Prichádza deň, kedy bude na internete bezpečnejšie.

Deň, kedy budú vaše údaje lepšie chránené proti odcudzeniu, no zároveň môže priniesť nepríjemné prekvapenie, pokiaľ máte svoj web či eshop.

Koncom januára 2017 Google uvoľní aktualizovanú verziu Chrome 56, ktorý sa bude na weby bez SSL certifikátu pozerať inak.

Táto zmena sa týka v prvej fáze stránok s prihlasovacími formulármi a predajnými formulármi, kde sa zadáva čislo karty. V najbližších dňoch tak budú tieto weby označené ako nezabezpečené.

Google si dobre uvedomuje, že takéto upozornenie prehliadne väčšina návštevníkov stránok.

Preto budú v ďalšej fáze označené všetky stránky bez „https“ ako nezabezpečené a upozorní na to návštevníkov veľkým červeným výkričníkom pri url adrese:


Týka sa to aj mojej stránky?


To zistíte ľahko. Otvorte si google chrome a pokiaľ pri url adrese nevidíte https, tak áno. Pokiaľ je vaša stránka len informačného charakteru, na ktorej neprebieha predaj a prihlasovanie, mali by ste byť v prvej fáze v pohode aj bez https (ssl certifikátu).

Napriek tomu vám aj tak odporúčam nainštalovať si k webu ssl certifikát čo najskôr.

Pokiaľ to zoberiete na ľahkú váhu a nebudete to riešiť, je len otázka času, kedy váš web google označí ako nebezpečný.


Dôvody, prečo si nainštalovať ssl certifikát čo najskôr


  1. Váš web bude dôveryhodnejší. Zelený pásik so symbolom zámku a textom „Zabezpečené“ vzbudzuje dôveru a vyšší pocit bezpečia u vašich návštevníkov
  2. Google vás odmení a posunie vo výsledkoch vyhľadávania nahor
  3. Nezaskočí vás prichádzajúca zmena a vyhnete sa tak príp. zbytočnému „výpadku“
  4. Návštevníci vášho webu budu lepšie chránení voči odcudzeniu ich citlivých údajov

Čo ma to bude stáť?


SSL certifikát sa dá poriadiť aj zdarma.

Jeho názov je LetsEncrypt a je platný na 3 mesiace – jeho automatické obnovovanie sa dá zautomatizovať.

Jeho nevýhodou je, že nie je „wildcard“ – to znamená, že ho musíte pre všetky svoje subdomény nainštalovať zvlášť.

Pokiaľ nepoužívate dynamické subdomény, ste v pohode.

doména = mojweb.sk
subdoména = www.mojweb.sk alebo eshop.mojweb.sk, app.mojweb.sk, info atď. – prvá časť v url adrese pred bodkou

SSL certifikát vám nainštaluje programátor, príp. si zistíte, či si ho môžete povoliť vo svojom webhostingu.

V Blueboarde to je na jedno kliknutie, snáď to je podobne jednoduché aj vo websupporte či webhouse. Zistite si na podpore, aké máte možnosti.

Inak sa cena SSL certifikátu pohybuje od cca 5 Eur – pokojne až 1 000 Eur ročne.

Záleží od webu, internet banking potrebuje drahší, ale o to bezpečnejší ssl certifikát ako info web.

Ja pre správu domén používam Forge a ako hosting využívam cloudovú službu Linode. Populárnou alternatívou k Linode je DigitalOcean.

Takéto riešenie je vhodné pre používateľov, ktorí chcú mať úplnú kontrolu a vedia aspoň základy správy linuxových serverov.

Forge toho veľmi veľa uľahčuje a inštalácia LetsEncrypt SSL certifikátu je tak na 3 kliknutia.

A pokiaľ chcete, môžete si napr. cez ssh na serveri čokoľvek doinštalovať či nastaviť.

Ja vďaka tomu každý deň na pozadí zálohujem databázy či súbory na google cloud a pri tom ma to nestojí nič naviac. Ale to je už iná téma…


Na čo si dať pozor?


Google či Facebook považuje stránky ako http://www.mojweb.sk a https://www.mojweb.sk za dve rozdieľné internetové stránky.

Po inštalácií SSL certifikátu by ste mali mať nastavené trvalé presmerovanie z prvej varianty (http) na druhú (https).

Cez Google Webmaster tool môžete požiadať o preindexovanie vášho webu.

POZOR na facebook lajky, komentáre, či zdieľania.

Na oko o všetky tieto dáta prídete. Je tomu tak preto, lebo ich má facebook priradené k inej stránke.

Vaša adresa sa zmenila z http://www.mojweb.sk/blog/moj-super-clanok/ na https://www.mojweb.sk/blog/moj-super-clanok/ a k tej facebook zatiaľ nič nezaznamenal.

Pokiaľ máte wordpress, môžete si túto nepríjemnosť vyriešiť pluginom Meta Tag Manager.

Tento spôsob odporúčam, pokiaľ moc článkov nemáte a nevadí vám ručné vyklikanie opravy.

Opraviť jednu stránku týmto spôsobom je tak na jednu – dve minútky.

Ako na to?

  1. Nainštalujte a aktivujte si plugin Meta Tag Manager
  2. Vo WordPress administrácii prejdite do článku, ktorý chcete upraviť
  3. Na spodu nájdete Meta Tag Manager – kliknite na Add Meta Tag
  4. Tag Type vyberte property
  5. property value vyberte og:url
  6. skopírujte url adresu článku, na ktorý prúdi traffic a vložte ho do content Attribute
  7. vo vloženej URL adrese prepíšte https na http

Potom kliknite na Close Meta Tag Options a aktualizujte článok.

To ale ešte stále nie je všetko… Teraz musíte povedať facebooku o tejto zmene, aby sa vám lajky či komentáre konečne vrátili.

Prejdite na stránku Facebook Debuggeru https://developers.facebook.com/tools/debug/ kde vložte url adresu článku (s https) a kliknite na debug.

Facebook vám ukáže, ako vidí váš web. Kliknite na Scrape again, aby ste jeho pamäť aktualizovali.

Vualá, vaše lajky a komentáre by mali byť naspäť. Zo skúseností viem, že sem tam treba na „Scrape again“ kliknúť 2-3krát, aby sa zmeny načítali správne.

Postupovali ste podľa návodu a nič sa nezmenilo?

Overte si, že vo facebook debuggeri vidíte niečo ako na obrázku:

Pokiaľ tomu tak nie je, bude pravdepodobne vo vašom zdrojovom kóde og:url Meta tag s https verziou url adresy pred meta tagom s pôvodnou url adresou.

Môže to byť spôsobené iným pluginom, ktorý generuje meta tagy pre facebook. Poproste svojho web mastra, aby vám s tým pomohol.

Mám veľmi veľa článkov!

Takéto ručné riešenie vám nemusí vyhovovať.

Tiež spravujem kopec webov, kde ma čaká inštalácia ssl certifikátu a niektoré z nich majú stránky s tisíckami lajkov či komentárov.

Preto chcem vyvinúť plugin, ktorý by og:url meta tag nastavil automaticky všade, postačí, keď si nastavíte dátum, od kedy máte nainštalovaný ssl certifikát.

Bude to fungovať tak, že pri všetkých článkoch vytvorených pred týmto dátumom vygeneruje og:url s „http“ a pri novších s „https“.

Keby náhodou poznáte už existujúcu alternatívu k niečomu takémuto, budem moc rád, keď mi o tom dáte do komentára vedieť.


Prečo je táto zmena dobrá?


Pokiaľ nie je vaša stránka zabezpečená, môžu byť tieto údaje ľahko odsledované.

Komunikácia medzi serverom a vašim prehliadačom prebieha v nezašifrovanej podobe.

Ľahko si tak môže niekto na pozadí zistiť heslo či číslo karty, pokiaľ ho zadáte do formulára na nezabezpečenej stránke a odošlete.

Preto kláďte zvýšený dôraz na bezpečnosť. Laicky povedané, overte si, či je v hornom pásiku uvedené „https“. Rozdieľ je len v jednom písmenku na začiatku URL adresy, ktorý je ale v zelenej farbe.

HTTP = Hypertext Transfer Protocol
HTTPS = Hypertext Transfer Protocol Secure

Je len otázka času, kedy sa k google chrome pripojí aj Firefox či ďalšie prehliadače.

Nainštalujte si preto na svoj web ssl certifikát čo najskôr a urobte tak z internetu o niečo bezpečnejší priestor i vy.

Som rád, že sa weby s ssl certifikátom pomaly stávajú globálnym štandardom. Čo si o tom myslíte vy?
Zdroje:
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn
https://www.wordfence.com/blog/2017/01/chrome-56-ssl-https-wordpress/
https://www.google.com/transparencyreport/https/grid/

ZANECHAŤ ODPOVEĎ

Please enter your comment!
Please enter your name here