Jeśli masz zarejestrowaną stronę w Google Search Console, a nie jest ona oparta na zabezpieczeniach HTTPS, prawdopodobnie otrzymałeś wiadomość od Google o tym, że od października tego roku użytkownicy przeglądarki Chrome zobaczą komunikat o braku zabezpieczeń na stronie za każdym razem, gdy będą próbowali wypełnić jakieś pole tekstowe.
To kolejny krok Google w celu zapewnienia większego bezpieczeństwa użytkownikom podczas przeglądania sieci. Dotychczas HTTPS był istotny jedynie dla stron, które miały możliwość tworzenia kont i logowania, ale teraz dotyczy on znacznie większego odsetka stron.
Implementacja HTTPS nie jest prostym procesem. Dla przykładu, The Washington Post potrzebował w 2015 roku aż 10 miesięcy do przejścia na HTTPS, a wiele stron skarży się na zmiany w rankingach wyszukiwania podczas migracji na nowy system. Zmiana infrastruktury strony wymaga wiele czasu i nakładów. Istnieje kilka sposobów na implementację HTTPS, w poniższym artykule omówię najpopularniejsze z nich.
Tradycyjna implementacja HTTPS
Tradycyjna implementacja HTTPS zaczyna się od zakupu certyfikatu SSL od zaufanego dostawcy. Najważniejsza zasada, jeśli strona sprzedająca certyfikaty sama go nie posiada na swojej stronie, to go tam nie kupuj! Następnie musisz zweryfikować zakupiony certyfikat i udowodnić, że zarządzasz stroną, dla której go kupiłeś. Następnie SSL będzie już ważny, ale musisz go jeszcze zaimplementować na swojej stronie.
Zalety
Kompletne bezpieczeństwo. Mając zweryfikowany SSL na swoim głównym serwerze, nie ma możliwości przechwycenia połączenia między serwerem a Twoją stroną lub stroną a użytkownikiem.
Możliwość dostosowania. Możesz kupić rozszerzony certyfikat, który nie tylko wyświetla zieloną kłódkę w pasku adresu, ale również umieszcza tam nazwę firmy, dzięki czemu użytkownik może dodatkowo upewnić się, że jest we właściwym miejscu.
Łatwy do implementacji na wielu subdomenach. W przypadku posiadania różnych subdomen możesz albo kupić osobny certyfikat na każdą z nich, albo nabyć specjalną wersję certyfikatu obejmującą wiele subdomen.
Wady
Wysoka cena. Choć podstawowy certyfikat SSL kosztuje około 500 zł w zależności od zaawansowania Twojej strony, koszty te mogą wzrosnąć do dziesiątek tysięcy złotych, jeśli potrzebujesz bardziej zaawansowanych funkcji. Nie wliczam tu już kosztu pracy deweloperów, którzy muszą wdrożyć dany certyfikat na stronie.
Czas potrzebny do implementacji. Im większa strona, tym trudniej jest wdrożyć HTTPS na stronie. Ciężko również ocenić potrzebny do tego czas, ponieważ nie wiadomo, ile problemów może się pojawić po drodze. Warto do swoich szacunków dodać co najmniej kilkanaście procent zapasu na wypadek niespodziewanych problemów.
Let’s Encrypt
Let’s Encrypt to darmowa usługa oferowana przez Internet Security Research Group w celu promocji bezpieczeństwa w sieci. Implementacja Let’s Encrypt jest podobna jak w przypadku tradycyjnego HTTPS. Również musisz zweryfikować certyfikat, a następnie zaimplementować zmiany na serwerze.
Zalety
Darmowa usługa. Nie płacisz dosłownie za nic w przypadku certyfikatów oferowanych przez Let’s Encrypt.
Łatwość implementacji. Let’s Encrypt SSL jest znacznie łatwiejszy do zaimplementowania na stronie niż ma to miejsce w przypadku klasycznego HTTPS. Nie jest tak prosty jak opisywany niżej Cloudfare, ale i tak poradzą sobie z nim mniej obeznane w temacie osoby.
Całkowite bezpieczeństwo. Podobnie jak w przypadku tradycyjnej implementacji HTTPS, chronione jest zarówno połączenie między serwerze i stroną, jak i stroną a użytkownikiem.
Wady
Problemy z implementacją. Let’s Encrypt jest niekompatybilny z kilkoma różnymi platformami, choć raczej nie będą one stanowić dużego odsetka wejść na Twoją stronę – chodzi o platformy typu BlackBerry, Nintendo 3DS itp.
90-dniowe certyfikaty. Podczas gdy tradycyjne certyfikaty SSL są zazwyczaj ważne przez rok albo i więcej, w przypadku Let’s Encrypt mają one ważność jedynie 90 dni, a rekomenduje się ich odnowę co 60 dni. Zapominanie o odnowieniu certyfikatów może narazić stronę na niebezpieczeństwo ataku.
Ograniczone dostosowanie. Let’s Encrypt oferuje tylko tradycyjne certyfikaty SSL, więc nie będziesz mógł kupić rozszerzonej usługi z nazwą firmy. Na ten moment Let’s Encrypt nie oferuje również certyfikatów na wszystkie subdomeny, ale planuje wprowadzić je w styczniu 20118 roku.
Cloudflare
Zdecydowanie najłatwiejszy do przeprowadzenia sposób implementacji HTTPS. Cloudflare oferuje usługę Flexible SSL, dzięki czemu nie będziesz musiał implementować certyfikatów bezpośrednio na swojej stronie. Zamiast tego Cloudflare będzie przechowywać wersję Twojej strony na serwerach oraz zabezpieczać połączenie za pomocą swojej ochrony SSL.
Zalety
Darmowa usługa. W swojej podstawowej wersji Cloudflare oferuje certyfikację za darmo. Jeśli chcesz wypróbować bardziej rozbudowany plan, dopiero wtedy płacisz.
Najłatwiejsza implementacja. Wszystko co musisz zrobić, to założenie konta w Cloudflare i aktualizacja rekordów DNS. Nie trzeba zajmować się żadną dodatkową implementacją i konfiguracją.
Optymalizacja szybkości strony. Poza zabezpieczeniami SSL, implementacja HTTPS przez Cloudflare dostarcza również kilka dodatkowych usług, w tym optymalizację wyniku PageSpeed. Podczas gdy tradycyjna implementacja HTTPS może często mieć negatywne konsekwencje dla szybkości ładowania strony, Cloudflare oferuje możliwość optymalizacji elementów JavaScript, CSS i HTML.
Wady
Niepełne szyfrowanie. Cloudflare oferuje zabezpieczenie między użytkownikiem a zapisaną na serwerach wersją strony, nie szyfruje jednak połączenia między serwerem a stroną. Choć użytkownicy mogą czuć się bezpiecznie odwiedzając Twoją stronę, nadal istnieje szansa na zaatakowanie serwera. Możesz dokonać upgrade’u Cloudflare do pełnej implementacji SSL, ale nie jest to usługa darmowa.
Problemy z bezpieczeństwem. Cloudflare został shakowany w tym roku, przez co opublikowano mnóstwo informacji wrażliwych informacji. Choć wygląda na to, że problemy zostały rozwiązane, a bezpieczeństwo powiększone, to jednak niesmak pozostał.
Brak dostosowania. Podobnie jak w przypadku Let’s Encrypt, darmowa wersja Cloudflare nie pozwala na rozszerzony certyfikat SSL ani nie oferuje bezpieczeństwa dla wszystkich subdomen.
