Tamás Ferenc: HTTPS átállás



Sokfajta weboldal létezik, köztük számos olyan, ami szeretne információt és/vagy pénzt szerezni az óvatlan felhasználóktól. A Google keresőóriás már jó ideje hangoztatja ezt a veszélyt, így egy ideje már a Chrome böngésző a sima HTTP-s oldalakat „Nem biztonságos” felirattal jeleníti meg. A 2017. októberben történt átállástól a Google találati listájában csak alacsonyabban jeleníteni meg az olyan nem biztonságos oldalakat, amelyek jelszavakkal, vagy személyes adatokkal dolgoznak, ha nincsen HTTPS-bizonyítványuk. Sok ilyen oldalnál a legtöbb böngésző eleve kiírja, hogy ez nem biztonságos oldal és nem ajánlott a használata!De amúgy minden weboldalnak „erősen ajánlott” az átállás. Tehát ezt minél hamarabb meg kell lépni – ezt egyre több weboldal meg is teszi.

Ez a cikk szeretné körüljárni ezt a témát és pár ötlettel is szolgál.

Mi is az a HTTPS?

A legegyszerűbb megoldás: biztonságos megjelenítésű HTTP-oldal. A mozaikszó ugyanis a következő összevonásból származott:
 
(Kép eredetije: https://www.usernet.hu/uploads/upload_hu/image/article/411_pic2_n.jpg )
Tehát az eredeti HTTP-protokoll és a biztonságot jelentő SSL-réteg összevonása. Sok weboldalon kérik a felhasználó beazonosítását (pl.: hírlevél, helymeghatározás, bejelentkezés), de az ilyen adatforgalom sajnos lehallgatható. Még nem esett szó az egyre jobban terjedő webáruházakról, ahol az online fizetéshez minél nagyobb pontosság szükséges! Egy rövid idézet a Google súgójából: "Amikor online bonyolít le üzletet, előfordulhat, hogy az ügyfeleket az adataik megadására kell kérni – ilyen esetek például a hírlevélre történő feliratkozás és a rendelések leadása. Az ügyfelek adatainak védelmét szolgálja az SSL (Secure Sockets Layer) nevű technológia, amely a webböngésző és a webszerver között átvitt adatok titkosítására szolgál. A SSL használatával biztonságossá tett weboldalak címében a http: helyett a https: előtag szerepel, ezért az SSL-re sokan HTTPS néven hivatkoznak."
Az egyre egyértelműbbé váló felszólításokat megértették a weboldalak üzemeltetői is, így a Google első találati oldalán a következőképpen alakult a HTTPS-t használó oldalak aránya (2016.áprilistól 2017. végéig – a pontozott vonal csak előrejelzés):
 Percentage https
(Kép eredetije: https://d1avok0lzls2w.cloudfront.net/uploads/blog/half-google-https-3-21627.png)

Az átállások mennyisége folyamatosan nő, ahogy ezt a következő grafikon is mutatja:
https removing

(Kép eredetije: https://letsencrypt.org/stats/)

 

Miért jó ez a keresőoptimalizálásban?

A Google folyamatosan igyekszik a felhasználókat minél jobb és gyorsabb kiszolgálásban részesíteni. Ehhez már jó ideje hozzátartozik a biztonságos megjelenítés is. Az átállás lényege az, hogy a HTTPS-titkosítás biztosítja a forgalmat a böngésző és a webszerver között, így kizárja a közbeékelődéses támadást! (Köszönet a kiegészítésért!) Általános érvényű szabály, hogy a webáruház, illetve bármilyen kereskedelmi oldal csak HTTPS-alapon működhet, de ugyanez érvényes a személyes adatokat kezelő oldalakra is.
Tehát egyértelműen át kell állni a HTTPS-re, különben a keresési forgalom kb. 90%-át adó Google nem törődik az oldallal, ami jelentős találati arány csökkenést eredményez, így közvetlenül is csökkeni fog a weboldal látogatottsága, azaz a cég ismertsége, tehát a forgalma is! Mindez szavakban összefoglalva:
-    SEO (keresőoptimalizálás) kulcsszavai
-    megbízhatóság
-    a felhasználó és a cél adatai
-    adatvédelem
-    besorolási rang emelése (Google page rank)
-    biztonság

A Google folyamatosan frissíti a találatokat és a keresési algoritmusát is. A weboldalak egyre nagyobb százalékban HTTPS-re átállásával újabb algoritmus-frissítés volt, amely immár előnyben részesíti a biztonságos oldalakat. A legtöbb nagy látogatottságú oldal lassan átállt az új szabványra, de ennek némileg ellentmond az, hogy egyes oldalak semmiképpen sem álltak át. Ilyen például a www.nemzetisport.hu is.


Mik a teendők?

Az átállás nem feltétlenül egyszerű, mint ezt tapasztaltam több, általam adminisztrált oldalnál.
Viszont van pár hasznos lépés, amit érdemes megtenni.
1.) Vásároljon egy SSL-tanúsítványt. Ez szolgáltatótól függően igen alacsony ártól kezdve sok tízezerbe is kerülhet. Például a Médiacenternél (http://www.mediacenter.hu/) az ott tárolt weblapokra, illetve a https://letsencrypt.org/ oldalon is.
2.) Telepítse a weboldalához. Ez egyes esetekben annyit jelent, hogy a weboldal gyökeréhez (root) hozzá kell adni egy ".htaccess" állományt, illetve a jelenlegit ki kell bővíteni, De lehet egészen más megoldás is! (Ez szolgáltatónként más és más lehet.)
3.) Ellenőrizze a beállításait a Google Search Console oldalon. (URL: https://www.google.com/webmasters/tools/home?hl=hu) Itt igazolni kell a tulajdonjogot, majd a Google ellenőrzi a kért oldalt és kiírja a javasolt megoldást. Fontos itt meggyőződni arról, hogy a www.azenoldalam.hu, illetve a www nélküli azenoldalam.hu is be legyen linkelve a Google Search oldalra.
4.) Ha nem sikerülne az azonnali átállás, akkor az oldal összes cikkét (egyesével) végig kell nézni, hogy vannak-e benne még HTTP-re mutató belső linkek? Ha van akkor érdemes abszolút link (pl.: https://tferi.hu/cikkek/https1.jpg) helyett relatív linket (pl.: cikkek/https1.jpg) használni. Ugyanezt kell az összes képpel is elkövetni! Ez pár órától kezdve több napig is tarthat!
5.) Ha az oldalon vannak külső linkek (márpedig a legtöbb weblapon sok van), akkor érdemes egyesével végignézni a régi HTTP-alapú linkek működnek-e HTTPS-sel is? Arra is figyelemmel kell lenni, hogy egyes webhelyek címe működik WWW nélkül is.
6.) Javasolt átnézni az oldal forráskódját (böngészőben megjelenített módon). Itt már nyugodtan rá lehet keresni a „http:” kifejezésre, így ismételten kaphatunk javítási ötleteket.
7.) Érdemes figyelmet szentelni a reklámoknak! Saját lapomon például úgy jártam, hogy minden cikket és képet egyesével átnéztem többször is, de csak nem akart a főoldal biztonságossá válni. Ekkor kezdtem el bogarászni a forráskódban, hogy mi lehet még a gond. Nos, volt két reklám, ami nem teljesítette a HTTPS-kritériumokat és amikor eme két reklám letiltása után végre megjelent a hőn áhított zöld lakat!
8.) Javasolt végignézni az oldal XML webhelytérképét, hogy ott a HTTPS-es URL-verziók szerepeljenek. Erről részletesen itt olvashat: https://support.google.com/webmasters/answer/183668?hl=hu  , illetve https://support.google.com/webmasters/answer/156184. Ingyenesen is elkészíttetheti az oldala XML-térképét (pár apró beállítással) például itt: https://www.xml-sitemaps.com/. Ez utóbbi szolgáltatás azért pár percig eltarthat…



Felhasznált irodalom:
-    https://www.usernet.hu/blog/http--rol-https--re-valo-atallas-fontossaga-tippek-es-otletek
-    https://webshark.hu/hirek/https/
-    https://support.google.com/webmasters/answer/183668?hl=hu
-    https://support.google.com/webmasters/answer/156184
-    https://www.xml-sitemaps.com/


© Tamás Ferenc, 2017. szept.

Felújítva: 2018.szept. és 2019.nov.