Strona niezabezpieczona – jak to naprawić?

Ruszamy na sygnale! Część użytkowników w chwili powstawania tego wpisu ma już najnowszą wersję Chrome 68… i może się zdziwić, że większość znajomych stron zyskało oznaczenie „strona niezabezpieczona” lub informację, że „witryna nie umożliwia bezpiecznego połączenia” . Oddychaj spokojnie, pomożemy Ci to zrozumieć i naprawić.

Strona niezabezpieczona – czego dotyczy ostrzeżenie?

Kiedy dana strona internetowa ma prawidłowo zainstalowany certyfikat SSL, dane podawane na niej są szyfrowane jeszcze na komputerze użytkownika i przesyłane do serwera w postaci zaszyfrowanej. Jeśli jednak strona nie ma SSL – są one przesyłane jawnie, a to oznacza podatność na to, że ktoś mógłby podsłuchać je w trakcie transmisji.
Przeglądarki (pionierem jest w tym zakresie Google Chrome) informują użytkowników o tym, czy połączenie z daną stroną jest bezpieczne w sensie certyfikatu SSL, czy też nie. Schemat działania certyfikatu możesz zobaczyć poniżej:

Jak mogę usunąć ze strony komunikat o niebezpiecznym połączeniu?

Przyczyną komunikatu jest brak prawidłowego certyfikatu SSL. W ten sposób przeglądarka ostrzega Cię przed wejściem na stronę, która nie szyfruje komunikacji. Tego rodzaju strona stanowi potencjalne zagrożenie, ponieważ dane, które na niej zostawisz, mogą być stosunkowo łatwo przechwycone w drodze między Twoim komputerem i serwerem.

Aby usunąć taki komunikat należy prawidłowo zainstalować certyfikat SSL. Ważne, że wszystkie zasoby strony muszą być wczytywane z użyciem szyfrowanego protokołu HTTPS. Zdarza się czasem, że masz na serwerze certyfikat, ale w kodzie strony jest np. jeden obrazek, który jest wywołany przez HTTP:// anie przez HTTPS:// – to spowoduje już, że cała strona będzie uznana za niewiarygodną.

Dla pewności dodajm jeszcze, że jeśli szukasz odpowiedzi na pytanie: „Połączenie nie jest bezpieczne – jak to zmienić?” – to możesz to naprawić tylko jeśli jesteś administratorem strony. Jako jej użytkownik możesz co najwyżej zgodzić się w przeglądarce na to, żeby mimo potencjalnego zagrożenia – stronę otworzyć. Nie zalecam takiego postępowania, ponieważ komunikat ten jest po prostu prawdziwy – rzeczywiście strona nie zapewnia należytego poziomu ochrony i odradzam poruszanie się po takich stronach.

Certyfikat SSL – co on daje?

Certyfikat SSL w odniesieniu do strony www daje mnóstwo korzyści zarówno dla użytkowników, jak i właścicieli strony. Użytkownik przede wszystkim zyskuje pewność, że jest na właściwej stronie www (bo certyfikat potwierdza, kto jest właścicielem serwisu, który odwiedzasz – poziom wiarygodności zależy od tzw. poziomu walidacji certyfikatu) oraz – przede wszystkim – pewność, że jego dane, wprowadzone na stronie, zostaną zaszyfrowane w przeglądarce i odszyfrowane dopiero na serwerze.

A co posiadanie certyfikatu ssl może dać posiadaczowi strony?

Czy mogę korzystać ze strony bez certyfikatu SSL?

Komunikat wyświetlany przez Google ma określony cel – skłonić właścicieli stron do instalacji certyfikatu SSL. Jeśli jesteś zwykłym użytkownikiem, to według nas zwykłe przeglądanie takiej strony nie naraża Cię na szczególne niebezpieczeństwa, natomiast podawanie jakichkolwiek danych jest obarczone ryzykiem, że będą mogły być odczytane między Twoim komputerem i serwerem.

Istnieje zatem ryzyko, że zapisując się na newsletter udostępnisz swój adres mailowy nie tylko właścicielowi strony, ale także potencjalnemu atakującemu. To samo dotyczy wszelkich innych danych osobowych lub płatniczych – zdecydowanie zalecamy podawanie takich danych wyłącznie na stronach chronionych certyfikatem SSL, inaczej istnieje duże prawdopodobieństwo że brak tu zabezpieczenia strony i nasze dane mogą wyciec.

Jeśli jesteś właścicielem strony i choć odrobinę zależy Ci na oglądalności Twojej strony – wyboru w zasadzie nie masz, certyfikat SSL jest dla Ciebie koniecznością. Brak certyfikatu oznacza, że użytkownicy mniej chętnie będą korzystać z Twojej strony, a w dobie RODO narażasz się na ewentualne sankcje związane z narażeniem danych osobowych użytkowników na niebezpieczeństwo, jeśli zbierasz takie dane i wysyłasz je do serwera.

Strona niezabezpieczona – jak rozwiązać problem?

Jeśli jesteś właścicielem strony i przeglądarka oznaczyła ją jako niezabezpieczoną – mamy dobrą wiadomość. Potrzebujesz zainstalować certyfikat SSL. Polecamy skorzystanie z promocji SSL, dostępnej w chwili pisania tego artykułu. Nasi pracownicy zainstalują certyfikat na serwerze. Żeby strona działała w pełni prawidłowo, zwróć uwagę na to, że:

1. O planowanej zmianie poinformuj osoby zajmujące się Twoim marketingiem – w szczególności kampaniami Google Ads oraz pozycjonowaniem. Muszą wiedzieć o tej zmianie, żeby od razu prawidłowo kierować ruch na nowy adres z https:// z przodu.
2. Wszystkie zasoby (arkusze stylów, obrazki) – muszą być wczytywane po protokole https, wszystkie odwołania w treści strony muszą zostać zmienione na https. W przeciwnym wypadku przeglądarka zwróci błąd tzw. mixed content, czyli mieszana zawartość, która nie może być uznana za w pełni bezpieczną.
3. Strona powinna automatycznie przekierować żądania płynące po niezabezpieczonym protokole http:// na chronioną certyfikatem wersję https:// – zazwyczaj realizuje się to w pliku .htaccess
4. Jeśli w internecie są linki do Twojej strony po http://, czyli sprzed wdrożenia certyfikatu SSL, to zrób wszystko, żeby zamienić je na wersje z https:// – czyli korzystającą z certyfikatów SSL. W przeciwnym wypadku pozostanie Ci przygotowanie przekierowań 301 w Twoim .htccess, jednak zdania specjalistów od SEO są podzielone – część uważa, że takie przekierowanie odbiera kilka procent „mocy” w ocenie przez algorytmy wyszukiwarki.