Δεν έχεις SSL; To Google σου βάζει Χ!

Security

11 Φεβρουαρίου 2016, από

Blogimages_Papaki_SSLGOOGLE

Update 25/10/2018: Η 70η έκδοση του Chrome έχει γίνει διαθέσιμη και πλέον φέρνει και κόκκινο “not secure” σε ορισμένα HTTP websites.

 

Όλοι πλέον ξέρουμε ότι όταν επισκεπτόμαστε site και κυρίως όταν ετοιμαζόμαστε να κάνουμε online αγορές ή να βάλουμε προσωπικά στοιχεία σε κάποια σελίδα, πρέπει να επιβεβαιώνουμε ότι είμαστε ασφαλείς. Πώς; Τσεκάρουμε ότι υπάρχει ενεργοποιημένο SSL -πιστοποιητικό ασφαλείας- και συνεπώς εμφανίζεται το απαραίτητο πράσινο λουκετάκι δίπλα στο URL.

Το κόκκινο Χ

Η Google, στην προσπάθειά της να τονίσει ότι η ασφάλεια στο ίντερνετ είναι μονόδρομος, θα “τιμωρεί” πλέον όλα τα site χωρίς SSL! Ο Chrome browser θα σου υποδεικνύει ότι ένα site δεν είναι κρυπτογραφημένο, και συνεπώς μη ασφαλές, με ένα κόκκινο “Χ” στο λουκετάκι πάνω στο URL της σελίδας που επισκέπτεσαι.

Ήδη από το 2014 αιωρείται στην ατμόσφαιρα η ιδέα, αλλά το πότε ακριβώς θα ξεκινήσει να εφαρμόζεται επίσημα η “τιμωρία” αυτή, δεν έχει ακόμη ανακοινωθεί. Φαίνεται πάντως ότι η στιγμή της αλήθειας πλησιάζει… Επίσης, συχνά πυκνά υψηλά στελέχη του τμήματος ασφαλείας της Google φαίνεται να μιλάνε και να τουιτάρουν σχετικά με το θέμα.

Μέχρι τώρα…

Ο Chrome εμφανίζει:

  • ένα εικονίδιο με μια λευκή σελίδα στα site εκείνα όπου δεν υπάρχει πρωτόκολλο ασφαλείας
  • ένα πράσινο λουκετάκι στα site που είναι ασφαλή και έχουν ‘https’ και
  • ένα λουκετάκι με κόκκινο “Χ” πάνω του όταν υπάρχει πρωτόκολλο αλλά κάτι δεν πάει καλά στη σελίδα.

Τι αλλάζει;

Με τη νέα αλλαγή στον Chrome, οι χρήστες παίρνουν ένα σινιάλο ασφάλειας μέσα στο διαδικτυακό χάος. Με ένα πολύ εμφανές σημάδι -το κόκκινο “Χ”- θα μπορείς να καταλάβεις αμέσως ότι η σελίδα δεν έχει αυθεντικοποιηθεί από κάποιον τρίτο, συνεπώς μπορεί να είναι επισφαλής. Με αυτόν τον τρόπο η Google υποστηρίζει δυναμικά, για άλλη μια φορά, την ασφάλεια και την κρυπτογράφηση των πάντων στο internet. Άλλωστε, η αυθεντικοποίηση κάποιου site δε διασφαλίζει μονάχα το να μην υποκλαπούν προσωπικά δεδομένα του επισκέπτη. Επιβεβαιώνει επίσης, ότι η συγκεκριμένη σελίδα είναι η αληθινή -κι όχι κάποια ψεύτικη αντιγραφή της γνήσιας που θέλεις να επισκεφτείς.

screenshot-www.zdnet.com 2016-02-08 11-53-06
Έτσι θα φαίνεται το site των New York Times μετά την αλλαγή!

 

Τα SSL

Εδώ λοιπόν, έρχονται τα πρωτόκολλα ασφαλείας, όπως για παράδειγμα τα SSL. Το SSL ουσιαστικά κρυπτογραφεί τα στοιχεία του κάθε χρήστη με μια μαθηματική διαδικασία, κωδικοποιώντας και αποκωδικοποιώντας πληροφορίες. Η κρυπτογράφηση αυτή εξασφαλίζει ότι μονάχα ο παραλήπτης της πληροφορίας θα μπορεί να τη ‘διαβάσει’. Η αυθεντικοποίηση είναι μια διαδικασία πιστοποίησης των στοιχείων κάποιου site και πραγματοποιείται από εξουσιοδοτημένη εταιρεία, μετά από έλεγχο. Με την αυθεντικοποίηση το site αλλάζει από ‘http’ σε ‘https’ και αποκτά το πράσινο λουκετάκι.

Με χαρά ανακοινώσαμε, πριν μερικές μέρες, ότι το Papaki υποστηρίζει το  Let’s Encrypt, ένα δωρεάν, open source SSL πιστοποιητικό! O “προστατευτικός κλοιός” όμως συνεχίζει να σφίγγει και πρέπει να ξέρεις τι πιστοποιητικό ασφαλείας χρειάζεται το site σου για να είστε -εσύ και οι επισκέπτες σου- καλυμμένοι.

Μάθε τα πάντα για τα πιστοποιητικά SSL σε αυτό το άρθρο και διάλεξε τον τύπο που καλύπτει τις ανάγκες σου.

Σε καλύπτει ένα Domain Validation (DV) αν έχεις:

  • blog, προσωπικό site (π.χ portfolio, κλπ)
  • site μικρής επιχείρησης

Καλύτερα να έχεις Organization Validation (OV) εάν έχεις:

  • μικρο-μεσαία/ μεγάλη επιχείρηση με online συναλλαγές
  • σελίδα με log in, όπου καταχωρούνται προσωπικά δεδομένα

Θα έχεις 100% ασφάλεια και την πράσινη μπάρα στο URL σου μόνο με ένα Extended Validation (ΕV). Είναι απαραίτητο εάν έχεις σελίδα για:

  • online κατάστημα/ Ecommerce
  • site το οποίο ζητάει προσωπικά δεδομένα και απαιτεί να κάνεις login ή έχει να κάνει με online συναλλαγή
  • τράπεζα ή οικονομικό οργανισμό
  • μεγάλο φορέα που καταχωρεί προσωπικά δεδομένα
  • το Δημόσιο
  • Μη Κυβερνητική Οργάνωση, το EV SSL συμβάλλει στο να σιγουρευτεί το κοινό ότι πρόκειται για έγγυρη οργάνωση με αληθινό σκοπό

Μάθε ό,τι χρειάζεται να ξέρεις για το EV SSL σε αυτό το άρθρο.

pinakas

Και τέλος…

Επιπλέον, ο Chrome, για να συμβάλλει στην προσπάθεια των site να γίνουν “πράσινα”, εισάγει ένα νέο πάνελ ασφαλείας στα DevTools. Εκεί εμφανίζονται και αναλύονται τα προβλήματα που σε κρατάνε μακριά από το ‘https’ και σε βοηθάει να καταλάβεις τι έχει πάει στραβά. Μάθε τα πάντα από το blog post των developers της Google.

Υπάρχει μια γενική και απαραίτητη τάση να γίνουν όλα πιο αυστηρά γύρω από το θέμα της ασφάλειας τους διαδικτύου. Πολλές ακόμη είναι οι εταιρείες και οι οργανισμοί που παλεύουν για ένα υψίστης ασφαλείας διαδίκτυο με την καμπάνια “Encrypt All The Things”.

Το ελάχιστο λοιπόν που μπορούμε να κάνουμε είναι να απαιτούμε από τις σελίδες που επισκεπτόμαστε να πιστοποιούν την ταυτότητα τους και να προστατεύουν τα προσωπικά μας στοιχεία! Για ένα ασφαλές και πράσινο internet :)

Ετικέτες

Μπες στη συζήτηση

Πες μας τη γνώμη σου!