Google wymusza HTTPS://

logo chrome „Przyjaźń” Google i SSL trwa już od dawna.

Pierwszym jej przejawem było przejście w 2011 roku wyszukiwarki na bezpieczne połączenie, czyli się na adres https://www.google.pl.

Był to także moment zmian w analityce wejść bo pojawiał się „not provided” i analizy się trochę zagmatwały.

Kolejny epizod z SSL lub bardziej z TSL mieliśmy w sierpniu 2014 roku gdy Google ogłosiło, że bezpieczne połączenie będzie czynnikiem rankingowym.

Wiele witryn było wtedy przenoszonych na bezpieczne połączenie ale po jakimś czasie okazało się, że wpływ tej zmiany na wyniki nie jest mierzalny. Za to przy przenosinach cześć witryn zanotowała spadki.

Mimo tego był to pierwszy moment, w którym o HTTPS:// trzeba było zacząć myśleć.

W 2015 roku Google trochę posprzątał i ustalił zasady.

Jeśli witryna ma wersje HTTPS:// to ona może znacząc traktowana jako główna wersja.

Warto było wtedy zadbać o to by dostępna była jedna wersja, zwłaszcza jeśli powinna być to wersja na normalnym połączeniu czyli http://. Gdy tak nie było to użytkownik wchodzący na wersje htts:// otrzymywał komunikaty o niepełnym bezpieczeństwie witryn gdy np zdjęcia dalej były pobierane z http://
Ale za to było to moment także zmiany polityki Google, na plus, w kontekście powielenia pomiędzy tymi protokołami.

W 2016 roku technicznie nic się nie zmieniło, za to Google ustami pracowników ogłosiło, że od 2017 roku polityka związana z SSL się zmieni, zwłaszcza sklepy powinny korzystać z bezpiecznych połączeń.

Jak widać chłopaki i dziewczyny z Google mają lepsze pomysły. W październiku 2016 na blogu developerskim Google oznajmili, że od stycznia 2017 przeglądarka Chrome będzie ostrzegała użytkowników przed witrynami w http://, które maja pola haseł i kart kredytowych.

Jak zapowiedzieli tak robili, od wczoraj jestem zasypywany mailami z GSC związanymi z Chrome i http://.

Jak brzmi ta wiadomość?

Przykład:

Niezabezpieczone pobieranie haseł będzie powodować wyświetlanie w przeglądarce Chrome w wersji 56 ostrzeżeń dla strony internetowej http://………….

Do: Właściciel strony internetowej http://…………./

Od stycznia 2017 roku w przeglądarce Chrome (w wersji 56 i nowszych) strony internetowe, które zawierają formularze do wprowadzania haseł lub numerów kart kredytowych, będą oznaczane jako niezabezpieczone, o ile nie będą wykorzystywać protokołu HTTPS.

Na wskazanych poniżej stronach internetowych, znajdują się pola do wprowadzania haseł lub numerów kart kredytowych, które będą powodować wyświetlanie w przeglądarce Chrome nowych ostrzeżeń. Zapoznaj się z podanymi przykładami, by przekonać się, w których miejscach będą wyświetlane ostrzeżenia, i podejmij odpowiednie kroki w celu ochrony danych użytkowników. Ta lista nie jest wyczerpująca.

http://www………org/……..html
http://www…….org/…………html

Nowe ostrzeżenie stanowi element pierwszej fazy długoterminowego planu mającego na celu oznaczenie wszystkich stron, które obsługują bezszyfrowy protokół HTTP, jako niezabezpieczonych.
Aby rozwiązać ten problem:

Korzystaj ze stron obsługujących protokół HTTPS do zbierania informacji poufnych

Aby uniknąć wyświetlania użytkownikom Chrome informacji o tym, że strona jest niezabezpieczona, przenieś pola do wprowadzania haseł i numerów kart kredytowych na strony obsługujące protokół HTTPS.

W treści jest jeszcze link do zapowiedzi oraz do innych treści z pomocą.

Co dokładnie to oznacza?

Dla tych, którym się nie chce czytać a tym bardziej analizować treści wiadomości – tłumaczę.

Od teraz jeśli masz na stronie pole logowania lub inne pola związane z hasłami i płatnościami. I wchodzisz na nią wpisując http://… to w przeglądarce Chrome będzie pojawiało się ostrzeżenie.

Może ono wyglądać tak

Dokładne oznaczenie zobaczymy dopiero jak Chrome zaktualizuje się do wersji 56, ja mam 55 i ustawienie flagi z opcjach nie działa.

I co teraz?

Moim zdaniem przy tego typu problemach trzeba będzie przenieść witrynę na bezpieczne połączenie czyli https://

Oczywiście możemy przenosić same okna logowania lub koszyki ale jest to trudniejsza droga.

Jak widzimy kwestia bezpiecznych połączeń dotyczy szerszego grona stron a nie tylko sklepów. Taki komunikat będzie pojawiał się także na każdym forum i blogu, gdzie Google zauważy np pola logowania.

Łatwiej więc będzie przenieść stronę na https:// niż oprogramowywać logowanie.

Jak to zrobić

Cała procedura nie jest szczególnie trudna ale oczywiście powinny to robić osoby z odpowiednią wiedzą.

1. Trzeba mieć odpowiedni certyfikat. Wiele hostingów w standardzie udostępnia certyfikaty, więc tutaj mamy problem z głowy i przechodzimy o pkt 2.

Jeśli tak nie jest to takowy certyfikat trzeba kupić i zainstalować. W Polsce jest wiele firm, gdzie to można zrobić.
Warto pamiętać, że Google zaleca klucze 2048-bitowe. Oczywiście słabsze klucze też będą mile widziane ale czym wyżej tym lepiej.

2. Uruchamiamy wersje https://. Kontrola poprawności działania, sprawdzenie czy wszystkie zasoby są w https://

3. Przekierowanie wszystkich wersji na docelową https://

Przy czym warto usunąć nadmiarowe przekierowania, które widzę nader często.

Każdą wersję przekierowujemy bezpośrednio na docelową wersję https://

Np dla www.antygen.pl schemat wyglądałby tak.

Wersje:
http://antygen.pl
http://www.antygen.pl
https://antygen.pl
przekierowujemy bezpośrednio na
https://www.antygen.pl

Przekierowania robimy w stosunku 1=1 czyli strona głowna do strony głównej, podstrony do tych samych podstron w https://

Szach i mat

Według danych z ranking.pl obecnie w Polsce Chrome w wersji na komputery i urządzenia mobilne ma ponad 47% udziału. Jednak na Świecie jest to większy wskaźnik, w zależności od statystyk od 56% do 73%.

Nawet jeśli Chrome to obecnie 50% przeglądarek to szybko Google tym sposobem wymusi zmiany. Po prostu każdy będzie chciał mieć tą sytuację z głowy. Mało kto świadomie pozwoli sobie na oznaczenie witryny jako „niefajnej” dla 50% użytkowników.

jak widać tym razem Google mając większość :), więc szybko wprowadzi nowy standard.

A jak tam u Was, szykują się zmiany ?

12 komentarzy

  1. Autor radoslawsobik dodany 22 styczeń, 2017

    Ciekawe czy ma to znaczenie od kogo z httpsa skorzystamy. Kożystam z darmowego od cloudflare.com
    i póki co nie narzekam.

  2. Autor Adam dodany 23 styczeń, 2017

    Dobrze, że się zadbało o to wcześniej :) Wszystkim tym, którzy będą zajmowali się instalacją HTTPS na stronach życzę wytrwałości bo zaraz, jak nie już zacznie się fala maili od klientów :)

  3. Autor mkane dodany 23 styczeń, 2017

    Ja gdzie trzeba było to już też mam https:// ale powiadomienie dostały także blogi z polami do logowania. A tutaj nie ma potrzeby przechodzenia na bezpieczne połączenie.

  4. Autor hauerpower dodany 23 styczeń, 2017

    mam pytanie jak to faktycznie wpływa na pozycje ?

  5. Autor nrm dodany 23 styczeń, 2017

    @radoslawsobik nie, nie ma znaczenia. Najważniejsze aby leciało po HTTPS i aby cert był ważny, z pełnym łańcuchem, bez mixed content, słowem bez żadnych uchybień konfiguracyjnych.

  6. Autor mkane dodany 23 styczeń, 2017

    Obecnie na pozycje https:// wpływ ma niewielki. Jednak gdy zaczną oznaczać strony to mimo pozycji część użytkowników może zrezygnować z wejścia lub wyjść zaraz po zobaczeniu ostrzeżenia.
    Większość ludzi nie będzie się zastanawiała co znaczy takie ostrzeżenie, tym bardziej, że nie wiedzą o co chodzi.

    Przyzwyczają się tak samo jak do ciasteczek, nie wiedzą o co chodzi ale strona nie szkodzi, więc jest OK. Tutaj będzie wyraźny komunikat o niebezpieczeństwie wiec będą uciekać.

  7. Autor Łukasz Wudyka dodany 23 styczeń, 2017

    U nas Google się pomyliło nigdzie nie zbieramy opłat. Ani haseł a jednak chcą SSl

  8. Autor mkane dodany 23 styczeń, 2017

    Rozumiem, że piszesz o innych domenach niż podana w komentarzu? U mnie wszystko OK z podanymi domenami – trafność 100%.

  9. Autor nrm dodany 15 luty, 2017

    @Łukasz Wudyka założę się, że gdzieś masz jakikolwiek form, choćby zapis do newslettera. ;)

  10. Autor Rafał Dziurowicz dodany 22 marzec, 2017

    Generalnie SSL podobno pomaga w pozycjonowaniu WWW, inni SEOwcy twierdzą że nie. Jeżeli chodzi o kwestię bezpieczeństwa faktycznie na niezabezpieczonych stronach z branży finansowej (czy generalnie wszędzie gdzie są zbierane wrażliwe dane) pojawia się informacja „Ta strona jest niebezpieczna” i aby zalogować się to trzeba dodać jako wyjątek do witryny. Niestety, coraz cięższe i droższe czasy się zbliżają. Kiedyś wystarczył byle jaki serwer a o SSLu to w ogóle można było zapomnieć.

  11. Autor Marcin dodany 10 kwiecień, 2017

    Uważam ze posiadanie https:// z miesiąca na miesiąc będzie coraz to ważniejsze obecnie ma to mały wpływ na wyniki.

  12. Autor Henry1 dodany 24 kwiecień, 2017

    Faktycznie, coraz częściej trafiam na stronę gdzie pojawia się komunikat o niebezpiecznej witrynie.