam više vjerovati.

Ako koristite besplatni SSL certifikat, nećete dobiti nikakvu naknadu u slučaju zlouporabe.

Podnošenje zahtjeva za SSL certifikat je jednostavno. Započnite naručivanje putem naše web stranice, a mi ćemo se pobrinuti za ostalo. Ovisno o vrsti SSL certifikata koji odaberete (potvrda domene, potvrda organizacije ili proširena potvrda), vaš će zahtjev biti obrađen odmah ili će vaša tvrtka biti provjerena nedugo nakon toga.

Ova provjera je neophodna za validaciju organizacije ili proširenu validaciju kako bi se osiguralo da je tvrtka koja podnosi zahtjev potpuno legitimna. Tek tada se podaci o tvrtki također mogu uključiti u potvrdu. Certifikat ćemo instalirati BESPLATNO.

Wildcard Positive SSL isplativo je rješenje za zaštitu glavne domene i više poddomena te iste domene.
Na primjer,  Wildcard SSL certifikat izdan na * .mojadomena.hr vrijedi za: www.mojadomena.hr, webshop.mojadomena.hr, mail.mojadomena.hr itd.
SSL Wildcard certifikati jednostavan je za instalaciju i izvrstan odabir kako za osobne web stranice tako i za sve stranice koje imaju mnogo poddomena koje je potrebno zaštititi. Prednost je što se certifikat obnavlja i reinstalira jednom godišnje, a  moguće ga je instalirati i na drugom serveru u slučaju da se neka poddomena iz nekog razloga hosta na drugom serveru.

SSL certifikat šifrira komunikaciju između posjetitelja i tvoje web stranice, štiti osjetljive podatke i osigurava da se u pregledniku prikazuje ikona lokota uz https://. Na WMD hostingu, besplatni SSL certifikat (Let's Encrypt) dolazi uz svaki hosting paket. U ovoj uputi pokazujemo kako ga aktivirati i instalirati.

Automatski SSL (Let's Encrypt)

Na većini WMD hosting paketa, Let's Encrypt SSL certifikat se automatski instalira za sve domene na računu. Ako ti certifikat već radi (stranica se otvara s https://), ne trebaš ništa mijenjati.

Za provjeru:

1. Otvori svoju stranicu u pregledniku
2. Klikni na ikonu lokota lijevo od URL-a
3. Provjeri podatke o certifikatu — trebao bi pisati "Let's Encrypt" ili "AutoSSL"

Ručna instalacija SSL-a putem cPanela

Ako automatski SSL nije aktivan ili trebaš instalirati vlastiti (kupljeni) SSL certifikat:

Korak 1: Otvori SSL/TLS u cPanelu

Prijavi se u cPanel i u sekciji Security klikni na SSL/TLS.

Korak 2: Upravljanje SSL certifikatima

Klikni na Manage SSL sites (pod "Install and Manage SSL for your site").

Korak 3: Odaberi domenu i instaliraj certifikat

1. Iz padajućeg izbornika odaberi domenu za koju instaliraš SSL
2. Ako koristiš kupljeni certifikat, upiši ili zalijepi:
   • Certificate (CRT) — certifikat koji si dobio od izdavača
   • Private Key (KEY) — privatni ključ generiran pri kreiranju CSR zahtjeva
   • Certificate Authority Bundle (CABUNDLE) — lanac certifikata izdavača
3. Ako koristiš AutoSSL, klikni Autofill by Domain — cPanel će automatski popuniti polja
4. Klikni Install Certificate

Korak 4: Provjera

Nakon instalacije, otvori svoju stranicu s https:// prefiksom. Trebao bi vidjeti ikonu lokota. Ako se pojavljuju upozorenja, moguće je da stranica ima "mixed content" — neke resurse (slike, skripte) i dalje učitava putem http://.

Pokretanje AutoSSL-a

Ako AutoSSL nije automatski instalirao certifikat:

1. U cPanelu idi na SSL/TLS Status
2. Označi domene za koje želiš SSL
3. Klikni Run AutoSSL
4. Pričekaj nekoliko minuta — status će se promijeniti u zeleno

Najčešći problemi

• AutoSSL ne radi — provjeri da domena ispravno pokazuje na hosting server (DNS mora biti postavljen). AutoSSL ne može izdati certifikat ako domena ne pokazuje na pravi server.
• Mixed content upozorenja — zamijeni sve http:// linkove na stranici s https:// ili koristi relativne putanje
• Certifikat je istekao — AutoSSL se automatski obnavlja. Ako nije, pokreni ga ručno ili nas kontaktiraj.

Trebaš pomoć? Piši nam na info@wmd.hr — instaliramo SSL besplatno za sve korisnike.

Imati SSL certifikat je samo prvi korak. Ako tvoja stranica i dalje prihvaća veze putem http://, posjetitelji mogu pristupiti nezaštićenoj verziji. HTTPS redirect automatski preusmjerava sav promet na šifriranu (https) verziju tvoje stranice.

Zašto je HTTPS redirect važan?

• Sigurnost — svi podatci između posjetitelja i servera su šifrirani
• SEO — Google preferira HTTPS stranice i rangira ih više
• Povjerenje — posjetitelji vide ikonu lokota i znaju da je veza sigurna
• Izbjegavanje duplog sadržaja — bez redirecta, Google vidi http:// i https:// kao dvije različite stranice

Metoda 1: HTTPS redirect putem cPanela

Najjednostavniji način — bez diranja koda:

1. Prijavi se u cPanel
2. U sekciji Domains klikni na Domains
3. Pronađi svoju domenu u popisu
4. Uključi prekidač Force HTTPS Redirect (prebaci na ON)

To je to! cPanel će automatski preusmjeriti sav HTTP promet na HTTPS.

Metoda 2: Redirect putem .htaccess

Ako tvoj cPanel nema opciju Force HTTPS, možeš dodati redirect ručno u .htaccess datoteku:

1. U cPanelu otvori File Manager
2. Idi u public_html mapu
3. Pronađi datoteku .htaccess (ako je ne vidiš, uključi Show Hidden Files u Settings)
4. Klikni desnim klikom → Edit
5. Na sam početak datoteke dodaj:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

6. Klikni Save Changes

Metoda 3: HTTPS redirect u WordPressu

Ako koristiš WordPress, dodatno provjeri:

1. Idi u Settings → General
2. Provjeri da oba polja počinju s https://:
   • WordPress Address (URL): https://tvoja-domena.hr
   • Site Address (URL): https://tvoja-domena.hr
3. Spremi promjene

Ako su ova polja postavljena na http://, WordPress će generirati linkove bez SSL-a čak i kad imaš .htaccess redirect.

Provjera

Nakon postavljanja redirecta, provjeri:

• Otvori http://tvoja-domena.hr — trebalo bi te automatski preusmjeriti na https://
• Provjeri i http://www.tvoja-domena.hr — i ovo mora preusmjeriti
• Koristi httpstatus.io da potvrdiš 301 redirect

Česti problemi

• Redirect loop ("Too many redirects") — može se dogoditi ako i cPanel i .htaccess istovremeno forsiraju redirect. Koristi samo jednu metodu.
• Mixed content — stranica se učitava putem HTTPS, ali neke slike ili skripte još koriste HTTP. Zamijeni sve linkove na https:// ili koristi relativne putanje.
• Stranica se ne učitava — provjeri imaš li uopće aktivan SSL certifikat. Bez njega, HTTPS redirect će prikazati grešku.

Trebaš pomoć s postavljanjem? Piši na info@wmd.hr — riješit ćemo to za tebe.

Cloudflare ispred vašeg weba daje četiri stvari odjednom: CDN (keš statika blizu korisnika), DDoS zaštitu, WAF pravila i SSL edge. Besplatni plan je dovoljan za 90% klijenata. Ova uputa pokriva kompletno postavljanje, praktične postavke i zamke koje smo vidjeli u praksi.

1. Kreiranje računa i dodavanje domene

1. Registrirajte se na cloudflare.com.
2. Add site → unesite domenu (bez www) → odaberite Free plan.
3. Cloudflare skenira postojeće DNS zapise i predlaže da ih zadrži. Provjerite da su svi A, AAAA, MX, TXT, CNAME zapisi tu. Ako nešto nedostaje, dodajte ručno.
4. Kopirajte dva Cloudflare nameservera koja dobijete.

2. Promjena nameservera kod registrara

Kod registrara domene (ili na CARNet za .hr) zamijenite postojeće NS-ove s Cloudflare nameserverima. Primjer:

jake.ns.cloudflare.com
lucy.ns.cloudflare.com

Propagacija traje od 5 minuta do 48h (obično <1h). Dok traje propagacija, web radi normalno — dio korisnika ide novim NS-om, dio starim.

3. Proxy (oranges cloud) ili DNS-only

Svaki A / CNAME zapis ima prekidač oblaka:

• Narančasta (proxied) — promet ide kroz Cloudflare (CDN, WAF, SSL).
• Siva (DNS-only) — Cloudflare samo resolva DNS.

Pravilo: web i www = narančasta. MX zapisi = siva (Cloudflare ne proxy-a SMTP). Specifični subdomeni (ftp, cpanel, webmail) = siva.

4. SSL / TLS postavke

SSL/TLS → Overview:

• Flexible — korisnik ↔ CF ima HTTPS, CF ↔ server je HTTP. Ne koristi! Server ne zna da je promet HTTPS → pojavljuju se mixed content i redirect loop.
• Full — CF ↔ server je HTTPS, ali ne provjerava valjanost certifikata. Self-signed prolazi. Prihvatljivo za razvoj.
• Full (strict) — CF ↔ server mora imati valjani certifikat. Koristite ovo u produkciji.

Edge Certificates:

• Always Use HTTPS: On.
• HTTP Strict Transport Security (HSTS): uključite nakon što ste sigurni da HTTPS radi 100% (HSTS je teško otkotrljati unatrag).
• Minimum TLS Version: 1.2 (ili 1.3 za strože politike).
• TLS 1.3: On.

5. Origin certifikat (umjesto Let's Encrypta)

Kad je sve u proxy modu, možete generirati Origin Certificate koji Cloudflare priznaje, traje 15 godina i ne troši Let's Encrypt rate limit.

1. SSL/TLS → Origin Server → Create Certificate.
2. Zadržite RSA 2048, istek 15 godina, hostnames: vasadomena.hr i *.vasadomena.hr.
3. Instalirajte certifikat i ključ na serveru (cPanel: SSL/TLS → Manage SSL Sites).
4. U Cloudflare: Authenticated Origin Pulls (opcionalno) — server prihvaća SSL connection samo s CF edge-a.

6. Page rules i redirects

Besplatan plan: 3 Page rules. Tipična upotreba:

# forsiraj HTTPS + www
http://*vasadomena.hr/*  → Forwarding URL (301) → https://www.vasadomena.hr/$2

# duži cache za asset folder
www.vasadomena.hr/assets/*  → Cache Level: Cache Everything, Edge Cache TTL: 1 month

# bypass cache za admin
www.vasadomena.hr/admin/*  → Cache Level: Bypass

Moderna alternativa su Rules → Bulk Redirects i Cache Rules — više opcija, iste postavke, fleksibilnije.

7. WAF — osnovno zaključavanje

Security → WAF:

• Managed Rules: uključite (na Free planu ograničeno, ali OWASP set je tu).
• Rate Limiting: jedno pravilo na Free planu — najbolje potrošiti za /wp-login.php, /admin ili /xmlrpc.php.
• Custom Rules: blokirajte poznate TOR exit node-ove, threat score >40, ili geografske regije koje ne koristite.

Primjer Custom Rule: Block requests from "Threat Score" > 40.

8. Performanse

Speed → Optimization:

• Auto Minify (HTML/CSS/JS) — ugasite ako koristite vlastiti build pipeline (Vite, webpack). Dvostruki minify ne pomaže, a može razbiti stvari.
• Brotli: On.
• Early Hints: On (ako vaš server šalje 103 Early Hints).
• HTTP/3 (QUIC): On.
• Polish (Pro plan) — automatska optimizacija slika.

9. Što se NE keši po defaultu

Cloudflare po defaultu keši samo statičke asete (slike, CSS, JS, fontovi). HTML, PHP output, JSON API, cookie-laden responsa ne idu u keš osim ako eksplicitno uključite Cache Everything. Zato dinamički web ne pati od "staleness" po defaultu.

10. Česte zamke

Redirect loop nakon aktivacije

SSL u Flexible modu a server radi redirect HTTP → HTTPS. Rješenje: Full (strict) + .htaccess bez redirect-a na HTTPS (Cloudflare radi redirect).

IP servera vidi se u DNS historyu

CF skriva origin IP, ali povijest DNS-a (npr. preko securitytrails.com, viewdns.info) pokazuje stari IP. Za pravu zaštitu: promijenite origin IP i ograničite firewall da prihvati samo CF IP range-ove.

Stvarni IP klijenta u log-u

Apache/nginx vidi Cloudflare IP kao klijent. Treba konfigurirati mod_remoteip (Apache) ili real_ip_module (nginx) i dodati CF IP range-ove. Cloudflare objavljuje popis na cloudflare.com/ips.

Mail ne radi nakon promjene NS-a

MX zapisi moraju biti "DNS only" (siva). Ako su narančasti, Cloudflare ih ne proxy-a (SMTP ne ide kroz HTTP proxy) i mail ide u nigdje.

Certifikat ne pokriva subdomenu

Free Universal SSL pokriva root i *.vasadomena.hr, ali ne *.sub.vasadomena.hr. Za to treba Origin Certificate s eksplicitnim hostname-om.

11. Preporuka za ozbiljnije projekte

• Pro plan ($20/mj) za image optimization, mobile optimizaciju, više page rules.
• Business plan za custom WAF rules i BYO certifikate.
• Cloudflare Access za zero-trust admin panele — bez VPN-a, SSO login, granularne policies.

Za klijente s kompleksnijim zahtjevima (e-trgovina, SaaS) obično konfiguriramo Cloudflare zajedno s WMD hostingom — DNS, SSL, WAF, cache rules, real IP konfiguracija na origin serveru. Javite se ako trebate komplet setup ili audit postojećeg Cloudflare accounta.

Let's Encrypt je besplatan, automatiziran i odličan — dok ne udarite u rate limit. Kad se to dogodi, certbot baca too many certificates i imate 168 sati dok se limit ne oslobodi. Ova uputa objašnjava koji limiti postoje, kako ih ne udariti, i što napraviti kad vas je već zaključalo.

1. Bitni rate limiti (2026. verzija)

Glavni limiti Let's Encrypt-a:

• Certificates per Registered Domain: 50 certifikata tjedno po registriranoj domeni (vasadomena.hr uključuje sve subdomene). Najčešći udarac za hostere i multitenant aplikacije.
• Duplicate Certificate: 5 identičnih certifikata tjedno. Ako obnavljate isti set hostname-ova više puta, dignut će rate limit.
• Failed Validations: 5 neuspjelih validacija po accountu, hostname-u, sat vremena. Blokiranje nakon 5 pokušaja u istoj varijanti.
• Pending Authorizations: 300 po accountu u isto vrijeme — problem pri masovnom izdavanju.
• New Orders: 300 novih ordera po accountu u 3 sata.
• Names per Certificate: 100 hostname-ova po certifikatu (SAN).

Svi limiti resetiraju se "sliding window" — ne svake nedjelje u ponoć, nego 168 sati nakon svakog pojedinog izdavanja.

2. Najčešći uzroci udaranja limita

1. Agresivni renewal u skripti. Cron koji pokreće certbot renew svaki sat i svaki put zove --force-renewal. Pet dana i limit je gotov.
2. Migracija s više subdomena. 30 subdomena × 2 pokušaja × failed challenge = rate limit u 2h.
3. Dev / staging / production razdvojeni. Staging ponovno izdaje certifikat za istu domenu na svaki deploy — lako pređe 5 duplikata tjedno.
4. Hosteri sa stotinama klijentskih domena na istoj root domeni (wildcard SaaS).
5. Misskonfigurirani DNS-01 challenge. Propagacija sporija nego timeout → fail → retry → fail.

3. Kako ne udariti limit

Koristi staging environment Let's Encrypta

Za testiranje, obavezno certbot flag --staging. Staging ne broji u rate limit.

certbot certonly --staging --webroot -w /var/www/html -d test.vasadomena.hr

Kad radi u stagingu, ponovite bez --staging za produkcijski certifikat.

Ne koristi --force-renewal rutinski

Certbot automatski obnavlja samo kad je certifikat <30 dana od isteka. --force-renewal zaobilazi tu zaštitu i svaki puta izda novi certifikat.

Grupiraj hostname-ove u jedan certifikat

Umjesto 10 zasebnih certifikata za 10 subdomena, jedan SAN certifikat s 10 imena. Računa se kao 1 certifikat, ne 10:

certbot certonly --webroot -w /var/www/html \
  -d vasadomena.hr \
  -d www.vasadomena.hr \
  -d api.vasadomena.hr \
  -d admin.vasadomena.hr

Koristi wildcard certifikat za mnogo subdomena

Wildcard (*.vasadomena.hr) zahtijeva DNS-01 challenge (ne HTTP-01), ali pokriva neograničeno subdomena:

certbot certonly --manual --preferred-challenges dns \
  -d vasadomena.hr -d "*.vasadomena.hr"

Još bolje — automatizirano preko DNS provider plugina (Cloudflare, Route53, Bunny DNS):

certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /root/.secrets/cloudflare.ini \
  -d vasadomena.hr -d "*.vasadomena.hr"

Shared certifikat između staging i prod

Ako staging nema svoju poddomenu, koristite istu domenu s DNS split-om. Ili koristite interno wildcard certifikat.

4. Monitoring certifikata

Ne čekajte da istekne. Postavite alarm.

# provjera dana do isteka
echo | openssl s_client -connect vasadomena.hr:443 -servername vasadomena.hr 2>/dev/null \
  | openssl x509 -noout -dates

# skripta alarma
#!/bin/bash
DOMAIN=vasadomena.hr
EXPIRY=$(echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null \
  | openssl x509 -noout -enddate | cut -d= -f2)
EXPIRY_TS=$(date -d "$EXPIRY" +%s)
NOW_TS=$(date +%s)
DAYS=$(( (EXPIRY_TS - NOW_TS) / 86400 ))

if [ $DAYS -lt 14 ]; then
  echo "SSL cert za $DOMAIN istječe za $DAYS dana" | mail -s "SSL alarm" admin@vasadomena.hr
fi

Pokrećite kroz cron svakog dana.

5. Kad ste udarili u rate limit

Prvo: provjerite je li stvarno limit

Greška mora sadržavati točno:

Error creating new cert :: too many certificates already issued for: vasadomena.hr
see https://letsencrypt.org/docs/rate-limits/

Ako je druga greška (authorization problem, DNS problem) — limit nije problem, problem je setup.

Strategije dok limit ne padne

1. Postojeći certifikat još vrijedi. Ako je još validan, ne ide u down — samo čekate 168h od zadnjeg issue.
2. ZeroSSL kao privremeni alternativa. ACME kompatibilan, certbot plugin --server flag:

   certbot --server https://acme.zerossl.com/v2/DV90 \
     --eab-kid YOUR_KID --eab-hmac-key YOUR_KEY \
     -d vasadomena.hr

3. Cloudflare Origin Certificate. Ako imate Cloudflare ispred, origin cert vrijedi 15 godina i ne troši LE limit.
4. Google Trust Services besplatni ACME — slični limiti, ali odvojena potrošnja.

Zahtjev za povećanje limita

Ako je vaš projekt SaaS s mnogo korisničkih domena, Let's Encrypt ima rate limit adjustment request formu. Obrazlaganje mora biti tehničko (broj domena, automatizacija, zašto je duplikat nepotreban).

6. Preporuke za različite scenarije

Jedna domena s 5-10 subdomena

SAN certifikat s eksplicitnim popisom imena. Jednostavno, sigurno.

Domena s mnogo subdomena (glavni brand)

Wildcard + SAN certifikat preko DNS-01 challenge.

Multi-tenant SaaS (custom domene klijenata)

Certbot automation + dedicated ACME account(i) + Cloudflare for SaaS ili ZeroSSL. Nikad ne koristi jedan Let's Encrypt account za sve.

Hosting provider

AutoSSL (cPanel) preko Comodo/Sectigo ili kombinacija — ne stavljajte stotine klijenata na istu LE account bez razdvajanja.

7. Check-list prije produkcije

1. Staging test prošao (--staging).
2. Certifikat izdat s minimumom nužnih imena (bez testnih subdomena koje nećete koristiti).
3. Renewal cron radi bez --force-renewal.
4. Monitoring isteka aktiviran.
5. Fallback strategija (Cloudflare Origin, ZeroSSL) poznata tima.

Za klijente s kompleksnim SSL scenarijima (mnogo domena, wildcard, mTLS) obično postavljamo ACME automatizaciju kombinirano s CF Origin certifikatima kako Let's Encrypt rate limit nikad ne postane problem. Javite se ako imate multi-domain projekt u planu.