A felhasználók által megadott adatok nincsenek biztonságban, ha a böngésző és a webszerver közötti kommunikációs csatorna titkosítatlan. Erre megoldást jelent az SSL technológia, amivel biztonságos adatátviteli kapcsolat jön létre.
Mit jelent az SSL tanúsítvány?
Az SSL (Secure Sockets Layer) megvédi a böngészőbe írt felhasználói adatokat (jelszavakat, banki azonosítókat, e-mail címeket, stb.), és hitelesíti a weboldal tulajdonosát, ezáltal biztosítva, hogy a megadott adatok nem kerülnek harmadik félhez az űrlap küldés gombjának megnyomása után. A biztonságos webhely a tulajdonost is minősíti, minden felhasználó és a keresőmotorok is látják, hogy a weboldal mögött álló ember megbízható.
Tulajdonképpen minden weboldalnak szüksége lenne rá, még akkor is, ha nem kezel űrlapokat, hiszen a felhasználók nagyobb biztonságban és fokozottabb adatvédelemben részesülnek a böngészés során. Azok a felhasználók, akik olyan oldalakon böngésznek, ahol nem használnak SSL tanúsítványt, nagyobb eséllyel vannak kitéve a hackerek támadásának, hiszen semmi nem védi őket attól, hogy az adataik és a bizalmas információik, böngészési előzményeik, internetezési szokásaik illetéktelen kezekbe kerüljenek.
A legfrissebb 2018-as kimutatások szerint a weboldalak 50% felett alkalmaznak SSL tanúsítványt felhasználóik védelme érdekében, és ez a szám folyamatosan növekedik, ami biztató.
Hogyan működik?
- A felhasználó beüti a weboldal címét a böngészőbe.
- A szerver válaszol a kérésére úgy, hogy elküldi a webhely SSL tanúsítványát és egy nyilvános kulcsot a böngészőnek.
- A böngésző leellenőrzi a tanúsítványt (érvényes-e, megbízható-e a kiállító, megfelelő-e a domain), majd a nyilvános kulcs segítségével létrehoz egy titkosított kulcsot, amit visszaküld a szerverre.
- A szerver dekódolja, majd teljesíti a kérést, és visszaküldi az információt a böngészőnek a titkos kulccsal.
- A böngésző dekódolja az információt, és megjeleníti a képernyőn.
A Google is komolyan veszi a biztonságot
2018 októberétől a Google Chrome újabb komoly lépéseket tesz a nem biztonságos weboldalakkal szemben. A weboldal neve mellett a „Nem biztonságos” feliratot jól látható módon, pirossal helyezi el, ezzel is felhívva a felhasználók figyelmét, hogy kerüljék el az ilyen típusú webhelyeket.
A Google már régóta sürgeti a tulajdonosokat abban, hogy biztonságosítsák honlapjaikat, hiszen 2014 óta még a találati listán is előrébb rangsorolja a https-sel rendelkező oldalakat. A végső cél nincs véka alá rejtve, az SSL (zöld lakat) hatásai már most kézzelfoghatóak, de hosszú távon minden weboldalnak biztonságosnak kell lennie.
Milyen SSL típusok léteznek?
- Domain tanúsítvány
Általában ez a megoldás a legolcsóbb, és hitelesítik, hogy a domain mögött valós személy található. A domain neve mellett megjelenik a zöld lakat, a tanúsítvány kiterjesztésével pedig elérhető, hogy a cég vagy vállalkozás neve is látható legyen. Természetesen a kiterjesztés drágább, és komolyabb ellenőrzést tartanak az igénylőknél. - Ingyenes tanúsítvány
Leggyakoribb a webszerverek által biztosított Let's Encrypt nevű szolgáltatás, jó megoldás az átállásra, és nem is kerül semmibe. A beállításokat a szerveresek intézik, de sok helyen lehetőség van a Cpanelben is telepíteni. Mivel ingyenes, az SSL-t használó oldalak harmadát védi. Fő szponzorai között van a Mozilla, a Google Chrome, a Facebook, a Cisco és a Shopify. Generálása pár lépésből áll, leveszi a tulajdonosok válláról a nehézkes validációs, aláírási és telepítési feladatokat, valamint a tanúsítványok megújítása is automatikus.
A legfontosabb teendők
A tanúsítvány beszerzése nem nehéz feladat, de önmagában nem elegendő. A weboldalt és a Google Search Console-t is fel kell készíteni rá. Néhány pontban összefoglaltuk a fontosabb teendőket:
- Telepíteni kell a kiválasztott SSL-t a webszerverre.
- A domain nevét alaposan ellenőrizni kell a telepítés során, mert hiba esetén a böngészők megakadályozzák a webhely betöltését.
- A https legyen az alapértelmezett weboldalverzió.
- A weboldal https verzióját fel kell venni az Analytics és Search Console eszközökbe.
- A http URL-eket 301-es átirányítással át kell irányítani a https változatra.
- A belső és külső linkek is https URL-ekre mutassanak.
- A webhelytérképben is https URL címek szerepeljenek.
- Ellenőrizni kell minden aloldalt, és a vegyes tartalmakat (olyan iframe, kép, link szerepel a kódban, ami nem biztonságos) javítani kell.
- Ügyelni kell az SSL tanúsítvány időben történő meghosszabbítására.
Valóban biztonságos egy https weboldal?
Egy tanúsítványt bárki megvásárolhat, és máris 100%-osan biztonságosnak mondható a weboldala? Sajnos nem. A tanúsítvány a szerver és a böngésző közötti adatcserét titkosítja, de ha egy hacker a szerverhez fér hozzá, akkor máris minden adatot ki tud olvasni, és ettől már nem véd meg senkit az SSL tanúsítvány.
Sok weboldalnál csak a fontosabb aloldalak működnek https előtaggal, de vannak olyanok, amelyek nem. Ezekre nagyon kell figyelni, mert ha csak a böngészés elején ellenőrizzük a lakatot, akkor a hamis biztonságérzet miatt hamar áldozatul eshetünk az adathalászoknak. Folyamatosan ellenőrizni kell, hogy egy adott honlap minden oldala biztonságos kapcsolattal rendelkezzen.
Látható, hogy az SSL nem megfelelő alkalmazása és beállítása rést okozhat a védelmi pajzson, amit ha illetéktelenek kihasználnak, akkor máris nincsenek biztonságban a felhasználói adatok.