Miért érdemes https-re váltanod? És milyen problémák adódhatnak a váltásnál?

Tartalomjegyzék
Bővített tartalomjegyzék

Még nem https-alapú a weboldalad? Akkor itt az ideje a váltásnak. Ma már a Google első oldali találatainak fele https-alapú, és egyre szigorúbb a Chrome is. (Frissítés, 2019. 02. 28. – Hogyan viszonyulnak az emberek a Chrome http-figyelmeztetéséhez? Egy kutatás megmutatta.)

Így bünteti a Google a http-oldalakat

A Google 2016. december 27-én elkezdte kiküldeni a figyelmeztetéseket a Search Console-on keresztül azoknak a weboldalaknak, melyeken felhasználónév és jelszó mezők találhatók, és nem https-t használnak. Az üzenet arról szólt, hogy jelszavak nem biztonságos módon történő gyűjtése miatt a Chrome az 56-os verziótól kezdve figyelmezteti a felhasználókat, hogy nem biztonságos oldalon adják meg adataikat.

A Chrome azóta megjelöli azokat a weboldalakat, melyek “nem biztonságos” módon kérnek jelszavakat vagy bankkártya-információkat, azaz nem használják a https-t. 2017 októberétől viszont minden http-oldalnál jelzi a biztonság hiányát a Google böngészője. Ennek oka, hogy míg az olyan weboldalaknál, melyek jelszavakkal és más személyes adatokkal dolgoznak, kritikus fontosságú a https használata, a Google szerint minden más weboldal esetében is fontos lenne https-re váltani. Enélkül ugyanis a hackerek ellophatják a bizalmas információkat.

2018 júliusától tovább fokozta a szigort a Google, ugyanis a Chrome 68-as verziója már minden “nem https” alapú weboldalt a “Nem biztonságos” jelzéssel lát el. Ez tehát attól független, hogy ott bármilyen adatot felvisz-e a felhasználó. 2018 októberétől, a Chrome 70-es verziója pedig abban az esetben, ha a látogató valamilyen adatot készül megadni egy http-oldalon, akkor piros “nem biztonságos” szöveggel rettenti el ettől a meggondolatlan lépéstől. A Google ezt azzal indokolta, hogy eddig túl sokan használtak http-t ahhoz, hogy a piros jelzést bevesse, hiszen zavaró lett volna annyi oldalon.

Piros figyelmeztetés egy http-oldalon

Emellett ugyanakkor a 2018-as évben a https oldalak megjelenésével kapcsolatosan is változás következett be. Eddig a https-t használó oldalakat zöld “Biztonságos” felirattal, lakat ikonnal és zöld https-jelzéssel látta el a böngésző. 2018 szeptemberétől viszont a Chrome 69-es verziója már eltávolítja a “biztonságos” címkét és a https eddigi megjelenését. A lakat ikont (szürkén) még megmarad, de idővel ez is eltűnik.

Https oldalak jelzése

A vegyes tartalmakat is blokkolni fogja a Chrome

A Google bejelentése szerint 2019 decemberétől elkezdi blokkolni az úgynevezett vegyes tartalmú weboldalakat a Chrome böngésző.

De mi is pontosan az a vegyes tartalom?

A vegyes tartalom kifejezést olyan weboldalakra használják, ahol egy https-weboldal http-tartalmakat is betölt. Jelenleg még elég sok olyan weboldal található a világhálón, mely részben nem biztonságos tartalmat is megjelenít, miközben már SSL-tanúsítvánnyal rendelkező webhelyről van szó. A Google ezen a nem tökéletes helyzeten próbál meg javítani egy kis ösztönzéssel.

De már eddig is blokkolta a Chrome a vegyes tartalmakat

A Google Chrome már valóban blokkolt vegyes tartalmakat, de ez eddig csak bizonyos tartalomtípusokra korlátozódott, így a JavaScript és az iFrame forrásokra. 2019 decemberétől tehát annyi történik, hogy ezt a blokkolást minden nem biztonságos tartalomra kiterjesztik, így képekre, videókra, cookie-kra, stb.

Miért van erre szükség?

Egy nem biztonságos http-fájl egy egyébként biztonságosnak számító https oldalon azért jelent biztonsági kockázatot, mert azt kihasználhatják a hackerek a felhasználók manipulálására, malware-ek telepítésére, és magának az oldalnak a feltörésére. A http-elemekkel tehát egyrészt a weboldal biztonságát kockáztatjuk, másrészt pedig a weboldallátogatókét is. Ráadásul gyenge felhasználói élményt is eredményez, mivel a Google vegyes tartalom esetén nem tudja egyértelműen jelezni, hogy biztonságos vagy nem biztonságos oldalról van-e szó.

Mi történik a vegyes tartalmat megjelenítő oldalakkal?

A Google Chrome fokozatos, három lépéses folyamatban akarja blokkolni a vegyes tartalmakat, melyek a Chrome három különböző kiadásával érkeznek a felhasználókhoz.

Első lépésben, 2019 decemberétől a Chrome 79-ben megjelenik egy új beállítási lehetőség. A felhasználók képesek lesznek leállítani azoknak az oldalaknak a blokkolását, melyet a Chrome blokkolt a vegyes tartalom miatt. Ebbe beletartoznak a JavaScript és az Iframe források. Ekkor megjeleníti a Chrome az oldalt, de ikonnal jelzi, hogy nem biztonságos oldalról van szó.

Második lépésben 2020 janurájáról a Chrome 80 a Chrome automatikusan átváltoztatja a http videó és audió fájlok URL-jeit https-re. Ha nem tudja betölteni https-sel, akkor automatikusan blokkolja a fájlokat. Ekkor még megjelenhetnek képek http forrásból, de nem biztonságosként jelzi az oldalt a Chrome.

Harmadik lépésben, 2020 februárjától a Chrome 81 a http-képeket is https-forrásból fogja automatikusan betölteni a Chrome. Ha ez nem megy neki, akkor a képek blokkolva lesznek. Ha bármilyen vegyes tartalmad van, akkor nem biztonságos oldal jelölést kapsz, ami rontja a felhasználói élményt, ez pedig forgalomeséshez is vezethet.

Hogyan ellenőrizd?

Ha nem tudod, hogy vegyes tartalom jelenik-e meg a weboldaladon, akkor egyszerűen csak nyisd meg a Chrome-ban, és nézd meg a jobb felső részen az URL sáv jobb oldali részén, hogy látható-e egy pajzs ikon piros jelzéssel.

A másik jelzés a bal oldalon található “információ” ikon, mely vegyes tartalmú weboldal esetében a lakat ikont váltja fel abban az esetben, ha a Chrome azt nem blokkolja. Rákattintva pedig elárulja a részleteket is.

Hogyan találd meg a nem biztonságos http URL-eket?

Ha látod, hogy gond van a weboldaladdal, akkor meg kell találni a bűnös URL-eket. Ehhez kattints jobb gombbal az oldalra, majd válaszd a felbukkanó menüben alul a Vizsgálat linket. A megjelenő felületen keresd meg a “Console” opciót, és a megjelenő listában felül látni fogod a pirossal szedve a “Mixed content” sort, benne az URL-lel. Ezután már nekiállhatsz a javításnak.

Milyen hatása van a Google szigorának? Mit mutatnak a vizsgálatok?

Ha azt gondolod, hogy a Google szigorításának nem nagyon van hatása a felhasználók webes viselkedésére, akkor tévedsz. Mint egy 2019 elején közzétett brit vizsgálatból kiderül, a Chrome egyre erőteljesebb jelzéseinek számottevő hatása van a felhasználói viselkedésre és az emberek weboldalakról szerzett benyomásaira is.

A korábban említett 2018 júliusi változások eredményeként megjelent a “nem biztonságos” felirat a http-weboldalaknál. Mint a kutatásból kiderült, a felhasználók 47 százaléka nagyjából tisztában van azzal, hogy ez mit jelent, míg 46 százalék nem adná meg a nevét vagy más pénzügyi információt a “nem biztonságos” oldalakon. Ráadásul ennek a csoportnak a 64 százaléka egyből el is hagyja azt az oldalt, amelyet “nem biztonságos”-ként minősít a Chrome.

Mivel az emberek egy jelentős része nem tudja, hogy mit jelent a figyelmeztetés, így nem meglepő, hogy

  • 14 százalékuk azt hiszi, hogy ezeken a weboldalakon vírusos lehet az eszközük,
  • 12 százalék szerint a keresett weboldal egy hamis verziójára érkeztek,
  • 9 százalékuk szerint az oldalon szereplő tartalom megbízhatatlan és nem ellenőrzött
  • míg 8,4 százalék szerint e-mail spamre iratkoztatja fel őket.

És még attól is tartanak jó páran, hogy a keresési előzményeik értékesítésre kerülnek az oldal által. Mindez annak ellenére, hogy még “több millió weboldal” nem váltott https-re.

Ráadásul sok esetben a márkáról szerzett benyomást is negatívan befolyásolja a “nem biztonságos” figyelmeztetés – derült ki a kutatásból, mely szerint ugyanakkor lehet egy márka annyira erős, hogy az ügyfeleket nem befolyásolja. Összességében azonban úgy tűnik, hogy a konverziók számát csökkentheti a figyelmeztetés.

Ami tehát kiderül, hogy míg az emberek egyik fele nagyjából helyén kezeli a figyelmeztetést, a másik fele irracionális módon aggódik miatta. Azt azonban nem várhatjuk, hogy az emberek egy pár hónap múlva vagy néhány év múlva már megértik miről szól ez a jelzés, hanem észszerűbb, ha inkább elébe megyünk a félelmeknek, és https-re váltunk.

A Google már egy jó ideje sürgeti a weboldalakat a váltás miatt, többek között azzal, hogy előnyben részesíti a rangsorolásnál azokat az oldalakat, akik https-t használnak. Így nem véletlen, hogy lendületesen nő azoknak a weboldalaknak a száma, melyek http-ről https-re váltanak: már 2017 áprilisában 50 százalék fölé került az arányuk.

Https-oldalak aránya a Google első találati oldalain (Forrás: Moz)

Https-oldalak aránya a Google első találati oldalain (Forrás: Moz)

De mi az a https? És miért fontos?

Kezdjük azzal, hogy mi az a https? Tehát mit keres egy “s” betű a weboldalakon megszokott http után? Talán már hallottál arról, hogy a biztonsághoz van köze. És valóban az “s” az SSL-re, azaz a Secure Sockets Layerre utal. Vagyis arra a technológiára, mely titkosítja a kommunikációt amikor kapcsolatba lépsz egy weboldallal. Így a hackerek nem férnek hozzá a felhasználók adataihoz.

jó a keresésnél

A https Gary Illyes, a Google szakembere szerint egy minőségi jelzés. És ha minden más tényezőt tekintve megegyezik két weboldal, akkor az a weboldal, mely https-t használ, előrébb kerül a találati oldalon. Utóbbinak pedig az az oka, hogy a Google mindig a felhasználók kiszolgálását tartja elsődlegesnek, és emiatt folyamatosan módosít az algoritmusain is. Így alakít jobb felhasználói élményt, illetve a https esetében biztonságosabbat is egyben.

Jobb a felhasználóknak is

Egy Google Webmaster Hangouton a cég két szakembere elmagyarázta, hogy http esetében probléma nem csak a felhasználói adatok, bejelentkezési információk, számlázási adatok továbbítása kapcsán merül fel. Az is gondot jelenthet, hogy amikor a forgalom http-n keresztül zajlik és nem biztonságos kapcsolaton, akkor bárki képes megfigyelni az internetes forgalmunkat és megismerni az adatainkat. Vagyis, ha valaki bejut a rendszerbe, akkor minden weben zajló tevékenységünket képes rögzíteni, így tisztában lesz vele, hogy milyen weboldalakat látogatunk meg, milyen cikkeket olvasunk, az összes olyan böngészési előzményünk a rendelkezésére áll, ami nem https-n keresztül zajlott. A https viszont alkalmazható minden weboldalon, legyen az akár egy blog, egy webáruház, egy interaktív eszköz vagy bármi – tette hozzá Mairaj. Az SSL pontosan arra jó, hogy titkosítsa a felhasználók adatait, így azok nem kerülhetnek illetéktelen kezekbe.

Minden weboldal számára előnyös

És habár felmerülhetnek olyan aggodalmak, hogy valamivel lassabb, mint a http, szerinte ez nem lehet indok a nem biztonságos kapcsolat használata mellett. Annál is inkább, mert mint ő is hangsúlyozta: a https a Google egyik rangsorolási jelzése a sokat emlegetett több mint 200-ból.

Mindezek után nyomatékosan javasolta mindenkinek, hogy váltson https-re, és ne attól tegye függővé a lépést, hogy a versenytársa vagy bárki a neten már megtette-e ezt. Úgy véli, hogy tulajdonképpen mindenkinek váltania kellene biztonságos kapcsolatra, amit a felhasználók is méltányolni fognak, tekintve, hogy így biztonságosabban netezhetnek. Mindennek az ad nagyobb súlyt, hogy azt követően hangzott el, miután az egyik SMX Advanced-en Gary Illyes már úgy fogalmazott, hogy a https “szuper-fontos” dolog, és hogy erősebb jelzésként akarják kezelni.

SSL-re van szükség az AMP miatt

Az AMP-ról már sokat írtunk, úgyhogy ebbe nem mélyednénk bele, de szerepe van a SEO-ban, meghatározza a keresőoldali megjelenést és a felhasználói élményt mobilon. Ahhoz azonban, hogy AMP oldalad legyen, szükséged van az SSL-re.

Milyen hibák fordulhatnak elő https-váltásnál?

Miközben mindenképpen érdemes minél előbb https-re váltani a weboldaladdal, azt nem állíthatjuk, hogy egyszerű vagy teljesen kockázatmentes. Előfordulhatnak problémák, melyeket korrigálni kell. A SEMrush összeszedte ezeket 100 ezer weboldal adatai alapján.

A weboldal felépítésével kapcsolatban előforduló hibák

  • Az esetek 50 százalékában fordultak elő hibák a “vegyes tartalommal” kapcsolatosan. Ez azt jelenti, hogy a weboldalon előfordulnak olyan tartalmak (képek, linkek, iframe-ek, szkriptek, stb.), melyek biztonsági problémát okoznak. Egyes böngészők ezekre figyelmeztetik is a felhasználókat a weboldal betöltése során, mely által romlik a felhasználói élmény.
  • Szintén 50 százalékban fordul elő az a hiba, hogy belső linkek http-oldalakra mutatnak. Holott minden belső linknek, akár képekről vagy szkriptekről legyen is szó, egy https-verzióra kellene mutatniuk. Ez rendkívül fontos, ha nincs átirányítás vagy HSTS.
  • 8 százalék esetében lehet találkozni azzal a problémával, hogy nincs átirányítás, vagy nem használnak canonicalt a https URL-ekre. Vagyis, ha egyszerre létezik egy http és egy https verziója is a weboldaladnak, akkor fontos, hogy a kettő ne okozzon zavart SEO szempontból. Márpedig, ha hiányoznak átirányítások, akkor az gondot jelent, mert duplikált tartalomként jelentkezik.
  • A https-t használó weboldalak 5,5 százalékánál pedig azzal a hibával lehet szembesülni, hogy a sitemap.xml-ben http URL-ek találhatók. Pedig a sitemap.xml-ben azon linkeknek kell szerepelniük, melyeket szeretnéd, hogy a keresőmotorok megtaláljanak és indexeljenek. Többféle URL-verzió használata félrevezető lehet a keresőmotorok számára, így hiányos feltérképezéshez vezethetnek.

A biztonsági tanúsítvánnyal kapcsolatos hibák

  • Az esetek 2 százalékában található lejárt SSL tanúsítvány. Pedig, ha nem figyelsz a tanúsítvány lejárati idejére, akkor a felhasználók számára figyelmeztető üzenetek jelennek meg a weboldalad megnyitásakor. Ezek pedig megakadályozhatják azt, hogy tovább kattintsanak, így visszesést eredményez az organikus forgalmadban.
  • Ennél gyakrbann, 6 százalékban fordul elő az, hogy eltérő domainnévre regisztrálják az SSL tanúsítványt. Vagyis, ha a böngésző címsorában megjelenő domainnév eltér attól, melyre az SSL tanúsítvány szól, akkor a böngészők megakadályozzák azt, hogy a felhasználók meglátogassák az oldaladat. Azt jelzik ugyanis nekik, hogy névhiba történt, ami hatással lesz az organikus forgalmadra.

Szerver-hibák

  • A https-oldalak 86 százalékánál lehet azzal találkozni, hogy nincs HSTS-támogatás. A Http Strict Transport Security (HSTS) arról tájékoztatja a böngészőket, hogy csak https-kapcsolaton keresztül tudnak kommunikálni a szerverekkel. Vagyis győződj meg arról, hogy nem szolgáltatsz nem-biztonságos tartalmat a közönségednek, és javasolt a HSTS támogatás használata.
  • 3,6 százalékban régi biztonsági protokol verziók okoznak gondot. Régi SSL vagy TLS protokol használata (1.0-ás verzió) biztonsági kockázatot jelent, így mindig a legújabb protokol-verziót használd!
  • 0,56 százaléknál pedig nem található SNI-támogatás. Az SNI egy olyan kiterjesztés a TLS-hez, melynek révén több layer is használható egyetlen IP-címmel és egy extra tanúsítványt is jelent. Ez pedig javíthatja a biztonságot és a megbízhatóságot.

Mire figyelj SEO szempontból, amikor https-re váltasz?

Úgy tűnik, hogy sok weboldal esetében SEO-gondokat okoz, amikor létrehozzák https oldalukat. De mi lehet a probléma?

A Google figyelmeztetései

A Google korábban azt mondta, hogy váltás esetén a weboldalak 3-4 héten keresztül számíthatnak helyezés-ingadozásra a találati oldalakon. Ez azonban mára lecsökkent, olyannyira, hogy Gary Illyes szerint ma már nem szabadna semmilyen ingadozást látni. Amennyiben tehát elmozdulás látszik egy https-váltás következtében, akkor ott minden esetben a weboldal hibájáról van szó, nem pedig a Google hibájáról, mert a szakember szerint mindent megtettek, hogy ilyesmi ne következhessen be.

Ugyanakkor Gary Illyes arra is figyelmeztet, hogy a https-váltást érdemes külön kezelni egyéb változásoktól az oldalon. Gyakran előfordul ugyanis, hogy egy https-váltással egy időben több más dolgot is megváltoztatnak a weboldalon a tulajdonosok, ami viszont azt eredményezi, hogy ha felmerül a helyezés-változás, akkor nem lehet tudni, mi okozta.

A szakember hangsúlyozta, hogy lehetőleg ne változtassunk meg mindent a weboldalon egy időben! Ha redesignolni akarod az oldalad, akkor tedd meg! Ezután látni fogod, hogy ez milyen ingadozásokat eredményez a helyezésednél a keresőben. A https-váltásra viszont csak akkor szánd rá magad, hogy ha ezek a változások lecsengtek! Sőt, lehetőleg semmilyen URL-struktúra változásra vagy oldal-költöztetésre ne kerüljön sor a redesignnal és a https-váltással egy időben, mert ha nem így teszel, akkor “lábon lövöd magad egy óriási ágyúval” – hangsúlyozta Gary Illyes.

Ennek oka, hogy egy https-váltásnál elég nehéz kibogozni a hibákat, ha azzal párhuzamosan más változások is érintik az oldalt. A tapasztalatok pedig azt mutatják, sokkal simább a váltás, ha azt elkülönítjük a többitől.

A leggyakoribb HIBÁK

Az egyik gyakori hiba, hogy a https-t nem állítják be alapértelmezettnek, hanem gyakorlatilag párhuzamosan fut a http oldallal. Ebből pedig következik

Kezdjük a duplikált tartalom problémájával. Ha nincsenek megfelelően beállítva például a canonical tagek vagy az átirányítások, akkor a Google mind a http, mind pedig a https verziót figyelembe veszi, indexeli. Ami viszont nem jó, hiszen duplikált tartalmat lát, mint például itt:

Rosszul beállított HTTPS oldalnál a HTTP is megjelenik találatként

Rosszul beállított https oldalnál a http is megjelenik találatként

Akad olyan eset is, amikor ugyan be vannak állítva a canonical tagek, csak éppen rosszul, például a canonical tag mind a http, mind pedig a https verzió esetében önmagára mutat, azaz önmagát jelöli canonicalként.

Ugyanakkor, ha megfelelően vannak beállítva a canonical tagek, akkor is felhígulást eredményezhet a linkeknél a két párhuzamosan futó oldal. Mi van, ha az egyik felhasználó a http-oldalt linkeli, míg egy másik a https-oldalt? Ebben az esetben egy link helyett két linkre oszlik el a linkelés, ami SEO-szempontból komoly hátrányt eredményez.

Mindezek mellett a kétszeres megjelenés az úgynevezett feltérképezési büdzsét is pazarolja, hiszen a keresőmotorok mindkét verziót feltérképezik, teljesen feleslegesen. Ez tehát dupla munkát jelent számukra, ami annál komolyabb gondot okoz, minél nagyobb az oldal.

A MEGOLDÁS

A megoldás viszont nem bonyolult, csak arra kell figyelni, hogy a http-verzió URL-jei mind át legyenek irányítva a https-re. Ezzel megszüntethető a gond a duplikációt, a linkhigulást a feltérképezési problémákat illetően is. Arról azonban győződj meg, hogy 301-es átirányítást használj, és ne az ideiglenes átirányítást jelentő 302-est! Mert sajnos arra is van példa, hogy valaki itt rontja el a beállítást.

Összefoglalva tehát:

  • Bizonyosodj meg arról, hogy a https-verziód hozzáadtad a Search Console-hoz, azon belül pedig létezik a www és a www-nélküli verzió, és akár a preferált változatot is beállítottad.
  • A http URL-eket 301-essel mind átirányítottad a https-verzióra.
  • Győződj meg arról, hogy a belső linkek a https-verzióra mutatnak a weboldalon.
  • Ne felejtsd el, hogy a canonical tageknek szintén a https URL-ekre kell mutatniuk.
  • Ellenőrizd, hogy az XML webhelytérképben a https URL-verziók szerepelnek.
  • Végül pedig minden olyan külső link, melyre befolyásod van (például a közösségi oldalaknál), a https URL-re mutasson.

További teendők

  • Mindig legyél biztos benne, hogy az oldalad valamennyi eleme https-t használ, beleértve a JavaScripteket, a CSS-fájlokat, a képeket is.
  • Használj relatív URL-eket, ahol csak lehet!
  • Használd a Feltérképezés és megjelenítés funkciót a Search Console-ban ellenőrzésre!
  • Frissítsd az oldaltérképet, viszont 30 napig ne nyúlj a régi (http URL-eket tartalmazó) oldaltérképhez, hogy a kereső fel tudja dolgozni a 301-es átirányításokat.
  • Frissíteni kell a robots.txt fájlt is, az új oldaltérképet hozzá kell adni, valamint meg kell bizonyosodni arról, hogy az nem blokkol semmilyen fontos oldalt.
  • Ha szükséges, akkor frissítsd az Analyitcs kódokat is!
  • Alkalmazz HSTS-t (Http Strict Transport Security), ami jelzi a felhasználók böngészőinek, hogy akkor is https URL-eket használjanak, amikor http oldalakra vannak irányítva. Ezzel megszüntethetők a felesleges átirányítások, gyorsul a válaszidő, és nagyobb biztonságot eredményez. Gary Illyes, a Google szakembere szerint a HSTS-t csak megfelelően beállított https esetén használjunk, különben gondok lesznek a Google-indexeléssel.

A https még nem jelenti azt, hogy biztonságos a weboldalad

Egy https-váltással még nem dőlhetsz hátra, nem válik 100 százalékosan biztonságossá a weboldalad. És mint felhasználó sem bízhatsz meg teljesen a https-oldalakban. Hiszen bármilyen weboldal használhatja a https-t, ehhez csak egy SSL-tanúsítvány kell, mely akár ingyenesen is beszerezhető, és percek alatt alkalmazható. A böngésző ezután már biztonságosnak jelzi, pedig nem feltétlenül az.

Amikor valaki megérkezik egy weboldalra, akkor a weboldal felmutatja az SSL-tanúsítványt a böngészőnek. A böngésző meggyőződik arról, hogy a tanúsítvány

  • érvényes arra a domainnévre, mint amit éppen meg akar nyitni
  • egy megbízható szervezet adta ki az igazolást
  • nem járt még le az érvényessége

Ha a böngésző meggyőződött mindezekről, akkor a kapcsolatot már biztonságosnak tekinti. Ha nem, akkor kapsz egy figyelmeztetést a böngészőben, vagy pedig megtagadja a belépést az oldalra.

A https csak arról gondoskodik, hogy a kommunikáció a böngésző és a weboldal között titkosított legyen. Tehát, ha valaki kívülről belenézne az áramló adatokba, akkor nem tudná őket elolvasni. Ugyanakkor, ha a böngészőhöz megérkeznek az adatok, akkor dekódolja őket, ahogy a szerver is. A továbbiakban nem gondoskodik már a titkosításról a SSL és a TLS, ami azt jelenti, hogy ha egy hacker hozzáfér a szerverhez, akkor el tudja olvasni a rajta lévő adatokat.

Ráadásul maga az SSL is sérülékeny. Ez elsősorban abból következik, hogy az SSL ugyan folyamatosan fejlődött, azonban sok weboldal támogatja még a régi protokollokat, annak ellenére, hogy egy újabb SSL-tanúsítványt alkalmaz. A hackerek pedig kihasználhatják ezt, arra kényszerítve a felhasználó böngészőjét, hogy egy régebbi protokollal kapcsolódjon a weboldalhoz. És persze az SSL önmagában is sérülékeny az olyan támadásokkal szemben, mint a Beast, Breach, Freak és a Heartbleed.

A https sokszor hamis biztonságérzetet ad akkor is, ha egy weboldal csak a bejelentkezési oldalán vagy a vásárlásnál használja, de egyéb oldalak már http-alapúak. És amikor belépsz a weboldalra, akkor a szerver egy cookiet helyez el nálad, ami azt jelenti, hogy legközelebb nem kell bejelentkezned, hiszen emlékszik rád. A gond az, hogy amikor folytatod a böngészést http-oldalakon, ugyanez a hitelesítési cookie kerül kiküldésre és elfogadásra már egy nem biztonságos kapcsolaton keresztül. Ilyenkor megfogható a cookie egy támadó által, aki aztán a nevedben később beléphet az oldalra.

Összességében tehát elmondható, hogy az SSL/TLS használata egy fontos dolog, különösen, ha megfelelően alkalmazzuk, hiszen a kommunikációs folyamat biztonságosnak tekinthető a böngésző és a szerver között. Sőt, ha még HSTS-t is használ a weboldal, akkor leértékelős támadásokkal és a cookie-elfogásokkal szemben is védelmet biztosít. Ugyanakkor egy weboldalról az adatok még sok egyéb módon is ellophatók. Vagyis bár a https biztonságot nyújt, ezt ne tekintsük 100 százalékosnak. Mindössze egyetlen elem, melyet persze a Google könnyen tud azonosítani, mint meglévő biztonsági elemet, és ezt figyelembe veszi a rangsorolásnál.

Címkék: , ,

A Webshark.hu a hozzászólásoknál előzetes moderálást alkalmaz. Moderálási szabályaink itt olvashatók.