Η Google χαρακτηρίζει “μη ασφαλή” τα sites που δεν διαθέτουν SSL

H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL
Like
Like Love Haha Wow Sad Angry
3

Ένας από τους στόχους της Google τα τελευταία χρόνια, είναι η διαμόρφωση ενός ασφαλέστερου περιβάλλοντος πλοήγησης για όλους τους χρήστες του διαδικτύου. Στα πλαίσια της συγκεκριμένης προσπάθειας, λοιπόν, ανακοίνωσε πριν λίγους μήνες την πρόθεσή της να αυξήσει την online ασφάλεια μέσα από σχετική ένδειξη στη νέα έκδοση του Chrome.

Ενώ έως τώρα δεν υπήρχε κάποια ουσιώδης σήμανση για τις σελίδες που χρησιμοποιούν απλές HTTP συνδέσεις, από την έκδοση 56 του Chrome και μετά, η Google δηλώνει και επίσημα ότι θα χαρακτηρίζει ως μη ασφαλή τα sites που δεν χρησιμοποιούν κάποιο SSL πιστοποιητικό, στηριζόμενη στο ότι η επικοινωνία με αυτά δεν είναι κρυπτογραφημένη.

Ποια είναι η παρούσα κατάσταση στο διαδίκτυο

Πολλά από τα sites που επισκέπτεσαι καθημερινά, είναι πιθανό να μην έχουν εγκαταστήσει κάποιο SSL πιστοποιητικό, με αποτέλεσμα οι HTTP συνδέσεις που χρησιμοποιούν στην επικοινωνία τους να μην είναι κρυπτογραφημένες. Κάτι τέτοιο δεν σημαίνει απαραίτητα ότι ένα site είναι επικίνδυνο για τον χρήστη, αρκεί φυσικά να μην ανταλλάσσει προσωπικά του δεδομένα με αυτό. Ένας από τους παράγοντες που συνθέτουν την ασφάλεια σε ένα site είναι η χρήση SSL, όμως δεν είναι ο μοναδικός.

Μέχρι πρόσφατα, μάλιστα, θεωρούνταν απαραίτητη η κρυπτογράφηση μόνο στα τραπεζικά και τα ecommerce sites ή στις μεμονωμένες checkout και login σελίδες. Από τη στιγμή, όμως, που η Google χρησιμοποίησε το HTTPS ως σήμα κατάταξης και εφάρμοσε το 2014 τη λογική του “HTTPS everywhere”, η κρυπτογράφηση θεωρείται πλέον απαραίτητη σε όλες τις σελίδες και το περιεχόμενο, συμπεριλαμβανομένων των αρχείων CSS, widgets, java script, φωτογραφιών, videos κ.λπ., ενός site.

Αντίστοιχα, από την πλευρά μας ως χρήστες, και ιδίως στην περίπτωση που πρόκειται να καταχωρήσουμε προσωπικά δεδομένα (πιστωτικές κάρτες, passwords, διεύθυνση, τηλέφωνο κ.λπ.) σε μία ιστοσελίδα, οφείλουμε να ελέγξουμε ότι οι σελίδες στις οποίες πλοηγούμαστε είναι σε ασφαλές περιβάλλον, επιβεβαιώνοντας την ύπαρξη το πράσινου λουκέτου μέσα στο address bar, μαζί με τη λέξη “Secure”.

Η Google χαρακτηρίζει "μη ασφαλή" τα sites που δεν διαθέτουν SSL

Ωστόσο, σύμφωνα με έρευνες, παρόλο που οι χρήστες νιώθουν σίγουροι βλέποντας μια διαπίστευση ασφαλείας, δεν αντιλαμβάνονται αυτόματα ότι η απουσία της αποτελεί αντίστοιχα ένδειξη κινδύνου. Έτσι, λοιπόν, η Google αποφάσισε να προβεί σε ορισμένες ενέργειες που θα επιστήσουν περισσότερο την προσοχή των χρηστών με οπτικό τρόπο.

Τι σκοπεύει να κάνει η Google

Μέχρι τώρα, η Google χαρακτήριζε τα sites που χρησιμοποιούν HTTP συνδέσεις με έναν ουδέτερο (και όχι αρνητικό) δείκτη, αφού δεν είναι απαραιτήτως επικίνδυνα, όπως είδαμε και παραπάνω. Από εδώ και στο εξής, όμως, η νέα έκδοση του Chrome θα σηματοδοτεί σε πρώτο στάδιο ως μη ασφαλή τα sites που ζητούν σε κάποιο σημείο τους προσωπικά δεδομένα και δεν έχουν ενεργοποιημένο κάποιο SSL πιστοποιητικό.

H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL

Αυτή η κίνηση περιλαμβάνει τόσο την ανάλογη σήμανση στο address bar, όσο και τη σταδιακή κατάταξη σε χαμηλότερες θέσεις στα αποτελέσματα αναζήτησης για τα sites που den χρησιμοποιούν SSL, γεγονός που αποτελεί πρόβλημα για το SEO.

Αντίθετα, τα sites που χρησιμοποιούν SSL πιστοποιητικά και προσφέρουν HTTPS συνδέσεις στους χρήστες τους, απολαμβάνουν τόσο την πιστοποίηση του πράσινου λουκέτου, όσο και υψηλότερες θέσεις στα αποτελέσματα αναζήτησης στο Google.

Σε δεύτερο στάδιο, πρόκειται να χαρακτηριστούν μη ασφαλείς όλες οι ιστοσελίδες που δεν χρησιμοποιούν SSL, ακόμα και με απλό στατικό περιεχόμενο χωρίς πεδία φόρμας και η ένδειξη θα μεταβληθεί, ώστε να είναι ακόμη πιο ξεκάθαρη:

H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL

Τι πρέπει να κάνεις από εδώ και πέρα

Για να αποφύγεις τον χαρακτηρισμό του site σου ως μη ασφαλές, θα χρειαστεί να εγκαταστήσεις ένα SSL πιστοποιητικό, αφού η νέα έκδοση του Chrome που θα σηματοδοτεί τα sites είναι ήδη διαθέσιμη στους χρήστες.

Ακόμα και αν το site σου δεν διακινεί προσωπικά δεδομένα, θα επηρεαστεί σε δεύτερο χρόνο. Καλό θα ήταν, λοιπόν, να φροντίσεις να εγκαταστήσεις ένα SSL, το οποίο θα σε προστατεύσει από τον χαρακτηρισμό “not secure”.

Πριν αποφασίσεις ποιο πιστοποιητικό θα επιλέξεις για το site σου, θα χρειαστεί να κάνεις μια μικρή έρευνα σχετικά με τις βασικές κατηγορίες SSL πιστοποιητικών (Domain Validation, Organization Validation, Extended Validationικές) και τις διαφορές τους. Όπως είναι φυσικό, οι ανάγκες και απαιτήσεις για την αξιοπιστία ενός eShop είναι εντελώς διαφορετικές σε σχέση με ένα site που διατηρεί μια απλή φόρμα επικοινωνίας. Επίσης καλό είναι να ενημερωθείς για το τι ισχύει από πλευράς κόστους – αξιοπιστίας, πριν τελικά κάνεις την τελική σου επιλογή.

Η ενεργοποίηση ενός SSL δεν ήταν ποτέ πιο εύκολη και άμεση, οπότε δεν υπάρχει λόγος να την καθυστερείς. Κι αν έχεις οποιαδήποτε απορία σχετικά με τα SSL πιστοποιητικά που παρέχουμε στην Top.Host, είμαι εδώ για να στη λύσω!

Μέσα από το blog της TopHost προσπαθώ να διερευνήσω και να σας παρουσιάσω όλα τα ζητήματα που είναι πιθανό να σας απασχολήσουν σχετικά με το site σας. Ελπίζω τα blog posts μας να σας φανούν χρήσιμα!
  • Apos Land

    Καλημέρα. Χρήσιμο post!

  • Manos Tasakos

    Καλησπέρα σας..

    Με την δωρεάν υπηρεσία Lets encrypt παύει να φαινεται στην μπάρα αναζήτησης η ένδειξη “μη ασφαλής”; ή χρειαζόμαστε οπωσδήποτε αγορά πιστοποιητικού; η ιστοσελίδα μας διαθέτει απλώς ένα forum και η μόνη διαχείριση προσωπικών δεδομένων είναι εκείνη που προκύπτει από την εγγραφή μελών.

    Και ένα δεύτερο ερώτημα. Εάν πράγματι η ενεργοποίηση τού encrypt είναι αρκετή, υπάρχει περίπτωση να ολοκληρωθεί από την υποστήριξη της tophost χωρίς να παρέμβουμε εμείς στον κώδικα (όπως αντιλαμβάνεστε είμαστε αρκετά αρχάριοι γύρω από αυτά..).

    Ευχαριστώ πολύ, Χρήστος Γρηγοριάδης (για το site tasakos.ge)

  • Lila Tzamousi

    Καλημέρα Χρήστο.
    Με τα υπάρχοντα δεδομένα, το Let’s Encrypt καλύπτει blogs και sites στην πιο απλή τους μορφή, που δεν διακινούν καθόλου προσωπικά στοιχεία. Αφού στο site σου ζητάς προσωπικά δεδομένα, θα σου πρότεινα να ενεργοποιήσεις ένα απλό και αξιόπιστο DV SSL.

    Το βασικό θέμα με το Let’s Encrypt είναι ότι δεν προσφέρει την χρηματική εγγύηση που δίνουν τα υπόλοιπα πιστοποιητικά, ενώ είναι πιθανό κάποιες τράπεζες να μην το θεωρήσουν αξιόπιστο και να μην το δεχτούν.

    Αν, τελικά, αποφασίσεις να το ενεργοποιήσεις, αυτό γίνεται πολύ εύκολα μέσα από το Plesk.

  • Manos Tasakos

    Λίλα σ’ ευχαριστώ πολύ για την απάντηση.. υποθέτω ότι εάν θέλω να συνεννοηθώ για αγορά πιστοποιητικού είναι καλύτερα να μιλήσω με την υποστήριξη;..

  • Lila Tzamousi

    Ναι, θα σου πρότεινα να στείλεις ένα email στο τμήμα πωλήσεων, ώστε να σου λυθούν όλες οι απορίες 🙂
    https://top.host/contact.php

  • Dimitrios

    Για να μην λέμε πιθανόν και αλλα λόγια του αέρα.μπορεις να μας πεις αναλυτικά ποιες τράπεζες ελληνικές δεν το δέχονται;
    Πειραιώς;
    Alpha?
    Eurobank?
    Εθνική;
    Γνωριζεις κατι ;
    Αν δεν γνωρίζεις καλύτερα να μην απαντάς αυθαίρετα.
    Εάν γνωρίζεις περιμένω λίστα με τράπεζες.

  • Dimitrios

    Εγω αγόρασα ssl απο top.host
    Έπρεπε να επικοινωνήσω αρκετές φορές μέσω chat για να καταφέρω να το ενεργοποιήσω.
    Με παρέπεμψαν σε knowledge base.
    Πάλι δεν τα κατάφερα.
    Μετα μου ειπαν να ανοίξω support ticket η να πληρώσω 15 ευρω για να μου το ενεργοποιήσουν.
    Τελικά έβαλα lets encrypt με δυο κλικ μέσω του plesk.
    Έφαγα 5 ωρες να παιδεύομαι για το τίποτα τζάμπα κόπος τζάμπα λεφτα.
    Αυτα ρε παιδια έπρεπε να τα κάνετε πολυ πιο εύκολα.Απλοι χρήστες ειμαστε.Δεν θελουμε ούτε να σας κουράζουμε ούτε να μας κουράζετε.ουτε ειναι η δουλεια μας να διαβάζουμε knowledge base.Αυτα ειναι για εσάς.

    Όπως και για να τσεκάρεις άμα η μεταφορά του site έχει γίνει σωστά να μάθουμε εντολές στο terminal….έλεος!
    Πάλι knowledge base και εκει…άσε που δεν καλύπτει ζήτημα όπως όταν ειναι blank ο κωδικός σε Mac δεν μπορείς να βάλεις κωδικό στο terminal.επρεπε να googlaroume όλο τον ντουνιά για να το βρουμε.

    Απαράδεκτα πραγματα.

  • Lila Tzamousi

    Γεια σου και πάλι Δημήτρη.
    Από τις ελληνικές τράπεζες δεν έχουμε λάβει κάποια ενημέρωση. Από τη στιγμή, όμως, που πρόκειται για ένα δωρεάν πιστοποιητικό, το οποίο μπορεί να εκμεταλλευτεί ο οποιοσδήποτε – ακόμα και για κακόβουλο σκοπό – οφείλουμε να εφιστήσουμε την προσοχή στους πελάτες μας και να τους προειδοποιήσουμε ότι κάποιοι φορείς είναι πιθανό να μην το θεωρήσουν απόλυτα αξιόπιστο.
    Από την στιγμή που δεν είναι ένα δικό μας προϊόν, δεν μπορούμε να γνωρίζουμε ακριβώς τι μπορεί να γίνει με μια τράπεζα, παρά μόνο να προετοιμάσουμε τον χρήστη για μια τέτοια πιθανότητα.

  • Lila Tzamousi

    Δημήτρη, τα άρθρα της Knowledge Base μας είναι φτιαγμένα έτσι ώστε να κατατοπίζουν τον μέσο χρήστη, με αναλυτικά βήματα. Ιδιαίτερα για την περίπτωση του SSL που αναφέρεις, υπάρχουν αρκετά ξεχωριστά άρθρα ανάλογα με το περιβάλλον που χρησιμοποιεί ο καθένας και η πλειοψηφία των πελατών μας φαίνεται να τα ακολουθεί χωρίς πρόβλημα.
    Σε κάθε περίπτωση, σε ευχαριστούμε για το feedback. Αν θέλεις, μπορείς να μας επισημάνεις τα σημεία στα οποία δυσκολεύτηκες, ώστε να επανεξετάσουμε τη διατύπωση των συγκεκριμένων άρθρων.

  • Dimitrios

    Με πειραιως που μιλησα σημερα δεν εχουν καποιο προβλημα Lila

  • Lila Tzamousi

    Πολύ καλό νέο!

Σχετικές αναρτήσεις: