SSL ważne jak nigdy dotąd. Co musisz wiedzieć o Chrome 56?


Aby ułatwić użytkownikom przeglądanie stron internetowych w bardziej bezpieczny sposób, Google ogłasza, że planowane na styczeń 2017 wersja 56 popularnej przeglądarki Chrome, będzie oznaczać witryny nieużywające HTTPS jako „niebezpieczne”, oznaczając je odpowiednio w adresie przeglądarki. Celem działań jest zniechęcenie do korzystania z witryn, które nie korzystają z odpowiednich środków bezpieczeństwa i popularyzacja tych witryn, które z SSL już korzystają.


1 Powody zmiany

Obecne wersje Google Chrome, zdaniem producenta, nie wskazują wystarczająco czytelnie, czy połączenie ze stroną jest bezpieczne. Jeśli strona nie wykorzystuje certyfikatu SSL i protokołu HTTPS, to potencjalnie haker może przechwytywać dane logowania, hasła lub dane płatnicze. Dzieje się tak, ponieważ transmisja między przeglądarką i serwerem nie jest wówczas szyfrowana i może zostać przechwycona. Dopiero stosowanie protokołu HTTPS, a więc bezpiecznej dzięki certyfikatowi SSL wersji HTTP, zapewnia szyfrowanie danych między przeglądarką i serwerem. Dzięki temu haker nie może poznać treści danych wysłanych do serwera.

Niedawne badania Google stwierdzają, że obecny wskaźnik w przeglądarce internetowej ma niewielki wpływ na użytkowników, a ostrzeżenie, że strona jest „niebezpieczna” – jest bardziej skuteczne. Nie oznacza to, że strona infekuje komputer użytkownika złośliwym kodem, ale że wpisywanie na takiej stronie swoich danych jest ryzykowne, ponieważ nie będą one przesłane do serwera w sposób zaszyfrowany.

2 Dlaczego SSL staje się konieczne?

Certyfikat SSL to liczne korzyści zarówno dla właściciela strony lub aplikacji, jak i jej użytkownika.

Cytat

SSL staje się istotne nie tylko tam, gdzie mamy do czynienia z danymi osobowymi czy z płatnościami. Nawet „zwykłe”, nietransakcyjne strony często korzystają z elementów, które powinno się zabezpieczać – choćby formularzy zapisania na newsletter. Stosowanie SSL poprawia wiarygodność strony w oczach zarówno ludzi, jak i robotów indeksujących, przez co łatwiej jest osiągać lepsze pozycje w wynikach wyszukiwania.

Artur Pajkert, Hekko.pl


Podsumujmy korzyści z certyfikatów SSL:
  • poufność danych – ponieważ transmisja między Twoją przeglądarką i serwerem jest szyfrowana,
  • wiarygodność – zależna od tzw. poziomu walidacji – w uproszczeniu: SSL pozwala potwierdzić, że strona na której jesteś, to faktycznie ta, na której chcesz być, a nie „podróbka”,
  • lepsze pozycje w Google,
  • brak ostrzeżeń przy wejściu na Twoją stronę (w kontekście zmian planowanych w Chrome 56),
  • legalność przetwarzania danych osobowych. – zgodnie z przepisami obowiązującymi w Polsce, musimy korzystać z kryptograficznych środków ochrony w systemach służących przetwarzaniu danych osobowych. Stosowanie certyfikatu SSL staje się zatem wymogiem dla zapewnienia legalności przetwarzania danych.
  • 3 Co chronić?

    Planowana zmiana jest zmianą w silniku przeglądarki i jako webmaster będziesz mieć niewielki wpływ na to, czy przeglądarka będzie wyświetlać ostrzeżenia, czy też nie. Dopóki wersja 56 nie zostanie opublikowania, należy domniemywać, że WSZYSTKIE strony, które nie działają w oparciu o HTTPS, będą oznaczane jako niebezpieczne.
    Oznacza to, że także strony „wewnętrzne”, np. dostępne już po zalogowaniu użytkownika, mogą generować takie ostrzeżenia. Zabezpieczenie samego okna logowania – tak, jak było to popularne 10 lat temu – jest dziś niewystarczające. Rekomendujemy, żeby cała zawartość była serwowana po protokole HTTPS.

    4 Na co zwrócić uwagę?

    Jednym z częstych problemów po instalacji certyfikatu SSL jest to, że strona wciąż ładuje elementy po standardowym protokole HTTP. To znaczy mimo, że certyfikat jest prawidłowo zainstalowany, strona nie jest – jako całość – bezpieczna. Dzieje się tak, kiedy choćby jeden element, przykładowo: obrazek, jest ładowany poprzez „zwykłe” http, bez korzystania z certyfikatu. Przykładowo, w kodzie strony może znaleźć się odwołanie:

    <img src="http://mojadomenawhekko.pl/images/logo.png">

    Jak widać, mamy tu do czynienia z odwołaniem z podaniem bezwzględnej ścieżki i wskazaniem protokołu http. Nawet po zainstalowaniu certyfikatu strona nie będzie się otwierać prawidłowo.
    Wszelkie tego rodzaju elementy muszą być wywoływane ze wskazaniem protokołu https, czyli w kodzie strony powyższe odwołanie powinno zostać zamienione na:

    <img src="https://mojadomenawhekko.pl/images/logo.png">

    Dopiero, kiedy wszystkie elementy strony będą ładowane wg bezpiecznego protokołu – będzie ona w całości uznana za bezpieczną.


    5 Koszt bezpieczeństwa

    Koszty SSL są niewielkie – podstawowy certyfikat, w chwili publikacji niniejszego wpisu, możesz mieć już za 30 zł brutto rocznie. Zapewnia on zarówno enkrypcję (szyfrowanie), jak i wiarygodność, ponieważ jest wystawiany przez rozpoznawalną na całym świecie markę Comodo. Inny popularny certyfikat to, przykładowo, Rapid SSL. Wraz ze wzrostem poziomu walidacji rosną ceny certyfikatów, ale jednocześnie zyskuje się na coraz większej wiarygodności strony. A jeśli nie masz jeszcze hostingu – skorzystaj z promocji i wybierz pakiet hostingowy z certyfikatem SSL na rok – w cenie konta. Możesz skorzystać z poniższego kodu rabatowego.


    Jak zaoszczędzić 50% na hostingu?

    H50Y17BGOW

    Podaj ten kod zamawiając nowe konto hostingowe w Hekko.pl, a w pierwszym roku dostaniesz aż 50% rabatu od cen wskazanych na stronie. Testuj bezpłatnie przez 14 dni. Polecany przez 95% użytkowników niezależnego forum webhostingtalk.pl

    Dobre? To podziel się!Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Buffer this page
     
    • Rafał

      Czasami można trafić na serwisy które wystawiają darmowe certyfikaty.

      • Artur Pajkert

        Zazwyczaj niestety są to certyfikaty na krótki czas, np. na 3 miesiące.

        „Normalny” certyfikat spełnia nie tylko funkcję enkrypcyjną, ale także – walidacyjną. Jakkolwiek szyfrowanie realizuje nawet darmowy certyfikat, to niestety nie daje on już wiarygodności. Większość firm hostingowych mogłoby wygenerować własne certyfikaty, które doskonale zaszyfrują komunikację, jednak nie będą nigdy tak wiarygodne, jak OV, czy EV wystawione przez np. Symantec’a. No i kwestia rozpoznawalności przez przeglądarki – to też osobny temat 🙂

        BTW: W większości pakietów Hekko komercyjny certyfikat marki renomowanej marki Comodo można mieć w cenie pakietu – obecnie przez przez cały rok. Odnowienia zgodnie z cennikiem na stronie – czyli aktualnie 30 zł rocznie brutto.

        • Rafał

          Znam co najmniej dwie firmy które wystawiają roczne certyfikaty. Z jednej z nich korzystam i działa bez problemu.
          Czyli korzystanie z certyfikatów home czy nazwa tak naprawdę się nie opłaca? Skusiła mnie oferta jednej z tych firm i póki co mam wykupione na rok czasu. Moja strona nie jest mega wielka i treści też dużo nie ma. Nie obsługuje żadnych płatności więc muszę się zbytnio martwić.

          • Artur Pajkert

            „Nie opłaca” – to może niefortunne tutaj słowo 🙂 Wszystko zależy od tego, czego oczekuje się od certyfikatu, jeśli głównie szyfrowania, to na pewno się „opłaca”. Jeśli tego, żeby sprzyjać maksymalnej wiarygodności u użytkownika strony – to pozostaje celować w EV, które są drogie, a dodatkowo mają złożone procedury wydawania… ale właśnie stąd wynika ich wyższa wiarygodność – bo podmiot, który ubiegał się o SSL, został zweryfikowany dokładniej, niż tylko kliknięciem w mailu 🙂

            Jeśli nie obsługujesz płatności i strona jest „prosta”, to SSL w cenie hostingu od Hekko (Comodo) czy też certy wystawione przez wskazane przez Ciebie firmy – sprawdzą się równie dobrze, bo chyba na szyfrowaniu zależy Ci najbardziej. Byle tylko przeglądarki tego SSL’a rozpoznawały prawidłowo.

            W ogóle… jak strona ma choćby prosty certyfikat, to moim zdaniem już jest dobrze: Większość stron nie ma żadnego, czy darmowego Let’s Encrypt, czy też dodawanego jako gratis przez firmę hostingową, nie mówiąc już o wyższych poziomach walidacji. Po prostu – żadnego. Ciekawe, jak to się zmieni po wejściu Chrome 56 🙂

            • Moneetor

              Są 3 możliwe warianty
              1. Wszyscy to oleją od webmasterów po userów
              2. Userzy się wqrzą i i wrócą do wersji 55 blokując opcje aktualizacji. Jeszcze nigdy nie miałem e-maila z płaczem usera, że ma dziwny komunikat.
              3. Wszyscy zamachają ogonkami jak korporacyjne pieski i wypełnią zalecenia
              Ja bym stawiał na 2 pierwsze opcje. Dopóki nie trzeba robić jakichś wrażliwych opcji logowania, w stylu giełdy BTC, czy sklepy internetowe, uruchamianie certyfikatu na startującej stronie to zwyczajne naciąganie, To tak, jakby sprzedawca kilofów wysadzał brylantami kilof i wciskał górnikowi, że będzie dzięki diamentom szybciej kopał., a chwyt będzie pewniejszy. Tymczasem górnik potrzebuje tylko kilofa, bez świecidełek.

              Są 2 faktyczne powody wciskania SSLi:
              1. NWO , RIAA itp szumowiny chcą utrudnić szybka zmianę serwera
              2. Nikt poza bankami nie chce się bawić w wydawanie dość sporej kasy na certyfikaty potwierdzające tożsamość, a często mało kto potrzebuje też zwykłego certyfikatu, więc jakoś trzeba napędzić sprzedaż produktu, którego mało kto chce kupić.
              Ja zwyczajnie nie dostaję orgazmu na widok ubezpieczenia na $10k. Ja chcę taniego (kilka dych lub mniej) certyfikatu bez krótkiego okresu ważności. Dlaczego nie ma zbyt dużo takich certyfikatów w dobie domen za kilkanaście PLNów? BTW jak tam u was z kosztami dedykowanego IP wymaganego do odpalenia certyfikatu?

      • Masz na myśli Let’s Encrypt?

        • Nie, startssl.
          P.S. Pisze z innego konta.

          • mciszczon

            StartSSL działa bardzo dobrze, sam używam. Za darmo dostajemy podstawowy certyfikat. Cudów nie nalezy oczekwiać, ale nie strona już na SSL hula, więc nie będzie ostrzeżeń.