Strony dostępne przez HTTP na celowniku Google

Szacunkowy czas czytania: 2 minuty

 

W lipcu pisałam na blogu o Chrome 68 i nowościach jakie wprowadza ta wersja Googlowskiej przeglądarki w kontekście stron dostępnych przez nieszyfrowane i szyfrowane protokoły (HTTP i HTTPS). Powoli zbliża się premiera Chrome 70, a wraz z nią kolejne zmiany w podejściu do oznaczania niezabezpieczonych stron. 

Nacisk przenosi się powoli z promowania stron zabezpieczonych:
wersja 68 oznaczała je zieloną kłódką, w wersji 69 kłódka jest wyszarzona – dopiero po kliknięciu na nią widzimy zielony komunikat „Połączenie jest bezpieczne”
na piętnowanie stron niezabezpieczonych:
w wersji 69 strony bez szyfrowania mają szarą ikonę + tekst „Niezabezpieczona”, w wersji 70 w momencie wpisywania danych np. logowania, pojawi się czerwony tekst „Niezabezpieczona”.

Obecnie, według statystyk StatCounter Global Stats z przeglądarki Chrome korzysta blisko 60% wszystkich użytkowników. Na drugim miejscu jest Safari z udziałem 14,5% rynku.

Co daje połączenie szyfrowane? 
Połączenie szyfrowane nie jest wymysłem czy modą. Ktoś mógłby stwierdzić, że jeszcze kilka lat temu nikt oprócz banków, nie myślał o certyfikatach SSL i „jakoś to było”. Pamiętajmy jednak, że wraz z coraz szybszym rozwojem sieci i technologii, rośnie też świadomość oraz wiedza na temat ciemnej strony internetu. Podszywanie się pod strony czy podsłuch i modyfikacja wiadomości przesyłanych bez wiedzy nadawcy i odbiorcy (tzw. atak man in the middle) to już nie wiedza tajemna. Szyfrowanie przesyłanych informacji chroni przesył danych, a co za tym idzie, zwiększa wiarygodność witryny. Nie muszę dodawać, że w obliczu słynnego RODO, każda strona, która posiada możliwość podania i przesyłu danych osobowych (np. logowanie, formularz zamówienia, formularza rezerwacji) powinna korzystać z połączenia szyfrowanego.

Więcej na temat HTTPS znajdziecie na stronie dla developerów Google.

SSLowe pro-tipy:

  • przy wdrażaniu certyfikatu SSL należy zwracać uwagę na tzw. kontent mieszany, przykład we wpisie Zawartość mieszana po wprowadzeniu SSL
  • po pomyślnym wdrożeniu certyfikatu, należy wymusić na serwerze przekierowanie z HTTP na HTTPS odpowiednim zapisem w pliku .htaccess (Dla kompletnych laików – jest też do tego wtyczka – WP Force SSL). Jeśli tego nie zrobimy, nasza strona będzie wciąż dostępna także w wersji nieszyfrowanej.
  • Google uważa tę samą domenę z HTTP i HTTPS za dwie różne witryny. Aby nie spaść w wynikach wyszukiwania, należy dodać obydwie wersje wraz z sitemapą do Google Search Console.

Przykładowy zapis wymuszający HTTPS w .htaccess
(plik .htaccess znajduje się na serwerze w głównym katalogu strony, jeśli go tam nie ma – należy go stworzyć samemu w edytorze typu Notepad, Brackets, Atom itp.)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]