Μεγάλοι standards-compliant browsers όπως Chrome / Firefox δείχνουν την ασφάλεια σύνδεσης με ένα εικονίδιο (i) στο address bar. Αν πατήσουμε το εικονίδιο σε ένα απλό (όχι secure) site (http) θα μας δώσει τις παρακάτω πληροφορίες.
Γενικά οι browsers δεν δείχνουν με κάποιου είδους σημάδι ή μήνυμα ότι οι απλές HTTP συνδέσεις είναι μη ασφαλείς.
Αυτό όμως πρόκειται να αλλάξει. Σύμφωνα με το Google Online Security Blog από τις αρχές του 2017 ο chrome θα εμφανίζει τις απλές HTTP σελίδες που συλλέγουν passwords ή αριθμούς πιστωτικών κλπ ως μη ασφαλείς. Προς το παρόν ο δείκτης (εικονίδιο) είναι ουδέτερος, κάτι που σημαίνει ότι πολλοί χρήστες δεν αντιλαμβάνονται την έλλειψη ασφάλειας και ως προς την εφαρμογή που χρησιμοποιούν και ως προς τα δεδομένα που αναταλλάσσουν με την εφαρμογή, μέσα από το πρωτόκολλο http.
Μένει φυσικά να δούμε κατά πόσο θα εμφανίζεται προειδοποίηση μόνο για πεδία passwords / credit cards και όχι για κάθε είδους πεδίου φόρμας.
Σύμφωνα με το Google Online Security Blog προς το παρόν η σήμανση του απλού http είναι αυτή
Με σκοπό τελικά να είναι αυτή
Εδώ και 2 χρόνια η google έχει ανακοινώσει στο επίσημο blog της ότι βάζοντας security certificate (SSL) στο site μας θα δώσει μία (έστω μικρή) ώθηση στα rankings στα αποτελέσματα αναζήτησης.
Αυτό το ranking signal θα έχει πολύ μικρή συμμετοχή στον συνολικό αλγόριθμο κατάταξης (ranking algorithm), ίσως όμως η σημασία του έγκειται περισσότερο στο μέλλον και μία γενική στρατηγική από τους μεγάλους “παίκτες” του διαδικτύου να ωθήσουν το online browsing προς το https.
ΠΡΟΒΛΗΜΑΤΑ – ΠΙΘΑΝΟΙ ΚΙΝΔΥΝΟΙ
Τυχόν ανασφάλεια και φόβος για απώλεια θέσεων στις μηχανές αναζήτησης και μαζί επισκεψιμότητας είναι αβάσιμοι, όπως έχει ξεκαθαρίσει η Google στους webmasters
Παρόλο που οι τεχνικές λεπτομέρειες υλοποίησης ενός πιστοποιητικού ασφαλείας SSL είναι πέρα από τους σκοπούς αυτού του άρθρου, παρακάτω είναι μερικά tips έτσι ώστε να εξασφαλίσουμε ότι δεν θα χάσουμε θέσεις και επισκεψιμότητα από αυτή τη μετάβαση.
- Αποφασίστε για το είδος του SSL που χρειάζεστε, πχ multi-domain, single-domain, wildcard κλπ
- Απαραίτητα πιστοποιητικά κλειδιού 2048-bit
- Χρησιμοποιούμε relative URLs για πόρους που βρίσκονται κάτω από το ίδιο ασφαλές domain
- Χρησιμοποιούμε protocol relative URLs για όλα τα άλλα domains
- Η εγκατάσταση του SSL και η μετάβαση του site να γίνει μόνο από εξειδικευμένους τεχνικούς, sysadmins. Μην το επιχειρήσετε μόνοι αν δεν ξέρετε τι κάνετε.
- Μην εμποδίσετε το νέο HTTPS site σας από το crawling – indexing (τον ευρετηριασμό) με χρήση του robots.txt ή με noindex robots meta tags.
Παρακολουθήστε τη μετάβαση HTTP σε HTTPS προσεκτικά μέσα από την εφαρμογή analytics που χρησιμοποιείτε και τα Webmaster Tools.
ΜΕΙΟΝΕΚΤΗΜΑΤΑ
Τα SSL certificates κοστίζουν. Αν και μπορούν να είναι φθηνά, για τυχόν webmasters που διαθέτουν πολλά μικρά sites με μικρό monetization, η μετάβαση στο https αλλάζει τα οικονομικά δεδομένα και είναι σαφώς επιβάρυνση.
Η μέχρι τώρα συνηθισμένη πρακτική ήταν το ssl να είναι για συγκεκριμένες σελίδες όπως πχ οι σελίδες εισαγωγής στοιχείων και πληρωμών των eshops. Η μετάβαση σε πλήρες site-wide https σημαίνει ότι ο επεξεργαστής του server θα δεχτεί ένα επιπλέον φορτίο, της κρυπτογράφησης. Αυτό σε κάποια sites, ειδικά τα μη βελτιστοποιημένα, μπορεί να σημαίνει ότι γίνονται πιο αργά (slower).
Επειδή και η ταχύτητα είναι ένας παράγοντας SEO, θα πρέπει να προσέξουμε να μην πειράξει το ένα το άλλο για να έχουμε το καλύτερο και από τους 2 κόσμους και ταχύτητα και ασφάλεια.
ΠΡΟΣΟΧΗ
α) Η κρυπτογράφηση SSL αφορά την επικοινωνία μεταξύ του χρήστη και της web εφαρμογής και όχι την ίδια την εφαρμογή. Προστατεύει τυχόν δεδομένα που ανταλλάσσονται μεταξύ του χρήστη και της εφαρμογής και όχι τον server μας από τυχόν hacking γιατί η εφαρμογή / ιστοσελίδα είναι κακογραμμένη με κενά ασφαλείας.
Είναι ασφάλεια που παρέχουμε εμείς στους χρήστες μας και όχι εξασφάλιση απέναντι σε επιθέσεις εναντίον μας.
β) Κάθε ssl enabled server δίνει την δυνατότητα για self-signed security certificates. Σε αυτά το security certificate το δημιουργούμε εμείς, αλλά κάτι τέτοιο είναι μόνο για εσωτερική χρήση, λόγους testing, development κλπ. Μην το κάνετε ποτέ για σελίδες που είναι επισκέψιμες από το κοινό σας, αν δεν θέλετε να δουν μία οθόνη να τους παρακινεί να φύγουν από εκεί ή να προχωρήσουμε με δικό τους ρίσκο (επίσης το να προχωρήσουν είναι κρυμμένο στα advanced options) – Ισχύει για όλους τους browsers.