https://blog.superhosting.bg/it-is-time-for-ssl-to-make-the-web-more-secure.html

Натиснете ENTER, за да видите резултатите или ESC за изход.

Блог на SuperHosting.BG

Предстоящи промени в стандартите за сигурност в Уеб

2016-12-09
Технологии
сигурност, сигурност в уеб, ssl сертификат, chrome http, chrome security, chrome not secure

Браузърът Google Chrome ще показва “Not secure” на сайтове с Login форми, които се зареждат по HTTP.

Предистория

Знаете ли за какво служи криптираната връзка? А знаете ли, че докато пазарувате онлайн или просто си сърфирате в мрежата някой може да следи цялата информация, която се обменя между вашия браузър и сървъра и дори да я променя? Има недоброжелатели, които наистина го правят, като целта им е да се сдобият с лична информация, която в последствие да бъде използвана за извършване на измами. Знаете ли как да се предпазите?

За да комуникира вашият браузър с уеб сървъра се използва мрежов протокол (HTTP – Hypertext Transfer Protocol). Информацията, която протича при самата комуникация обаче по никакъв начин не е защитена и лесно може да бъде прихваната (“подслушана”) или дори модифицирана. Има приложения т.нар. “снифери”, чрез които незащитената по никакъв начин връзка позволява на недоброжелатели да прихващат лични данни, като най-често това са потребителски имена и пароли, данни от кредитни карти, банкови сметки, лични данни и т.н.

През 1994 г. е създаден протокола HTTPS, който е базиран на HTTP, но при HTTPS информацията, която протича между браузъра и сървъра е криптирана и няма как да бъде прихваната или компрометирана. С развитието на интернет този протокол вече става почти задължителен за всяка комуникация, която съдържа лични данни.

Каква е промяната и как да се защитим?

Всички тези протоколи, криптирани връзки и т.н. не са познати на масовия интернет потребител и той трудно може да разбере кога данните му са защитени и кога не. Поради тази причина производителите на най-масово ползваните браузъри (Google Chrome, Mozilla Firefox, Internet Explorer, Safari, Opera и др.) се стремят да правят тази информация все по-видима и разбираема. За сайтовете, които ползват защитена HTTPS връзка и имат инсталиран SSL сертификат обикновено в адресната лента на браузъра се показва малко катинарче, което показва на потребителя, че сайтът е защитен и връзката е криптирана. Ако пък сайтът се зарежда по HTTP въпросното катинарче липсва, а при посочване или клик на иконката, разположена пред адреса на сайта (i) се появява текст, че връзката не е защитена или “Connection is not secured”, ако браузърът е на английски.

От януари 2017 г. в браузъра Google Chrome информацията дали връзката е защитена вече ще е доста по-видна, a не само при посочване или клик на иконката с мишката.

blog-image-1

(Източник: https://security.googleblog.com)

Целта е обикновеният потребител да бъде предупреден, когато посещава сайт с http връзка, а по този начин се намалява и възможността потребителят да попадне на fishing сайт, да се зарази с malware или да бъдат прихванати личните му данни, които се предават по мрежата.

На кои сайтове ще се показва предупредителното съобщение?

На първо време това ще важи само за сайтове, които имат форми за Login или такива за въвеждане на платежна информация. В днешно време голяма част от сайтове имат възможност за потребителски достъп (Login) и/или администрация за съдържанието на сайта, която също се достъпва след въвеждане на потребител и парола. На практика, всички електронни магазини ще бъдат засегнати от промяната.

На кои сайтове няма да се показва предупредителното съобщение?

Ако вашият сайт няма Login форма и в него потребителите не въвеждат конфиденциална информация, то съобщението няма да се показва на първи етап. Същото важи и за сайтовете, които имат Login форма, но тя е скрита, т.е. не се индексира от търсачките.

По последна информация, на малко по-късен етап подобно съобщение ще започне да се визуализира за всички сайтове, които ползват HTTP независимо дали имат форми за попълване на данни.

Все още не е потвърдено, но е възможно в някакъв момент съобщението “Not secure” да бъде оцветено в червен цвят, като пред него бъде поставен червен триъгълник.

Eventual treatment of all HTTP pages in Chrome

(Източник: https://security.googleblog.com)

Подобни съобщения имат за цел да предупредят потребителите, че посещението на дадения сайт рискува компрометирането на данните, което пък ще бъде знак за собственика (администратора на сайта) да мигрира от HTTP към HTTPS, така че да няма отлив на потребители.

Google Chrome ще е първият браузър, който ще показва информацията по-видимо, но другите браузъри вероятно също ще работят в тази посока, като целта е HTTP протокола да се ползва все по-малко и целият уеб трафик да минава през HTTPS.

Какво е необходимо, за да мигрирате към https, ако Вашият сайт отговаря на условията за показване на съобщението?

1. Издаване и инсталиране на SSL сертификат

За да може сайтът ви да зарежда през https, e необходимо на акаунта (сървъра) да бъде инсталиран SSL сертификат, като затова има различни решения. Стандартните SSL сертификати се различават в зависимост от техния издател, както и от нивото на валидация. При сертификатите, при които се валидира организацията, която стои зад сайта, както и при сертификатите с разширена валидация, браузърът не само показва, че сайтът е защитен, но и че сертификатът е издаден за конкретната организация. Катинарчето може да бъде оцветено в зелено (при SSL с разширена валидация), а това е лесен и надежден начин да се създаде доверие у посетителите на дадения сайт.

2. Настройка на сайта

След като на хостинг акаунта или сървъра има инсталиран SSL сертификат остава и самият сайт да се настрои, така че винаги да зарежда по HTTPS, и всички линкове към вътрешни страници също да са към https. По този начин посетителите на сайта ще бъдат сигурни, че той е защитен и ще бъдат спокойни, когато го посещават или въвеждат информация.

Нашият съвет към всички администратори на уеб сайтове е да не чакат до последно, а да направят колкото се може по-скоро миграцията към HTTPS, като по този начин и самият сайт ще бъде много по-добре защитен, а потребителите му ще са спокойни и сигурни, че личните им данни няма да станат достояние на недоброжелатели.

ОПЕРАТИВЕН МЕНИДЖЪР

Светльо е незаменима част от СуперЕкипа и главен смутител на реда в офиса. СуперСилата му е, че може да подреди всички проекти като пъзел, а multitasking-ът му е в кръвта. Във всеки един момент знае кой е правилният ход към подобренията и как клиентите да са винаги доволни!

500px270px
SuperHosting.BG

Препоръчани статии

Оставете коментар

7 Коментара към "Предстоящи промени в стандартите за сигурност в Уеб"

Уведоми ме при
avatar
Dido
Гост

Здравейте. Ако оставим отметката на “Инсталиране на SSL сертификата за имейл SMTPS/POP3S/IMAPS към domain.com”, това дали ще окаже влияние на настройките (POP3 и IMAP) на имейл клиентите – Outlook Express, Microsoft Outlook, Windows Live Mail и т.н.
*
Относно съпорта и услугите ви, адмирации, най-добрия провайдър в България.

СуперХостинг.БГ
SH

Здравейте,

Благодарим Ви за високата оценка. За нас е удоволствие да предоставяме качествени услуги на клиенти, които ценят нашата работа.

Ако оставите отметката на “Инсталиране на SSL сертификата за имейл SMTPS/POP3S/IMAPS към domain.com” това няма да доведе до проблем с работата на изброените мейл клиенти. Ако в настройките на приложението ползвате за име на сървър “domain.com” и едновременно с това връзката е SSL/TLS дори ще е по-добре, защото няма да получавате нотификации за невалиден SSL сертификат.

Весели празници!

Hristo
Гост
Трябва ли да разбираме че това е е един лек натиск от страна нарт суперхостинг да закупим ССЛ. Доста хора биха го изтълкували така. Що се отнася до надписа “Not secure” в гугъл, наистина трябва да са луди за да го сложат при все че редовия потребител не разбира от криптиране, ссл-и и други такива… той направо ще си класифицира сайта като опасен. Съгласен съм обаче че където се използват карти и банкови сметки е необходимо криптиране, само че статията написана така като че ли това е супер спешна и… още »
СуперХостинг.БГ
SH
Здравейте, Благодарим за добрите думи. За нас е чест, че имаме клиенти, които оценяват това което правим за тях. Google планират посочените промени да влязат в сила с версия 56, която ще бъде официално пусната на 31.01.2017 г. Това означава, че администраторите на уеб сайтове имат малко повече от месец, за да изпълнят препоръките на Google, а това не е много дълъг срок. Промените най-напред ще засегнат сайтовете на които се попълват лични данни, но това включва и всички сайтове които имат форми за login. На по-късен етап Google планират… още »
Огнян Христов
Гост

Здравейте,
При мигриране към HTTPS ще загубя ли външните линкове, които имам до момента.

СуперХостинг.БГ
SH

Здравейте, Огнян,

При миграция към https няма да бъдат загубени външните линкове, които имате към Вашия сайт до момента. Когато сайтът е настроен да зарежда винаги по https, външните линкове, които имате ще са насочени отново към Вашия сайт, но ще се зареждат по https.

Поздрави,
Диан

Огнян Христов
Гост

Благодаря Ви!

wpDiscuz