W lutym informowałem o tym, że Chrome, wraz z wydaniem 68, zacznie oznaczać wszystkie strony nie znajdujące się na szyfrowanym połączeniu jako niebezpieczne. Ten dzień właśnie nadszedł.

Od wtorku, 24 lipca, wraz z wydaniem Chrome w wersji 68, wszystkie strony bez certyfikatu TLS zostały oznaczone jako potencjalnie niebezpieczne. Dodatkowo, wszystkie strony znajdujące się na nie szyfrowanym połączeniu nie mogą liczyć na dobre miejsce w wyszukiwarce Google. Według Google to kolejny krok w stronę bezpieczniejszej sieci.

Popularność zielonej kłódki stale wzrasta. Nie jestem jednak do końca przekonany czy to dobre zjawisko. Samo zabezpieczenia połączenia jest oczywiście jak najbardziej dobre (choć dyskutować można na temat wykorzystania protokołu https na stronach na których nie ma logowania, ani żadnych innych form wpisywania swoich danych). W powszechnym odbiorze komunikat połączenie jest bezpieczne znacznie usypia jednak czujność użytkowników sieci, którzy uznają taką stronę za w pełni bezpieczną. PhishLabs wskazuje, że obecnie już blisko 25 procent stron wykorzystywanych przez cyberprzestępców do ataków phishingowych także używa protokołu https. Z końcem 2016 roku z usługi takiej korzystało zaledwie 3 procent stron nastawionych na oszustwo i wyłudzenie danych, a zaledwie dwa lata wcześniej było to mniej niż jeden procent. Tendencja wzrostowa dotyczy więc także stron wykorzystywanych do cyberataków, a więc zabezpieczone połączenie nie jest gwarantem pełnego bezpieczeństwa i nadal obowiązują nas podstawowe zasady zachowań w sieci.

Chcąc, nie chcąc, musisz zainstalować SSL

Wracając jednak do tematu. Jeśli masz stronę, blog lub jakikolwiek portal w Internecie, a nie wdrożyłeś do tej pory protokołu SSL to musisz to zrobić (jeśli chcesz się oczywiście liczyć w sieci). Chyba każdy obecnie serwis hostingowy oferuje certyfikaty bezpieczeństwa. Warto jednak wspomnieć, że wśród rozwiązań płatnych, protokół https na swojej stronie można wdrożyć także za pomocą bezpłatnych narzędzi dostępnych w sieci. Jednym z nich jest inicjatywa Let’s Encrypt. Jak to dokładnie zrobić opiszę na przykładzie tego bloga, a w razie jakichś wątpliwości na ewentualne pytania odpowiem w komentarzach.

Certyfikat bezpieczeństwa możemy zainstalować dla swojej strony na kilka sposobów. Ja preferuję te najprostsze, które można wdrożyć online i które nie wymagają skomplikowanych czynności. Jedną z takich usług jest zerossl.com. Po przejściu na stronę serwisu wybieramy opcję online tools oraz start. Teraz mamy do dyspozycji formularz, który wypełniamy swoimi danymi – adresem email oraz nazwą domeny (z www lub bez). Po wypełnieniu wygenerujemy sobie, a także będziemy mieć możliwość pobrania klucza oraz CSR, które będą nam potrzebne do zainstalowania certyfikatu na swoim hostingu. W kolejnym kroku do pobrania będą jeszcze dwa pliki, które, w celu weryfikacji, będziemy musieli umieścić na swoim serwerze w katalogu głównym swojego serwisu w utworzonych do tego celu katalogach /.well-known/acme-challenge. Przypadłość darmowych rozwiązań jest jednak taka, że są one aktywne przez 90 dni, po czym część procedury musimy przejść ponownie (należy odnowić certyfikat). Po zainstalowaniu certyfikatu w panelu administracyjnym swojego hostingu musimy jeszcze (jeśli korzystamy np. z rozwiązań CMS jak WordPress czy Joomla) takie rozwiązanie uruchomić. W Joomla jest to włączenie wymuszenia https w ustawieniach globalnych witryny. Od tego momentu możemy się już cieszyć protokołem SSL na swojej stronie.

Zapraszam do komentowania. W przypadku wątpliwości postaram się na bieżąco odpowiadać.