Miért érdemes https-re váltanod? És milyen problémák adódhatnak a váltásnál?

Tartalomjegyzék
Bővített tartalomjegyzék

Még nem https-alapú a weboldalad? Akkor itt az ideje a váltásnak. Ma már a Google első oldali találatainak fele https-alapú, és egyre szigorúbb a Chrome is.

A Google 2016. december 27-én elkezdte kiküldeni a figyelmeztetéseket a Search Console-on keresztül azoknak a weboldalaknak, melyeken felhasználónév és jelszó mezők találhatók, és nem https-t használnak. Az üzenet arról szólt, hogy jelszavak nem biztonságos módon történő gyűjtése miatt a Chrome az 56-os verziótól kezdve figyelmezteti a felhasználókat, hogy nem biztonságos oldalon adják meg adataikat.

Így bünteti a Google a http-oldalakat

A Chrome azóta megjelöli azokat a weboldalakat, melyek “nem biztonságos” módon kérnek jelszavakat vagy bankkártya-információkat, azaz nem használják a https-t. 2017 októberétől viszont minden http-oldalnál jelzi a biztonság hiányát a Google böngészője. Ennek oka, hogy míg az olyan weboldalaknál, melyek jelszavakkal és más személyes adatokkal dolgoznak, kritikus fontosságú a https használata, a Google szerint minden más weboldal esetében is fontos lenne https-re váltani. Enélkül ugyanis a hackerek ellophatják a bizalmas információkat.

2018 júliusától tovább fokozza a szigort, ugyanis a Chrome 68-as verziója már minden “nem https” alapú weboldalt a “Nem biztonságos” jelzéssel lát el. Ez tehát attól független, hogy ott bármilyen adatot felvisz-e a felhasználó. 2018 októberétől, a Chrome 70-es verziója pedig abban az esetben, ha a látogató valamilyen adatot készül megadni egy http-oldalon, akkor piros “nem biztonságos” szöveggel rettenti el ettől a meggondolatlan lépéstől. A Google ezt azzal indokolta, hogy eddig túl sokan használtak http-t ahhoz, hogy a piros jelzést bevesse, hiszen zavaró lett volna annyi oldalon.

Piros figyelmeztetés egy http-oldalon

Emellett ugyanakkor a 2018-as évben a https oldalak megjelenésével kapcsolatosan is változás következik be. Eddig a https-t használó oldalakat zöld “Biztonságos” felirattal, lakat ikonnal és zöld https-jelzéssel látta el a böngésző. 2018 szeptemberétől viszont ezen is változtat a Google. Bejelentése szerint ez a változás annyit tesz, hogy a Chrome 69-es verziója már eltávolítja a “biztonságos” címkét és a https eddigi megjelenését. A lakat ikont (szürkén) még megmarad, de idővel ez is eltűnik.

Https oldalak jelzése

Jól látható tehát ezeknél a változásoknál is, hogy a Google végső célja az, hogy minden weboldal https-re váltson. De addig is figyelmezteti a felhasználókat a biztonsági problémákra, ha http-alapú weboldalakon járnak, vagy csak ilyet akarnak megnyitni.

A Google már egy jó ideje sürgeti a weboldalakat a váltás miatt, többek között azzal, hogy előnyben részesíti a rangsorolásnál azokat az oldalakat, akik https-t használnak. Így nem véletlen, hogy lendületesen nő azoknak a weboldalaknak a száma, melyek http-ről https-re váltanak. Elérkezett az ideje, hogy Te is megtedd ezt a lépést?

50% felett a https-t használó weboldalak aránya

Elképesztő gyorsasággal emelkedik a https keresési találatok száma az első oldali találatok között a Google találati oldalain. Míg 2016 januárjában még csak 25 százalékon járt a https keresési találatoknak az aránya a Google első oldali találatai között, 2017 áprilisában azonban már 50 százalék fölé került.

Https-oldalak aránya a Google első találati oldalain (Forrás: Moz)

Https-oldalak aránya a Google első találati oldalain (Forrás: Moz)

Erre dr. Pete Mayers, a Moz elemzője hívta fel a figyelmet. A növekedés üteme meglehetősen lendületes. A szakember egyébként korábban azt jósolta, hogy 2017 első félévében eléri a https oldalak aránya a Google első találati oldalain az 50 százalékot, és ez a jóslata bevált. Annak érdekében, hogy megerősítse a számokat, felvette a kapcsolatot a Rank Rangerrel, melyek más módszert használva figyelik a https-oldalak arányát. Ők is úgy látják, hogy elérte az 50 százalékot.

A grafikonon egyébként nem látható semmiféle hirtelen megugrás – tehát nem egy algoritmusfrissítés áll a háttérben -, egyszerűen csak folyamatosan nő a https-re váltó weboldalak száma. A folyamatos növekedés valószínűleg nem az algoritmus azon hatásának köszönhető, hogy a https-t használó oldalakat jutalmazta, míg a http-oldalakat büntetné. Inkább annak, hogy a Google, és persze egyéb ösztönző tényezők hatására egyre többen váltanak https-re.

Nem volt azonban mindig ilyen egyenes a grafikon:

Https-t használó oldalak száma a Google első találati oldalain (Forrás: Moz)

Https-t használó oldalak száma a Google első találati oldalain (Forrás: Moz)

Az ábrán két ugrás látszik (az egyik az elején, a másik a közepén). Az első ugrás a https algoritmus indulásának időpontja volt, míg a második az, amikor a Wikipédia oldalai átálltak https-re.

Meyers várakozásai szerint, ha ilyen ütemű marad a növekedés, akkor 2017 végére éri el a 65 százalékot a https-t használó oldalak aránya. Ezen nagy arány ellenére úgy tűnik, hogy a Google nem fog további lökést adni a https-t használó oldalaknál egy algoritmusfrissítéssel.

De miért fontos a https? És miért van szükséged rá a weboldaladon?

Kezdjük azzal, hogy mi az a https? Tehát mit keres egy “s” betű a weboldalakon megszokott http után? Talán már hallottál arról, hogy a biztonsághoz van köze. És valóban az “s” az SSL-re, azaz a Secure Sockets Layerre utal. Vagyis arra a technológiára, mely titkosítja a kommunikációt amikor kapcsolatba lépsz egy weboldallal. Így a hackerek nem férnek hozzá a felhasználók adataihoz.

jó a keresésnél

A https Gary Illyes, a Google szakembere szerint egy minőségi jelzés. És ha minden más tényezőt tekintve megegyezik két weboldal, akkor az a weboldal, mely https-t használ, előrébb kerül a találati oldalon. Utóbbinak pedig az az oka, hogy a Google mindig a felhasználók kiszolgálását tartja elsődlegesnek, és emiatt folyamatosan módosít az algoritmusain is. Így alakít jobb felhasználói élményt, illetve a https esetében biztonságosabbat is egyben. Hamarosan bővebben is kifejtjük a Google szempontjait, de itt el is érkeztünk a következő ponthoz.

Jobb a felhasználóknak

Hiszen az SSL pontosan arra jó, hogy titkosítsa a felhasználók adatait, így azok nem kerülhetnek illetéktelen kezekbe. Ez különösen akkor fontos, ha érzékeny felhasználói adatokat fogadsz, például bankkártyaadatokat, de elég ha csak jelszóval lehet belépni az oldaladra. A Google ugyanakkor minden weboldal számára javasolja a https használtát. A felhasználók pedig mindig bizalommal tekintenek az olyan weboldalakra, ahol látják, hogy az https-t használ.

SSL-re van szükség az AMP miatt

Az AMP-ról már sokat írtunk, úgyhogy ebbe nem mélyednénk bele, de szerepe van a SEO-ban, meghatározza a keresőoldali megjelenést és a felhasználói élményt mobilon. Ahhoz azonban, hogy AMP oldalad legyen, szükséged van az SSL-re.

A Chrome is elégedetlen lenne nélküle

Mindehhez hozzájön még az is, hogy 2017 januárjától a Chrome már “nem biztonságos” feliratot fogja megjeleníteni minden olyan weboldalnál, melynél felhasználóneves-jelszavas belépés van, illetve bankkártyadatok továbbítására kerülhet sor, miközben egyszerű http-t használ és nem https-t. A felhasználók pedig nyilván nem fogják jó néven venni, ha a weboldalad nem biztonságos.

Miért fontos a Google számára a https?

Sokan megkérdőjelezik a https jelentőségét olyan weboldalaknál, melyek csak tartalmat szolgáltatnak, azonban nem kezelik a felhasználók érzékeny adatait. A Google azonban a biztonságot fontosnak tartja, legyen szó bármilyen weboldalról. Egy Google Webmaster Hangouton a cég két szakembere elmagyarázta, hogy miért is lenne fontos minden weboldalnak https-kapcsolatot használnia.

Minden oldal számára előnyös

Syed Mairaj elmondta, hogy http esetében probléma nem csak a felhasználói adatok, bejelentkezési információk, számlázási adatok továbbítása kapcsán merül fel, például a webáruházaknál. Az is gondot jelenthet, hogy amikor a forgalom http-n keresztül zajlik és nem biztonságos kapcsolaton, akkor bárki képes megfigyelni az internetes forgalmunkat és megismerni az adatainkat. Vagyis, ha valaki bejut a rendszerbe, akkor minden weben zajló tevékenységünket képes rögzíteni, így tisztában lesz vele, hogy milyen weboldalakat látogatunk meg, milyen cikkeket olvasunk, az összes olyan böngészési előzményünk a rendelkezésére áll, ami nem https-n keresztül zajlott. A https viszont alkalmazható minden weboldalon, legyen az akár egy blog, egy webáruház, egy interaktív eszköz vagy bármi – tette hozzá Mairaj.

Várakozásai szerint egyre többen váltanak majd https kapcsolatra. És habár felmerülhetnek olyan aggodalmak, hogy valamivel lassabb, mint a http, szerinte ez nem lehet indok a nem biztonságos kapcsolat használata mellett. Annál is inkább, mert mint ő is hangsúlyozta: a https a Google egyik rangsorolási jelzése a sokat emlegetett több mint 200-ból, mivel rendkívül fontosnak tartják a biztonságos felhasználói élményt a Google-kereséseknél.

“Szuper-fontos”

Mindezek után nyomatékosan javasolta mindenkinek, hogy váltson https-re, és ne attól tegye függővé a lépést, hogy a versenytársa vagy bárki a neten már megtette-e ezt. Úgy véli, hogy tulajdonképpen mindenkinek váltania kellene biztonságos kapcsolatra, amit a felhasználók is méltányolni fognak, tekintve, hogy így biztonságosabban netezhetnek.

Mindennek az ad nagyobb súlyt, hogy azt követően hangzott el, miután az egyik SMX Advanced-en Gary Illyes már úgy fogalmazott, hogy a https “szuper-fontos” dolog, és hogy erősebb jelzésként akarják kezelni. Részleteket ugyan nem árult el arról, hogy milyen változások várhatók ezzel kapcsolatban és mikor, de feltehető, hogy egyszerűen egy nagyobb súlyú jelzés lesz a rangsorolásnál, de maga a jelzés is változhat.

Ezekkel a bejelentésekkel újabb lökést kapnak a weboldaltulajdonosok abba az irányba, hogy átálljanak https-re. A váltás irányába tolja azonban a weboldalakat az is, hogy a Chrome és a Firefox is figyelmezteti a felhasználókat a nem biztonságos kapcsolatot használó weboldalakra.

A HTTPS még nem jelenti azt, hogy biztonságos a weboldalad

Egy https-váltással még nem dőlhetsz hátra, nem válik 100 százalékosan biztonságossá a weboldalad. És mint felhasználó sem bízhatsz meg teljesen a https-oldalakban. Hiszen bármilyen weboldal használhatja a https-t, ehhez csak egy SSL-tanúsítvány kell, mely akár ingyenesen is beszerezhető, és percek alatt alkalmazható. A böngésző ezután már biztonságosnak jelzi, pedig nem feltétlenül az.

Amikor valaki megérkezik egy weboldalra, akkor a weboldal felmutatja az SSL-tanúsítványt a böngészőnek. A böngésző meggyőződik arról, hogy a tanúsítvány

  • érvényes arra a domainnévre, mint amit éppen meg akar nyitni
  • egy megbízható szervezet adta ki az igazolást
  • nem járt még le az érvényessége

Ha a böngésző meggyőződött mindezekről, akkor a kapcsolatot már biztonságosnak tekinti. Ha nem, akkor kapsz egy figyelmeztetést a böngészőben, vagy pedig megtagadja a belépést az oldalra.

A https csak arról gondoskodik, hogy a kommunikáció a böngésző és a weboldal között titkosított legyen. Tehát, ha valaki kívülről belenézne az áramló adatokba, akkor nem tudná őket elolvasni. Ugyanakkor, ha a böngészőhöz megérkeznek az adatok, akkor dekódolja őket, ahogy a szerver is. A továbbiakban nem gondoskodik már a titkosításról a SSL és a TLS, ami azt jelenti, hogy ha egy hacker hozzáfér a szerverhez, akkor el tudja olvasni a rajta lévő adatokat.

Ráadásul maga az SSL is sérülékeny. Ez elsősorban abból következik, hogy az SSL ugyan folyamatosan fejlődött, azonban sok weboldal támogatja még a régi protokollokat, annak ellenére, hogy egy újabb SSL-tanúsítványt alkalmaz. A hackerek pedig kihasználhatják ezt, arra kényszerítve a felhasználó böngészőjét, hogy egy régebbi protokollal kapcsolódjon a weboldalhoz. És persze az SSL önmagában is sérülékeny az olyan támadásokkal szemben, mint a Beast, Breach, Freak és a Heartbleed.

A https sokszor hamis biztonságérzetet ad akkor is, ha egy weboldal csak a bejelentkezési oldalán vagy a vásárlásnál használja, de egyéb oldalak már http-alapúak. És amikor belépsz a weboldalra, akkor a szerver egy cookiet helyez el nálad, ami azt jelenti, hogy legközelebb nem kell bejelentkezned, hiszen emlékszik rád. A gond az, hogy amikor folytatod a böngészést http-oldalakon, ugyanez a hitelesítési cookie kerül kiküldésre és elfogadásra már egy nem biztonságos kapcsolaton keresztül. Ilyenkor megfogható a cookie egy támadó által, aki aztán a nevedben később beléphet az oldalra.

Összességében tehát elmondható, hogy az SSL/TLS használata egy fontos dolog, különösen, ha megfelelően alkalmazzuk, hiszen a kommunikációs folyamat biztonságosnak tekinthető a böngésző és a szerver között. Sőt, ha még HSTS-t is használ a weboldal, akkor leértékelős támadásokkal és a cookie-elfogásokkal szemben is védelmet biztosít. Ugyanakkor egy weboldalról az adatok még sok egyéb módon is ellophatók. Vagyis bár a https biztonságot nyújt, ezt ne tekintsük 100 százalékosnak. Mindössze egyetlen elem, melyet persze a Google könnyen tud azonosítani, mint meglévő biztonsági elemet, és ezt figyelembe veszi a rangsorolásnál.

Milyen hibák fordulhatnak elő https-váltásnál?

Miközben mindenképpen érdemes minél előbb https-re váltani a weboldaladdal, azt nem állíthatjuk, hogy egyszerű vagy teljesen kockázatmentes. Előfordulhatnak problémák, melyeket korrigálni kell. A SEMrush összeszedte ezeket 100 ezer weboldal adatai alapján.

A weboldal felépítésével kapcsolatban előforduló hibák

  • Az esetek 50 százalékában fordultak elő hibák a “vegyes tartalommal” kapcsolatosan. Ez azt jelenti, hogy a weboldalon előfordulnak olyan tartalmak (képek, linkek, iframe-ek, szkriptek, stb.), melyek biztonsági problémát okoznak. Egyes böngészők ezekre figyelmeztetik is a felhasználókat a weboldal betöltése során, mely által romlik a felhasználói élmény.
  • Szintén 50 százalékban fordul elő az a hiba, hogy belső linkek http-oldalakra mutatnak. Holott minden belső linknek, akár képekről vagy szkriptekről legyen is szó, egy https-verzióra kellene mutatniuk. Ez rendkívül fontos, ha nincs átirányítás vagy HSTS.
  • 8 százalék esetében lehet találkozni azzal a problémával, hogy nincs átirányítás, vagy nem használnak canonicalt a https URL-ekre. Vagyis, ha egyszerre létezik egy http és egy https verziója is a weboldaladnak, akkor fontos, hogy a kettő ne okozzon zavart SEO szempontból. Márpedig, ha hiányoznak átirányítások, akkor az gondot jelent, mert duplikált tartalomként jelentkezik.
  • A https-t használó weboldalak 5,5 százalékánál pedig azzal a hibával lehet szembesülni, hogy a sitemap.xml-ben http URL-ek találhatók. Pedig a sitemap.xml-ben azon linkeknek kell szerepelniük, melyeket szeretnéd, hogy a keresőmotorok megtaláljanak és indexeljenek. Többféle URL-verzió használata félrevezető lehet a keresőmotorok számára, így hiányos feltérképezéshez vezethetnek.

A biztonsági tanúsítvánnyal kapcsolatos hibák

  • Az esetek 2 százalékában található lejárt SSL tanúsítvány. Pedig, ha nem figyelsz a tanúsítvány lejárati idejére, akkor a felhasználók számára figyelmeztető üzenetek jelennek meg a weboldalad megnyitásakor. Ezek pedig megakadályozhatják azt, hogy tovább kattintsanak, így visszesést eredményez az organikus forgalmadban.
  • Ennél gyakrbann, 6 százalékban fordul elő az, hogy eltérő domainnévre regisztrálják az SSL tanúsítványt. Vagyis, ha a böngésző címsorában megjelenő domainnév eltér attól, melyre az SSL tanúsítvány szól, akkor a böngészők megakadályozzák azt, hogy a felhasználók meglátogassák az oldaladat. Azt jelzik ugyanis nekik, hogy névhiba történt, ami hatással lesz az organikus forgalmadra.

Szerver-hibák

  • A https-oldalak 86 százalékánál lehet azzal találkozni, hogy nincs HSTS-támogatás. A Http Strict Transport Security (HSTS) arról tájékoztatja a böngészőket, hogy csak https-kapcsolaton keresztül tudnak kommunikálni a szerverekkel. Vagyis győződj meg arról, hogy nem szolgáltatsz nem-biztonságos tartalmat a közönségednek, és javasolt a HSTS támogatás használata.
  • 3,6 százalékban régi biztonsági protokol verziók okoznak gondot. Régi SSL vagy TLS protokol használata (1.0-ás verzió) biztonsági kockázatot jelent, így mindig a legújabb protokol-verziót használd!
  • 0,56 százaléknál pedig nem található SNI-támogatás. Az SNI egy olyan kiterjesztés a TLS-hez, melynek révén több layer is használható egyetlen IP-címmel és egy extra tanúsítványt is jelent. Ez pedig javíthatja a biztonságot és a megbízhatóságot.

Mire figyelj SEO szempontból, amikor https-re váltasz?

Úgy tűnik, hogy sok weboldal esetében SEO-gondokat okoz, amikor létrehozzák https oldalukat. De mi lehet a probléma?

A Google figyelmeztetései

A Google korábban azt mondta, hogy váltás esetén a weboldalak 3-4 héten keresztül számíthatnak helyezés-ingadozásra a találati oldalakon. Ez azonban mára lecsökkent, olyannyira, hogy Gary Illyes szerint ma már nem szabadna semmilyen ingadozást látni. Amennyiben tehát elmozdulás látszik egy https-váltás következtében, akkor ott minden esetben a weboldal hibájáról van szó, nem pedig a Google hibájáról, mert a szakember szerint mindent megtettek, hogy ilyesmi ne következhessen be.

Ugyanakkor Gary Illyes arra is figyelmeztet, hogy a https-váltást érdemes külön kezelni egyéb változásoktól az oldalon. Gyakran előfordul ugyanis, hogy egy https-váltással egy időben több más dolgot is megváltoztatnak a weboldalon a tulajdonosok, ami viszont azt eredményezi, hogy ha felmerül a helyezés-változás, akkor nem lehet tudni, mi okozta.

A szakember hangsúlyozta, hogy lehetőleg ne változtassunk meg mindent a weboldalon egy időben! Ha redesignolni akarod az oldalad, akkor tedd meg! Ezután látni fogod, hogy ez milyen ingadozásokat eredményez a helyezésednél a keresőben. A https-váltásra viszont csak akkor szánd rá magad, hogy ha ezek a változások lecsengtek! Sőt, lehetőleg semmilyen URL-struktúra változásra vagy oldal-költöztetésre ne kerüljön sor a redesignnal és a https-váltással egy időben, mert ha nem így teszel, akkor “lábon lövöd magad egy óriási ágyúval” – hangsúlyozta Gary Illyes.

Ennek oka, hogy egy https-váltásnál elég nehéz kibogozni a hibákat, ha azzal párhuzamosan más változások is érintik az oldalt. A tapasztalatok pedig azt mutatják, sokkal simább a váltás, ha azt elkülönítjük a többitől.

A leggyakoribb HIBÁK

Az egyik gyakori hiba, hogy a https-t nem állítják be alapértelmezettnek, hanem gyakorlatilag párhuzamosan fut a http oldallal. Ebből pedig következik

Kezdjük a duplikált tartalom problémájával. Ha nincsenek megfelelően beállítva például a canonical tagek vagy az átirányítások, akkor a Google mind a http, mind pedig a https verziót figyelembe veszi, indexeli. Ami viszont nem jó, hiszen duplikált tartalmat lát, mint például itt:

Rosszul beállított HTTPS oldalnál a HTTP is megjelenik találatként

Rosszul beállított https oldalnál a http is megjelenik találatként

Akad olyan eset is, amikor ugyan be vannak állítva a canonical tagek, csak éppen rosszul, például a canonical tag mind a http, mind pedig a https verzió esetében önmagára mutat, azaz önmagát jelöli canonicalként.

Ugyanakkor, ha megfelelően vannak beállítva a canonical tagek, akkor is felhígulást eredményezhet a linkeknél a két párhuzamosan futó oldal. Mi van, ha az egyik felhasználó a http-oldalt linkeli, míg egy másik a https-oldalt? Ebben az esetben egy link helyett két linkre oszlik el a linkelés, ami SEO-szempontból komoly hátrányt eredményez.

Mindezek mellett a kétszeres megjelenés az úgynevezett feltérképezési büdzsét is pazarolja, hiszen a keresőmotorok mindkét verziót feltérképezik, teljesen feleslegesen. Ez tehát dupla munkát jelent számukra, ami annál komolyabb gondot okoz, minél nagyobb az oldal.

A MEGOLDÁS

A megoldás viszont nem bonyolult, csak arra kell figyelni, hogy a http-verzió URL-jei mind át legyenek irányítva a https-re. Ezzel megszüntethető a gond a duplikációt, a linkhigulást a feltérképezési problémákat illetően is. Arról azonban győződj meg, hogy 301-es átirányítást használj, és ne az ideiglenes átirányítást jelentő 302-est! Mert sajnos arra is van példa, hogy valaki itt rontja el a beállítást.

Összefoglalva tehát:

  • Bizonyosodj meg arról, hogy a https-verziód hozzáadtad a Search Console-hoz, azon belül pedig létezik a www és a www-nélküli verzió, és akár a preferált változatot is beállítottad.
  • A http URL-eket 301-essel mind átirányítottad a https-verzióra.
  • Győződj meg arról, hogy a belső linkek a https-verzióra mutatnak a weboldalon.
  • Ne felejtsd el, hogy a canonical tageknek szintén a https URL-ekre kell mutatniuk.
  • Ellenőrizd, hogy az XML webhelytérképben a https URL-verziók szerepelnek.
  • Végül pedig minden olyan külső link, melyre befolyásod van (például a közösségi oldalaknál), a https URL-re mutasson.

További teendők

  • Mindig legyél biztos benne, hogy az oldalad valamennyi eleme https-t használ, beleértve a JavaScripteket, a CSS-fájlokat, a képeket is.
  • Használj relatív URL-eket, ahol csak lehet!
  • Használd a Feltérképezés és megjelenítés funkciót a Search Console-ban ellenőrzésre!
  • Frissítsd az oldaltérképet, viszont 30 napig ne nyúlj a régi (http URL-eket tartalmazó) oldaltérképhez, hogy a kereső fel tudja dolgozni a 301-es átirányításokat.
  • Frissíteni kell a robots.txt fájlt is, az új oldaltérképet hozzá kell adni, valamint meg kell bizonyosodni arról, hogy az nem blokkol semmilyen fontos oldalt.
  • Ha szükséges, akkor frissítsd az Analyitcs kódokat is!
  • Alkalmazz HSTS-t (Http Strict Transport Security), ami jelzi a felhasználók böngészőinek, hogy akkor is https URL-eket használjanak, amikor http oldalakra vannak irányítva. Ezzel megszüntethetők a felesleges átirányítások, gyorsul a válaszidő, és nagyobb biztonságot eredményez. Gary Illyes, a Google szakembere szerint a HSTS-t csak megfelelően beállított https esetén használjunk, különben gondok lesznek a Google-indexeléssel.

Címkék: , ,

A Webshark.hu a hozzászólásoknál előzetes moderálást alkalmaz. Moderálási szabályaink itt olvashatók.

  • Olvasó

    Elnézést a kései hozzászólásért, de most találtam rá a cikkre.

    A google most erősen hátrányosan kívánja megkülönböztetni a nem https oldalakat.

    Egy egyszerű blog, vagy kisvállalkozások információs oldalainak mi szüksége a https-re?
    Ezek az oldalak többnyire olcsó tárhelyeken üzemelnek, ahol az éves költség domain-nel együtt 5-10 ezer forint. Az oldalakon a látogató nem regisztrál csupán megnézi a nyitvatartást, szolgáltatáslistát, árlistát, elérhetőséget, esetleg képgalériát a munkákról, az üzlethelyiségről, stb. Ebben az esetben nem látom a https-ssl szükségességét. Ezeken a tárhelyeken csupán ön aláírt osztott tanúsítvány van. Így elérve az oldalt viszont még rosszabb a helyzet, mert ezeket a böngészők azonnal diszkriminálják egy durva üzenet kíséretében.

    A saját tanúsítványhoz viszont egyedi ip-t kell igényelni, amely az eredetileg 5-10 ezer forintos éves díjat plusz 10-15 ezerrel megnöveli, ami magas költséget jelent ezeknek a kisvállalkozásoknak, hobbioldalaknak. Tehát roppant mód igazságtalan ez a helyzet, mert a google arra akarja kényszeríteni ezeket az oldalakat, hogy váltsanak https-re, de ennek költségeit az üzemeltetőre hárítja, míg ezek az oldalak semmit nem profitálnak a https-ssl használatából. A látogatók többségét sem hiszem, hogy érdekelni, még, ha meg is figyelné valaki, hogy megnézte egy fodrászat, autószerelő, műkörmös, esetleg asztalos oldalát. Ráadásul sokan ki is posztolják nyilvánosan akár a facebookra is, ki a kedvenc fodrászuk stb.

    Ezért tartom szörnyen igazságtalannak, hogy ezeket az oldalakat megbélyegzéssel büntetik, ami elriaszthatja a látogatókat, akik arra gondolnak, valami veszélyes oldalra tévedtek, holott ez nem igaz!

    Természetesen, bankoknál, webshopoknál, bizalmas információkat, vagy pénzügyi tranzakciókat kezelő oldalaknál egyértelmű, hogy szükséges a https-ssl, de a fent említett kis oldalaknál ez felesleges.

    A tanúsítványhoz szükséges fix ip költsége miatt hiába lehet ingyenes tanúsítványt igényelni, annak bevezetése mégis tetemes plusz költséggel jár az ilyen oldalakat működtetőknek.

  • nemethkrisztian

    Szeretnénk felhívni a kedves hozzászólók figyelmét, hogy mint az a weboldalunkon is olvasható – már annak, aki a saját véleményén kívül bármi másra is figyel – a hozzászólás box felett: előzetes moderálást alkalmazunk. Azaz hozzászólás csak azután jelenik meg, hogy a moderátor elolvasta azt. Erre többek között azért van szükség, mert nagyon sokan találják meg cikkeinket reklám-célzattal, melyet igyekszünk elkerülni. De moderálási szabályaink ugyancsak olvashatók a linkre kattintva.

    • Olvasó

      A hozzászólásomnak semmilyen reklámjellege nincs. Azonban több panasz érkezett hozzám azzal kapcsolatban, hogy a google a nyár folyamán megjelenő új böngészője még inkább meg kívánja bélyegezni a nem https-t használó oldalakat. Ugyanakkor, bár elérhető ingyenesen igényelhető tanúsítvány annak használatához fix ip-t ír elő a szolgáltató, amiért elég komoly éves díjat számolna fel, ami az eddig fizetett összeg, akár háromszorosa is lehet pluszban az eddigi éves díj felett.

      Jómagam is úgy érzem, hogy ezeknek az oldalaknak valóban nincs szüksége a https kapcsolatra, hiszen semmilyen olyan adatforgalmat nem bonyolítanak, amit érdemes lenne titkosítani. Sokkal inkább a google érdeke, hogy minden oldal titkosított legyen. Érdekes módon akkor kezdte el a google erőltetni a https használatát, amikor több kormány felvetette, hogy megadóztatnák a céget. A google adsense szolgáltatása is nehezebben követhető, vagy blokkolható, ha az adatforgalom https-en zajlik.

      A legtöbb kis oldalt picit sem izgatja, hogy https, vagy http, de a költségek, főleg Magyarországon, már annál inkább. Ezen oldalak esetében pedig a negatív diszkrimináció a google részéről roppant igazságtalan. Az egyszerű látogatóban felmerülhet, hogy veszélyes oldalon jár és elijesztheti az oldaltól. Ugyanakkor ezek az oldalak nem támadó, gonosz oldalak! Tehát megtévesztheti a látogatót a google.

      Azon kisvállalkozások esetén, ahol, még csak bejelentkezni sem lehet. Az oldaluk pár lapból áll és a legfontosabb információkat szolgáltatja a cégről a látogatók felé szükségtelen a https. A diákok, esetleg idősek által készített hobbioldalak, hobbiblogok szintén ide sorolhatók.

      Ön például, hogy érzi? Igazságtalan a google lépése ezen oldalakkal szemben, avagy sem?

      • nemethkrisztian

        “A hozzászólásomnak semmilyen reklámjellege nincs.” Valóban, ezért is jelent meg.

        Én úgy gondolom, hogy mivel a Google egy magáncég, melynek van egy kereső-szolgáltatása, nem pedig egy állami közműszolgáltató jellegű intézmény, azt enged be a keresőjébe, akit akar, és úgy alakítja a böngészőjét, ahogy az neki tetszik, vagy amit üzleti szempontból jónak lát. Ezt rajta számon kérni nem lehet – legalábbis addig, amíg a politika részéről nem születik egy törvény a http-oldalak diszkriminálásával szemben -, nincsenek kötelezettségei a lakosságot tekintve. A Google-nek annyi a kockázata, hogy ha valakinek nem tetszik az eljárása, akkor az más szolgáltatót keres, és esetleg veszteséges lesz az üzlete. A Google-nak a célközönsége a keresőt tekintve az emberek, nem pedig a céges weboldalak, akik megjelennek rajta. Ami lehet, hogy furcsának tűnik, de logikus, és ő egyszerűen a célközönség igényeit elégíti ki. Az Adwords esetében éppen fordított a helyzet, a hirdetők a célcsoport, azért, mert ott meg ők jelentik számára a bevételt.

  • szb

    Kedves Németh Krisztián!

    Örömmel olvastam a cikküket a https biztonságos oldalak előnyeiről és beállításukról.

    Fentebb olvastam, hogy “lehetőleg semmilyen URL-struktúra változásra vagy oldal-költöztetésre ne kerüljön sor a redesignnal és a https-váltással egy időben, mert ha nem így teszel, akkor “lábon lövöd magad egy óriási ágyúval””

    A kérdésem az lenne, hogy milyen sorrendet ajánlanának a weboldal változtatásakor, ha design-t, új aldomaint, https-t és új URL struktúrát kapna egy weboldal? Mi az a minimális idő, aminek el kell hogy teljen?

    köszönettel:

    • nemethkrisztian

      Kedves szb,

      amit idéz, az Gary Illyes, a Google szakemberének javaslata. Ő tudna a kérdésére pontosan válaszolni. Én csak azt tudom ezzel kapcsolatban mondani, hogy a sorrendnél elsősorban azt kellene figyelembe venni, hogy mi a kényelmesebb – vagy egyáltalán kivitelezhető – megoldás az adott helyzetben. Ami a minimális időt illeti, ki kell várni, hogy a Google minden változtatás után indexelje az oldalakat, majd átnézni, hogy minden rendben van-e, megjelennek-e az oldalak a találati oldalakon. Az indexelési idő weboldalanként változó, lehet gyorsítani a Search Console-ban a beküldés használatával.

      Üdvözlettel,

      Németh Krisztián