Nüüd on see siis käes – Google hakkab kõikide krüpteerimata veebilehtede eest, mis algavad http-ga, Chrome´i brauseris hoiatama, et need pole turvalised.
Hoiatus jõustub Chrome´i versiooniga 68, mis muutub kõigile kättesaadavaks juuli lõpust. Kõik veebilehtede omanikud peaksid kiiresti üle minema turvalisele https-ühendusele. Erinevalt mõne aasta tagusest seisust on see nüüd lihtne ja tasuta.
Teade mida külastajale aadressiribal näidatakse:
Miks siis Google nii resoluutne on?
Põhjus on lihtne. Kogu info, mis edastatakse üle HTTP ehk turvamata ühenduse, on Internetis pealtkuulatav. Lisaks täidetud veebivormidele, kust võivad lekkida kasutajate isikuandmed, lähetatakse samamoodi avalikult ka paroolid, kui mõni turvamata veebileht neid küsib.
Miks siis ikkagi kõik pole sellele turvalisele HTTPS-ile üle läinud?
Tõepoolest, miks? Ilmselt on põhjused ajaloolised.
Esiteks, krüpteeritud ühendus nõuab serveritelt ja arvutitelt lisaressurssi krüpteerimiseks ja dekrüpteerimiseks. Vanasti tegi see kõik turvalised ühendused aeglasemaks.
Nüüd enam seda muret pole – serverid ja arvutid on kõik piisavalt kiired ja võimsad, et mingit jõudluse probleemi turvalise ühendusega tekkida ei tohiks.
Teiseks, vajalikud turvasertifikaadid olid kallid. Need tuli vastavatelt asutustelt osta ja uuendada.
Seegi mure on praeguseks lahendatud, sest Veebimajutus.ee kliendid saavad oma veebilehel HTTPS-i sisse lülitada tasuta.
Kolmandaks – see nõudis keerulist seadistamist ja kodulehe kohendamist.
Takistus on samuti praeguseks juba kõrvaldatud – keerulist pole, vaja on vaid iseteenindusest turvalisus sisse lülitada ja vaadata koduleht üle, et kõik uue turvalisusega töötaks. Kui koduleht on korrektselt tehtud, siis mingeid probleeme ei tohiks tekkida.
Kui praegu veebis ringi vaadata, siis peaaegu kolmveerand külastatavatest veebilehtedest on juba https-i ehk turvalise ühendusega, näitab Google´i statistika Chrome´i brauserite kasutamise kohta. Maagilise 50 protsendi piir ületati veidi rohkem kui aasta tagasi. Edasi peab see protsent liikuma saja lähedale Google´i tõukel kiirendatud tempos. Otsimootor premeerib turvalisi lehti kõrgema kohaga otsingutulemustes.
Muidugi ei maksa unustada ka muid teenuseid. Kogu e-posti liiklus peab samuti olema krüpteeritud. Selleks tuleb oma sissetuleva ja väljamineva kirjavahetuse serverid seadistada turvaliselt andmeid vahetama SSL-i või TLS-iga.
Kuidas Veebimajutuse HTTPS ilma lisatasuta töötab?
Selleks kasutatakse tasuta teenust Let’s Encrypt, mis annab välja tasuta turvasertifikaate. Alates 2016. aastast antakse välja keskmiselt 50 miljonit turvasertifikaati päevas, seega turvamata veebilehtede hulk kahaneb kiiresti.
Seda, kuidas oma veebisaidil Veebimajutuse iseteeninduses turvaline HTTPS tööle saada, oleme juba blogis kirjutanud, aga tasub veel kord meelde tuletada. Piisab neljast lihtsast sammust:
- Telli iseteeninduses "SSL seritfikaat" alammenüüst endale tasuta Let's Encrypt SSL sertifikaat;
- Kui sertifikaat on väljastatud ja paigaldatud (selleks kulub ca 5 minutit), tuleks seadistada "Domeeni suunamine" lehel kodulehe suunamine HTTP -> HTTPS protokollile – see tagab, et kõik kodulehe külastajad kasutavad turvalist HTTPS protokolli;
- Kontrolli üle, et kas kodulehe kõik osad töötavad korrektselt;
- Määrata "Domeeni suunamine" lehelt "Suunamise tüübi eriseadistus" alt püsiv HTTPS suunamine.