Podziel się

Strona niezabezpieczona – jak to naprawić?


Ruszamy na sygnale! Część użytkowników w chwili powstawania tego wpisu ma już najnowszą wersję Chrome 68… i może się zdziwić, że większość znajomych stron zyskało oznaczenie „strona niezabezpieczona”. Oddychaj spokojnie, pomożemy Ci to zrozumieć i naprawić.


Strona niezabezpieczona – czego dotyczy ostrzeżenie?

Kiedy dana strona internetowa ma prawidłowo zainstalowany certyfikat SSL, dane podawane na niej są szyfrowane jeszcze na komputerze użytkownika i przesyłane do serwera w postaci zaszyfrowanej. Jeśli jednak strona nie ma SSL – są one przesyłane jawnie, a to oznacza podatność na to, że ktoś mógłby podsłuchać je w trakcie transmisji.
Przeglądarki (pionierem jest w tym zakresie Google Chrome) informują użytkowników o tym, czy połączenie z daną stroną jest bezpieczne w sensie certyfikatu SSL, czy też nie. Schemat działania certyfikatu możesz zobaczyć poniżej:

Certyfikat SSL - jak to działa?

Certyfikat SSL – co on daje?

Certyfikat SSL w odniesieniu do strony www daje mnóstwo korzyści zarówno dla użytkowników, jak i właścicieli strony. Użytkownik przede wszystkim zyskuje pewność, że jest na właściwej stronie www (bo certyfikat potwierdza, kto jest właścicielem serwisu, który odwiedzasz – poziom wiarygodności zależy od tzw. poziomu walidacji certyfikatu) oraz – przede wszystkim – pewność, że jego dane, wprowadzone na stronie, zostaną zaszyfrowane w przeglądarce i odszyfrowane dopiero na serwerze.

A co posiadanie certyfikatu może dać posiadaczowi strony?

Kiedy masz certyfikat SSL Kiedy nie masz certyfikatu SSL
Zapewnienie poufności mimo przechwycenia transmisji Utrata poufności w razie przechwycenia transmisji
Zielona kłódka w pasku Chrome Alarm w pasku adresowym Chrome
Większe zaufanie przekłada się na interakcje z Twoją stroną – więcej konwersji Brak certyfikatu zniechęca do interakcji ze stroną – mniejsza liczba konwersji
Łatwiej osiągniesz wysokie pozycje w wynikach wyszukiwania w Google Brak certyfikatu SSL utrudnia pozycjonowanie strony w Google
Reklama dla sklepów Shopping Ads (Google Ads) możliwa Stosowanie Google Ads, a dokładnie Shopping Ads niemożliwe
Lepsza dokładność analityki Jeśli masz http a ruch trafia z https – dane są ucinane i trafiają do Ciebie jako Direct

Czy mogę korzystać ze strony bez certyfikatu SSL?

Komunikat wyświetlany przez Google ma określony cel – skłonić właścicieli stron do instalacji certyfikatu SSL. Jeśli jesteś zwykłym użytkownikiem, to według nas zwykłe przeglądanie takiej strony nie naraża Cię na szczególne niebezpieczeństwa, natomiast podawanie jakichkolwiek danych jest obarczone ryzykiem, że będą mogły być odczytane między Twoim komputerem i serwerem.

Istnieje zatem ryzyko, że zapisując się na newsletter udostępnisz swój adres mailowy nie tylko właścicielowi strony, ale także potencjalnemu atakującemu. To samo dotyczy wszelkich innych danych osobowych lub płatniczych – zdecydowanie zalecamy podawanie takich danych wyłącznie na stronach chronionych certyfikatem SSL.

Jeśli jesteś właścicielem strony i choć odrobinę zależy Ci na oglądalności Twojej strony – wyboru w zasadzie nie masz, certyfikat SSL jest dla Ciebie koniecznością. Brak certyfikatu oznacza, że użytkownicy mniej chętnie będą korzystać z Twojej strony, a w dobie RODO narażasz się na ewentualne sankcje związane z narażeniem danych osobowych użytkowników na niebezpieczeństwo, jeśli zbierasz takie dane i wysyłasz je do serwera.

Strona niezabezpieczona – jak rozwiązać problem?

Jeśli jesteś właścicielem strony i przeglądarka oznaczyła ją jako niezabezpieczoną – mamy dobrą wiadomość. Potrzebujesz zainstalować certyfikat SSL. Polecamy skorzystanie z promocji SSL, dostępnej w chwili pisania tego artykułu. Nasi pracownicy zainstalują certyfikat na serwerze. Żeby strona działała w pełni prawidłowo, zwróć uwagę na to, że:

  1. O planowanej zmianie poinformuj osoby zajmujące się Twoim marketingiem – w szczególności kampaniami Google Ads oraz pozycjonowaniem. Muszą wiedzieć o tej zmianie, żeby od razu prawidłowo kierować ruch na nowy adres z https:// z przodu.
  2. Wszystkie zasoby (arkusze stylów, obrazki) – muszą być wczytywane po protokole https, wszystkie odwołania w treści strony muszą zostać zmienione na https. W przeciwnym wypadku przeglądarka zwróci błąd tzw. mixed content, czyli mieszana zawartość, która nie może być uznana za w pełni bezpieczną.
  3. Strona powinna automatycznie przekierować żądania płynące po niezabezpieczonym protokole http:// na chronioną certyfikatem wersję https:// – zazwyczaj realizuje się to w pliku .htaccess
  4. Jeśli w internecie są linki do Twojej strony po http://, czyli sprzed wdrożenia certyfikatu SSL, to zrób wszystko, żeby zamienić je na wersje z https:// – czyli korzystającą z certyfikatów SSL. W przeciwnym wypadku pozostanie Ci przygotowanie przekierowań 301 w Twoim .htccess, jednak zdania specjalistów od SEO są podzielone – część uważa, że takie przekierowanie odbiera kilka procent „mocy” w ocenie przez algorytmy wyszukiwarki.

Jeśli chcesz zabezpieczyć stronę i uzyskać wszystkie te korzyści – sprawdź promocyjną ofertę certyfikatów SSL

Odpowiedz

Adres email nie będzie opublikowany.

*