Wróć do bloga

Za sprawą Google protokół HTTPS powoli staje się koniecznością

Redakcja

Do tej pory najczęściej spotykanymi serwisami z certyfikatem SSL były największe sklepy internetowe i strony z sektora finansowego. Wkrótce może się to zmienić za sprawą standardów do jakich dąży Google. O braku certyfikatu będą również informować przeglądarki Firefox czy Chrome. Wszystko w celu zwiększenia bezpieczeństwa przetwarzania naszych danych osobowych i finansowych.  

Już we wrześniu ubiegłego roku Google poinformował, że od stycznia 2017 roku, wraz z wejściem nowej, 56 wersji przeglądarki, Chrome będzie oznaczał strony, które nie wykorzystują protokołu HTTPS jako „niebezpieczne”.


 

Ostrzeżenie może wyświetlać się w sytuacji, jeśli na stronie są umieszczone pola formularza, w których użytkownik może podać dane dostępowe czy numery kart. Może to być również formularz newslettera. 
W sierpniu Google ponowił swój komunikat do właścicieli serwisów.
 

 

Jak można przeczytać w wiadomości, Google stopniowo zmierza do tego, żeby każdy serwis w Internecie posiadał certyfikat SSL. Trudno jest przewidzieć, jak finalnie może wyglądać komunikat, ale możliwe, że oprócz tekstu, będzie podkreślony jego charakter np. za pomocą koloru czerwonego, który kojarzy się z zagrożeniem.  

 

 

Poniżej obecne oznaczenie bezpiecznego połączenia.

 

 

 

Przeglądarka Firefox już od wersji nr 52 informuje o tym, że użytkownik znajduje się na stronie bez certyfikatu SSL.
 
 


 

 

Dlaczego należy szyfrować komunikację na stronie? 

Internet to dynamiczne miejsce, które z dnia na dzień zwiększa liczbę użytkowników i wykonywanych operacji. Obecnie, praktycznie cała komunikacja odbywa się przy pomocy sieci: od przesyłania prostych informacji po zaawansowane działania jak np. transakcje finansowe. I to właśnie podczas tych działań jesteśmy najbardziej narażeni na próby nieautoryzowanego pozyskania danych osobowych.

Serwisy internetowe najczęściej padają ofiarą ataków typu phishing i man in the middle. Często ofiara nawet nie jest świadoma tego, że podając dane udostępniła je cyberprzestępcy. Chcąc zobrazować  skalę problemu, podaję kilka faktów:

  • w drugim kwartale 2017 r. system Anty-Phishingowy Kaspersky Lab zablokował 46 557 343 prób odwiedzenia stron phishingowych przez użytkowników. W przypadku 8,26% unikalnych użytkowników produktów Kaspersky Lab, zostały podjęte działania, mające na celu nieautoryzowane pozyskanie danych;
  • najczęściej atakowanymi sektorami, zaraz za bankami (23.49%), systemami płatności (18,40%) jest e-commerce (9,58%);
  • w 2015 roku Polska była w TOP10 najczęściej atakowanych krajów. W 2017 roku najwięcej ataków, bo aż 18.09% kierowanych jest na Brazylię. Polska w tym zestawieniu jest poza TOP10, ale nadal utrzymuje się na poziomie ok 5% z 2015 roku.

Po więcej danych odsyłam do raportu Spam and phishing in Q2 2017 i Phishing Data – Attack Statistics.
Ze względu na powyższe dane, warto zastanowić się nad wdrożeniem certyfikatu SSL. Dzięki niemu możemy uchronić użytkowników przed stratami materialnymi, nieprzyjemnymi doświadczeniami, a własną firmę przed problemami wizerunkowymi.

 

Korzyści z posiadania certyfikatu SSL

Najważniejszy aspekt, wynikający z posiadania certyfikatu SSL, to potrzeba zapewnienia realnego bezpieczeństwa użytkownikom Twojej strony. Należy być świadomym, że:

  • bardzo ważna jest ochrona użytkowników przed kradzieżą haseł oraz wszelkiego typu danych, takich jak: numery kont bankowych, kart kredytowych i danych osobowych;
  • w 2014 roku Google poinformował, że protokół HTTPS będzie traktowany jako sygnał rankingowy w ustalaniu pozycji stron;
  • bardzo ważna jest informacja na pasku adresu przeglądarki o tym, że strona jest bezpieczna. Jeśli nie posiadamy SSL, użytkownik przechodząc np. do finalizacji zamówienia, dostanie powiadomienie na pasku adresu o niezabezpieczonym połączeniu.

 

 

 

Obecnie wiemy, że komunikaty będą  pojawiać się w przeglądarkach Chrome i Firefox. Warto podkreślić, że rankingi wykorzystywanych przeglądarek na polskim rynku nie pozostają złudzeń:  Chrome posiada ponad 22% udziału ruchu a Firefox 13%.

W rzeczywistości może to wyglądać jeszcze mniej korzystnie. Weryfikując własne projekty, potwierdzam że  w przypadku sklepów z wyposażeniem kuchni, blisko 60% ruchu pochodzi z Chrome, a sklepów z kategorii „narzędzia i przemysł” oraz „obuwie” – 50%. Są to  znaczące wartości, które mogą negatywnie wpłynąć na liczbę  transakcji, jeśli użytkownicy zaczną z nich rezygnować z powodu wyświetlanego komunikatu na stronie „niezabezpieczona”.  

Co zyskujemy, gdy wprowadzimy certyfikat SSL? Najważniejsze aspekty to: 

  • ochronę przed atakami typu phishingi i man in the middle;
  • zwiększenie konwersji. Badania wykazują, że posiadanie SSL wpływa pozytywnie na ilość transakcji;
  • posiadając certyfikat SSL, możemy zintegrować sklep z Facebookiem;
  • spełnienie wymogów GIODO. W ustawie o ochronie danych osobowych (tekst aktu) nie jest jasno napisane, że należy używać certyfikatu SSL, ale są zapisy, które mówią nam, jakie obowiązki mają Administratorzy danych osobowych, np. w  art. 36 ust. czytamy:

„Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”

W tej sytuacji wdrożenie SSL wydaje się najlepszym i najtańszym rozwiązaniem. 

Certyfikat SSL a protokół HTTP 2

Protokół HTTP 2 ze względu na swoje możliwości, odgrywa coraz większą rolę w działaniach SEO. Wykorzystanie nowego protokołu HTTP, może w znaczący sposób przyśpieszyć czas ładowania się strony, który traktowany jest jako czynnik, mogący mieć wpływ na pozycje. Wdrażając HTTP 2 musimy liczyć się z tym, że posiadanie certyfikatu SSL jest wymogiem koniecznym, aby móc wdrożyć HTTP 2.

Bez certyfikatu SSL nie uruchomisz kampanii reklamowych

Od lutego 2017 roku w usłudze Zakupy Google (Google Shopping) posiadanie protokołu HTTPS będzie jednym z wymogów. Sklepy, które nie spełnią tych zasad mogą nie przejść poprawnie weryfikacji kampanii.  

„Zgodnie z zasadami AdWords strony internetowe, z których przesyłane są określone informacje osobowe i finansowe, muszą korzystać z połączeń SSL: źródło

Aby zaoszczędzić sobie problemów, szczególnie w przed dniem darmowej dostawy, warto zadbać o SSL wcześniej i nie przejmować się tym, czy kampanie zostaną zaakceptowane. 

Czy warto inwestować w certyfikat SSL?

Uważam, że ilość profitów, jakie otrzymujemy wraz z posiadaniem certyfikatu SSL jest na tyle atrakcyjna, że inwestycja w posiadanie protokołu HTTPS jest jak najbardziej zasadna. Będzie to zysk z obszaru finansowego, wizerunkowego oraz prawnego.

Jaki certyfikat wybrać dla mojej strony?

Jeśli prowadzisz mały serwis lub bloga (użytkownicy nie podają żadnych danych np. adresów email), możesz wykorzystać darmowe rozwiązanie, jakie oferuje Let’s Encrypt, ale tylko w przypadku, kiedy w serwisie:

  • pobierasz i przetwarzasz dane osobowe,
  • publikujesz informacje wymagające autoryzacji.

W powyższych przypadkach rekomenduję zainwestowanie w płatne certyfikaty.

Różnice między darmowym a płatnym certyfikatem SSL

Przyjrzyjmy się ofercie Let’s Encrypt. Jedną z podstawowych różnic są dostępne typy walidacji:

  • darmowe certyfikaty posiadają tylko walidację tożsamości domeny tj. SSL DV (Domain Validation);
  • w płatnych certyfikatach mamy dostępne dodatkowe dwie walidacje SSL OV (Organization Validation) – identyfikacje tożsamości domeny, jak i właściciela domeny oraz SSL EV (Extended Validation), gdzie oprócz identyfikacji tożsamości domeny, mamy jeszcze identyfikację właściciela oraz podmiotu biznesowego oraz adresu firmy;
  • certyfikat typu EV otrzymują już zielony pasek przy polu adresowym URL w przeglądarce.

Z informacji umieszczonych na Let’s Encrypt wynika, że obecnie nie jest planowane  wdrożenie pozostałych typów OV i EN.

Certyfikaty SSL typu DV znacznie prościej jest wygenerować, ponieważ nie  są  wymagane żadne dodatkowe działania oprócz wypełnienia formularza podczas generowania certyfikatu. W przypadku OV i EV mamy już większe obostrzenia. W skład procesu uzyskiwania certyfikatu wchodzą działania związane z wysyłaniem różnego typu dokumentów potwierdzających dane firmy.

Darmowy certyfikat nie oferuje Trust Seal,  który jest „pieczęcią” oznaczającą, że Twoja działalność została zweryfikowana według światowych norm i jest godna zaufania.
Płatne certyfikaty posiadają wsparcie CA (Certificate Authority) i gwarancje w przypadku złamania klucza, co przy obecnych możliwościach jest nieosiągalne. Jeśli usługodawca nie oferuje automatycznego odnawiania, to w przypadku darmowych certyfikatów Let’s Encrypt, jesteśmy zmuszeni wykonywać to ręcznie.

Nie każdy darmowy certyfikat SSL gwarantuje pełne szyfrowanie

Podaję przykład na podstawie rozwiązań oferowanych przez popularną firmę Cloudflare. Jest to firma, która oprócz świadczenia m. in. CDN, ochrony przed atakami DDOS, oferuje również SSL w wersji darmowej. Cloudflare dużo oferuje w tym właśnie przypadku, ale w  temacie wspomnianego SSL, nie możemy  mówić o pełnowartościowym certyfikacie z ważnego powodu. Komunikacja miedzy stroną a serwerem nie jest szyfrowana w obu kierunkach. Dane są tylko szyfrowane między użytkownikiem a serwerami Cloudflare, ale już z serwera Cloudflare do docelowego serwera brakuje szyfrowania. Problem również może wynikać z tego, że użytkownicy routują ruch ze swoich serwerów przez Cloudflare.

Dokładniej informuje o tym sam Cloudflare Support https://support.cloudflare.com/hc/en-us/articles/205893698-Configure-Cloudflare-and-Heroku-over-HTTPS.

Warto zwracać uwagę na takie elementy szczególnie, jeśli rozważamy wdrożenie SSL na stronach, przy których szczególnie zależy nam na bezpieczeństwie wykonywanych działań.

Po raz kolejny kreowane są nowe kierunki rozwoju

Tym razem zmiany dotyczyć będą bezpieczeństwa użytkowników Internetu. Myślę, że jest to bardzo dobre posunięcie ze strony nie tylko Google, ale też twórców Firefox czy Facebook. Dzięki temu korzystanie z Internetu może stać się bezpieczniejsze.  

Photo by Saksham Gangwar on Unsplash

Wróć do bloga

Dziękujemy za wysłanie wiadomości.

Skontaktuj się z nami

Podanie danych osobowych jest dobrowolne, jednak podanie numeru telefonu i adresu e-mail jest niezbędne do udzielenia odpowiedzi. Przysługuje mi prawo dostępu do treści moich danych osobowych oraz ich poprawiania. Dane będą wykorzystane w celu udzielenia odpowiedzi, a w przypadku wyrażenia zgody również w celu marketingowym.


Kto jest administratorem Twoich danych?
Administratorem Twoich danych jest Bluerank sp. z o.o., kliknij i dowiedz się więcej m.in. po co nam Twoje dane i jakie masz prawa..

Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, kapitał zakładowy 100 000 zł, NIP 727-272-57-03.

Jak możesz się z nami skontaktować?
listownie: ul. ul. Łąkowa 29, 90-554 Łódź,
e-mailem na adres: [email protected]

Jakie masz prawa?

  1. dostępu do Twoich danych,
  2. ich poprawiania,
  3. żądania ich usunięcia,
  4. ograniczenia przetwarzania,
  5. przenoszenia Twoich danych.

Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?
Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Generalny Inspektor Ochrony Danych Osobowych http://www.giodo.gov.pl/

Po co nam Twoje dane, czyli w jakim celu je przetwarzanym?

  1. w celu udzielenia odpowiedzi na zapytanie oferty Bluerank
  2. w celu korespondencji związanej ze złożonym zapytaniem
  3. na podstawie Twojej dodatkowej zgody, w celu marketingowym polegającym na przesyłaniu ofert usług świadczonych przez Bluerank sp. z o.o. oraz innych wydarzeń organizowanych przez Bluerank sp. z o.o. - za pomocą wiadomości wysyłanych na Twój adres e-mail lub numer telefonu,
  4. na podstawie Twojej dodatkowej zgody, przekażemy Twoje dane do naszego Partnera – Prowly.com sp. z o.o.

Czy musisz podawać nam swoje dane?
Jest to dobrowolne. Bez ich podania nie będziemy mogli jednak skontaktować się z Tobą w celu udzielenia Ci odpowiedzi i nie będziemy mogli przesłać Ci oferty

Na jakiej podstawie prawnej przetwarzamy Twoje dane?

  1. Art. 6 ust. 1 lit. a RODO, czyli tego rozporządzenia.
  2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail i numer telefonu, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.

Komu przekażemy Twoje dane?

  1. Dostawcom usług związanych z przygotowaniem oferty
  2. Kurierom oraz poczcie.
  3. Operatorom płatności dostępnych na naszej stronie.
  4. Podmiotom zajmującym się hostingiem (przechowywaniem) portalu stronie internetowej bluerank.pl oraz danych osobowych dla nas.
  5. na podstawie Twojej dodatkowej zgody, przekażemy Twoje dane do naszego Partnera – Prowly.com sp. z o.o. w celu marketingowym polegającym na przesyłaniu ofert usług świadczonych przez Prowly.com sp. z o.o. - za pomocą wiadomości wysyłanych na mój adres e-mail lub numer telefonu. Wówczas administratorem Twoich danych będzie Prowly.com sp. z o.o. z siedzibą w Warszawie, przy ul. Antoniego Józefa Madalińskiego 71 lok. 1, 02-549 Warszawa, (KRS: 0000462787), której akta prowadzi Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy KRS, kapitał zakładowy: 15 500 zł, NIP: 5213649218

Jak długo będziemy przetwarzać Twoje dane?
Przez czas:

  1. przygotowywania odpowiedzi na zapytanie ofertowe oraz czas niezbędny do przedawnienia roszczeń związanych z przygotowaniem oferty;
  2. prowadzenia działań marketingowych przez nas albo do czasu odwołania zgody na wysyłanie wiadomości na Twój adres e-mail oraz numer telefonu. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.

Czy Twoje dane osobowe będą przekazywane poza Europejski Obszar Gospodarczy?
Tak.

Do jakich państw?
Do Stanów Zjednoczonych. Masz prawo otrzymania kopii Twoich danych, które zostaną tam przekazane.
Na jakiej podstawie przekażemy dane?
Decyzji Wykonawczej Komisji Europejskiej z dnia 12.07.2016 r. wprowadzającej Tarczę Prywatności (tzw. Privacy Shield). Dane będą przekazywane tylko do podmiotów certyfikowanych w ramach tej decyzji.

Zwiń

 

Interesuje Cię nasza oferta?
Daj znać, czego potrzebujesz.
WYPEŁNIJ BRIEF