Η Google χα­ρα­κτη­ρί­ζει τα HTTP sites ‘not secure’

   Σύμ­φω­να με την τε­λευ­ταία α­να­κοί­νω­ση της Google τo SSL δεν α­πο­τε­λεί πλέ­ον ε­πι­λο­γή. Εί­ναι α­πα­ραί­τη­το, ό,τι site κι αν έ­χεις! Αυ­τό για­τί ο Chrome, ο δη­μο­φι­λέ­στε­ρος σε χρή­ση browser, πο­λύ σύ­ντο­μα θα ση­μα­το­δο­τή­σει αρ­νη­τι­κά ό­σα sites δεν χρη­σι­μο­ποιούν κρυ­πτο­γρά­φη­ση -δεν έ­χουν δη­λα­δή ε­νερ­γό SSL πι­στο­ποιη­τι­κό α­σφα­λείας. Πο­τέ μέ­χρι τώ­ρα οι συν­δέ­σεις HTTP δεν εί­χαν χα­ρα­κτη­ρι­στεί ως “μη α­σφα­λείς”.

Τα πράγ­μα­τα, ό­μως, αλ­λά­ζουν!!!

Τι αλ­λά­ζει α­πό τη Google;
   Ήδη ό­σα sites έ­χουν ε­γκα­τε­στη­μέ­νο SSL α­ντα­μεί­βο­νται α­πό τη Google με κα­λύ­τε­ρο ranking και α­πο­κτούν το χα­ρα­κτη­ρι­στι­κό πρά­σι­νο λου­κε­τά­κι α­σφα­λείας στη γραμ­μή του URL (address bar). Πο­λύ σύ­ντο­μα α­να­μέ­νε­ται ό­σα sites δεν δια­θέ­τουν SSL (non-encrypted) να χα­ρα­κτη­ρί­ζο­νται α­πό τον Chrome με αρ­νη­τι­κούς δεί­κτες α­σφά­λειας και τη φρά­ση ‘not secure’ στο address bar τους! Να α­να­φέ­ρου­με ό­τι μέ­χρι τώ­ρα ο Chrome χα­ρα­κτή­ρι­ζε τις HTTP συν­δέ­σεις με έ­ναν ου­δέ­τε­ρο δεί­κτη, που δεν έ­δει­χνε έλ­λει­ψη α­σφά­λειας.

Ποια εί­ναι τα βή­μα­τα που θα α­κο­λου­θή­σει η Google;
   Από τον Ια­νουά­ριο του 2017 ξε­κι­νά­ει το σχέ­διο της Google να ση­μα­το­δο­τή­σει πιο έ­ντο­να και ξε­κά­θα­ρα τα HTTP sites ως “μη α­σφα­λή”.

blog image 1

  Με τη νέα έκ­δο­ση του Chrome 56 που α­να­μέ­νε­ται, η Google θα χα­ρα­κτη­ρί­ζει ‘not secure’ τις HTTP σε­λί­δες που συλ­λέ­γουν δε­δο­μέ­να χρη­στών (πχ. φόρ­μες ε­πι­κοι­νω­νίας, εγ­γρα­φή σε newsletter, δη­μιουρ­γία λο­γα­ρια­σμών) ή πι­στω­τι­κών καρ­τών για την πραγ­μα­το­ποίη­ση α­γο­ρών, δε­δο­μέ­νου ό­τι πρό­κει­ται για ευαί­σθη­τα προ­σω­πι­κά δε­δο­μέ­να. Η ει­κό­να που θα βλέ­που­με στον browser μας εί­ναι αυ­τή στα δεξιά...

blog image 2

   Σε ε­πό­με­νο βή­μα, η προ­ει­δο­ποίη­ση ‘not secure’ για τις HTTP σε­λί­δες θα “ε­πε­κτα­θεί” και στην πε­ρί­πτω­ση της α­νώ­νυ­μης πε­ριή­γη­σης (incognito mode), ό­που οι χρή­στες έ­χουν υ­ψη­λό­τε­ρες α­παι­τή­σεις α­σφά­λειας δε­δο­μέ­νων. Τε­λι­κός σκο­πός εί­ναι να χα­ρα­κτη­ρι­στούν ‘not secure’ ό­λες οι HTTP σε­λί­δες και να αλ­λά­ξει η έν­δει­ξη τους σε κόκ­κι­νο προ­ει­δο­ποιη­τι­κό τρί­γω­νο, το ο­ποίο χρη­σι­μο­ποιεί­ται μέ­χρι τώ­ρα για τα broken HTTPS. Έτσι, οι ε­πι­σκέ­πτες των HTTP σε­λί­δων θα βλέ­πουν κά­τι τέ­τοιο όπως η εικόνα στα αριστερά...

Για­τί προ­χω­ρά­ει η Google σε αυ­τές τις αλ­λα­γές;
   Εάν μία HTTP σύν­δε­ση δεν εί­ναι α­σφα­λής (HTTPS) μέ­σω SSL πι­στο­ποιη­τι­κού, πρα­κτι­κά ση­μαί­νει ό­τι αυ­ξά­νο­νται οι πι­θα­νό­τη­τες α­πά­της ε­νός χρή­στη που ε­πι­σκέ­πτε­ται το site, κα­θώς οι hackers μπο­ρούν να υ­πο­κλέ­ψουν ευ­κο­λό­τε­ρα πλη­ρο­φο­ρίες σύν­δε­σης, passwords ή στοι­χεία πι­στω­τι­κών καρ­τών.

   Επί­σης, έ­ρευ­νες έ­χουν δεί­ξει ό­τι οι χρή­στες δεν α­ντι­λαμ­βά­νο­νται την έλ­λει­ψη συμ­βό­λου α­σφα­λείας ως προ­ει­δο­ποίη­ση, ε­νώ τεί­νουν να α­γνοούν προ­ει­δο­ποιή­σεις που εμ­φα­νί­ζο­νται πο­λύ τα­κτι­κά. Για τους πα­ρα­πά­νω λό­γους, η Google στην νέα έκ­δο­ση του Chrome θα κά­νει χρή­ση του κόκ­κι­νου προ­ει­δο­ποιη­τι­κού τρι­γώ­νου!

Για­τί εί­ναι ση­μα­ντι­κό να έ­χει το site μου SSL (HTTPS);
   Ασφά­λεια, α­σφά­λεια, α­σφά­λεια! Το HTTPS ε­ξα­σφα­λί­ζει ό­τι ό­ταν έ­νας χρή­στης φτά­νει σε έ­να website, τα δε­δο­μέ­να του εί­ναι κρυ­πτο­γρα­φη­μέ­να μέ­σω του πρω­το­κόλ­λου α­σφα­λείας που χρη­σι­μο­ποιεί­ται. Για να ε­φαρ­μο­στεί το HTTPS χρειά­ζε­ται ο ι­διο­κτή­της του site να ε­γκα­τα­στή­σει στο site έ­να SSL πι­στο­ποιη­τι­κό.

Το HTTPS έ­χει πολ­λά πλε­ο­νε­κτή­μα­τα συ­γκρι­τι­κά με το HTTP:

   Always-on SSL (AOSSL): μία πρα­κτι­κά κα­λύ­τε­ρη μέ­θο­δος προ­στα­σίας των δε­δο­μέ­νων των χρη­στών, αλ­λά και ε­ξα­σφά­λι­σης των σε­λί­δων ε­νός site, των cookies, του API και των sessions.

   SEO: ο αλ­γό­ριθ­μος της Google α­ντα­μεί­βει με κα­λύ­τε­ρες θέ­σεις στα α­πο­τε­λέ­σμα­τα α­να­ζή­τη­σης ό­σα site χρη­σι­μο­ποιούν HTTPS
  Επι­δό­σεις σε­λί­δας: τα sites που χρη­σι­μο­ποιούν κρυ­πτο­γρά­φη­ση ε­πω­φε­λού­νται α­πό τα πλε­ο­νε­κτή­μα­τα στην τα­χύ­τη­τα που πα­ρέ­χει το HTTPS σε συν­δια­σμό με το HTTP/2 και η τα­χύ­τη­τα α­πό μό­νη της α­πο­τε­λεί άλ­λο έ­να κρι­τή­ριο κα­τά­τα­ξης για τις μη­χα­νές α­να­ζή­τη­σης
  Αξιο­πι­στία: Οι ο­πτι­κές εν­δεί­ξεις α­σφά­λειας, πχ. το λου­κε­τά­κι, δη­μιουρ­γούν έ­να αί­σθη­μα ε­μπι­στο­σύ­νης στους ε­πι­σκέ­πτες, βο­η­θούν στη μείω­ση του πο­σο­στού ε­γκα­τά­λει­ψης (bounce rate) μιας σε­λί­δας και στην τυ­χόν δια­κο­πή μιας α­γο­ράς (abandoned shopping cart).

Δεν έ­χω ecommerce site, χρειά­ζο­μαι SSL;
  Ναι, χρειά­ζε­σαι SSL α­κό­μη κι αν δεν έ­χεις eShop, για­τί η Google θα συ­μπε­ρι­λά­βει κά­θε εί­δους site στις αλ­λα­γές της! Ευαί­σθη­τα και προ­σω­πι­κά δε­δο­μέ­να δεν δια­χει­ρί­ζο­νται μό­νο τα ecommerce sites. Κά­θε website που σου ζη­τά­ει να κά­νεις login κρα­τά­ει προ­σω­πι­κά σου δε­δο­μέ­να, ό­πως πχ το Papaki. Αυ­τό φυ­σι­κά δεν εί­ναι κα­κό, ε­φό­σον το ε­κά­στο­τε site τη­ρεί τις προϋπο­θέ­σεις α­σφα­λείας.

   Επί­σης το HTTPS α­πο­τε­λού­σε κρι­τή­ριο κα­τά­τα­ξης για τη Google, κι αυ­τό δεν αλ­λά­ζει, α­πλά ε­νι­σχύε­ται! Εσύ πρέ­πει μό­νο να ε­πι­λέ­ξεις τον τύ­πο SSL που χρειά­ζε­σαι α­νά­λο­γα με το site σου. Σε αυ­τό το άρ­θρο θα βρεις πλη­ρο­φο­ρίες για να δια­λέ­ξεις τον κα­τάλ­λη­λο τύ­πο SSL για το δι­κό σου site.

   Σκο­πός μας δεν εί­ναι να σας τρο­μά­ξουμε, αλ­λά να σας ε­νη­με­ρώ­σουμε για τις ση­μα­ντι­κές αλ­λα­γές που έρ­χο­νται. Προ­σω­πι­κά δεν θα ­θέλαμε σε κα­μία πε­ρί­πτω­ση να χα­ρα­κτη­ρι­στεί το site μας μη α­σφα­λές ή, α­κό­μα χει­ρό­τε­ρα, να “στο­λι­στεί” με έ­να κόκ­κι­νο, προ­ει­δο­ποιη­τι­κό σύμ­βο­λο κιν­δύ­νου, ή να πέ­σει στην κα­τά­τα­ξη του Google. Το ί­διο πι­στεύουμε ό­τι ι­σχύει για ό­λους μας!

osb secure

Στην O.S.B πα­ρέ­χου­με ή­δη πολ­λούς τύ­πους πι­στο­ποιη­τι­κών SSL α­πό α­ξιό­πι­στες και ε­δραιω­μέ­νες ε­ται­ρίες (Certificate Authorities) ό­πως Comodo, GeoTrust κτλ. Προ­τεί­νου­με σε ό­λους το standard SSL (πχ. Comodo Essential ή Positive) του­λά­χι­στον για αρ­χή.  

jQuery Scroll Up plugin