Dużo mówi się w ostatnich latach o cyberbezpieczeństwie. Liczba ataków hakerskich rośnie i są one tym bardziej niebezpieczne, że już niemal każdy z nas przenosi swoje wrażliwe dane do Internetu, od numerów kart kredytowych i PESEL zaczynając, na prywatnych zdjęciach i nagraniach kończąc.
Nic więc dziwnego, że wiele osób stara się umacniać swoje wirtualne hasła, a w prywatnych komputerach instalujemy antywirusy. Google też zrobił krok w stronę większego bezpieczeństwa w Internecie. W 2014 roku zalecił zmianę protokołu http na https (o nich więcej przeczytasz już za chwilę!), a wszystkim właścicielom stron internetowych, które się do tego zalecenia zastosują, obiecał wzrost w rankingu wyników wyszukiwania. Ale zacznijmy od początku.
Bezpieczeństwo strony internetowej – czym jest?
Kiedy mówimy o bezpieczeństwie strony internetowej, mamy na myśli bezpieczeństwo zawartych w niej i przesyłanych za jej pośrednictwem danych – zarówno samego właściciela witryny, jak i osób z niej korzystających, w tym klientów i czytelników.
Jak prawdopodobnie wiesz, strony WWW wyświetlane są na naszych ekranach po wysłaniu żądania. To wysyłamy, klikając w link danej strony lub wpisując jej adres w pasek przeglądarki. Żądanie trafia do serwera, który – jeśli faktycznie istnieje i został udostępniony przez administratora – odpowiada, wysyłając nam zawartość owej strony.
Bezpieczeństwo strony internetowej sprowadza się do jakości szyfrowania połączenia między Twoją przeglądarką internetową a serwerem danej strony. Jeśli informacje przesyłane w ten sposób są zabezpieczone i niedostępne dla niepożądanej osoby, mówimy, że dana strona internetowa jest bezpieczna. Jeśli jednak do informacji mogą mieć dostęp (lub mają) osoby trzecie – wtedy witryna jest potencjalnym zagrożeniem.
http i https – co to takiego i czym się różnią?
HTTP (z ang. Hypertext Transfer Protocol) jest protokołem używanym do przesyłania danych z serwera do przeglądarki internetowej. Umożliwia on więc przeglądanie stron internetowych. Jeszcze kilka lat temu był powszechnie używany w niemal wszystkich witrynach. Dziś się od niego odchodzi. Dlaczego? Bo http jest skupiony na tym, by skutecznie dostarczyć dane, ale zaniedbano w nim sposób ich transportowania. Informacje przesyłane za pośrednictwem http nie są więc szyfrowane, a to rodzi duże ryzyko dostępu do nich dla osób niepożądanych.
HTTPS (z ang. Hypertext Transfer Protocol Secure) to nic innego, jak rozszerzona wersja http, w której zadbano o szyfrowanie i zabezpieczenie danych przed ich odczytaniem, przechwyceniem i modyfikacją. Protokół opiera się na certyfikacie SSL lub TLS (o nich więcej już za chwilę!). To zwiększa bezpieczeństwo np. transakcji internetowych, ale warto pamiętać, że nadal nie chroni np. przed wirusami, wyłudzeniem danych ani nie zapewnia prywatności, bo nie ukrywa adresu IP ani nazwy wyświetlanej strony.
Bardzo prostym przykładem obrazującym różnicę między danymi przesyłanymi protokołem http a https są nasze dane logowania na dowolnej stronie.
W przypadku http to, co wpiszemy w pole login oraz hasło, zostanie przesłane w niezmienionej formie metodą POST na serwer, czyli:
login: AsiaPelasia
hasło: 123trudne
W przypadku protokołu https mamy do czynienia z szyfrowaniem. Często spotykane jest wykorzystywanie asynchronicznego szyfrowania RSA w 1024 bitach. W takim wypadku przesyłane dane wyglądałby mniej więcej tak:
login: YWDUtiBdhjDDKD3C6iBP2+PBAKxCR+o8KH1ZLpcqzVkDYcmYruRAqL5Vb/vqpyCpssXmQXky3S4SvoTMiVmCYOGC6x7XGNVjEKWdxKeca/I/+as+T/Rn6c2jix/+0j/JerHabNIHqpn+c+AeUsoqz9bLe38d1mtPHMaagst8K3A=
hasło: UJHGWRHpzI/hAwcUT/jE0QjVq/mt6C2tSvhARaLuejERMJnew6pEE4jqZv9Jvals1ele6ccbFdcYuVJRURpc9kdnDpdqrBHRTqo3UGWRY7y8a+xyC/1RnMp1dXHONFjoKLSaft+TTtIhABF3B/JV745rXu85z/fXreT5rb+6Q/I=
Jak długo zajęłoby odszyfrowanie takiego ciągu znaków? Jeszcze w 2009 roku, normalny, dostępny wtedy komputer potrzebowałby na to 1,5 miliona lat.
Gdyby szyfrowanie odbywało się przy pomocy klucza 512 bit (powyższy jest w 1024 bit), jego odszyfrowanie zajęłoby około 2 dni. Klucze 1024, 2048 oraz 4096 przez pewien czas były całkowicie bezpieczne, natomiast już w 2015 roku grupa naukowców udowodniła, iż można to zrobić z wykorzystaniem “tańszych komputerów kwantowych” i klucz 1024 bit został złamany w nieco ponad 100 godzin. Obecnie standardem są klucze 2048-bitowe, których złamanie zajmuje trochę więcej czasu. Oczywiście, musimy tutaj pamiętać, iż cały czas mówimy o wykorzystywaniu do tego celu komputerów kwantowych.
SSL i TLS – co to takiego i na czym polega różnica?
Zarówno SSL, jak i TLS są protokołami służącymi do uwierzytelniania i szyfrowania danych w Internecie. Przekładają one poufne informacje na kod, który nawet jeśli zostanie przez kogoś przechwycony, nie będzie odczytany i wykorzystany. Protokoły te są obecnie koniecznością na wszystkich stronach internetowych, które operują wrażliwymi danymi klientów.
Różnica między SSL i TLS jest identyczna, co przy omawianych przed chwilą http i https: TLS to po prostu nowsza i nieco bardziej bezpieczna wersja starszego SSL. Oczywiście wiąże się to z wystąpieniem wielu różnic, ale te dostrzegalne są dopiero po mocnym zagłębieniu się w temat i istotne dla osoby, które na co dzień zajmuje się bezpieczeństwem stron internetowych. Przeciętnemu użytkownikowi Internetu, w tym nawet właścicielowi witryny wystarczy podstawowa informacja o różnicy między SSL i TLS – to, że TLS jest nowszy i bezpieczniejszy od SSL.
Za dodanie certyfikatu SSL (lub TLS) do strony trzeba zapłacić. Kupuje się go najczęściej w firmie oferującej hosting, często z opcją jego zainstalowania.
To ciekawe! Choć w większości zabezpieczonych stron występuje TLS, to firmy oferujące sprzedaż i instalację certyfikatu nadal posługują się skrótem SSL, a witryny podkreślające swoje bezpieczeństwo informują o zabezpieczeniu certyfikatem SSL, choć w rzeczywistości witryna chroniona jest przez połączenie SSL i TLS. Skąd to zagmatwanie? Cóż, wygrało mocne przyzwyczajenie językowe do SSL. Być może dlatego, że po angielsku Secure Sockets Layer lepiej oddaje istotę tego zabezpieczenia niż Transport Layer Security.
Bezpieczeństwo strony internetowej a pozycjonowanie
Zachowane bezpieczeństwo strony internetowej ma korzystny wpływ na jej pozycjonowanie przynajmniej na dwóch płaszczyznach.
- Google faworyzuje strony internetowe z protokołem https – to zmiana, która nastąpiła po 2014 roku. Wtedy firma obiecała niewielki wzrost w rankingu witrynom z nowym protokołem. Dziś trzeba mówić raczej o utrudnionym pozycjonowaniu stron internetowych ze starym protokołem http zamiast o łatwiejszym dla stron z https. https to podstawa, jeśli myślisz o stworzeniu nowoczesnej i dobrze zoptymalizowanej witryny.
- Poprawa konwersji i zwiększony ruch na stronie – abstrahując od technicznej strony zagadnienia, bezpieczna strona po prostu zachęca odbiorców do odwiedzin – zgodnie z tym, co napisaliśmy we wstępie, a więc szacunkami, że nawet 82% użytkowników Internetu nie weszłoby na strony potencjalnie niebezpieczne! Wyszukiwarka ostrzega bowiem użytkowników przed niebezpieczną stroną, wyświetlając niepokojący komunikat, od którego większość z nas się odbija. Bezpiecznym stronom ufamy bardziej, chętniej je odwiedzamy i decydujemy się na zostawienie w nich swoich danych – czy to poprzez zapisanie do newslettera, czy zrobienie zakupów. Większa konwersja to większy sukces strony i całego Twojego biznesu.
Jak poprawić bezpieczeństwo swojej strony internetowej, by zadbać o SEO?
Migracja z http na https jest czasochłonna, ale jak już pewnie wiesz, warta swojej ceny. Sprowadza się do:
- wyboru certyfikatu SSL (Google zaleca korzystanie z 2048-bitowych certyfikatów) i jego zakupu,
- stworzenia mapy witryny i przekierowania wszystkich linków z http na https,
- zaktualizowania linków wewnętrznych i zewnętrznych, także w narzędziach analitycznych,
- zaktualizowania przekierowań 301,
- ponownego dodania witryny do Google Search Console,
- przygotowania pliku robots.txt (przekazującego robotom Google informację o tym, do których adresów URL roboty te mogą uzyskać dostęp),
- i w końcu przetestowania strony i monitorowania jej pozycji – najlepiej najważniejszych podstron przez minimum kilka dni, by sprawdzić, czy migracja nie spowodowała niepokojących spadków i czy czegoś przy aktualizacji nie pominąłeś.
Jeśli nie masz doświadczenia w technicznej opiece nad stroną internetową, dobrze jest zlecić przekierowanie z http na https specjaliście, np. agencji SEO.
A jeśli chcesz ruszyć z całym procesem pozycjonowania sklepu internetowego lub strony, chętnie Ci pomożemy. 😊 Skontaktuj się z nami przez formularz umieszczony poniżej.
