Još davne 2014., Google je objavio da će web stranice koje uvedu SSL certifikat početi dobivati blagu prednost nad web stranicama koje SSL nemaju (link na objavu iz 2014. možete pronaći na službenom Google blogu). Ukratko – nezaštićene web stranice (kojima se pristupa putem HTTP protokola) biti će na rezultatima pretrage rangirane niže od zaštićenih web stranica (kojima se pristupa putem HTTPS protokola, tj. zaštićene su SSL enkripcijom / certifikatom).
U 2017., očekuje se da će SSL postati još važniji SEO faktor. U nastavku članka ćemo razjasniti zašto je uopće SSL toliko važan, te zašto je uopće standardni HTTP protokol toliko nezaštićen i problematičan.
“Sramoćenje” web stranica koje nemaju SSL certifikat
Možda smatrate da je “sramoćenje” teška riječ – no, radi se o sljedećem – negdje tijekom 2017. godine, Google će u internet preglednik Google Chrome (koji je uvjerljivo najupotrebljavaniji internet preglednik na svijetu sa tržišnim udjelom od 56.9%, te prvim konkurentom Safari sa 14.1% – link na statistike je ovdje) integrirati vrlo uočljivu obavijest korisnicima (u ovom trenutku nije poznato kako će točno ta obavijest izgledati, no pretpostavlja se da će imati oblik crvenog znaka “X” smještenog u gornjem lijevom kutu adresne trake preglednika), koja će korisnicima dati do znanja da web stranica na kojoj se nalaze nije zaštićena, te da su svi podaci koje eventualno razmjene s tom web stranicom u opasnosti. Također, nezaštićene (standardne HTTP web stranice) nemaju potvrđen identitet, što znači da postoji mogućnost da netko u jednom trenutku “otme” vaš identitet i zlorabi ga za hakiranje i širenje zlonamjernog softvera. Više o tome u nastavku članka.
U svakom slučaju, u 2017., ukoliko vaša web stranica nema SSL certifikat, očekujte da će se Google itekako potruditi da vašim posjetiteljima to jasno stavi na znanje, da im objasni zašto i kako je vaša web stranica nezaštićena, te zašto je to točno problem. Kakve bi mogle biti posljedice za ugled vaše web stranice, procijenite sami.
Zašto su nezaštićene (HTTP) web stranice toliki problem?
U suštini, problem je vrlo jednostavan, i očituje se kroz dva aspekta sigurnosti:
- standardne, nezaštićene HTTP web stranice ne pružaju nikakvu razinu sigurnosti – drugim riječima, sigurnost ne postoji. To znači da svatko tko ima mogućnost da prati razmjenu komunikacije između servera (web stranice) i korisnika (što danas uz brojne informacije na internetu nije nikakav podvig) može preuzeti i zloupotrijebiti osjetljive podatke, poput korisničkih imena / e-mail adresa i lozinki, brojeva kreditnih kartica, itd. Razlog tome je što HTTP komunikacija nije kriptirana, dakle, slobodno je vidljiva svakome tko ima tehničku mogućnost da prati vašu komunikaciju (što je, kao što smo rekli, danas vrlo jednostavno raditi).
- standardne, nezaštićene HTTP web stranice nemaju potvrdu identiteta. Što to točno znači? Ništa manje nego mogućnost da netko kopira vašu web stranicu, postavi ju na drugu adresu, zamaskira, presretne komunikaciju i preusmjeri posjetitelja na lažnu verziju. Ovo je omiljena taktika zlonamjernih hakera. Naravno, ovdje se vraćamo na prvi aspekt sigurnosti – HTTPS osim potvrde identiteta web adrese, onemogućava presretanje komunikacije između web stranice i korisnika, pa se ovakav scenario na zaštićenim SSL web stranicama ne može dogoditi iz dva razloga – prvo, zbog potvrde identiteta (svi moderni internet preglednici blokiraju pristup web stranicama koje imaju SSL certifikat koji ne prolazi sigurnosnu provjeru), a drugo, zbog nemogućnosti presretanja komunikacije.
Vlasnik WordPress CMS-a najavljuje funkcionalnosti koje se neće moći koristiti bez SSL certifikata
Potvrda o važnosti SSL certifikata dolazi i iz struke – vlasnik WordPress-a, najpopularnijeg i najrasprostranjenijeg CMS sustava na svijetu, Matt Mullenweg, početkom 12.mjeseca 2016.godine odaslao je kratku poruku u kojoj jasno najavljuje važnost SSL-a.
Matt je ovo napravio ni manje ni više nego objavljujući da će WordPress vrlo brzo početi uvoditi funkcionalnosti u CMS za koje će SSL certifikat biti obavezan. Kako on sam kaže (u članku koji možete pročitati ovdje), kao što je JavaScript nezaobilazan za korisničko iskustvo, kao što je nova i moderna verzija PHP-a 7 kritično važna za sigurnost i brzinu rada web stranice, tako je SSL certifikat važan za sigurnost samog interneta. Na kraju članka, Matt Mullenweg poentira najavljući da će od 2017. godine WordPress promovirati samo one hosting tvrtke koje u svojim standardnim paketima pružaju SSL i PHP 7 kao obavezne stavke.
Webizrada.org uvela je SSL sredinom 2016. godine, PHP 7 u pakete održavanja i zaštite početkom 2016.
Još sredinom prošle godine pisali smo o važnosti SSL-a (u članku koji možete pronaći na sljedećem linku).
Kroz razumijevanje važnosti SSL-a, isti smo uveli sredinom 2016. godine na našu matičnu web stranicu (kvalitetu našeg SSL certifikata možete vidjeti na glavnom autoritetu za SSL testiranje koje preporučuje i Google – https://www.ssllabs.com/ssltest/analyze.html?d=webizrada.org&hideResults=on). Također, SSL smo počeli pružati kao standardan dio naše ponude u paketima u kojima pružamo uslugu zaštite i održavanja (koja također standardno podržava PHP 7). Rezultati su zaista sjajni – incidenata hakiranja web stranica gotovo da od tada nismo imali niti na jednom hosting računu klijenata, a PHP 7 je dvostruko ubrzao rad svih web stranica, te omogućio razinu stabilnosti i sigurnosti koja je neusporediva sa prošlom verzijom PHP-a.
Ukratko – pogled u budućnost se itekako isplatio, te predlažemo i vama da dobro razmislite u kakvom je stanju vaša web stranica, na kakvom se hosting računu nalazi, te što ćete poduzeti u vezi sa nadolazećim promjenama i trendovima jačanja sigurnosti razmjene informacija na internetu.