Η Google χαρακτηρίζει “μη ασφαλή” τα sites που δεν διαθέτουν SSL

10 Φεβρουαρίου 2017, από

H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL

Update 26/10/2018
Με τον Chrome 70 ήρθε και το κόκκινο “not secure” συνοδευόμενο από ένα σήμα κινδύνου. Θα εμφανίζεται όταν κάποιος χρήστης επιχειρεί να προσθέσει τα στοιχεία του σε φόρμα που φιλοξενείται σε  HTTP site.


Update 24/07/2018
Ο Chrome 68 που χαρακτηρίζει κάθε HTTP site “not secure” στη μπάρα πλοήγησης, ξεκινάει να γίνεται διαθέσιμος σε όλους τους χρήστες από σήμερα, 24 Ιουλίου 2018.


Updated 14/02/2018
Σύμφωνα με νέα ανακοίνωση της Google από τον Ιούλιο του 2018, η έκδοση 68 του Chrome θα χαρακτηρίζει ως μη ασφαλή όλα τα sites που δεν διαθέτουν HTTPS κρυπτογράφηση.
Η Google χαρακτηρίζει "μη ασφαλή" τα sites που δεν διαθέτουν SSL
Ήδη από την πρώτη προειδοποίηση, η αύξηση στα HTTPS sites ήταν θεαματική:

  • Πάνω από το 68% των sites που επισκέπτονται οι χρήστες μέσω Chrome (τόσο σε Android όσο και σε Windows) είναι πλέον προστατευμένα
  • Πάνω από το 78% των sites που επισκέπτονται οι χρήστες μέσω Chrome (τόσο σε Chrome OS όσο και σε Mac) είναι πλέον προστατευμένα
  • 81 από τα 100 κορυφαία στο διαδίκτυο χρησιμοποιούν HTTPS κρυπτογράφηση

Παράλληλα, και άλλοι browsers, όπως ο Firefox, θα ακολουθήσουν την πρακτική του Chrome, κάνοντας την ανάγκη για ένα SSL πιστοποιητικό πιο επιτακτική από ποτέ. Στόχος της Google παραμένει η θεμελίωση ενός ασφαλούς διαδικτύου και, με αυτήν της την κίνηση, φαίνεται ότι στο επίπεδο της ασφάλειας είναι αδιαπραγμάτευτη.


Ένας από τους στόχους της Google τα τελευταία χρόνια, είναι η διαμόρφωση ενός ασφαλέστερου περιβάλλοντος πλοήγησης για όλους τους χρήστες του διαδικτύου. Στα πλαίσια της συγκεκριμένης προσπάθειας, λοιπόν, ανακοίνωσε πριν λίγους μήνες την πρόθεσή της να αυξήσει την online ασφάλεια μέσα από σχετική ένδειξη στη νέα έκδοση του Chrome. Ενώ έως τώρα δεν υπήρχε κάποια ουσιώδης σήμανση για τις σελίδες που χρησιμοποιούν απλές HTTP συνδέσεις, από την έκδοση 56 του Chrome και μετά, η Google δηλώνει και επίσημα ότι θα χαρακτηρίζει ως μη ασφαλή τα sites που δεν χρησιμοποιούν κάποιο SSL πιστοποιητικό, στηριζόμενη στο ότι η επικοινωνία με αυτά δεν είναι κρυπτογραφημένη.

Ποια είναι η παρούσα κατάσταση στο διαδίκτυο

Πολλά από τα sites που επισκέπτεσαι καθημερινά, είναι πιθανό να μην έχουν εγκαταστήσει κάποιο SSL πιστοποιητικό, με αποτέλεσμα οι HTTP συνδέσεις που χρησιμοποιούν στην επικοινωνία τους να μην είναι κρυπτογραφημένες. Κάτι τέτοιο δεν σημαίνει απαραίτητα ότι ένα site είναι επικίνδυνο για τον χρήστη, αρκεί φυσικά να μην ανταλλάσσει προσωπικά του δεδομένα με αυτό. Ένας από τους παράγοντες που συνθέτουν την ασφάλεια σε ένα site είναι η χρήση SSL, όμως δεν είναι ο μοναδικός. Μέχρι πρόσφατα, μάλιστα, θεωρούνταν απαραίτητη η κρυπτογράφηση μόνο στα τραπεζικά και τα ecommerce sites ή στις μεμονωμένες checkout και login σελίδες. Από τη στιγμή, όμως, που η Google χρησιμοποίησε το HTTPS ως σήμα κατάταξης και εφάρμοσε το 2014 τη λογική του “HTTPS everywhere”, η κρυπτογράφηση θεωρείται πλέον απαραίτητη σε όλες τις σελίδες και το περιεχόμενο, συμπεριλαμβανομένων των αρχείων CSS, widgets, java script, φωτογραφιών, videos κ.λπ., ενός site. Αντίστοιχα, από την πλευρά μας ως χρήστες, και ιδίως στην περίπτωση που πρόκειται να καταχωρήσουμε προσωπικά δεδομένα (πιστωτικές κάρτες, passwords, διεύθυνση, τηλέφωνο κ.λπ.) σε μία ιστοσελίδα, οφείλουμε να ελέγξουμε ότι οι σελίδες στις οποίες πλοηγούμαστε είναι σε ασφαλές περιβάλλον, επιβεβαιώνοντας την ύπαρξη το πράσινου λουκέτου μέσα στο address bar, μαζί με τη λέξη “Secure”. Η Google χαρακτηρίζει "μη ασφαλή" τα sites που δεν διαθέτουν SSL Ωστόσο, σύμφωνα με έρευνες, παρόλο που οι χρήστες νιώθουν σίγουροι βλέποντας μια διαπίστευση ασφαλείας, δεν αντιλαμβάνονται αυτόματα ότι η απουσία της αποτελεί αντίστοιχα ένδειξη κινδύνου. Έτσι, λοιπόν, η Google αποφάσισε να προβεί σε ορισμένες ενέργειες που θα επιστήσουν περισσότερο την προσοχή των χρηστών με οπτικό τρόπο.

Τι σκοπεύει να κάνει η Google

Μέχρι τώρα, η Google χαρακτήριζε τα sites που χρησιμοποιούν HTTP συνδέσεις με έναν ουδέτερο (και όχι αρνητικό) δείκτη, αφού δεν είναι απαραιτήτως επικίνδυνα, όπως είδαμε και παραπάνω. Από εδώ και στο εξής, όμως, η νέα έκδοση του Chrome θα σηματοδοτεί σε πρώτο στάδιο ως μη ασφαλή τα sites που ζητούν σε κάποιο σημείο τους προσωπικά δεδομένα και δεν έχουν ενεργοποιημένο κάποιο SSL πιστοποιητικό. H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL Αυτή η κίνηση περιλαμβάνει τόσο την ανάλογη σήμανση στο address bar, όσο και τη σταδιακή κατάταξη σε χαμηλότερες θέσεις στα αποτελέσματα αναζήτησης για τα sites που den χρησιμοποιούν SSL, γεγονός που αποτελεί πρόβλημα για το SEO. Αντίθετα, τα sites που χρησιμοποιούν SSL πιστοποιητικά και προσφέρουν HTTPS συνδέσεις στους χρήστες τους, απολαμβάνουν τόσο την πιστοποίηση του πράσινου λουκέτου, όσο και υψηλότερες θέσεις στα αποτελέσματα αναζήτησης στο Google. Σε δεύτερο στάδιο, πρόκειται να χαρακτηριστούν μη ασφαλείς όλες οι ιστοσελίδες που δεν χρησιμοποιούν SSL, ακόμα και με απλό στατικό περιεχόμενο χωρίς πεδία φόρμας και η ένδειξη θα μεταβληθεί, ώστε να είναι ακόμη πιο ξεκάθαρη: H Google χαρακτηρίζει μη ασφαλή τα sites που δεν διαθέτουν SSL

Τι πρέπει να κάνεις από εδώ και πέρα

Για να αποφύγεις τον χαρακτηρισμό του site σου ως μη ασφαλές, θα χρειαστεί να εγκαταστήσεις ένα SSL πιστοποιητικό, αφού η νέα έκδοση του Chrome που θα σηματοδοτεί τα sites είναι ήδη διαθέσιμη στους χρήστες. Ακόμα και αν το site σου δεν διακινεί προσωπικά δεδομένα, θα επηρεαστεί σε δεύτερο χρόνο. Καλό θα ήταν, λοιπόν, να φροντίσεις να εγκαταστήσεις ένα SSL, το οποίο θα σε προστατεύσει από τον χαρακτηρισμό “not secure”. Πριν αποφασίσεις ποιο πιστοποιητικό θα επιλέξεις για το site σου, θα χρειαστεί να κάνεις μια μικρή έρευνα σχετικά με τις βασικές κατηγορίες SSL πιστοποιητικών (Domain Validation, Organization Validation, Extended Validation) και τις διαφορές τους. Όπως είναι φυσικό, οι ανάγκες και απαιτήσεις για την αξιοπιστία ενός eShop είναι εντελώς διαφορετικές σε σχέση με ένα site που διατηρεί μια απλή φόρμα επικοινωνίας. Επίσης καλό είναι να ενημερωθείς για το τι ισχύει από πλευράς κόστους – αξιοπιστίας, πριν τελικά κάνεις την τελική σου επιλογή. Η ενεργοποίηση ενός SSL δεν ήταν ποτέ πιο εύκολη και άμεση, οπότε δεν υπάρχει λόγος να την καθυστερείς. Κι αν έχεις οποιαδήποτε απορία σχετικά με τα SSL πιστοποιητικά που παρέχουμε στην Top.Host, είμαι εδώ για να στη λύσω!

Σου άρεσε αυτό το blog post;

Τότε σίγουρα θα λατρέψεις τα επόμενα! Συμπλήρωσε το email σου για να μη χάσεις ούτε ένα.;

Κάνε δωρεάν την εγγραφή σου και στο εξής θα λαμβάνεις ενημερώσεις για τα νέα post του Τοp.Host Blog. Οποιαδήποτε στιγμή θελήσεις μπορείς να αφαιρέσεις το email σου από τη λίστα παραληπτών. Μάθε περισσότερα στην Πολιτική Απορρήτου.

Μπες στη συζήτηση

  • Καλησπέρα σας..

    Με την δωρεάν υπηρεσία Lets encrypt παύει να φαινεται στην μπάρα αναζήτησης η ένδειξη “μη ασφαλής”; ή χρειαζόμαστε οπωσδήποτε αγορά πιστοποιητικού; η ιστοσελίδα μας διαθέτει απλώς ένα forum και η μόνη διαχείριση προσωπικών δεδομένων είναι εκείνη που προκύπτει από την εγγραφή μελών.

    Και ένα δεύτερο ερώτημα. Εάν πράγματι η ενεργοποίηση τού encrypt είναι αρκετή, υπάρχει περίπτωση να ολοκληρωθεί από την υποστήριξη της tophost χωρίς να παρέμβουμε εμείς στον κώδικα (όπως αντιλαμβάνεστε είμαστε αρκετά αρχάριοι γύρω από αυτά..).

    Ευχαριστώ πολύ, Χρήστος Γρηγοριάδης (για το site tasakos.ge)

    • Καλημέρα Χρήστο.
      Με τα υπάρχοντα δεδομένα, το Let’s Encrypt καλύπτει blogs και sites στην πιο απλή τους μορφή, που δεν διακινούν καθόλου προσωπικά στοιχεία. Αφού στο site σου ζητάς προσωπικά δεδομένα, θα σου πρότεινα να ενεργοποιήσεις ένα απλό και αξιόπιστο DV SSL.

      Το βασικό θέμα με το Let’s Encrypt είναι ότι δεν προσφέρει την χρηματική εγγύηση που δίνουν τα υπόλοιπα πιστοποιητικά, ενώ είναι πιθανό κάποιες τράπεζες να μην το θεωρήσουν αξιόπιστο και να μην το δεχτούν.

      Αν, τελικά, αποφασίσεις να το ενεργοποιήσεις, αυτό γίνεται πολύ εύκολα μέσα από το Plesk.

      • Λίλα σ’ ευχαριστώ πολύ για την απάντηση.. υποθέτω ότι εάν θέλω να συνεννοηθώ για αγορά πιστοποιητικού είναι καλύτερα να μιλήσω με την υποστήριξη;..

      • Για να μην λέμε πιθανόν και αλλα λόγια του αέρα.μπορεις να μας πεις αναλυτικά ποιες τράπεζες ελληνικές δεν το δέχονται;
        Πειραιώς;
        Alpha?
        Eurobank?
        Εθνική;
        Γνωριζεις κατι ;
        Αν δεν γνωρίζεις καλύτερα να μην απαντάς αυθαίρετα.
        Εάν γνωρίζεις περιμένω λίστα με τράπεζες.

      • Γεια σου και πάλι Δημήτρη.
        Από τις ελληνικές τράπεζες δεν έχουμε λάβει κάποια ενημέρωση. Από τη στιγμή, όμως, που πρόκειται για ένα δωρεάν πιστοποιητικό, το οποίο μπορεί να εκμεταλλευτεί ο οποιοσδήποτε – ακόμα και για κακόβουλο σκοπό – οφείλουμε να εφιστήσουμε την προσοχή στους πελάτες μας και να τους προειδοποιήσουμε ότι κάποιοι φορείς είναι πιθανό να μην το θεωρήσουν απόλυτα αξιόπιστο.
        Από την στιγμή που δεν είναι ένα δικό μας προϊόν, δεν μπορούμε να γνωρίζουμε ακριβώς τι μπορεί να γίνει με μια τράπεζα, παρά μόνο να προετοιμάσουμε τον χρήστη για μια τέτοια πιθανότητα.

  • Εγω αγόρασα ssl απο top.host
    Έπρεπε να επικοινωνήσω αρκετές φορές μέσω chat για να καταφέρω να το ενεργοποιήσω.
    Με παρέπεμψαν σε knowledge base.
    Πάλι δεν τα κατάφερα.
    Μετα μου ειπαν να ανοίξω support ticket η να πληρώσω 15 ευρω για να μου το ενεργοποιήσουν.
    Τελικά έβαλα lets encrypt με δυο κλικ μέσω του plesk.
    Έφαγα 5 ωρες να παιδεύομαι για το τίποτα τζάμπα κόπος τζάμπα λεφτα.
    Αυτα ρε παιδια έπρεπε να τα κάνετε πολυ πιο εύκολα.Απλοι χρήστες ειμαστε.Δεν θελουμε ούτε να σας κουράζουμε ούτε να μας κουράζετε.ουτε ειναι η δουλεια μας να διαβάζουμε knowledge base.Αυτα ειναι για εσάς.

    Όπως και για να τσεκάρεις άμα η μεταφορά του site έχει γίνει σωστά να μάθουμε εντολές στο terminal….έλεος!
    Πάλι knowledge base και εκει…άσε που δεν καλύπτει ζήτημα όπως όταν ειναι blank ο κωδικός σε Mac δεν μπορείς να βάλεις κωδικό στο terminal.επρεπε να googlaroume όλο τον ντουνιά για να το βρουμε.

    Απαράδεκτα πραγματα.

    • Δημήτρη, τα άρθρα της Knowledge Base μας είναι φτιαγμένα έτσι ώστε να κατατοπίζουν τον μέσο χρήστη, με αναλυτικά βήματα. Ιδιαίτερα για την περίπτωση του SSL που αναφέρεις, υπάρχουν αρκετά ξεχωριστά άρθρα ανάλογα με το περιβάλλον που χρησιμοποιεί ο καθένας και η πλειοψηφία των πελατών μας φαίνεται να τα ακολουθεί χωρίς πρόβλημα.
      Σε κάθε περίπτωση, σε ευχαριστούμε για το feedback. Αν θέλεις, μπορείς να μας επισημάνεις τα σημεία στα οποία δυσκολεύτηκες, ώστε να επανεξετάσουμε τη διατύπωση των συγκεκριμένων άρθρων.

Πες μας τη γνώμη σου!