A teljes magyar webre kiterjedő kutatásunkban 75.185 weboldalt vizsgáltunk meg, és minősítettünk biztonságos kapcsolat szempontjából. A vizsgálat eredményeképp fény derült arra, hogy a weboldalak közül 34.014 nem biztonságos.
Tartalomjegyzék
- Mitől biztonságos vagy nem biztonságos egy weboldal?
- Hogyan végeztük a felmérést?
- Mi a különbség a HTTP és a HTTPS között?
- Mi az az SSL tanúsítvány és miért van szükség rá?
- A Google 2018. júliusától „Nem biztonságos”-nak jelöli a weboldalakat
- A nem biztonságos weboldalak veszítenek Google helyezéseikből
- Mit mond a SEO szakértő?
- Hogyan tudom a „Nem biztonságos” üzenetet eltüntetni a Google Chrome-ból?
- További források a témában
Mitől biztonságos vagy nem biztonságos egy weboldal?
A nem biztonságos weboldalak nem rendelkeznek SSL tanúsítvánnyal, azaz továbbra is a hagyományos és védtelen HTTP kapcsolatot használják. A HTTP kapcsolat nem tartalmaz titkosítást, így bizalmas információk, pl. hitelkártya adatok, személyes adatok könnyen egy harmadik fél kezébe kerülhetnek.
A megoldást a HTTPS kapcsolat használata jelenti, amely egy titkosított, biztonságos kommunikációt hoz létre a látogató gépe és a weboldal között.
A HTTPS kapcsolat meglétét a Google szigorúan ellenőrzi. 2018. július óta a böngésző címsorában megjelenik a „Nem biztonságos” felirat, amennyiben a weboldal nem rendelkezik SSL tanúsítvánnyal, azaz nincs HTTPS kapcsolat.
Hogyan végeztük a felmérést?
Az általunk fejlesztett robot heteken keresztül böngészte a hazai netet és összegyűjtötte az összes .hu domain nevet, amelyet az általa meglátogatott weboldalakon talált.
Ezeket a domain neveket, illetve a rajtuk található weboldalakat ezek után egy többlépcsős elemzésnek vetettük alá. Megvizsgáltuk, hogy maga az oldal elérhető-e és ha igen, akkor HTTP vagy HTTPS protokollon keresztül.
A vizsgálat korántsem volt ennyire egyszerű, mivel a 2.617 nem működő weboldal mellett találtunk 8.436-ot, amelyek hibaüzenet generáltak vagy át voltak irányítva egy másik domain-re. Ezeket értelemszerűen nem vettük bele a statisztikába.
Az oldal biztonságos voltának eldöntése sem olyan egyszerű kérdés, mivel a tökéletes megoldás az, ha a weboldal domain nevének www és anélküli alakja is át van irányítva a HTTPS változatra.
A weboldalak egy részénél ezzel kapcsolatban teljes zűrzavart találtunk, előfordult, hogy a HTTP verziók nem voltak átirányítva a HTTPS-re, vagy csak bizonyos verziók átirányítását végezték el.
A statisztikában megjelenítettük azokat a hibás beállításokat is („HTTP és HTTPS”), ahol a weboldal a biztonságos HTTPS mellett HTTP kapcsolaton keresztül is elérhető volt.
Mi a különbség a HTTP és a HTTPS között?
A Hypertext Transfer Protocol, rövidebb nevén HTTP egy úgy nevezett kommunikációs protokoll, amely lehetővé teszi, hogy a böngésző információt jelenítsen meg egy weboldalról. Vagyis a böngésző és a weboldalt tároló webszerver közötti kommunikációt határozza meg.
Sajnos a HTTP nem rendelkezik semmilyen védelemmel, így a „man-in-the-middle” típusú támadással egy harmadik személy el tudja tulajdonítani a kommunikáció során küldött üzenetet vagy akár veszélyes kódot is bele tud rakni a tudtunk nélkül. A HTTP olyannyira védtelen, hogy nem alkalmas pl. online fizetések lebonyolítására.
A megoldást a HTTP Secure, vagyis a HTTPS biztosítja. Ez a HTTP-nek egy olyan módosított változata, amely titkosítja a kommunikációt és ezzel elejét veszi a támadásoknak és az adatszivárgásoknak.
A HTTPS-t kezdetben csak az online vásárlások egy egyéb kényes információk továbbítása során használták. Mára az online tranzakciók és a személyes adatok védelme okán általános ajánlás lett minden weboldal számára.
Mi az az SSL tanúsítvány és miért van szükség rá?
Az SSL tanúsítvány egy titkosítást biztosít a webszerver és a látogató böngészője között megakadályozva, hogy illetéktelenek bizalmas információkat tudjanak eltulajdonítani.
A hagyományos kommunikációs eljárások könnyű támadhatósága miatt a Google az internet felhasználóknak nem ajánlja, hogy bizalmas adatokat adjanak meg titkosítással nem rendelkező weboldalakon.
A titkosított HTTPS kapcsolat a szerver/weboldal és a böngésző között kiépített biztonságos kommunikációs csatorna használatával megvédi adatainkat ezektől a veszélyektől.
A Google 2018. júliusától „Nem biztonságos”-nak jelöli a weboldalakat
A Google 2018. július 24-én jött ki a Chrome böngészőjének 68-as verzió frissítésével. A korábbi Chrome verziók a HTTPS-t használó weboldalakat biztonságosnak jelölték meg. A „Biztonságos” szöveg zöld színnel jelent meg egy lakat ikon társaságában. Az ikont látva egyértelmű volt, hogy biztonságos kapcsolaton keresztül látogatjuk a weboldalt, így adataink nincsenek veszélyben.
A Google Chrome böngésző 67-es és azelőtti verziói nem jelenítettek meg semmilyen üzenetet a hagyományos HTTP-t használó weboldalak esetében. De az új 68-as verziótól már „Nem biztonságos”-nak jelöli meg a HTTP oldalakat.
Ez azt jelenti, hogy a Google innentől a biztonságos kapcsolatot veszi ajánlottnak és azon weboldalak esetében, amelyek eltérnek ettől, vagyis a régi HTTP kapcsolatot használják, az alábbi képen látható figyelmeztetést fogja megjeleníteni.
A nem biztonságos weboldalak veszítenek Google helyezéseikből
A Google 2014-től a biztonságos HTTPS használatát helyezést befolyásoló tényezőként tartja számon. Ez azt jelenti, hogy azok a weboldalak, amelyek nem rendelkeznek HTTPS-el, egyértelműen hátrányt szenvednek a HTTPS-es konkurenseikkel szemben.
Mit mond a SEO szakértő?
Megkérdeztük Szuhi Attilát, az egyik legnépszerűbb hazai SEO blog az ite.hu szakértőjét, hogyan látja a keresőoptimalizálás, felhasználói élmény és a biztonságos kapcsolat közötti összefüggéseket:
„Rangsorolási szempontból a HTTPS megléte egy nagyon csekély tényező. Ahogy a Google egyik szóvivője fogalmazott: ha két pohárban azonos mennyiségű víz van, ez csak egyetlen csepp, de akár ez is eldöntheti melyik oldal kerül előrébb.
SEO szempontból sokkal fontosabbnak tartom az indirekt hatást. A felhasználókat elriaszthatja egy weboldalról, ha azt látja, hogy nem biztonságos, ez pedig hosszabb távon jobban leronthatja egy weboldal helyezését, mint pusztán a HTTPS, mint rangsorolási szignál. „
Hogyan tudom a „Nem biztonságos” üzenetet eltüntetni a Google Chrome-ból?
A legegyszerűbben úgy, hogy weboldaladhoz vásárolsz egy SSL tanúsítványt. A folyamat a következő:
- Vásárolj egy SSL tanúsítványt
- Telepítsd a tárhelyedre
- Módosítsd a weboldal elérhetőségét
- Irányítsd át a régi HTTP URL-eket az új HTTPS változatra.
- Végezz alapos tesztelést és ellenőrizd az esetleges hibákat a Google Search Console-ban.
Ha bonyolultnak tűnik a folyamat, akkor írj egy levelet a webfejlesztődnek, hogy segítsen benne.
