Certyfikaty SSL

Google od 1 lipca br. będzie punktowało strony bez SSL. Tzn. będzie zaznaczało, że strona jest niezabezpieczona i połączenie z nią jest niebezpieczne. Moim zdaniem poszli po bandzie i wymuszają na wszystkich stosowanie certyfikatów SSL. O ile ma to sens w przypadku stron które mają opcję założenia konta np. do sklepu internetowego, to cała reszta stron, które są  zazwyczaj wizytówką firmy w sieci, nie potrzebuje żadnego certyfikatu. Niemniej jednak Google oznaczy te strony jako niebezpieczne i przeciętny użytkownik się wystraszy i być może ucieknie. Powiedzmy szczerze, jeżeli na stronie nikt się nie loguje, nie zakłada konta to czy ta strona ma certyfikat SSL czy też nie nic to nie zmienia w zakresie odbioru treści. Certyfikat SSL ma zastosowanie gdy występuje komunikacja pomiędzy użytkownikiem strony, a stroną (np. przesył danych w postaci założenia konta, złożenia zamówienia itp). Cała reszta polegająca na przeglądaniu strony nie korzysta z certyfikatu. Inną rzeczą jest to czy przestępców będzie interesowała komunikacja użytkownika ze stroną.

Dziś certyfikaty nie są drogie i to czy strona ma certyfikat SSL czy też nie nie uchroni nikogo przed kradzieżą danych. Ba nawet przestępcy kupują dziś certyfikaty aby uwiarygodnić swój proceder. Najtańsze certyfikaty po 20 zł można kupić na jakąkolwiek domenę, bez żadnego sprawdzenia firmy, a certyfikat pojawia się na stronie w 3 minuty od zakupu. Przeciętny użytkownik będzie zapewne myślał, że skoro jest certyfikat strona jest pewna i nikt go nie oszuka. Pewna to jest najwyżej transmisja ze stroną. Pytanie czy po drugiej stronie nie odbiera szyfrowanej transmisji przestępca.

Pytanie czy kupować certyfikat SSL na stronę czy nie. Sam nie wiem jak to będzie wyglądało po 1 lipca i będę obserwować rozwój wydarzeń. Pewne jest dla mnie, że najgorsze co może być to zakup certyfikatu i późniejsza rezygnacja z niego. Wtedy strona zapewne poleci na łeb w wyszukiwarce. Poza tym trzeba mieć świadomość co niesie za sobą instalacja certyfikatu. Żeby być w pełni bezpiecznym należałoby pod każdą stronę mieć osobny adres IP (dodatkowo płatna usługa, niejednokrotnie dużo droższa niż sam certyfikat). Nie każdy dostawca serwerów dziś ma taką usługę w ofercie! Poza tym nie wszystkie serwery obsługują funkcję instalacji wielu certyfikatów na jednym IP, a nawet jeżeli w pewnym momencie może być problem z przekierowaniami na poszczególne domeny. Krótko mówiąc należy moim zdaniem poczekać i zobaczyć co się stanie po 1 lipca w internecie.