Google znów przekonuje do certyfikatów SSL

Niezabezpieczone protokołem SSL strony internetowe w Chrome będą wkrótce oznaczane jako niebezpieczne dla użytkownika. Zmiana ma zostać wprowadzona w lipcu 2018 roku.

Informacje o ostrzeżeniach przez niezabezpieczonymi połączeniami Google publikuje już od dobrych kilku miesięcy. Efekty już są widoczne - ponad 68 proc. ruchu w Chrome w systemach Windows i Android jest chronione, w przypadku systemów Chrome OS i macOS wyniki te są jeszcze lepsze (ponad 78 proc.). By zmotywować do zainstalowania certyfikatu kolejnych właścicieli stron, Google zamierza wprowadzić spore zmiany w Chrome 68 - od lipca 2018 roku wszystkie witryny, których adres zaczyna się od http, będą oznaczone jako niebezpieczne. Obecnie - aby widzieć informację o niezabezpieczonym połączeniu - trzeba kliknąć w ikonę umieszczoną w pasku z adresem, o czym nie wszyscy internauci wiedzą. Po zmianie informacja ta będzie widoczna od razu (grafikę można podejrzeć na blogu Google'a, w informacji „A secure web is here to stay”).

Można więc mówić o prawdziwej rewolucji, zwłaszcza, że Chrome w rankingach popularności przeglądarek od lat pozostaje bezkonkurencyjny - pod koniec ubiegłego roku korzystało z niej nieco ponad 63 proc. użytkowników, co oznacza, że średnio dwóch na trzech internautów na świecie to obecnie użytkownicy Chrome.

Google od dawna premiuje strony z certyfikatami

Zmiany w przeglądarce Chrome to nie pierwszy sygnał, świadczący o tym, że Google premiuje strony z certyfikatami SSL. Trochę przypomina to metodę kija i marchewki. Z jednej strony od jakiegoś czasu zabezpieczone certyfikatem osiągają lepsze pozycje wśród organicznych wyników wyszukiwania, z drugiej strony są też kije - kampanii Google Shopping (to jeden z typów kampanii Google AdWords) nie można prowadzić, jeśli strona, na której klient dokonuje transakcji, nie jest zabezpieczona certyfikatem.

Informacje o ważnej zmianie w przeglądarce Chrome były znane już kilka miesięcy temu. W sierpniu 2017 roku Google - za pośrednictwem Search Console - wysłało wiadomości z istotnym ostrzeżeniem. Właściciele stron, które nie posiadały certyfikatów SSL, dowiedzieli się, że jeśli w ich witrynach istnieje możliwość przetwarzania danych użytkowników (np. za pomocą formularzy czy newsletterów), to w Chrome w wersji 62 te witryny zostaną prezentowane jako niebezpieczne.

Dlaczego certyfikat SSL jest tak ważny?

Protokół SSL związany jest z bezpiecznymi połączeniami internetowymi, a zainstalowany na serwerze certyfikat SSL potwierdza, że transmisja danych, realizowana za pośrednictwem danej witryny, jest bezpieczna i poufna. Oznacza to po prostu, że pozostają bezpieczne wszystkie informacje, które są wpisywane w polach w witrynie (np. hasła użytkownika czy numery kart kredytowych).

Już teraz każdy użytkownik może sprawdzić, czy witryna, z której korzysta, jest zabezpieczona. Wystarczy sprawdzić informacje w polu adresu - certyfikat jest zainstalowany, jeśli adres zaczyna się od liter https (a nie http), a w pobliżu domeny znajduje się symbol zielonej kłódki. Po kliknięciu w nią powinien pojawić się komunikat o bezpiecznym połączeniu.

Właściciele stron mają do wyboru trzy rodzaje certyfikatów:

• certyfikaty SSL z grupy DV (Domain Validation), gdy weryfikacja danych odbywa się elektronicznie, a na certyfikacie znajduje się nazwa domeny; wydanie tych certyfikatów trwa najkrócej, jest też najtańsze;
• certyfikaty SSL z grupy OV (Organization Validation), gdy weryfikacja obejmuje nie tylko domenę, ale też sprawdzenie danych podmiotu, dla którego certyfikat jest wydawany; dzięki temu użytkownicy wiedzą, że podmiot istnieje, a domena na pewno należy do niego;
• certyfikaty SSL z grupy EV (Extended Validation), gdy weryfikacja obejmuje domenę oraz sprawdzenie danych podmiotu; przyznanie tego certyfikatu trwa dłużej niż przyznanie pozostałych, ponieważ kontrola jest bardziej szczegółowa; na koniec strona internetowa otrzymuje certyfikat z oznaczeniem nazwy właściciela, a wyświetlany na pasku adres strony internetowej ma kolor zielony.

Choć na pierwszy rzut oka wydaje się to mocno skomplikowane, to jednak w wielu przypadkach firmom wystarcza najprostszy certyfikat typu Wildcard (obejmujący także subdomeny), który nie kosztuje dużo. Czasem jest to ok. 100 zł, szczególnie biorąc pod uwagę promocyjne ceny obowiązujące przez pierwszy rok. Instalacja w wielu przypadkach jest prosta i wymagania dokonania zaledwie kilku czynności, a w ostateczności może się też tym zająć dostawca hostingu. Istnieją też firmy, które certyfikat SSL instalują automatycznie, bez żadnych dodatkowych opłat.

Podsumowanie

Jeszcze do niedawna certyfikaty bezpieczeństwa na stronach internetowych kojarzyły się raczej z bankami czy innymi witrynami, gdzie użytkownicy np. zostawiali wrażliwe dane. Dziś jednak dla  właścicieli stron internetowych instalacja certyfikatu nie powinna być dodatkową opcją, a koniecznością - tak jak zakup domeny czy wybór dostawcy usług hostingowych. Na szczęście nie wiąże się to z wieloma dodatkowymi pracami czy dużymi wydatkami, a efekty będą od razu widoczne gołym okiem - w tym lepsze pozycje w wynikach organicznych, większe zaufanie obecnych i przyszłych klientów czy możliwość prowadzenia kampanii Google Shopping przez sklepy internetowe.