Mitől lett hirtelen ennyi nem biztonságos weboldal?

Ha valaki szorgalmasan frissíti a Chrome böngészőt, az elmúlt pár napban azt tapasztalhatta, hogy a címsorban, a weboldalak URL címe mellett megszaporodtak a Nem biztonságos feliratok. De mégis mitől lett hirtelen ennyi nem biztonságos weboldal, amikor a múlt héten még minden rendben volt? Nos, valójában a számuk nem szaporodott, csak éppen a Google döntött úgy, hogy ezentúl nyomatékosabban hívja fel a felhasználók figyelmét arra, ha adataik nincsenek biztonságban.

 

Chrome figyelmeztetés: Not secure, avagy Nem biztonságos weboldal

A Google nem most kezdett boszorkányüldözésbe. Már jóelőre jelezték, hogy megpróbálják a biztonságos internet felé hajtani a felhasználókat és a fejlesztőket egyaránt. Márpedig egy weboldal esetében az ún. SSL tanúsítvány használata jelenti az első lépést ebbe az irányba, hiszen a http helyett https protokollon keresztül kommunikáló oldal tudja biztosítani a titkosított kapcsolatot a felhasználó és a honlap között, nem beszélve arról, hogy a megfelelő tanúsítvánnyal egyszerűbb beazonosítani a honlap tulajdonosát is. Az SSL tanúsítványoknak több – olcsóbbtól a nagyon drágáig – változata van, így mást használnak az online banki oldalakon és mást egy sima blogon (befolyásolhatja a választást például az aldomain használat szükségessége, a weblap tulajdonosának részletesebb információi, malware védelmi funkció, titkosítási szint stb.). Ettől még a felhasználók felé az alaptétel adott: egy SSL tanúsítvánnyal ellátott oldalon – mint azt korábbi, a biztonságos internetezés módszereivel foglalkozó cikkünkben is leírtuk – nagyobb biztonságban adhatják meg személyes adataikat, mintha anélkül tennék.

A Chrome eddig is kiemelten jelezte, ha biztonságos oldalt látogattunk meg – ahol a felhasználó és a szerver között titkosítva zajlik az adatcsere az adott weblapon -, de nem hívta fel külön a figyelmet, ha nem így történt. Mindössze akkor szólt, hogy nem biztonságos a kapcsolat, ha ténylegesen egy webes űrlap kitöltésére készültünk. Mostantól azonban más szelek fújnak, a Chrome 68-as verziójától kezdve a böngésző már egy sima, űrlapmentes oldal esetében is kiírja, ha annak nincs SSL tanúsítványa. Ezt jelöli a megszaporodó Not secure avagy Nem biztonságos felirat a legtöbb oldal URL címe előtt.

Vagyis attól, hogy ezt a feliratot látjuk, nem feltétlenül kell hanyatt-homlok elmenekülni az adott weboldalról. Legfeljebb azt gondoljuk meg jól, ha egy űrlapot, feliratkoztatási mezőt töltünk ki, s pláne ha bankkártya adatokat adunk meg. Utóbbit ne is tegyük inkább SSL mentes oldalon!

Értelemszerűen egy sima híroldal, blog böngészése esetében nincs nagy biztonsági kockázat az SSL hiányában, pláne ha tudjuk, hogy megbízható oldalról van szó, bár ettől még adataink titkosítás nélkül maradnak, ami biztonsági szempontból nem szerencsés, ezért személyes adatokat ilyenkor se adjunk meg például űrlapokon. A magukra valamit is adó portálok azért már igyekeztek meglépni az SSL tanúsítvány beszerzését és az átállást. De ha nem a felhasználók biztonsága miatt tették meg, akkor legalább azért, mert egy ideje a SEO optimalizálást is befolyásolja az SSL tanúsítvány megléte. De például egy webshopot üzemeltetni SSL tanúsítvány nélkül már bátor, vagy inkább botor dolog (ahogy egy ilyenen vásárolni is…).

A váltás persze nem mindig zökkenőmentes, így ez is visszatarthatott sok honlap üzemeltetőt. Mostantól viszont nagyobb a nyomás rajtuk, hiszen jelenleg a Chrome a legnépszerűbb böngésző, szóval az internetezők nagyobb fele ütközik a Nem biztonságos feliratba, s közel sem biztos, hogy a többi böngészőgyártó nem lépi meg ugyanezt.

 

Egyre kevesebb ilyen lesz

Tekintve, hogy a Google ebbe az irányba nyomja az internetet, idővel várhatóan egyre kevesebb SSL mentes oldalba botlunk majd, hiszen a honlapok üzemeltetőinek is egyre inkább érdeke az átállás. Ennek örömére a későbbi frissítéseknél a Google épp a biztonságos oldalaknál hagyja majd el a kijelzést (kivéve űrlapkitöltésnél), hiszen abban bíznak, az SSL tanúsítvány használata lesz az alapértelmezett minden oldalon. Az SSL-t nem alkalmazóknál viszont szép piros felirat jelzi majd az űrlapoknál (regisztráció, belépés, hírlevél feliratkozás, megrendelés stb.), hogy nagyon nem javasolt ott személyes adatokat megadni.

Mi korábban a WordPress alapú oldalak esetében adtunk tippeket az SSL-re átállóknak, az ugyanis egy összetettebb WordPress oldal esetében nem feltétlenül egyszerű feladat. Szerencsére van majdnem “egy kattintásos” megoldás is rá, igaz, nem ingyen, de aki spórolni akar, annak is vannak alternatív utak. A váltás egyébként nem csak a Google jelenlegi megoldása miatt hasznos fejlesztői oldalról sem. A GDPR megfelelés, a mobilfejlesztés és még számos terület alapját jelentheti, ha a honlapokat SSL tanúsítvánnyal látják el. A felhasználóknak pedig mindössze annyi a dolguk, hogy adataik megadásakor ellenőrzik, van-e SSL tanúsítvány a kérdéses oldalon.

 

Funkció kikapcsolása Chrome-ban

Nem igazán javasoljuk (sőt, inkább ellenezzük), de ha valaki szabadulna ettől a funkciótól az új Chrome-ban, akkor a chrome://flags részben teheti ezt meg. Csak meg kell keresni a listában az alábbi bejegyzést:

Mark non-secure origins as non-secure

Itt több variációból is választhatunk, de ha a Disabled értékre állítjuk, majd újraindítjuk a böngészőt, többé nem kapunk jelölést az URL cím előtt a weboldalak megbízhatóságára vonatkozóan. Viszont továbbra is azt tanácsoljuk: a saját adatainak biztonsága érdekében senki ne kapcsolja ki ezt a funkciót.

 

Ne maradjon le erről sem!