Google-k web orriak HTTPS-ra aktualizatzeko epea jarri du

2018ko uztailetik aurrera, Google Chrome nabegatzaileak , SSL segurtasun protokola ez duten web orri guztiei, ‘Ez Segurua’ textua gehituko die.

Zure web orriak oraindik segurtasun hau ez badu aktibatua, agian artikulu hau interesgarria irudituko zaizu edo nahiago baduzu, deitu lasai Innova-ra, web orriak diseinatzen dituen enpresa bezala, web orriei buruzko zure zalantzak argitzen saiatuko gara.

Google-ek iadanik bi urte inguru daramatza HTTPS, edo SSL segurtasun protokoloari buruzko oharrak ateratzen, baina bereaien azken artikuluan iadanik epe bat jarri du, hau da, uztaila, hemendik aurrera norbaitek beraien nabegatzailea erabiliz, hau da, Chrome nabegatzailearekin HTTPS protokoloa ez duen web orriren bat irekitzen badu, web hau ‘Ez segurua’ bezala agertuko du.

Hemen honi buruz 2016an idatzi genuen lehen artikulua ‘Google Chrome-ek interneteko web orri asko ‘Ez segurua’ bezala etiketatuko ditu‘.

Interneteko nabegatzaileei buruzko estadistika batzuek adierazten dutenez, 2017ko urtean, mundu osoa kontuan izanik, %53-k Google Chrome erabili zuten beraien Internet-eko nabegatzaile bezala (Espaini mailan %64rea iritxi zelarik), beraz HTTPS protokoloa ez edukitzeak web orri bat baino gehiago kaltetu dezakeela esan daiteke. Hala ere Google-ek honi buruz atera zuen lehen oharretik gaurko egunera pare bat urte pasa dira eta denbora honetan segurtasun protokolo honen instalakuntza nahiko handia izan da mundu mailan.

Google-ek, Segurtasunari buruzko bere blog-ean jarri duen oharra kontuan izanik, hau izango da Chrome nabegatzaileak aterako duen oharra:

google-chrome-ssl-segurtasun-protokoloa

Google Chrome, segurtasun oharra, Web Ez Segurua

Google-en artikulua, bere segurtasunari buruzko blogean: https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

Web Ez Seguruek badute konponbidea

Web orriak HTTPS sistemarekin eguneratzea, hau da, SSL segurtasun protokoloa jartzea, nahiko gauza erraza dela esan daiteke, arazoa web orrian, eduki “mistoko” orriak izan ezkero dator, hau da web orri segurua baina barruan HTTP-a erabiltzen duten hainbat lotura izatea, honek Google Chrome-ek hainbat ohar sortaraztea ekar bait dezake.

Gure aurreko artikuluan adierazten genuen bezala horrelako oharrek erabiltzaile batzuk zure web orrian modu ez egokian erabiltzera eraman ditzake, hau da, mezua ikusi eta web orritik ateratzera, honek zure enpresari ekarri diezaioken kaltearekin. Horregatik, Innova-tik, web orri bat duten enpresa edo autonomo guztiei HTTPS protokolora pasatzeko oharra luzatu nahi genieke.

Eta esan bezala, honi buruzko zalantzarik izan ezkero, ez izan dudurik, jarri kontaktuan gurekin eta gure teknikarietako bat zure zalantza guztiak erantzuten saiatuko da.


Let’s Encrypt, SSL ziurtagiria, libre eta doain, babestu zure web orria HTTPS protokoloarekin

ssl-ziurtagiria-doan-https
Urte bukaeran gure blogean Google Chrome web orria asko “No seguro” bezala katalogatzen hasi behar zuela abixatu genuen. Zure web orria “Es seguro” bezala agertzeko modu bakarra zure domeinu edo web orrian HTTPS segurtasun protokoloa instalatzea zen. (Irakurri HTTPS protokoloei buruzko albistea).

Orain gutxi arte SSL zertifikatu bat lortzea jende askorentzat ez zen ekonomikoki oso bidegarria, bereziki web pertsonal, bloga edo baita web orria beraien zerbitzuen erakuslehio soil bat bezala erabiltzen zuten enpresa txikientzat. Baina pertsona guzti hauentzat edo eta opzio berri hau gehiago gustatzen zaien guztientzat, iadanik dohaineko opzioa atera da, Let’s Encrypt (https://letsencrypt.org)

Let’s Encrypt, SSL ziurtagiriak eskaintzen dituen irabazirik gabeko aginte edo enpresa bat da. Linux fundazioak lagunduta sortua, hainbat enpresaren laguntza du: Facebook, Google, Cisco, Automattic (WordPress), e.a. Ziurtagiri hauekin, HTTPS protokoloa lortzen duzu, zure web orria bisitatzen duenaren eta zure arteko informazioa babesteko modu onena.

Dohaineko zertifikatu berri hauek, ordaineko zertifikatuak erabiltzen duten sistema bera erabiltzen dute datuak zifratu eta babesteko, baina hori bai, ez dituzte opzio berdinak eskaintzen. Biak hobeto desberdindu ahal izateko, lehenik merkatuan dauden SSL zertifikatu ezberdinak azalduko ditugu.

Elkar desberdintzen dituen puntu bat, eskaintzen duten balidapen mota da:

  • Domeinu bidez balidatuak (DV): sinpleenak dira, eta Let’s Encrypt irten denetik, dohainekoak. Hauen bidez zure web orria eta bertan mugitzen den informazioa enkriptatua egongo da, eta nabegatzaileko helbidean, HTTPS ziurtasun protokoloa kandadu berde batekin agertzen da.
    ssl-https-ziurtagiria
  • Organizazio bidez balidatuak (OV): web orriko datuen enkriptazioaz gain, ziurtagiria ematen duen enpresak, ziurtagiri hau eskatzen duen enpresa berau ere benetakoa dela ziurtatzen du (horrela, web orrian dabilen erabiltzaileak badaki web orri hori benetako enpresa batena dela eta ez kopia iruzur bat). Ziurtagiri honen puntu ‘txar’ bakarra, lehen begi bistan nabigatzaileek DV motako ziurtagiriekin ez dituztela desberdintzen da, hau da, nabigatzaileek bi kasuetan informazio bera erakusten dute.
  • Balidazio zabalak (EV): ziurtagiri hauek dira balidazio mota gehien eskaintzen dutenak. Aurreko ziurtagiriekin bezala, hemen ziurtagiria ematen duen enpresak, ziurtagiri hori eskatu duen enpresa ere balidatu egiten du, baina aurrekoarekin ez bezala, nabigatzaileek hau begi bistan erakusten dute, enpresaren izena web orriaren helbide ondoan jarriz, honek erabiltzaileari ematen dion ziurtasuna gehituz.

Dohaineko eta ordainduriko ziurtagirien arteko beste desberdintasun handi bat, ziurtagiria kudeatzen duen enpresarekin ziurtatzen den diru kantitatean dago, seguru mota bat izango litzateke. Hau da, imagina dezagun online denda bat daukazula, eta erabiltzaileek beraien bankuko datuak bidaltzerakoan akatsen bat egon dela eta konpoko norbaitek datu horiek lortu dituela. Kasu honetan, ordaindutako ziurtagiri bat baldin bazenu, ziurtagiria eman dizun enpresarekin, gutxienez 10.000 $ ko aseguru moduko bat sinatuta izango zenuke. Dohaineko ziurtagaria izan ezkero seguro moduko diru languntza hau ez zenuke izango.

Ikus ditzagun merkatuan aurki daitezkeen ziurtagiri ezberdinen arteko desberdinatunak:

SSL Let’s Encrypt RapidSSL WildCard True Business ID True Business ID + ED
Autentifikazio mota Domeninu balidapena Domeninu balidapena Domeninu balidapena Domeinu  + enpresa balidapena Domeinu + empresa balidapen zabaldua
Enkriptazioa 128/256 bits 128/256 bits 128/256 bits 128/256 bits 128/256 bits
Azpi-domeinuen
babesa
EZ EZ BAI BAI BAI
Ziurtagiria ematen duen enpresa
Let’s Encrypt Equifax Secure Certificate Authority Equifax Secure Certificate Authority Equifax Secure Certificate Authority GeoTrust Primary Certificate Authority
Instalakuntza  + berifikazioa egun 1 egun 1 1-6 egun 1-6 egun 1-15 egun
Berma asegurua
EZ BAI BAI BAI BAI

Goiko taula ikusita dohaineko SSL ziurtagiri hauen desabantaila handiena, ziurtagiria ematen digun enpresak akats baten aurrean ez digula aseguru moduko ezer eskaintzen da. Beste guztiek (ordainekoek) 10.000$ eta 125.000$ artean hartuko luke bere gain kaltea. Hori bai, akatsa bere ziurtagirian egon dela frogatu beharko genuke.

Guzti honegatil SSL ziurtagagiri bat jarri nahi baduzute zuen web orrian, INNOVA-tik lehenik galdera bat egingo genizueke, zuen web orrian garrantzitsutzat hartzen den informazio mota mugitzen duzute? (bankuko datuak, datu pertsonalak…), ze horrela baldin bada ordaindutako ziurtagiri mota bat hartzeko gomendatuko genizueke.

Aldiz zuen web orrian email helbide bat, edo kontaktu datuak jasotzeko formulario soil bat bakarrik baldin baduzue, dohaineko ziurtagiria probatzeko gomendioa egingo genizueke.

Instalakuntza erraza da baina iadanik bilatzaileetan ongi posizionatua duzuen web orri bat badaukazue guztia teknikari profesional baten eskuetan uzteko gomendioa egingo genizueke, zeren nahiz eta HTTPS protokoloa erraz instalatu, honek web orrian eta konfigurazioan eta Google-kin lan egin ezkero, honi bidali beharreko informazioan (Webmaster tools, Google Analytics…) hainbat aldaketa egitea eskaintzen ditu, bestela bilatzaileetan duzun posizionamendua galtzeko arriskuan gelditzen zara.

Hemen azalduriko edozein puntutan zalantzarik izan ezkero lasai jarri kontaktuan gurekin inolako konpromezurik gabe.

Google Chrome-ek interneteko web orri asko ‘Ez segurua’ bezala etiketatuko ditu

Irailean Google-ek bere blog sailean 2017 urtetik aurrera HTTPS segurtasun protokoloa erabiltzen  ez zuten web orri batzuk “Ez segurua” (Not secure) bezala etiketatzen hasiko zala abixatu zuen (irakurri artikulu originala).

Egunean zear ikusten ditugun web orri askok HTTP protokoloa erabiltzen dute, hau da interneteko nabigatzaileek, web zerbitzariekin konektatu eta guri web orriak erakusteko erabiltzen duten sistema, erabiltzen dute. Ongi funtzionatzen du baina segurtasun zulo batzuk ere baditu, zeren beraien artean bidaltzen duten informazioa zifratu gabe bidaltzen bait da, horrela norbaitek gure wifi señalera konektatzea lortuko balu,  gure ordenagailuak jasotzen dituen datuak jakin ahal izango lituzke  (email pasahitzak, bankuko datuak, formularioak, e.a.).

Segurtasun arazo guzti hauek gainditzeko HTTPS protokoloa sortu zen, hemen ordenagailu eta nabegatzaileen artean bidalzen diren datu guztiak zifratuak joaten direlarik.

Agian iadanik konturatu zara baina edozein motako datuak transmititzen dituen web orri guztiak (gehienbat online dendak, bankuak, e.a.) protokolo hau erabiltzen dute  (edo erabili beharko lukete beintzat), baina orain Chrome-k oraindik eta urrutirago joan nahi du eta bere helburua denborarekin mota guztietako web orriek segurtasun protokolo hau erabiltzea da. Eta nola espero du hau lortzea? ba erabiltzen duten web orriei, “Ez Segurua” etiketa jarriz ondoan.

Orain arte nahikoa iruditzen zitzaien ikusten genituen web orrien helbideen ezker aldean informaizio ikono neutro bat jartzea, baina honek eragin handirik ez duela izan ikusirik orain pauso bat gehiago ematea erabaki du eta lehena urtarrilak 2017an egingo du. Hil horretan, erabiltzaileentzako sarrera duten web orri guztiak (sare sozialak, foroak, online dendak, bankuak) eta HTTPS protokokoa erabiltzen ez duten web orri guztiek “Ez Segurua” textua izango dute beraien helbidearen ondoan. Hau da orain arte ikusten dugun informazioko ikono borobil horren ordez, ikono gorri eta iruki bat agertuko da alboan “Ez Segurua” textua duelarik gorriz.

chrome-http-protokoloa

Chrome nabigatzaileak aterako duen textu berriaren adibidea

Eta iadanik jakinarazi du denborarekin ohar gehiago aterako dituela arlo honetan, adibidez hurrengo pausoa erabiltzaileek “ezazagun” moduan nabegatzea erabakitzen dutenean, HTTPS protokoloa ez duten web orri guztiak “Ez seguru” bezala etiketatuko ditu. Google-k dioenez, denborarekin, HTTPS protokoloa erabiltzen ez duten web orri guztiak etiketatu nahi ditu “Ez seguru” bezala.

Ulergarria den bezala honek denborarekin web orri askori eragingo dio, zeren eta web orriak online denda edo erabiltzaileentzako sarrera orririk ez izan arren, ziurtasun protokoloa ez badute erabiltzen, Chrome nabegatzailean ibiltzen diren erabiltzaile guztiek beraien web orria ikustean “Ez segurua” textua ikusiko dute beti gainean, eta honek agian web orri horretan nabegatzen jarraitu edo ez galde araziko diete.

Zure web orriak online denda bat baldin badauka iadanik HTTPS protokoloa martxan izan beharko zenuke (ez bada horrela orain duzu aukera!) eta blog bat baldin baduzu, edo web orri arrunt bat baina zure bezero eta langileentzako sarrerarekin (erabiltze + pasahitzarekin) eta ez baduzu ikusi nahi “Ez segurua” textua zure web orriaren goikaldean, hurrengo urteko urtarrila arte duzu HTTPS protokola gehitzeko.  Noski, hau ez da derrigorrezkoa, baina erabaki bat hartu beharko duzu, HTTP protokolo soila erabiltzen jarraitu eta zure web orria Chrome bidez ikusten duten bezero guztien aurren “Ez Segurua” textua utzi edo HTTPS segurtasun protokola aktibatu (SSL ziurtagiria alokatuz), eta bai, alokaturekin ordaindu esan nahi dugu.

Guzti honi buruz zalantzarik izan ezkero edo zure web orrirako HTTPS protokoloa alokatzeak merezi duen edo ez kontsulta egin nahi izan ezkero, jarri lasai gurekin kontaktuan eta ahal dugun guztian lagunduko dizugu.

Oharra: albiste hau idatzi genuenetik, merkatura dohaineko Let’s Encrypt SSL ziurtagiriak atera dira. Honi buruzko informazioa gure urtarrileko albistean duzu

Let’s Encrypt, SSL ziurtagiria, libre eta doain, babestu zure web orria HTTPS protokoloarekin