Η Google χαρακτηρίζει τα HTTP sites ‘not secure’

19 Ιανουαρίου 2017, από

Update 09/07/2018: Ο Chrome 68 που θα χαρακτηρίζει κάθε HTTP site «not secure», θα λανσαριστεί στις 24 Ιουλίου 2018.

Update 13/02/18:
Ο Chrome ξεκινάει τον Ιούλιο (2018) να χαρακτηρίζει όλα τα HTTP site “not secure”!

Εδώ και καιρό θα έχεις αντιληφθεί ότι αναφέρουμε συχνά πως τα SSL πιστοποιητικά είναι απολύτως απαραίτητα, τόσο για την ασφάλεια των επισκεπτών/ πελατών του site σου, όσο και για το SEO σου. Αυτή η πληροφορία είχε προκύψει από επίσημη ανακοίνωση της Google το 2014, όπου επισήμανε ότι το HTTPS αποτελεί κριτήριο κατάταξης για τα αποτελέσματα αναζήτησης.

Σύμφωνα με την τελευταία ανακοίνωση της Google τo SSL δεν αποτελεί πλέον επιλογή. Είναι απαραίτητο, ό,τι site κι αν έχεις! Αυτό γιατί ο Chrome, ο δημοφιλέστερος σε χρήση browser, πολύ σύντομα θα σηματοδοτήσει αρνητικά όσα sites δεν χρησιμοποιούν κρυπτογράφηση -δεν έχουν δηλαδή ενεργό SSL πιστοποιητικό ασφαλείας. Ποτέ μέχρι τώρα οι συνδέσεις HTTP δεν είχαν χαρακτηριστεί ως “μη ασφαλείς”. Τα πράγματα, όμως, αλλάζουν.

Τι αλλάζει από τη Google;

Ήδη όσα sites έχουν εγκατεστημένο SSL ανταμείβονται από τη Google με καλύτερο ranking και αποκτούν το χαρακτηριστικό πράσινο λουκετάκι ασφαλείας στη γραμμή του URL (address bar). Πολύ σύντομα αναμένεται όσα sites δεν διαθέτουν SSL (non-encrypted) να χαρακτηρίζονται από τον Chrome με αρνητικούς δείκτες ασφάλειας και τη φράση ‘not secure’ στο address bar τους! Να αναφέρουμε ότι μέχρι τώρα ο Chrome χαρακτήριζε τις HTTP συνδέσεις με έναν ουδέτερο δείκτη, που δεν έδειχνε έλλειψη ασφάλειας.

Ποια είναι τα βήματα που θα ακολουθήσει η Google;

Τον Ιανουάριο του 2017 ξεκινάει το σχέδιο της Google να σηματοδοτήσει πιο έντονα και ξεκάθαρα τα HTTP sites ως “μη ασφαλή”.

Με τη νέα έκδοση του Chrome 56 που αναμένεται, η Google θα χαρακτηρίζει ‘not secure’ τις HTTP σελίδες που συλλέγουν δεδομένα χρηστών (πχ. φόρμες επικοινωνίας, εγγραφή σε newsletter, δημιουργία λογαριασμών) ή πιστωτικών καρτών για την πραγματοποίηση αγορών, δεδομένου ότι πρόκειται για ευαίσθητα προσωπικά δεδομένα. Η εικόνα που θα βλέπουμε στον browser μας είναι αυτή:

Σε επόμενο βήμα, η προειδοποίηση ‘not secure’ για τις HTTP σελίδες θα “επεκταθεί” και στην περίπτωση της ανώνυμης περιήγησης (incognito mode), όπου οι χρήστες έχουν υψηλότερες απαιτήσεις ασφάλειας δεδομένων. Τελικός σκοπός είναι να χαρακτηριστούν ‘not secure’ όλες οι HTTP σελίδες και να αλλάξει η ένδειξη τους σε κόκκινο προειδοποιητικό τρίγωνο, το οποίο χρησιμοποιείται μέχρι τώρα για τα broken HTTPS. Έτσι, οι επισκέπτες των HTTP σελίδων θα βλέπουν κάτι τέτοιο:

Γιατί προχωράει η Google σε αυτές τις αλλαγές;

Εάν μία HTTP σύνδεση δεν είναι ασφαλής (HTTPS) μέσω SSL πιστοποιητικού, πρακτικά σημαίνει ότι αυξάνονται οι πιθανότητες απάτης ενός χρήστη που επισκέπτεται το site, καθώς οι hackers μπορούν να υποκλέψουν ευκολότερα πληροφορίες σύνδεσης, passwords ή στοιχεία πιστωτικών καρτών.

Επίσης, έρευνες έχουν δείξει ότι οι χρήστες δεν αντιλαμβάνονται την έλλειψη συμβόλου ασφαλείας ως προειδοποίηση, ενώ τείνουν να αγνοούν προειδοποιήσεις που εμφανίζονται πολύ τακτικά. Για τους παραπάνω λόγους, η Google στην νέα έκδοση του Chrome θα κάνει χρήση του κόκκινου προειδοποιητικού τριγώνου!

Γιατί είναι σημαντικό να έχει το site μου SSL (HTTPS);

Ασφάλεια, ασφάλεια, ασφάλεια! Το HTTPS εξασφαλίζει ότι όταν ένας χρήστης φτάνει σε ένα website, τα δεδομένα του είναι κρυπτογραφημένα μέσω του πρωτοκόλλου ασφαλείας που χρησιμοποιείται. Για να εφαρμοστεί το HTTPS χρειάζεται ο ιδιοκτήτης του site να εγκαταστήσει στο site ένα SSL πιστοποιητικό.

Το HTTPS έχει πολλά πλεονεκτήματα συγκριτικά με το HTTP:

  • Always-on SSL (AOSSL): μία πρακτικά καλύτερη μέθοδος προστασίας των δεδομένων των χρηστών, αλλά και εξασφάλισης των σελίδων ενός site, των cookies, του API και των sessions
  • SEO: ο αλγόριθμος της Google ανταμείβει με καλύτερες θέσεις στα αποτελέσματα αναζήτησης όσα site χρησιμοποιούν HTTPS
  • Επιδόσεις σελίδας: τα sites που χρησιμοποιούν κρυπτογράφηση επωφελούνται από τα πλεονεκτήματα στην ταχύτητα που παρέχει το HTTPS σε συνδιασμό με το HTTP/2 και η ταχύτητα από μόνη της αποτελεί άλλο ένα κριτήριο κατάταξης για τις μηχανές αναζήτησης
  • Αξιοπιστία: Οι οπτικές ενδείξεις ασφάλειας, πχ. το λουκετάκι, δημιουργούν ένα αίσθημα εμπιστοσύνης στους επισκέπτες, βοηθούν στη μείωση του ποσοστού εγκατάλειψης (bounce rate) μιας σελίδας και στην τυχόν διακοπή μιας αγοράς (abandoned shopping cart).

Δεν έχω ecommerce site, χρειάζομαι SSL;

Ναι, χρειάζεσαι SSL ακόμη κι αν δεν έχεις eShop, γιατί η Google θα συμπεριλάβει κάθε είδους site στις αλλαγές της! Ευαίσθητα και προσωπικά δεδομένα δεν διαχειρίζονται μόνο τα ecommerce sites. Κάθε website που σου ζητάει να κάνεις login κρατάει προσωπικά σου δεδομένα, όπως πχ το Papaki. Αυτό φυσικά δεν είναι κακό, εφόσον το εκάστοτε site τηρεί τις προϋποθέσεις ασφαλείας.

Επίσης το HTTPS αποτελούσε κριτήριο κατάταξης για τη Google, κι αυτό δεν αλλάζει, απλά ενισχύεται! Εσύ πρέπει μόνο να επιλέξεις τον τύπο SSL που χρειάζεσαι ανάλογα με το site σου. Σε αυτό το άρθρο θα βρεις πληροφορίες για να διαλέξεις τον κατάλληλο τύπο SSL για το δικό σου site.

Σκοπός μου δεν είναι να σε τρομάξω, αλλά να σε ενημερώσω για τις σημαντικές αλλαγές που έρχονται. Προσωπικά δεν θα ήθελα σε καμία περίπτωση να χαρακτηριστεί το site μου μη ασφαλές ή, ακόμα χειρότερα, να “στολιστεί” με ένα κόκκινο, προειδοποιητικό σύμβολο κινδύνου, ή να πέσει στην κατάταξη του Google. Το ίδιο πιστεύω ότι ισχύει για όλους μας!

Στο Papaki παρέχουμε ήδη πολλούς τύπους πιστοποιητικών SSL από αξιόπιστες και εδραιωμένες εταιρίες (Certificate Authorities) όπως Comodo, GeoTrust κτλ. Προτείνουμε σε όλους το standard SSL (πχ. Comodo Essential ή Positive) τουλάχιστον για αρχή. Κι αν δυσκολεύεσαι να επιλέξεις το κατάλληλο SSL για την περίπτωση σου, η ομάδα εξυπηρέτησης είναι στη διάθεσή σου για να σε βοηθήσει.

 

Μπες στη συζήτηση

Πες μας τη γνώμη σου!