Swego czasu mości panujące Google wprowadziło bonusy dla właścicieli stron internetowych które to zabezpieczone są certyfikatem ssl.
Całkiem miło ze strony Google które to nieustannie dba o bezpieczeństwo użytkowników i przestrzega ich przed przeglądaniem stron które mogą wykraść dane lub wpłynąć niekorzystnie na nasz komputer.
Google nagradza strony które posiadają ów certyfikat i mogą one liczyć na to że ich wynik w wyszukiwarce będzie wyższy niż tych które są „niebezpieczne” bo tak w sumie to trzeba nazywać.
Google Chrome nawet otrzymał takie umiejętności podpowiadania co jest bezpieczne a co nie.
Google uczy i radzi gdzie wchodzić bo jest bezpiecznie, a gdzie lepiej tego nie robić.
Pole otwarte do nadużyć…
W mojej ocenie, Google zapędza troszkę użytkowników w kozi róg ponieważ uczy że znacznik „bezpieczna” to już wszystko jest ok, ufać można bo Google chrome oznacza że odwiedzona strona jest w porządku. Z perspektywy czasu stron z ssl będzie przybywać, niestety zbytnie zaufanie do tego stanu rzeczy doprowadzi do tego że nasza czujność się uśpi.
Certyfikaty SSL za grosze a nawet za darmo
W internecie wielu specjalistów rozpisuje się o plusach ssl, o tym rzekomym profesjonaliźmie właściciela i witryny która jest okraszona certyfikatem. Z tym że biorąc pod uwagę to że są 3 typu certyfikatów (a różnią się one tylko rodzajem walidacji domeny) to ten najtańszy nie jest zbyt wygórowanym kosztem (około 49zł). Mając go już nasza strona jest uznana jako bezpieczna, choć Bóg jeden wie co właściciel na niej zaszył.
Certyfikaty wydawane są przez instytucje uprawnione do ich wydania, po uprzednim sprawdzeniu domeny bądź firmy.
Ale pojawił się już jakiś czas temu projekt OPEN SOURCE który to daje możliwość instalacji oprogramowania które samo na serwerze wyda sobie certyfikat tzw. „SELF-SIGNED” – samo podpisany ale ważny tak samo jak normalny certyfikat.
https://letsencrypt.org/
Oprogramowanie instaluje się na serwerze, więc tanie hostingi tutaj odpadają.
Edit 20.12.2018: Poprawka, tanie hostingi wprowadziły do oferty możliwość instalowania sobie samemu certyfikatu ssl od let’s encrypt, co mamy w ofercie np. linuxpl.com przy naprawdę fajnych cenach, i panelem direct admin po polsku! (to nie jest wpis sponsorowany).
Narazie ciekawie to wygląda, ale wymuszanie przypodobania się certyfikatem to igranie trochę z ogniem. Co z tego że mam certyfikat, jak jestem w rzeczywistości wilkiem w owczej skórze.
Na pytanie, dlaczego witryna ideare ma ssl?, tak to kwestia pozycji, dlaczego nie mamy płynąć z falą bezpiecznych stron 🙂
Nie krytykuję rozwiązania, daje ono dużo korzyści bo pole do nadużyć się zmniejsza, ale też ufanie zwykłej stronie z https:// ograniczmy do minimum. Co innego strony o rozszerzonej walidacji firmy które widzimy najczęściej w bankach, sposób sprawdzenia to nie tylko kwestia domeny ale również i firmy.
Edit 20.12.2018:
Troszkę czasu minęło, w kwestii let’s encrypt nie wypowiadam się raczej negatywnie, bo kiedy posiadamy zwykłą stronę z ofertą, pozycjonujemy ją i mamy formularz kontaktowy, to już naprawdę, wypadałoby (już samego względu posiadania formularza) posiadać zainstalowany certyfikat SSL. Jednakże jest tak jak pisałem wyżej, trzeba być czujnym bo sprytni oszuści jeszcze łatwiej mogą uwierzytelnić się w naszych oczach, choć w niektórych przypadkach, skala podstępu jest taka, że oszust zdolny jest wykupić nawet certyfikat typu EV żeby idealnie podszyć się pod stronę źródłową (EV – „extended validation”, weryfikacja rozrzerzona posiadacza domeny, uwierzytelniana jest nie tylko przynależność domeny ale też sama firma aby potwierdzić zaufanie).