W dniu 6 sierpnia 2014 roku świat obiegła informacja o tym, iż Google będzie faworyzować strony internetowe, które korzystają z certyfikatów SSL w celu szyfrowania transmisji między nimi, a końcowym użytkownikiem. Wiadomość została szybko przedrukowana również przez duże tytułu prasy nietechnicznej i rozeszła się dużym echem. Przeanalizujmy jednak na spokojnie, co to oznacza i jaki wpływ będzie miało na dobre praktyki działalności biznesowej w Internecie w najbliższym czasie.
Świadomość zagrożeń i edukacja
W 2013 roku firma Symantec przeprowadziła badanie wśród 200 europejskich firm, pytają ich przedstawicieli, jak dużo wiedzą o zagrożeniach w sieci oraz co robią, aby się przed nimi chronić oraz zdobywać nową wiedzę w tym zakresie.
Co więcej, aż 53% ankietowanych menedżerów przyznało, że nigdy nie dokonywało kompleksowej oceny bezpieczeństwa swoich serwisów internetowych!
Powtarzające się przypadki włamań do serwisów internetowych największych firm, wycieki wrażliwych danych osobowych i finansowych, wszystko to wskazuje że cyberprzestępczość osiągnęła ogromne rozmiary.
Wszystko to świadczy o tym, iż edukacja zarówno właścicieli stron internetowych, jak też ich użytkowników końcowych, jest niezmiernie istotna i powinna być obowiązkiem każdego dostawcy usług rozwiązań związanych z bezpieczeństwem.
Obecny ruch Google należy potraktować jako krok w dobrym kierunku. Być może dzięki wzroście popularności szyfrowania transmisji zmniejszy się liczba nadużyć i przestępstw w sieci.
Co to właściwie jest HTTPS i SSL?
Większość firm prowadzących biznes w Internecie już używa rozwiązań SSL (Secure Socket Layer), czy to udostępnianych przez dostawcę serwera, lub też dedykowanych dla danej firmy bądź używanej domeny. SSL jest najczęściej używanym protokołem szyfrowania transmisji danych przez Internet, a najbardziej popularnym użyciem SSL jest HTTPS. Jeśli znajdujemy się na stronie zabezpieczonej SSL, jej adres internetowy będzie się rozpoczynał właśnie od liter https.
Certyfikaty SSL, wydawane przez renomowanych dostawców, są narzędziem, które zapewnia, że transmisja danych nie zostanie podsłuchana przez osoby trzecie. Certyfikat SSL pozwala nawiązać bezpieczne, szyfrowane połączenie, przy użyciu silnych kluczy kryptograficznych.
HTTPS Everywhere
Google promuje użycie HTTPS wszędzie, gdzie to tylko możliwe. Główne usługi tej firmy, czyli wyszukiwarka, Gmail oraz Drive, są obecnie dostępne w całości poprzez HTTPS.
Trwa obecnie dyskusja, czy stosować HTTPS absolutnie wszędzie, również na stronach internetowych, które nie zbierają wrażliwych danych, jak chociażby niniejszy blog. Sam Google posiada wdrożony i wymuszony tryb HTTPS wyłącznie na swoich kluczowych usługach, nie dotyczy to np. blogów, z których Google korzysta i na których publikuje.
Dla dociekliwych polecamy pełny zapis video konferencji Google I/O 2014 poświęconej tematyce zabezpieczania stron przy użyciu SSL
Wpływ na wyniki wyszukiwania
Google oficjalnie potwierdziło, iż ich wyszukiwarka obecnie zbiera informacje o tym, czy dana strona internetowa wykorzystuje certyfikat SSL do szyfrowania stron, czy nie. Fakt ten jest wykorzystywany jako jeden z wielu czynników do oceny, jaką pozycję w wynikach wyszukiwania zajmie dany adres.
Czynnik ten jest obecnie mało istotny. Ma wpływ na mniej niż 1% wyszukiwań w Google. Z czasem jednak może nabierać większego znaczenia. Wdrożenie certyfikatu SSL jest na tyle prostą operacją, iż powinien się tym tematem zająć właściciel każdej strony internetowej, a w szczególności takiej, która zbiera lub przechowuje jakiekolwiek wrażliwe dane (np. dane osobowe).
Indywidualny adres IP a SNI
Porównując oferty serwerów wirtualnych możemy zauważyć, iż nie każdy oferuje indywidualny adres IP. Dostawcy posiadając ograniczoną pulę adresów mogą na jednym adresie umieszczać wielu klientów i jest to normalna praktyka.
Warto zwrócić uwagę na technologię SNI. Pozwala ona na instalację wielu certyfikatów SSL na jednym adresie IP i jest w pełni wspierana przez wszystkie współczesne przeglądarki internetowe.
Oznacza to, iż nie potrzebujemy obecnie odrębnego adresu IP, aby korzystać z certyfikatu SSL. Wystarczy, że nasz dostawca usług serwerowych pozwala na instalację certyfikatu SSL.
Jak zdobyć certyfikat SSL?
Mnogość certyfikatów SSL może zaskoczyć nawet niejednego specjalistę. Można je jednak podzielić na trzy główne kategorie, które ułatwią wybór:
Certyfikaty dla pojedynczej nazwy domeny
Najczęściej używane certyfikaty, które będą wystarczające dla większości zastosowań. Jeśli prowadzisz serwis internetowy, znajdujący się pod jedną domeną, jednym certyfikatem zabezpieczysz transmisję danych na stronie WWW oraz poczty elektronicznej.
Certyfikaty dla całej nazwy domeny, tzw. Wildcard
Przeznaczone dla większych serwisów internetowych, które korzystają z różnych subdomen w swojej nazwie domeny, dla różnych usług, również dostępnych z różnych serwerów. Rozwiązanie typu Wildcard pozwala użyć wyłącznie jednego certyfikatu, co daje ogromne oszczędności.
Certyfikaty typu EV dla stron przetwarzających wrażliwe dane i wymagających najwyższego poziomu szyfrowania i uwierzytelnienia
Dostępne wyłącznie dla firm i wydawane po szczegółowej weryfikacji aplikującego. Jednoznacznie identyfikują podmiot, który jest odbiorcą danych. Informację o tym widzimy w postaci tzw. zielonego paska w przeglądarce internetowej, zawierającego nazwę firmy.
Certyfikaty SSL każdego z tych typów oraz wyłącznie od najbardziej renomowanych wystawców można zamówić w MSERWIS.pl, który jest jednym z czołowych dostawców tego typu rozwiązań dla setek osób fizycznych, małych i średnich firm oraz korporacji.
Źródła użyte w niniejszym wpisie:
- http://googleonlinesecurity.blogspot.co.uk/2014/08/https-as-ranking-signal_6.html
- http://www.symantec.com/connect/blogs/google-rewards-secure-websites-higher-search-ranking
- http://www.symantec.com/connect/blogs/better-website-security-and-google-search-rankings-smb-s-always-ssl
- https://www.symantec-wss.com/uk/vulnerable/social
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.
Pingback: Dlaczego nie widać mojej strony internetowej w wyszukiwarce Google? 7 podpowiedzi - Blog MSERWIS