Fő a biztonság: 2017 az SSL éve lesz

|

Versanus Kft.
Versanus Kft.

Ahogy az örök klasszikus is mondja: fő a biztonság.

Ez alól nem kivétel weboldalunk sem, ahol a Google irányelvei értelmében már kötelező az SSL használata. Az SSL (Secure Sockets Layer) közismertebben a https kezdetű URL-t jelenti, ami a biztonságos weboldalra utal. Tehát ha megjelenik az “s” betű a weboldalakon megszokott http után az azt jelenti, hogy az oldal titkosítja a kommunikációt, amikor a látogató kapcsolatba lép vele.


Mit jelent ez a gyakorlatban?

A Google 2016. december 27-től figyelmeztetést küld Search Console-on keresztül azoknak a weboldalaknak, melyek felhasználónév és jelszó mezőket használnak, és nem https alatt futnak. Ezzel egyidejűleg januártól a Chrome 56-os verziója jelzi a felhasználóknak, amennyiben általuk nem biztonságosnak nyilvánított, azaz SSL tanúsítvánnyal nem rendelkező oldalakon járnak.


Mi a http és a https közötti különbség?

Hát az SSL! A https-t a Netscape fejlesztette ki, hogy a webes kommunikáció titkosítható és autentikálható legyen. Azonban a tanúsítványon kívül más különbség nincs.

Hogy működik az SSL tanúsítvány?

Az SSL a titkosított webes adatátvitelt jelenti. Az SSL tanúsítvány megvásárlásával a kibocsátó nemzetközi tanúsító cég garantálja, hogy az adatátvitel valóban titkosított csatornán történik. A titkosító kulcs saját kezűleg is telepíthető a weboldalra vagy webes alkalmazásra, az viszont lényeges, hogy ebben az esetben azonban az ún. saját kezűleg aláírt (self-signed) tanúsítványokat a böngészők nem fogadják el, nem minősítik hitelesnek.

De miért is szükséges az SSL tanúsítvány?

Amennyiben az ügyfél a weboldalon keresztül bizalmas információkat (pl. személyes adatokat) ad meg, elkerülhetetlen, hogy az adatátvitel titkosítva történjen. A titkosítással nem rendelkező oldalakat a böngészők nem fogadják el, nem minősítik hitelesnek, ezért biztonsági kockázatra figyelmeztetik a látogatót.


Mi van akkor, ha a weboldalamon nem kell személyes adatokat megadni?

A Google ebben az esetben sem bánik kíméletesen a weboldallal, hiszen a keresőmotorjának középpontjában minden esetben a látogató áll. Mivel egy hacker támadás során nemcsak a megadott adatokat, de minden, a weboldalon történő forgalom is lekövethető, így azoknak a felhasználóknak, akik a http oldalak gyakori látogatói nem biztonságos kapcsolat esetén teljes böngészési története, ezáltal az általa valaha megadott összes adat visszakövethető. Ezektől a kellemetlenségektől igyekszik megóvni a Google, amikor http kezdetű oldalunkat a lista aljára sorolja kereséskor.

Mire jó még?

Igazából nem válhatunk igazán profivá SSL nélkül. De miért is? Mert ezen keresztül titkosítható a levelezésünk, veszi emberszámba a böngészőrendszer oldalunkat, de még a Facebook beágyazáshoz is szükségünk van rá. Miután a Chrome és a Firefox is bejelentette a böngészőkben, mint keresési előny, szemmel láthatóan a TOP találatok máris átrendeződtek, a korábbi 25 %-ból 40 %-os arányban találhatóak a https domainek. Manapság nem érdemes HTTP weboldalt készíteni, de amennyiben bármiféle bejelentkezés történik az oldalon, úgy felejtsük el az SSL lépés kihagyását.

Hogyan történik a telepítés?

Első lépésként azon a szerveren, ahol a weboldal üzemel egy CSR (certificate signing request) állományt kell generálni, ami tartalmazza a tanúsított weboldal és annak üzemeltetőjének főbb adatait. A CSR-rel együtt elkészül egy ún. private key is, ami mindvégig ezen a szerveren marad annak érdekében, hogy a kiállításra kerülő tanúsítvány ne kerülhessen illetéktelen kezekbe.
A CSR alapján kiállításra kerül a tanúsító szervezet (az esetek többségében a GeoTrust Inc. vagy a Comodo CA Limited) által aláírt tanúsítványt, amit a private key mellé kell telepíteni.
Ezt követően fontos meggyőződnünk róla, hogy a weboldal látogatói a tanúsított, HTTPS-es oldalra érkeznek-e. Ha nem, ezt a szerveren a .htaccess fájlba rögzített szabállyal tudjuk orvosolni.

Van SSL tanúsítványom, mégsem biztonságos a böngészők számára a weboldalam?

Ha az érvényes tanúsítvánnyal ellátott, HTTPS-es weboldalunkat nem ítélik biztonságosnak a böngészők, meg kell vizsgálnunk, hogy az oldal forráskódja nem tartalmaz-e olyan hivatkozásokat, amik nem biztonságos weboldalakra mutatnak.
A legegyszerűbb megoldás erre a Firefox böngésző Eszközök / Oldal adatai / Média funkciója, ahol átnézhetjük, hogy melyek azok az elemek a weboldalon, amikre http protokollon hivatkozunk. Ezeket kell https-re módosítanunk.
Néhány fontos hibára még érdemes odafigyelni, amikor az átállás történik, hogy az erőfeszítések ne vesszenek kárba. Ilyen lehet az, hogy a https-t nem állítják be alapértelmezettnek, hanem gyakorlatilag párhuzamosan fut a http oldallal. A duplikált oldalon a keresőmotor duplán indexeli a tartalmat, az elhelyezett linkek veszítenek hatékonyságukból, a felhasználók két külön oldalra terelődnek. Ezen hibák elkerüléséhez az szükséges, hogy átirányításkor a 301-est használjuk, ne az ideiglenes átirányítást jelentő 302-est, valamint a linkek hatékonyságának megmaradása és a feltérképezési problémák elkerülése érdekében meg kell győződnünk róla, hogy a http verzió összes URL-je az új, https verzióra mutat.

Kell-e külön tanúsítvány az aldomainekre?

Az alap (azaz nem wildcard) tanúsítványok a domainünkre és annak www-s változatára vonatkoznak. Ez azt jelenti, hogy különböző aldomaineken üzemelő szolgáltatásainkat (pl. webmail.domainem.hu vagy admin.domainem.hu) ezek a tanúsítványok nem biztosítják. Amennyiben weboldalunkat / portálunkat úgy építettük fel, hogy minden szolgáltatást külön aldomainen érnek el a látogatók, érdemes wildcard tanúsítványt vásárolnunk, ami az adott domainen belüli összes aldomaint tanúsítja. Ha csak egy-két aldomaint szeretnénk biztosítani, azokhoz külön tanúsítványra van szükség.

Miért jó SEO szempontból az SSL?

Összeségében a tanúsítvánnyal rendelkező oldal a minőséget sugallja. Így tehát két azonos tartalmú oldal közül a böngészők, és ami a legfontosabb, a látogatók szemében is egyértelműen az lesz a preferált, ahol ez az apró, ám igen fontos dolog rendben van. Nem feledkezhetünk el továbbá arról sem, hogy a biztonságérzet a felhasználói élményt javítja. Ha ügyfelünk védve érzi magát az oldalon, akkor gyakran visszatér és nagyobb eséllyel választ szolgáltatásainkból. Végezetül ez az irány, amit a Google követ, így tehát nem kizárt, hogy a jövőben egyre több algoritmus veszi figyelembe majd az SSL-t a keresésekkor. Ez pedig azzal jár, hogy aki nem zárkózik fel az irányelvekhez, az könnyen lemarad a többiektől.

SSL TANÚSÍTVÁNYÁrlista

Tanúsítvány 1 év 2 év 3 év Hosztok száma
RapidSSL - alap 5.000 Ft + ÁFA 9.500 Ft + ÁFA 12.000 Ft + ÁFA 1, domain név www-vel és anélkül
RapidSSL - Wildcard 45.000 Ft + ÁFA 80.000 Ft + ÁFA 110.000 Ft + ÁFA Több, *.domain tartományon belül

Iratkozzon fel hírlevelünkre. Kérjük, adja meg nevét és e-mail címét.