Googles nya algoritm för att ranka sökningsresultat kommer att automatiskt favorisera hemsidor som använder HTTPS. Sökgiganten hoppas att åtgärden kommer att uppmana företag att införa HTTPS kryptering. Det kommer att vara en stor framgång för både hemsidesägare och besökare, när skyddade hemsidor rankas högre i Googles sökresultat.
Föreställ dig att du låser ytterdörren men lämnar bakdörren vidöppen. Det är i princip vad som händer när hemsidor använder Intermittent SSL, för att endast skydda vissa hemsidor, som till exempel inloggningar och transaktioner. Vissa företag tror att de är skyddade mot datastöld och hackande genom att endast tillämpa Intermittent SSL på vissa områden av deras hemsida, men i själva verket lämnar de resten av hemsidan helt öppen och sårbar för attacker.
Ett mer omfattande stöd av att tillåta Always-On SSL kom från Google den 6 Augusti, 2014 genom deras säkerhetsblogg. Planen är att ge mer vikt (bättre sökresultats rankning) till hemsidor som är totalt krypterade med HTTPS.
Anledningen är helt enkelt, enligt Googles webbansvariga trendanalytiker Zineb Att Bahajji och Gary Illyes. "Vi vill uppmana alla ägare av hemsidor att byta från HTTP till HTTPS för att hålla alla skyddade på webben. En stor del av det är att försäkra sig om att hemsidor människor hittar på Google är säkra." Deras meddelande hade inte kunnat vara tydligare: ”Vi vill se fler hemsidor som använder HTTPS i framtiden”. Det handlar om att uppmana hemsidor att ändra sättet som de skyddar sig på till det bättre - och att helt och hållet skydda data som skickas över hela internet.
Att tillåta Always-On SSL är en fundamental, kost-effektiv säkerhetsåtgärd som förser ett början-till-slut skydd för besökare av hemsidor. Detta är inte en produkt, tjänst eller ersättning för existerande SSL certifikat, men snarare ett tillvägagångssätt för säkerhet som erkänner behovet av att skydda hela användarens session, och inte bara inloggnings skärmen. Always-On SSL börjar med att använda HTTPS på hela hemsidan, men innebär också att sätta säkerhets flaggan på alla sessions cookies för att förhindra innehåll från att skickas över okrypterade HTTPS anslutningar. Ytterligare åtgärder, som till exempel Extended Validation och HSTS, kan ytterligare stärka din infrastruktur mot man-i-mitten attacker.
En session cookie kan ställas in med en valfri "säkerhets" flagga, vilket uppmanar webbläsaren att enbart kontakta ursprungsservern genom att använda HTTPS när den skickar tillbaka denna cookie. Säkerhets attributet bör anses vara säkerhetsråd från servern till användaren, vilket indikerar att det är i sessionens intresse att skydda innehållet i cookien. Denna åtgärd kan hjälpa genom att förhindra cookies att skickas över HTTP, även om användaren oavsiktligt gör (eller blir lurad att göra) en förfrågan från webbläsaren till servern via HTTP.
För starkare skydd mot utnyttjande rekommenderar vi att hemsidor överväger att använda Extended Validation (EV) SSL certifikat. Sidor skyddade av EV går igenom en grundlig verifikations process som etablerats av CA Browser Forum, en sammanställning av mer än 30 ledande certifikatsutfärdare och upphovsmän av mjukvara till webbläsare genom att använda pålitliga utomstående källor.
Användare som besöker en hemsida som är skyddad med ett EV SSL certifikat kommer att se ett grönt fält och organisationens namn i URL fältet, vilket ger visuell försäkran om hemsidans operatörs identitet.
HTTPS anslutningar initieras ofta när besökare omdirigeras från en HTTP sida eller när de klickar på en länk (till exempel en Logga In knapp) som dirigerar dem till en HTTPS sida. Tyvärr är det möjligt att lansera en man-i-mitten attack under denna övergång från en oskyddad anslutning till en skyddad, antingen passivt eller genom att lura ett offer att klicka på en HTTP länk till en legitimerad hemsida (via ett missvisande mail till exempel).
Det starkaste försvaret mot denna typ av attacker är att införa HTTP Strict Transport Security (HSTS) på din hemsida. Denna specifikation definierar ett sätt för hemsidan att utge sig att endast vara tillgängliga via säkra anslutningar, och/eller för användare att kunna interagera med givna sidor endast över säkra anslutningar.
Vissa andra leverantörer erbjuder SSL Certifikat som inte riktigt uppfyller våra krav. Som en av de största och favorit SSL Certifikat återförsäljare globalt, Trustico® sätter standarden i att erbjuda en hög kvalitet SSL Certificate service.
