Varnostni oddelek Google Chrome, priljubljenega spletnega brskalnika, je lansko leto objavil novico, da bodo začeli strožje obravnavati spletne strani, ki za prenos občutljivih podatkov na spletni strani uporabljajo nezavarovan protokol HTTP.

Od januarja 2017 se tako v Chrome brskalnikih prikazuje obvestilo, da je povezava nezavarovana (HTTP) ali pa zavarovana s SSL certifikatom (HTTPS).

 

Faze prikazovanja obvestila

  1. Na HTTP straneh, kjer prihaja do prenosa podatkov kreditnih kartic in gesel. Obvestilo bo mogoče videti na primer v prijavi v spletno stran (izmenjava gesel) in pa na primer spletnih trgovinah, kjer se najpogosteje izmenjuje informacija o kreditnih karticah za spletna plačila.
  2. Na vseh HTTP straneh, ki jih boste v brskalniku Google Chrome uporabljali v t. i. skritem načinu (ang. Incognito). Ko odprete okno brskalnika v Incognito, se tako ne beleži zgodovina ogledov obiskanih spletnih strani, piškotki in podatki iz obiskanih spletnih strani ali informacije, vnesene v spletne obrazce. Ostanejo prenesene datoteke, ravno tako vaša aktivnost ni skrita samim spletnim stranem, ki jih obiščete in tudi internetnemu ponudniku. Za popolno anonimnost potrebujete VPN. Brskalnik Opera ima VPN vgrajen. O tem si lahko preberete tukaj.
  3. Na vseh HTTP straneh, tudi v običajnem načinu brskanja. V zadnji fazi bo nezaščitena povezava vedno poudarjena, tudi če samo brskate spletno stran.

 

Chrome 53 je bil pred  januarjem 2017, Chrome 56 od januarja 2017, trenutna Chrome verzija je 65

cilj: označiti vse nezaščitene spletne strani z rdečim obvestilom

 

Zakaj bo prišlo do spremembe?

HTTP protokol v današnjem času ni več varen, saj je vedno bolj preprosto prestrezati informacije, ki se izmenjujejo med vašim računalnikom in spletno stranjo. To je še posebno res, če uporabljate nezaščiten Wi-Fi dostop v kafeju ali pa Wi-Fi, ki vsebuje veliko uporabnikov. Žal to ni edini vektor nevarnosti, saj obstaja tako imenovan “Man in the middle attack”, ki lahko prestreže informacijo nekje med vami in strežnikom, na katerem se obdela informacija. HTTPS to prepreči.

S to spremembo Google želi imetnike spletnih strani prisiliti, da začnejo uporabljati varno HTTPS.

 

Kaj to pomeni v praksi?

Kot je bilo omenjeno zgoraj, se od januarja 2017 prikazuje sivo obvestilo o nezaščiteni povezavi v primeru vpisovanja gesla (prijava v spletno stran) in pa vpisovanja in izmenjevanja informacij npr. kreditnih kartic (spletne trgovine).

Google je določil, da se z julijem 2018 začne prikazovati rdeče obvestilo na vseh straneh, ki ne uporabljajo HTTPS povezave. Poleg tega pa spletni iskalniki stranem dodeljujejo vidnejši položaj; strani s https bodo uvrščene višje v rezultatih, kot strani z navadnim http.

V praksi to pomeni, da bi vsaka spletna stran morala uporabljati takšen in drugačni SSL certifikat, ki omogoči HTTPS.

 

Poglejmo si na primeru:

Spletna stran ne uporablja HTTPS povezava. V URL vrstici, kjer je http://domena.si) ni zelene ključavnice. Z julijem 2018 bo namesto tega prikazana rdeča ključavnica, da povezava ni varna.

 

 

Naslednja slika prikazuje, da spletna stran uporablja varno HTTPS povezavo, saj je v URL naslovu https://domena.si, vsebuje zeleno ključavnico in piše “Secure”. Vsak brskalnik malce drugačno prikazuje HTTPS, vendar je kar standardna zelena ključavnica, na katero lahko kliknemo in nam izpiše, da je “Secure connection” (Varna povezava).

 

 

Verzije SSL certifikatov?

Tako je, ne obstaja samo ena verzija, na voljo jih je kar nekaj. Verzija certifikata je odvisna, kakšne so vaše potrebe, zahteve in s tem tudi ustrezna cena.

Namen te objave ni predstavitev različnih tipov certifikatov, bom pa predstavil odlično alternativo, ki se ji reče BREZPLAČNO.

 

Na voljo je brezplačna verzija SSL certifikata, imenovan Let’s Encrypt, ki omogoča varno HTTPS povezavo med brskalnikom in spletno stranjo. Večina spletnih ponudnikov omogoča uporabo Let’s Encrypt, ki je odlična izbira.

Za spletne trgovine (lahko ga uporabi vsaka spletna stran) se še vedno priporoča tako imenovan EL SSL (Extended Validation) certifikat, kjer je pred izdajo certifikata preverjano samo podjetje, je pa tudi bistveno dražji od drugih verzij, tudi več 100 €/leto. Poleg tega pa se namesto samo zelene ključavnice v zelenem izpiše ime podjetja. Prepričan sem, da ste to že videli, če ne drugje v spletni banki.

 

Poglejmo si 3 primere:

Delavska hranilnica d.d.

Mimovrste d.o.o. – spletna trgovina

eDavki

 

Spletna stran z Let’s Encrypt SSL na različnih brskalnikih

Opera

Chrome

Vivaldi

Firefox

Edge

Brave

 

Sklep

Če želimo, ali ne, bo HTTPS postal pomemben del izdelave, uporabe in prebiranja spletnih strani. Google je s to zahtevo in korakom prikazovanja vseh nevarnih povezav postavil nov standard, ki ga bodo kmalu sprejeli tudi drugi brskalniki. Tudi Applov iOS bo začel prikazovati obvestila. Da je uporabniška izkušnja dobra in seveda tudi varna, je naša naloga, da strani opremimo s SSL. Na srečo nam bo tukaj močno pomagal tudi Let’s Encrypt.

Napišite komentar





Stran uporablja Akismet za preprečevanje nezaželenih komentarjev. O zasebnosti podatkov komentarja si preberite tukaj.

Uvažanje .csv in .txt datotek v Microsoft Excel

V prejšnji objavi "Filtriranje in izvažanje podatkov v spletnih obrazcih" sem pokazal, kako lahko podatke izvozimo iz spletnih obrazcev. V tej objavi bom pa pokazal, ...

Filtriranje in izvažanje podatkov v spletnih obrazcih

Za prikaz in urejanje baze podatkov so zelo uporabni spletni obrazci. Z njimi lahko podatke prikažemo na različne načine, odvisno od potreb, te lahko filtriramo, ...

Prednosti registracije in uporabe domene

Domena je vaš spletni naslov, ki je potreben za vsako spletno stran in/ali elektronsko pošto.   Zaščitite ime podjetja V primeru, da ste podjetje in ...