Google dzisiaj (18.08.2017) po północy masowo rozesłało do właścicieli stron, które nie posiadają wdrożonego HTTPS powiadomienia, z których możemy dowiedzieć się, że od października 2017 roku przeglądarka Google Chrome (od wersji 62) będzie wyświetlać nowe ostrzeżenia o braku zabezpieczeń w domenie, której powiadomienie dotyczy.
Pełna treść komunikatu Google poniżej…
Od października 2017 roku po wprowadzeniu przez użytkownika tekstu w formularzu na stronie HTTP Chrome (wersja 62) będzie wyświetlać ostrzeżenie o tym, że witryna jest „NIEBEZPIECZNA”. Ostrzeżenie pojawi się też na wszystkich stronach w trybie incognito.
Następujące adresy URL w Twojej witrynie zawierają pola, w których użytkownicy wpisują dane (takie jak <input type=”text”> lub <input type=”email”>). Na tych stronach Chrome wyświetli nowe ostrzeżenie. Zapoznaj się z podanymi przykładami, by sprawdzić, w których miejscach będą się wyświetlać ostrzeżenia i podejmij odpowiednie kroki w celu ochrony danych użytkowników. Lista nie jest wyczerpująca.
Poniżej zrzut ekranu dla mojego techformatora, który otrzymał dzisiaj tego typu powiadomienie.
W styczniu tego roku Google informowało, że w Chrome od wersji 56 strony internetowe, które zbierają dane wrażliwe, a które nie wykorzystują protokołu HTTPS zostaną oznaczone jako „niezabezpieczone”. Więcej o tym można przeczytać tutaj. W przypadku typowych blogów jak techformator.pl w styczniu praktycznie niewiele się zmieniło jeśli chodzi o kwestie informujące o braku wykorzystania HTTP, jednak dzisiejsza informacja zmienia zasady gry i migracja staje się koniecznością.
Jak podaje Google, komunikaty rozesłane 18 sierpnia stanowią kolejny krok w długoterminowym planie, który ma za zadanie oznaczenie wszystkich witryn, które stosują bezszyfrowy protokół HTTP. Jak widać ów plan realizowany jest powoli, następuje stopniowe zaciskanie pętli, aż w końcu każdy przejdzie na HTTPS 🙂
Nowy wygląd ostrzeżenia – niebezpieczna czy niezabezpieczona?
Powiadomienie, że witryna jest „NIEBEZPIECZNA” będzie prezentowało użytkownikowi informację w pasku adresu, podobnie jak ma to miejsce w tej chwili, z tym że komunikat może zmienić formę. Przykład komunikatu dla wersji 56 przeglądarki Chrome, na poniższym zrzucie ekranu. Być może finalna wersja powiadomienia w trybie incognito otrzyma dodatkowo kolor czerwony, co moim zdaniem przyśpieszyłoby proces migracji, raczej Google nie zdecyduje się na takie doraźne rozwiązanie ale kto wie.
Co aktualizacja komunikatu oznacza dla właściciela strony
Każda strona, podstrona na której znajdują się elementy do wprowadzania tekstu przez użytkownika (na przykład pole wyszukiwania, pole newslettera w stopce) zostanie oznaczona w przeglądarce. Jeżeli Twoja witryna posiada elementy input, które wyświetlane są w modelu site-wide – czyli na każdej podstronie, wtedy cała witryna zostanie oznaczona jako „niebezpieczna”. Chyba nie trzeba mówić, co to oznacza dla stron przeznaczonych do pozyskiwania leadów. Mało tego, wielu użytkowników w dzisiejszych czasach korzysta z funkcji bezpiecznego przeglądania (tryb incognito), gdzie jak czytamy „ostrzeżenie pojawi się też na wszystkich stronach w trybie incognito”.
Ilu użytkowników korzysta z tego trybu? Dużo zależy od branży. W branżach typowo informatycznych użytkownicy wręcz uwielbiają przeglądać strony w tym trybie, co będzie prowadziło do wyświetlania komunikatów w przeglądarce, bez względu czy strona posiada input boksy czy też nie.
Moja sugestia? Jeżeli posiadasz stronę firmową działającą w branży informatycznej, blog technologiczny, komputerowy lub sklep internetowy sprzedający laptopy, akcesoria komputerowe lub elektronikę, to już dzisiaj wpisz w harmonogram pracy na przyszły miesiąc migrację. Masz czas do października! Jeżeli nie przejdziesz na HTTPS, musisz liczyć się ze spadkiem zapytań ofertowych i/lub sprzedaży.
Co jeżeli posiadasz stronę w innej branży? Masz mniejsze szanse na spadek liczby leadów, jednak i tak pomyśl już teraz nad migracją. Masz mniejszą presję niż koledzy z branży IT, wiedz jednak, że Google idzie w kierunku, w którym każda strona obecna w sieci będzie musiała wykorzystywać szyfrowaną wersję protokołu HTTP.
Migracja na HTTPS – certyfikat darmowy czy płatny
Z punktu widzenia technologicznego certyfikaty są bardzo podobne, różnice dotyczą głównie gwarancji, która udzielana jest przez wystawcę certyfikatu, sposobu walidacji domeny (dodatkowy zielony pasek), obsługi wildcard (subdomen), długości klucza szyfrującego, sposobu odnowienia oraz okresu, na jaki można wykupić certyfikat. Szczegółowo o certyfikatach napiszę w odrębnym poradniku dotyczącym Let’s Encrypt.
Gdzie dostaniesz certyfikat SSL za darmo
Darmowe certyfikaty Let’s Encrypt znajdziesz między innymi na hostingu Unixstorm i myDevil, więcej o hostingach przeczytasz w tym artykule. Pełną listę hostingów wspierających generowanie darmowych certyfikatów SSL wraz z auto-odnawianiem znajdziesz w artykule, który pojawi się na łamach SocialTrends w przyszłym tygodniu. Aby nie przegapić tego wydarzenia dodaj do obserwowania fanpage – https://www.facebook.com/socialtrendspl/
Profesjonalna migracja na HTTPS (pełna migracja)
Wiele osób, nawet profesjonalnie zajmujących się tworzeniem stron internetowych zapomina, że migracja nie ogranicza się do zmian w kodzie witryny, bazie danych i ustawieniu odpowiednich przekierowań. Pełna migracja na HTTPS zostanie omówiona w poradniku, który zostanie opublikowany pod koniec przyszłego tygodnia.
Aktualizacja: 02.09.2017
Ze względu na duże obłożenie pracą artykuły zostaną opublikowane w późniejszym terminie. Za opóźnienia przepraszam.
