Nova Googlova opozorila za varnost

Objavljeno v ponedeljek, 28. november 2016 v kategoriji Optimizacija spletnih strani. Članek za 5 min branja • Piše:

Živa Prelog

S 1. januarjem 2017 se bo v brskalniku Chrome na določenih spletnih straneh, ki ne komunicirajo prek HTTPS protokola, začel prikazovati napis »Ni varno« oz. »Not secure«. Gre za ukrep, s katerim Google želi lastnike spletnih strani dodatno spodbuditi k prehodu na HTTPS, sočasno pa bodo na ta način uporabniki opozorjeni na morebitne težave z varnostjo na spletu.

Kaj je HTTPS in kaj se pravzaprav dogaja?

HTTPS je protokol, ki omogoča varen prenos podatkov med uporabnikom in spletno stranjo. Za razliko od HTTP-ja, kjer se podatki med uporabnikom in strežnikom prenašajo tako, da lahko dovolj sposobni dostopajo do njih ali jih celo spreminjajo, HTTPS to preprečuje. Včasih je bil HTTPS namenjen predvsem spletnim nakupom (košaricam spletnih trgovin oz. pri storitvah), v zadnjih nekaj letih pa Google vedno bolj opozarja na pomen varnosti povsod na spletu. Cilj je, da postanejo vse spletne strani certificirane in da komunicirajo prek protokola HTTPS.

 

Dejstvo je, da protokol HTTPS ni novost, zato ga je Google že leta 2014 uvrstil med kriterije za rangiranje spletnih stranih znotraj iskalnika, da bi spodbudil lastnike k prehodu na varno verzijo spletnih strani. A očitno to ni bilo dovolj. Po podatkih Googla naj bi protokol HTTPS trenutno uporabljalo le približno 50 % spletnih strani (natančnejši podatki so na voljo tukaj). Te nizke številke so sprožile nove ukrepe, ki bodo nekoliko bolj očitni.

Z novim letom se bo v brskalniku Chrome (verzija 56) na tistih straneh, kjer je treba vpisati geslo ali podatke kreditne kartice, poleg URL-ja spletne strani prikazal tudi napis »Ni varno« oz. »Not secure«. Spodaj primer oznake:

https non secure

Naj opozorim, da bo to le prvi korak in da bodo strožji ukrepi še sledili. Enako oznako boste lahko najprej srečali pri vseh HTTP straneh, ko boste uporabljali zasebno brskanje (ang. »incognito mode«), kasneje pa tudi povsod drugje. V zadnji fazi Google celo načrtuje, da bo dokaj subtilen napis »Not secure« obarval in mu dodal klicaj, kar pa bo nedvomno bolj vpadljivo in bo pri uporabnikih zamajalo občutek varnosti na spletu.

https non secure klicaj

Glede na to, da verjetno večina uporabnikov ne pozna prednosti HTTPS-ja, lahko sklepamo, da bo imela nova oznaka nanje velik vpliv. In res je, da se je na tej točki smiselno vprašati, ali je vaša stran certificirana in komunicira prek protokola HTTPS. Če je vaš odgovor ne, svetujem, da se čim prej odločite za nov korak in prehod na HTTPS.

Prednosti HTTPS-ja

Da ne govorim samo o tem, kaj grozi vsem tistim, ki imajo trenutno spletne strani, ki komunicirajo prek HTTP-ja, raje omenimo, zakaj je priporočljiv HTTPS. Komuniciranje prek tega protokola lahko združimo v tri sklope: kriptiranje ali kodiranje podatkov, zagotavljanje avtentičnosti strani in prenos celovitih podatkov.

1.     Kriptiranje oziroma kodiranje podatkov

Prva prednost protokola HTTPS je, da ščiti podatke v komunikaciji in preprečuje, da bi kdorkoli lahko »prisluškoval« ali kradel informacije, ki se izmenjujejo med uporabnikom in strežnikom. Vsa komunikacija med spletno stranjo in uporabnikom prek HTTPS-ja je namreč kriptirana, zato podatke lahko razbirata le uporabnik in strežnik, ki imata svoj »ključ« za dekriptiranje.

2.     Zagotavljanje avtentičnosti spletne strani

Druga prednost je, da HTTPS zagotavlja avtentičnost spletne strani. Vsaka spletna stran, ki želi komunicirati prek protokola HTTPS, mora najprej imeti certifikat SSL. Ta certifikat izdajo institucije, ki morajo prej preveriti lastništvo spletne strani. SSL certifikat torej služi kot certificirana potrditev, da je spletna stran avtentična.

3.     Omogoča integriteto podatkov

Tretji razlog, zakaj je HTTPS pomemben, pa je, da se zaradi kriptiranja in varnega prenosa podatkov ohranja njihova integriteta. Protokol HTTPS namreč zagotavlja, da se podatki ne spreminjajo ali izkrivljajo med prenosom.

Ti trije razlogi pomagajo vam in uporabnikom pri zagotavljanju boljše komunikacije, kar je izredno pomembno. Po drugi strani pa je HTTPS pomemben tudi zaradi sprememb, ki se dogajajo. Na vrsto namreč prihajajo novosti, kot so HTTPS/2, AMP in druge zadeve, ki so pogojene s HTTPS in bodo močno spremenile stvari v digitalnem svetu. In tudi s tega vidika bo prehod na HTTPS sčasoma nujen.

Kako pristopiti k vzpostavitvi HTTPS-ja?

V osnovi morate izpolniti le nekaj korakov. Nekateri izmed teh so enostavni, drugi (prehod iz HTTP na HTTPS in preusmerjanje spletne strani) pa lahko predstavljajo nekoliko večji izziv, ki pa seveda spet ni tako zahteven. Pomembno je le, da ste vnaprej pripravljeni.

1.     Pridobite certifikat SSL

Kot že omenjeno, certifikat SSL lahko izda certificirana avtoriteta oziroma institucija, ki preveri, ali spletna stran dejansko pripada organizaciji, ki zaprosi za certifikat. Ko boste pridobivali certifikat, priporočam, da se obrnete na ponudnike, ki nudijo tehnično podporo.

2.     Pazite na izbiro pravega certifikata

Certifikate delimo glede na stopnjo zaščite in število poddomen ter domen, ki jih pokrivajo. V grobem imamo certifikate, ki pokrivajo zgolj eno domeno, tiste, ki so uporabni tudi za strani s poddomenami, ter »wildcard« certifikate, ki pokrivajo neomejeno število poddomen in domen.  Za katerega se boste odločili, je odvisno od vaše organizacije in stopnje zaščite, ki jo želite zagotoviti. V osnovi priporočamo, da izberete certifikat z 2048-bitno enkripcijo, s katero boste zagotovili visoko stopnjo varnosti. Seveda pa je to popolnoma odvisno od vas.

3.     Preusmeritev s HTTP-ja na HTTPS

Za nekatere sicer najtežja naloga, ki pa je ne smete pozabiti. Ko se odločite za prehod na HTTPS, je pomembno, da imate seznam vseh obstoječih URL-jev in da te preusmerite na novo verzijo strani. Pri tem uporabite stalno preusmeritev 301 (in ne 302, ki predstavlja začasne preusmeritve). Na ta način se boste izognili večjim izgubam prometa na spletni strani oziroma z vidika optimizacije spletne strani ne boste naredili prevelike škode (za vse, ki ste nekoliko negotovi ali pa vas zanima več glede preusmerjanja, se lahko brez težav obrnete na nas; z veseljem vam bomo pomagali :)). 

4.     Uporabite strežnik, ki podpira HSTS (HTTP Strict Transport Security), in zagotovite, da je omogočen.

HSTS brskalniku pove, da avtomatično kliče strani s protokolom HTTPS, tudi v primeru, ko uporabnik neposredno išče HTTP verzijo strani, hkrati pa Googlu pove, da v svojih rezultatih vrne stran s protokolom HTTPS.

Naj še spomnim na ukaze v datoteki robots.txt. Pazite, da v omenjeni datoteki ne pride do sprememb, ki bi lahko omejevale dostop spletnih pajkov do strani in resno ogrozile vaš organski promet. Več o tem si preberite na: https://www.red-orbit.si/blog/osnove-tehnicne-optimizacije-ali-5-pravil-dejtanja-z-googlom.

 

Povedano na kratko: čas, da preidete na HTTPS, je že zdavnaj mimo. In če tega še niste storili, je nujno, da to storite čim prej. Poleg dejstva, da vas bo Google v primeru, če ne boste reagirali, grdo izpostavil, je HTTPS pomemben tudi zaradi prihajajočih sprememb na področju optimizacije spletnih strani. In če boste tu zaspali, obstaja velika možnost, da bodo izzivi, ki bodo prišli kasneje, precej bolj naporni.

Še vedno tukaj?
Vprašanje? Zapišite ga v komentar spodaj, pa ga skupaj predebatiramo.

Dodaj odgovor