Ruszamy na sygnale! Część użytkowników w chwili powstawania tego wpisu ma już najnowszą wersję Chrome 80 i już dawno śpi spokojnie, … ale wciąż może się zdziwić, że znajomi serfując w sieci widzą witrynę z etykietą „strona niezabezpieczona” lub informację, że „witryna nie umożliwia bezpiecznego połączenia” . Taki komunikat pojawia się osobom, które mają Chrome w wersji 68 i wyżej. Mając aktualną wersję, ten problem rozwiązałeś już pewnie dawno temu. Co właściwie oznacza to ostrzeżenie? I dlaczego tak ważny jest SSL?

Strona niezabezpieczona – czego dotyczy ostrzeżenie?

Kiedy dana strona internetowa ma prawidłowo zainstalowany certyfikat SSL, dane podawane na niej są szyfrowane jeszcze na komputerze użytkownika i przesyłane do serwera w postaci zaszyfrowanej. Jeśli jednak strona nie ma SSL – są one przesyłane jawnie, a to oznacza podatność na to, że ktoś mógłby podsłuchać je w trakcie transmisji.
Przeglądarki (pionierem jest w tym zakresie Google Chrome) informują użytkowników o tym, czy połączenie z daną stroną jest bezpieczne w sensie certyfikatu SSL, czy też nie. Schemat działania certyfikatu możesz zobaczyć poniżej:

Jak działa certyfikat ssl

Jak mogę usunąć ze strony komunikat o niebezpiecznym połączeniu?

Przyczyną komunikatu jest brak prawidłowego certyfikatu SSL. W ten sposób przeglądarka ostrzega Cię przed wejściem na stronę, która nie szyfruje komunikacji. Tego rodzaju strona stanowi potencjalne zagrożenie, ponieważ dane, które na niej zostawisz, mogą być stosunkowo łatwo przechwycone w drodze między Twoim komputerem i serwerem.

Aby usunąć taki komunikat należy prawidłowo zainstalować certyfikat SSL. Ważne, że wszystkie zasoby strony muszą być wczytywane z użyciem szyfrowanego protokołu HTTPS. Zdarza się czasem, że masz na serwerze certyfikat, ale w kodzie strony jest np. jeden obrazek, który jest wywołany przez HTTP:// anie przez HTTPS:// – to spowoduje już, że cała strona będzie uznana za niewiarygodną.

Dla pewności dodajm jeszcze, że jeśli szukasz odpowiedzi na pytanie: „Połączenie nie jest bezpieczne – jak to zmienić?” – to możesz to naprawić tylko jeśli jesteś administratorem strony. Jako jej użytkownik możesz co najwyżej zgodzić się w przeglądarce na to, żeby mimo potencjalnego zagrożenia – stronę otworzyć. Nie zalecam takiego postępowania, ponieważ komunikat ten jest po prostu prawdziwy – rzeczywiście strona nie zapewnia należytego poziomu ochrony i odradzam poruszanie się po takich stronach.

Certyfikat SSL – co on daje?

Certyfikat SSL w odniesieniu do strony www daje mnóstwo korzyści zarówno dla użytkowników, jak i właścicieli strony. Użytkownik przede wszystkim zyskuje pewność, że jest na właściwej stronie www (bo certyfikat potwierdza, kto jest właścicielem serwisu, który odwiedzasz – poziom wiarygodności zależy od tzw. poziomu walidacji certyfikatu) oraz – przede wszystkim – pewność, że jego dane, wprowadzone na stronie, zostaną zaszyfrowane w przeglądarce i odszyfrowane dopiero na serwerze.

A co posiadanie certyfikatu ssl może dać posiadaczowi strony?

Kiedy masz certyfikat SSLKiedy nie masz certyfikatu SSL
Zapewnienie poufności mimo przechwycenia transmisjiUtrata poufności w razie przechwycenia transmisji
Zielona kłódka w pasku ChromeAlarm w pasku adresowym Chrome
Większe zaufanie przekłada się na interakcje z Twoją stroną – więcej konwersjiBrak certyfikatu zniechęca do interakcji ze stroną – mniejsza liczba konwersji
Łatwiej osiągniesz wysokie pozycje w wynikach wyszukiwania w GoogleBrak certyfikatu SSL utrudnia pozycjonowanie strony w Google
Reklama dla sklepów Shopping Ads (Google Ads) możliwaStosowanie Google Ads, a dokładnie Shopping Ads niemożliwe
Lepsza dokładność analitykiJeśli masz http a ruch trafia z https – dane są ucinane i trafiają do Ciebie jako Direct

Certyfikat SSL jest niezbędny, kiedy prowadzisz sklep. W _Stores możesz otrzymać go bezpłatnie.

_Stores to platforma, na której szybko i łatwo postawisz własny sklep internetowy. Poznaj nasze oprogramowanie sklepu internetowego.

Czy mogę korzystać ze strony bez certyfikatu SSL?

Komunikat wyświetlany przez Google ma określony cel – skłonić właścicieli stron do instalacji certyfikatu SSL. Jeśli jesteś zwykłym użytkownikiem, to według nas zwykłe przeglądanie takiej strony nie naraża Cię na szczególne niebezpieczeństwa, natomiast podawanie jakichkolwiek danych jest obarczone ryzykiem, że będą mogły zostać odczytane między Twoim komputerem i serwerem.

Istnieje zatem ryzyko, że zapisując się na newsletter udostępnisz swój adres mailowy nie tylko właścicielowi strony, ale także potencjalnemu atakującemu. To samo dotyczy wszelkich innych danych osobowych lub płatniczych – zdecydowanie zalecamy podawanie takich danych wyłącznie na stronach chronionych certyfikatem SSL, inaczej istnieje duże prawdopodobieństwo że brak tu zabezpieczenia strony i nasze dane mogą wyciec.

Jeśli jesteś właścicielem strony i choć odrobinę zależy Ci na oglądalności Twojej strony – wyboru w zasadzie nie masz, certyfikat SSL jest dla Ciebie koniecznością. Brak certyfikatu oznacza, że użytkownicy mniej chętnie będą korzystać z Twojej strony, a w dobie RODO narażasz się na ewentualne sankcje związane z narażeniem danych osobowych użytkowników na niebezpieczeństwo, jeśli zbierasz takie dane i wysyłasz je do serwera.

Strona niezabezpieczona – jak rozwiązać problem?

Jeśli jesteś właścicielem strony i przeglądarka oznaczyła ją jako niezabezpieczoną – mamy dobrą wiadomość. Potrzebujesz zainstalować certyfikat SSL. Polecamy skorzystanie z promocji SSL, dostępnej w chwili pisania tego artykułu. Nasi pracownicy zainstalują certyfikat na serwerze. Żeby strona działała w pełni prawidłowo, zwróć uwagę na to, że:

  1. O planowanej zmianie poinformuj osoby zajmujące się Twoim marketingiem – w szczególności kampaniami Google Ads oraz pozycjonowaniem. Muszą wiedzieć o tej zmianie, żeby od razu prawidłowo kierować ruch na nowy adres z https:// z przodu.

  2. Wszystkie zasoby (arkusze stylów, obrazki) – muszą być wczytywane po protokole https, wszystkie odwołania w treści strony muszą zostać zmienione na https. W przeciwnym wypadku przeglądarka zwróci błąd tzw. mixed content, czyli mieszana zawartość, która nie może być uznana za w pełni bezpieczną.

  3. Strona powinna automatycznie przekierować żądania płynące po niezabezpieczonym protokole http:// na chronioną certyfikatem wersję https:// – zazwyczaj realizuje się to w pliku .htaccess.

  4. Jeśli w internecie są linki do Twojej strony po http://, czyli sprzed wdrożenia certyfikatu SSL, to zrób wszystko, żeby zamienić je na wersje z https:// – czyli korzystającą z certyfikatów SSL. W przeciwnym wypadku pozostanie Ci przygotowanie przekierowań 301 w Twoim .htccess, jednak zdania specjalistów od SEO są podzielone – część uważa, że takie przekierowanie odbiera kilka procent „mocy” w ocenie przez algorytmy wyszukiwarki.
Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?