Google: Ένδειξη “Not secure” για τα HTTP sites χωρίς SSL certificate

15
Σεπ
2017

Κατηγορία:

articles
SSL-HTTPS

Ασφάλεια στο Διαδίκτυο

Έχει ξεκινήσει ήδη εδώ και αρκετούς μήνες η προσπάθεια της Google να βελτιώσει τα επίπεδα ασφαλείας σύνδεσης στο διαδίκτυο συνδέοντας την έννοια της ασφάλειας με την ύπαρξη του πρωτοκόλλου HTTP & HTTPS.

Τι είναι το HTTP & HTTPS;

Το Πρωτόκολλο Μεταφοράς Υπερκειμένου – HTTP  (HyperText Transfer Protocol) είναι ένα πρωτόκολλο επικοινωνίας. Αποτελεί το κύριο πρωτόκολλο που χρησιμοποιείται στους φυλλομετρητές του Παγκοσμίου Ιστού για να μεταφέρει δεδομένα ανάμεσα σε έναν διακομιστή (server) και έναν πελάτη (client).

Ο συνδυασμός του απλού HTTP πρωτοκόλλου και των δυνατοτήτων κρυπτογράφησης που παρέχει το πρωτόκολλο SSL (Secure Sockets Layer) μας δίνει το πρωτόκολλο HTTPS (Hypertext Transfer Protocol Secure) το οποίο χρησιμοποιείται στην πληροφορική για να δηλώσει μία ασφαλή δικτυακή σύνδεση.

Ένας σύνδεσμος (URL) που αρχίζει με το πρόθεμα (https) υποδηλώνει ότι θα χρησιμοποιηθεί κανονικά το πρωτόκολλο HTTP, αλλά η σύνδεση θα γίνει σε διαφορετική πόρτα και τα δεδομένα θα ανταλλάσσονται κρυπτογραφημένα. Η κρυπτογράφηση που χρησιμοποιείται διασφαλίζει ότι τα κρυπτογραφημένα δεδομένα δεν θα μπορούν να υποκλαπούν από άλλους κακόβουλους χρήστες.


Τι σημαίνει η ένδειξη “Not Secure” της Google;

Εάν μια HTTP σύνδεση δεν είναι ασφαλής μέσω SSL πιστοποιητικού δεν εξασφαλίζεται η ιδιωτικότητα. Oι πιθανότητες υποκλοπής δεδομένων είναι ευκολότερη, καθώς μπορούν ευκολότερα να υποκλαπούν πληροφορίες σύνδεσης, passwords ή στοιχεία πιστωτικών καρτών. Έτσι η Google εμφανίζει ένα προειδοποιητικό μήνυμα στους χρήστες χαρακτηρίζοντας τις ως ασφαλείς ή μη ανάλογα την ύπαρξη του ανάλογου πιστοποιητικού.

form-and-incognito-http-bad-verbose

Treatment of HTTP pages


Πότε εμφανίζεται η ένδειξη “Not Secure”;

O Google Chrome έχει ξεκινήσει ήδη και επισημαίνει τις HTTP σελίδες ως μη ασφαλείς “Not Secure” εάν αυτές περιλαμβάνουν πεδία για passwords και στοιχεία πιστωτικών καρτών. Από τον Οκτώβριο του 2017, ο Chrome θα επισημαίνει τις HTTP σελίδες  ως μη ασφαλείς “Not Secure”  σε δυο ακόμα περιπτώσεις:

  • όταν οι χρήστες εισάγουν δεδομένα σε σελίδα HTTP
  • όταν οι χρήστες μπαίνουν σε HTTP σελίδα από το Incognito mode του Chrome

Το σχέδιο της Google να επισημάνει τις HTTP σελίδες ως μη ασφαλείς εφαρμόζεται σταδιακά. Από την αλλαγή στον Chrome 56 σημειώθηκε σημαντική μείωση της τάξης του 23% στις περιηγήσεις των χρηστών σε HTTP σελίδες που ζητούν την εισαγωγή προσωπικών δεδομένων όπως  τον αριθμό της πιστωτικής κάρτας ή κωδικούς πρόσβασης.

Η Google προτίθεται να κάνει και το επόμενο βήμα εφαρμόζοντας την πολιτική περί μη ασφαλών ιστοσελίδων και σε σελίδες όπου η εισαγωγή οποιασδήποτε μορφής  δεδομένων από τους επισκέπτες είναι απαραίτητη, αφού θεωρεί πώς όλα τα δεδομένα των χρηστών θα πρέπει να είναι ιδιωτικά. Ξεκινώντας λοιπόν από την έκδοση 62 του Chrome η επισήμανση “Not Secure” θα εμφανίζεται όταν οι χρήστες πληκτρολογούν δεδομένα  σε HTTP σελίδες.

http-search

Treatment of HTTP pages with user-entered data in Chrome 62


Η δεύτερη περίπτωση εφαρμογής αυτής της πολιτικής από την Google αφορά την ιδιωτική περιήγηση (Incognito mode) μέσω Chrome.  Αυτό γίνεται επειδή η Google θεωρεί πως οι χρήστες που χρησιμοποιούν ιδιωτική περιήγηση στο διαδίκτυο επιθυμούν ακόμα περισσότερη ιδιωτικότητα. Η περιήγηση όμως σε HTTP σελίδες δεν προσφέρει ασφάλεια επικοινωνίας. Έτσι λοιπόν από την έκδοση 62 του Chrome, η Google θα εμφανίζει όλες τις HTTP σελίδες σε Incognito mode ως “Not Secure”.

Η Google προτίθεται να εφαρμόσει αυτήν την πολιτική καθολικά σε όλες τις HTTP σελίδες ανεξάρτητα από την τρόπο περιήγησης (Incognito mode ή όχι), γι αυτό και προτείνεται η άμεση μετάβαση σε HTTPS σελίδες.

Πότε λοιπόν επισημαίνεται μια σελίδα ως μη ασφαλής “Not Secure”;

  • HTTP σελίδες που περιέχουν πεδία για password και πιστωτικές κάρτες  (Chrome 58)
  • HTTP σελίδες που περιέχουν πεδία για οποιασδήποτε μορφής δεδομένων (Chrome 62)
  • HTTP σελίδες που η περιήγηση τους γίνεται σε Incognito mode  (Chrome 62)
  • …μελλοντικά όλες τις HTTP σελίδες

Για να εξασφαλιστεί η ασφάλεια σύνδεσης σε μια σελίδα προτείνεται η κρυπτογράφηση δεδομένων μέσω της εφαρμογής ενός SSL πιστοποιητικού ασφαλείας.

Τι είναι η κρυπτογράφηση δεδομένων;

Είναι η “μεταμφίεση” μιας πληροφορίας (αριθμός, κείμενο ή αρχείο) με έναν αλγόριθμο-κλειδί, έτσι ώστε να μην μπορεί να διαβαστεί από τρίτους, παρά μόνο από όποιον έχει το “κλειδί” της κρυπτογράφησης (encryption key).

Τι είναι το SSL;

Το SSL (Secure Sockets Layer) χρησιμοποιεί μεθόδους κρυπτογράφησης δεδομένων δημιουργώντας έτσι μία ασφαλή σύνδεση μεταξύ της εκάστοτε σελίδας και του φυλλομετρητή (browser) του χρήστη. Τα SSL πιστοποιητικά εξασφαλίζουν την ασφαλή ανταλλαγή δεδομένων ανάμεσα στις δύο πλευρές, αποτρέποντας κακόβουλους χρήστες από την υποκλοπή δεδομένων.

Domain Validation SSL Certificates (DV SSL) | Χρησιμοποιούνται για τη κωδικοποίηση της πληροφορίας και τη ταυτοποίηση των στοιχείων του καταχωρητή και του ονόματος χώρου της ιστοσελίδας (domain). Με αυτόν το τρόπο ο χρήστης μπορεί να είναι σίγουρος ότι η διεύθυνση της ιστοσελίδας είναι σωστή και παραπέμπει στο σωστό εξυπηρετητή.

Google-wants-you-to-switch-to-https

Γιατί να πιστοποιήσετε την σελίδα σας;

Όταν ένας επισκέπτης μπαίνει σε μια σελίδα με πιστοποιητικό SSL, βλέπει ένα εικονίδιο λουκέτου στη γραμμή διευθύνσεων του Πλοηγού του, καθώς και το πρόθεμα (https) στη διεύθυνση URL.

  • Αξιοπιστία | Το SSL πιστοποιεί την ταυτότητά της ιστοσελίδας σας και  προστατεύει τα δεδομένα των πελατών σας με ισχυρή κρυπτογράφηση.

  • Αύξηση πωλήσεων | Οι πελάτες σας μπορούν να  είναι ήσυχοι πως η ιστοσελίδα που επισκέπτονται και εμπιστεύονται για τις αγορές τους, είναι νόμιμη και τα δεδομένα τους (προσωπικά στοιχεία, κωδικοί, πιστωτική κάρτα) δε θα υποκλαπούν.

  • Υψηλότερη θέση στη Google | Η Google αποκάλυψε ότι οι ιστοσελίδες σε ασφαλή σύνδεση (https://) θα έχουν προβάδισμα στα αποτελέσματα αναζήτησης, έναντι αντίστοιχων χωρίς SSL, καθώς θα χρησιμοποιούν το HTTPS ως ranking signal για τις αναζητήσεις των χρηστών

Επιθυμείτε να πιστοποιήσετε και εσείς τη σελίδα σας με ένα SSL certificate που θα βελτιώσει την αξιοπιστία της; Για περισσότερες πληροφορίες, επικοινωνήστε μαζί μας στο τηλέφωνο 2810.235.631, στο email [email protected] ή συμπληρώστε την παρακάτω φόρμα.