Izašao je Chrome 68, HTTP sajtovima je odzvonilo
HTTPS postaje obavezan, da li ste instalirali SSL sertifikat na svoj sajt?
Izašla je Google Chrome verzija 68 kojom HTTPS postaje obavezan, ukoliko želite da izbegnete negativne indikatore bezbednosti. Od ove verzije, svi sajtovi koji koriste HTTP protokol će dobiti negativni vizuelni indikator ’Not secure’ koji će pisati pored URL adrese. Na slici ispod možete videti kako će to izgledati:
Neće svi korisnici istovremeno dobiti novu verziju, već će taj proces trajati naredne 2 nedelje.
Ipak, ovo nije kraj promenama u Chromu. U narednim verzijama Chromea, kada neko bude pokušao da unese tekst na HTTP stranici, upozorenje će promeniti boju iz crne u crvenu.
Trenutno, HTTPS sajtovi imaju pozitivan vizuelni indikator ’Secure’ sa ikonom katanca sa leve strane u odnosu na URL adresu. Međutim, to neće još dugo biti slučaj, jer Google planira da u potpunosti eliminiše ove indikatore za DV i OV SSL sertifikate. Zeleni katanac ostaće samo za EV SSL sertifikate.
Zašto Google insistira na korišćenju HTTPS-a?
Najkraće rečeno, zbog sveopšte bezbednosti interneta.
HTTP protokol ima nepremostive bezbednosne propuste. Konkretno, u pitanju je nebezbedna konekcija. Kada browser korisnika dođe na HTTP sajt, sva komunikacija sa sajtom se obavlja u plaintextu koji se lako može presresti i ukrasti. To znači da je na jednostavan način moguće ukrasti različite osetljive informacije.
Kada instalirate SSL/TLS sertifikat i prebacite svoj sajt na HTTPS, konekcije postaju kriptovane što sprečava presretanje i/ili manipulaciju podataka koji se razmenjuju.
Dokaz kriptovane konekcije je zeleni katanac kod adresne trake. Neki browseri takođe prikazuju i https:// protokol na početku URL adrese.
HTTPS protokol i SSL sertifikati nisu novost i koriste se godinama unazad za bezbednu komunikaciju. Međutim, mnogi korisnici ne znaju kako da izvrše proveru bezbednosti konekcije. Zbog toga Google i ostali browseri žele da bezbednost interneta bude stvar koja se podrazumeva.
Google smatra da korisnici ne treba da budu opterećeni razmišljanjem o bezbednosti konekcije, već da enkripcija i HTTPS treba da postanu standard. Ukoliko svi sajtovi koriste enkripciju, eliminišu se situacije u kojima korisnik mora da proverava da li je konekcija na sajtu koji posećuje bezbedna.
Bezbednost HTTPS sajtova
Ipak treba znati da HTTPS i SSL sertifikat nisu garancija da je sajt bezbedan za posetioce. I loši momci mogu da dobiju SSL i da na svom sajtu uvedu HTTPS. Već smo pisali o tome da su mnogi korisnici postali žrtve phishinga, jer su pomislili da bezbedna konekcija znači i bezbedan sajt. Zato Google povlači iz upotrebe indikator ’Secure’ koji trenutno imaju svi HTTPS sajtovi u Chromeu.
Kada HTTPS postane standard, više neće biti potrebe podsticati i nagrađivati sajtove koji koriste taj protokol. Dakle, indikator će se pojavljivati samo kada enkripcija (HTTPS) na datom sajtu ne postoji.
Šta u novim okolnostima vlasnici sajtova moraju da urade?
Jednostavno je. Što pre nabavite i na sajt instalirajte SSL sertifikat. Postoji veliki broj SSL sertifikata, u zavisnosti od veličine vaše organizacije i konkretnih potreba.
Pre nego što izaberete sertifikat, razmislite o tome šta bi trebalo kriptovati, koliko domena, poddomena itd. Praktično postoje SSL sertifikati za svačiji budžet i potrebe. Imajte u vidu da svaka javno dostupna stranica mora da ide preko HTTPS-a.
Na sajtu ssl.co.rs možete pronaći veliki izbor SSL sertifikata za različite potrebe i veliki broj tekstova o SSL sertifikatima na srpskom jeziku. Ako imate konkretno pitanje ili vam treba savet, možete da kontaktirate Net++ technology. Vreme potrebno za izdavanje, u zavisnosti od vrste sertifikata, je od nekoliko minuta do par dana.
Ukoliko se odlučite da ne instalirate SSL, Google će vaš sajt označiti kao nebezbedan (’Not Secure’). Budući da Google drži značajan deo tržišta browsera i da korisnici veruju Googleu kada im kaže da je nešto nebezbedno, ovakva odluka može da znači potencijalni gubitak posetilaca i reputacije.