Gdybym miał ogłaszać ten rok pod jakąś technologiczną banderą, to rzuciłbym głośno, w kierunku wszystkich, że ten rok – będzie rokiem certyfikatów SSL. Przeglądarki internetowe coraz bardziej zaczynają dokuczać tym, którzy nie korzystają z HTTPS. Co to w praktyce oznacza? Otóż, mogą nam skutecznie wystraszyć użytkownika czy klienta. Po Firefoxie, zmiany w tej materii zapowiada Chrome. Wydawcy, właściciele sklepów internetowych, drżyjcie i szykujcie pieniądze na SSL!
Na początku był chaos, potem Firefox w wersji 52 wprowadził zmianę, która może wystraszyć użytkownika. Otóż przy formularzach do logowania, w przypadku braku certyfikatu SSL, pojawia się informacja o niezabezpieczonym połączeniu.
Firefox 52 informuje użytkowników o braku HTTPS. Co jeszcze nowego?
Za ciosem idzie Chrome, który zapowiedział, że w wersji 62, która planowana jest na październik tego roku, pojawi się dodatkowy element informujący o użytkownika o potencjalnym niebezpieczeństwie. Wszystko naturalnie rozbija się o certyfikat SSL, a dokładnie jego brak, bo właśnie na taką okoliczność pojawi się stosowna informacja, kiedy użytkownik będzie wpisywał jakiekolwiek informacje (np. wyszukiwarka na stronie). Sprawa robi się poważna, gdyż takie komunikaty w e-commercowym biznesie mogą być samobójstwem w przypadku, gdy na rynku potencjalny klient ma wybór.
To co robie Google z Chrome, to nic innego niż systematyczna eliminacja nieszyfrowanych połączeń. Ma to swoje uzasadnienie chociażby w związku z kolejną wersją protokołu HTTP, którą przeglądarki częściowo już wspierają, a której działanie opiera się tylko na szyfrowanym połączeniu. Jak jednak będą wyglądały komunikaty?
Zmiany będą dotyczyć standardowej przeglądarki jak i trybu Incognito. Podczas wpisywania danych, pojaw się informacja jak na powyższym zrzucie. Google udostępniło nawet animacje, w praktyce będzie się prezentować to rozwiązanie następująco:
Biorąc pod uwagę potencjalne straty i konfrontując je z ceną najtańszego certyfikatu, to nie warto ryzykować. Tym bardziej, że podstawowy certyfikat weryfikujący domenę, to średnio koszt mieszczący się w okolicach 100zł per rok. Sporo operatorów hostingowych oferuje także promocje, dając taki certyfikat za darmo przez pierwszy rok.
O ile sama procedura instalacji certyfikatu jest banalnie prosta i najczęściej możecie to zrobić sami, instalując zgodnie z instrukcją, którą z pewnością Wasz hosting posiada, o tyle jest druga strona medalu. Pamiętajcie, że nie wolno wczytywać zawartości na Waszej stronie przez szyfrowania, w innym wypadku nie zobaczycie słynnej kłódeczki. Niby drobiazg, ale dopasowanie wszystkich skryptów (disqus, widgety facebooka, zewnętrznych dostawców etc.) dały mi się naprawdę w kość. Bądźcie na to gotowi.
Nie czekajcie. Google Daje Wam jasny znak, że to już czas.