W lipcu 2018 roku nastąpi istotna zmiana w postrzeganiu bezpieczeństwa przez Google. Każdy, kto używa przeglądarki Chrome zauważy wyraźnie, która strona internetowa nie zapewnia szyfrowania przesyłanych danych przy użyciu certyfikatu SSL. Do tej pory można było zwrócić uwagę na zieloną kłódkę, która sygnalizowała, że przesyłane dane są szyfrowane.

W życiu codziennym coraz częściej korzystamy z Internetu nie tylko do poszukiwania interesujących nas treści. Wydajemy więcej pieniędzy w sklepach online, przeglądamy mnóstwo maili i dokonujemy różnych operacji na rachunkach bankowych. Innymi słowy, coraz więcej i coraz częściej przesyłamy nasze dane osobowe oraz hasła do kont, które posiadamy na różnych portalach.

Dane, które są przesyłane od momentu wprowadzenia ich np. w formularz kontaktowy do odbiorcy czy bazy danych subskrybentów muszą pokonać długą drogę. Na tej drodze znajdują się łącza i serwery, o których nie mamy często żadnych informacji. Nie wiemy, kto i kiedy może mieć dostęp do informacji, które są przesyłane w sieci. Istnieje wiele programów określanych najczęściej zbiorową nazwą sniffery. Służą one do nasłuchiwania komunikacji w sieciach informatycznych. Aby temu zapobiec stosuje się szyfrowanie przesyłanych danych, co na szczęście stało się już standardem.

Wpływ Google na poprawę bezpieczeństwa

Władze firmy istotnie zmieniają podejście w zakresie informowania o bezpieczeństwie w swojej przeglądarce. Do tej pory strony, które szyfrowały swoje dane były premiowane w postaci zielonej kłódki przy pasku adresu. Tą koncepcję określa się jako Positive Security Indicators, czyli koncepcję pozytywnych wskaźników bezpieczeństwa. Przeciwległym podejściem, które wdraża Google jest Negative Security Indicators. Dotyczy ono wskaźników informujących wyłącznie o braku szyfrowania.  Samo posiadanie ważnego certyfikatu SSL będzie standardem i nie będzie to sugerowało dodatkowego poziomu bezpieczeństwa.

Duża zmiana w przeglądarce Google Chrome nastąpi już 24 lipca 2018 roku. Od tego dnia będziemy mogli zwrócić uwagę na komunikat, który wyświetli się przy każdej stronie, na której nie jest zainstalowany certyfikat SSL. Google wyświetli nam wtedy informację, że witryna jest niezabezpieczona.

W łatwy sposób można to też sprawdzić patrząc, czy strona załadowała się w pasku przeglądarki od http:// czy https://. Więcej o certyfikatach SSL przeczytasz na naszym blogu: https://blog.domeny.tv/2018/01/23/pora-uzyskac-certyfikat-ssl/

Konsekwencja w działaniu

Od konferencji I/O w 2014 roku Google sukcesywnie realizuje strategię dążącą do “zaszyfrowania całego internetu”. Firma chciałaby, aby użytkownik spodziewał się HTTPS domyślnie.

Emily Schechter, która zajmuje się bezpieczeństwem w przeglądarce Chrome wypowiadała się na ten temat na oficjalnym blogu Google’a:

“Użytkownicy powinni spodziewać się, że sieć jest domyślnie bezpieczna i będą oni ostrzeżeni jeśli pojawi się jakiś problem. W momencie, gdy zaczniemy oznaczać wszystkie strony HTTP jako niezabezpieczone, postawimy krok w kierunku usunięcia pozytywnych wskaźników bezpieczeństwa. Wobec tego strona, która nie ma wyróżnionej informacji o bezpieczeństwie będzie domyślnie bezpieczna.”

Istnieją 2 podejścia, dzięki którym użytkownik będzie bardziej świadomy bezpieczeństwa w tym zakresie. Pierwszym z nich jest kampania edukacyjna, która miałaby na celu wytłumaczenie czym jest URL, SSL, szyfrowanie i tzw. phishing. Druga opcja to wyświetlanie komunikatu w przeglądarce o niezabezpieczonej stronie i właśnie ten sposób wybrał Google jako lepszy.

W wersji Chrome 62 wydanej w październiku 2017 roku został wprowadzony nowy wskaźnik o niezabezpieczonej stronie. Pojawił się on, gdy użytkownik zaczął cokolwiek wpisywać na stronie. Przed wprowadzeniem pierwszego znaku, przy pasku adresu nie było żadnego komunikatu. Po chwili wyświetlała się informacja o tym, że strona jest niezabezpieczona.

Ostrzeżenie miało na celu zniechęcić odwiedzających witrynę do podawania jakichkolwiek danych, gdy połączenie nie zapewniało bezpieczeństwa w postaci szyfrowania.

Przeglądarka w wersji 70, której wydanie jest planowane na październik 2018 roku wyświetli nam jeszcze bardziej negatywny komunikat niż po 24 lipca br. Komunikat o niezabezpieczonej stronie wyświetlany na białym tle zmieni tło na czerwone, a obok niego pojawi się wykrzyknik.

Zmiana również w Google AdWords

Innym krokiem, który Google podejmuje, aby uczynić Internet bardziej bezpiecznym miejscem są zmiany w Google AdWords. Został on ogłoszony w maju w powiadomieniu w panelu administracyjnym konta. Linki, które w reklamach miały HTTP będą mogły zostać przekierowane  i wyświetlone w adresie HTTPS.

Przekierowanie na bezpieczny protokół nastąpi w 2 przypadkach:

  • Jeśli strona wprowadziła HTTPS Strict Transport Security (HSTS)
  • Jeśli adres strony pod HTTPS jest równoważny z HTTP i przekierowuje przez 301.

Podsumowując, Google nie rzucił słów na wiatr ogłaszając dążenie do zwiększenia bezpieczeństwa przeglądania stron internetowych. Można się spodziewać, że w ślad za najpopularniejszą przeglądarką pójdą inne, ponieważ udział Google Chrome w rynku przekracza globalnie 50%, więc tego typu rozwiązanie stanie się standardem w Internecie.

Postępowanie wykorzystujące dominującą pozycję może jednak ograniczyć kierunki rozwoju. Ktoś, kto ma przewagę rynkową nie zawsze musi mieć rację, a bezpieczeństwo w Internecie powinno być wypracowywane przez różne podmioty.

Z pewnością dalej będą tworzone i utrzymywane serwisy informacyjne, w których użytkownik nie ma możliwości wprowadzenia jakichkolwiek danych. Nie twierdzimy, że taki serwis nie powinien zainstalować certyfikatu SSL, jednak “kara” Google może być nieadekwatna do sytuacji.

Technologie bardzo szybko się rozwijają, jednak “wskazywanie palcem”, że ktoś nie szyfruje danych wydaje się zbyt surową karą dla wielu osób utrzymujących strony internetowe. Z drugiej strony jednak lepiej szyfrować całą komunikację przy użyciu certyfikatów SSL, niż ryzykować wyciek jakichkolwiek danych.

Sprawdź naszą pełną ofertę profesjonalnych, komercyjnych certyfikatów SSL.

A może wolisz zakupić szybki serwer SSD? Do każdego serwera otrzymasz bez dopłaty certyfikat SSL Comodo dla wszystkich podpiętych do niego domen.

Źródła:

https://www.thesslstore.com/blog/google-negative-security-indicators/
https://www.thesslstore.com/blog/google-adwords-now-redirects-urls-to-https-automatically/

 

 

Komentarze