Браузърът Google Chrome ще показва “Not secure” на сайтове с Login форми, които се зареждат по HTTP.
Предистория
Знаете ли за какво служи криптираната връзка?
А знаете ли, че докато пазарувате онлайн или просто си сърфирате в мрежата някой може да следи цялата информация, която се обменя между вашия браузър и сървъра и дори да я променя?
Има недоброжелатели, които наистина го правят, като целта им е да се сдобият с лична информация, която в последствие да бъде използвана за извършване на измами. Знаете ли как да се предпазите?
За да комуникира вашият браузър с уеб сървъра се използва мрежов протокол (HTTP – Hypertext Transfer Protocol). Информацията, която протича при самата комуникация обаче по никакъв начин не е защитена и лесно може да бъде прихваната („подслушана“) или дори модифицирана. Има приложения т.нар. „снифери“, чрез които незащитената по никакъв начин връзка позволява на недоброжелатели да прихващат лични данни, като най-често това са потребителски имена и пароли, данни от кредитни карти, банкови сметки, лични данни и т.н.
През 1994 г. е създаден протоколът HTTPS, който е базиран на HTTP, но при HTTPS информацията, която протича между браузъра и сървъра е криптирана и няма как да бъде прихваната или компрометирана. С развитието на интернет този протокол вече става почти задължителен за всяка комуникация, която съдържа лични данни.
Каква е промяната и как да се защитим?
Всички тези протоколи, криптирани връзки и т.н. не са познати на масовия интернет потребител и той трудно може да разбере кога данните му са защитени и кога не.
Поради тази причина производителите на най-масово ползваните браузъри (Google Chrome, Mozilla Firefox, Internet Explorer, Safari, Opera и др.) се стремят да правят тази информация все по-видима и разбираема.
За сайтовете, които ползват защитена HTTPS връзка и имат инсталиран SSL сертификат обикновено в адресната лента на браузъра се показва малко катинарче, което показва на потребителя, че сайтът е защитен и връзката е криптирана.
Ако пък сайтът се зарежда по HTTP, въпросното катинарче липсва, а при посочване или клик на иконката, разположена пред адреса на сайта (i) се появява текст, че връзката не е защитена или „Connection is not secured“, ако браузърът е на английски.
От януари 2017 г. в браузъра Google Chrome информацията дали връзката е защитена вече ще е доста по-видна, a не само при посочване или клик на иконката с мишката.
Целта е обикновеният потребител да бъде предупреден, когато посещава сайт с http връзка, а по този начин се намалява и възможността потребителят да попадне на fishing сайт, да се зарази с malware (зловреден софтуер) или да бъдат прихванати личните му данни, които се предават по мрежата.
На кои сайтове ще се показва предупредителното съобщение?
На първо време това ще важи само за сайтове, които имат форми за Login или такива за въвеждане на платежна информация. В днешно време голяма част от сайтове имат възможност за потребителски достъп (Login) и/или администрация за съдържанието на сайта, която също се достъпва след въвеждане на потребител и парола. На практика, всички електронни магазини ще бъдат засегнати от промяната.
На кои сайтове няма да се показва предупредителното съобщение?
Ако вашият сайт няма Login форма и в него потребителите не въвеждат конфиденциална информация, то съобщението няма да се показва на първи етап. Същото важи и за сайтовете, които имат Login форма, но тя е скрита, т.е. не се индексира от търсачките.
По последна информация, на малко по-късен етап подобно съобщение ще започне да се визуализира за всички сайтове, които ползват HTTP независимо дали имат форми за попълване на данни.
Все още не е потвърдено, но е възможно в някакъв момент съобщението „Not secure“ да бъде оцветено в червен цвят, като пред него бъде поставен червен триъгълник.
Подобни съобщения имат за цел да предупредят потребителите, че посещението на дадения сайт рискува компрометирането на данните, което пък ще бъде знак за собственика (администратора на сайта) да мигрира от HTTP към HTTPS, така че да няма отлив на потребители.
Google Chrome ще е първият браузър, който ще показва информацията по-видимо, но другите браузъри вероятно също ще работят в тази посока, като целта е HTTP протокола да се ползва все по-малко и целият уеб трафик да минава през HTTPS.
Какво е необходимо, за да мигрирате към https, ако Вашият сайт отговаря на условията за показване на съобщението?
1. Издаване и инсталиране на SSL сертификат
За да може сайтът ви да зарежда през https, e необходимо на акаунта (сървъра) да бъде инсталиран SSL сертификат, като затова има различни решения. Стандартните SSL сертификати се различават в зависимост от техния издател, както и от нивото на валидация. При сертификатите, при които се валидира организацията, която стои зад сайта, както и при сертификатите с разширена валидация, браузърът не само показва, че сайтът е защитен, но и че сертификатът е издаден за конкретната организация. Катинарчето може да бъде оцветено в зелено (при SSL с разширена валидация), а това е лесен и надежден начин да се създаде доверие у посетителите на дадения сайт.
2. Настройка на сайта
След като на хостинг акаунта или сървъра има инсталиран SSL сертификат остава и самият сайт да се настрои, така че винаги да зарежда по HTTPS, и всички линкове към вътрешни страници също да са към https. По този начин посетителите на сайта ще бъдат сигурни, че той е защитен и ще бъдат спокойни, когато го посещават или въвеждат информация.
Нашият съвет към всички администратори на уеб сайтове е да не чакат до последно, а да направят колкото се може по-скоро миграцията към HTTPS, като по този начин и самият сайт ще бъде много по-добре защитен, а потребителите му ще са спокойни и сигурни, че личните им данни няма да станат достояние на недоброжелатели.