Az 1990-es évek eleje-közepe óta az internet mindennapossá vált. Ma
már a Föld népességének nagy hányada használja munkában és magánéletben
egyaránt, és egyre szigorodnak a vele szemben támasztott követelmények,
elvárások… A kezdeti boldog igénytelenség után mára fontos
szemponttá vált az eszközök közötti kommunikáció megbízhatósága. A világ
megelégelte az elharapózó, egyre agresszívabb adathalászatot. A fejlesztők
ennek megakadályozására találták ki a Secure Sockets Layer (SSL)
titkosítási protokollt.
Ezt később finomították, ami a Transport Layer Security (TLS) elnevezést kapta.
Alkalmazásuk esetén a böngésző webcímrovatában lévő,
eddigi http betűcsoport egy betűvel bővül. Ezentúl
https (Hypertext Transfer Protocol
Secure) lesz. Az s betű a biztonságra utal.
Tanúsítvány nélkül
Az elterjedtebb böngészők ma már igen finnyásak. A weboldal betöltődésekor megvizsgálják annak internetcímét (URL-jét), és ha a hálóhely üzemeltetője nem gondoskodott az SSL beállításáról, rögtön csalódottan jelzik:
Állítólag a keresőmotorok is figyelnek a weboldalak megbízhatóságára, és a találati listájukban hátrébb sorolják a tanúsítvány nélküli találatokat, ráadásul a figyelmesebb felhasználók szintén ellenőrizhetik a tanúsítvány meglétét, és a hiánya esetén bizalmatlanná válhatnak. Ezek a tényezők a legtöbb hálóhely-üzemeltetőt a tanúsítvány megszerzésére késztetik, mert csökkenhet a weblapjaik látogatottsága.
Különböző hitelesítésű tanúsítványok
Bizonyára minden tárhelyszolgáltató kínál különböző rendeltetésű (és árú) SSL-tanúsítványokat. Így van ez a szolgáltatómnál, a DiMa.hu Kft.-nél is. A tanúsítványokról szóló részletes leírása önálló weboldalon található. Gondolom, valahogy hasonlóképpen járhat el a többi szolgáltató is, de hogy biztosítanák, sőt, elmagyaráznák az ingyenes változat beállítását, az azért nem lehet túl gyakori…
Ha a hálóhelyedet nem használod adatvédelmi szempontból különleges biztonságot igénylő célokra (például nem üzemeltetsz online webshopot, melynek működtetésekor a felhasználó bizalmas adatokat – esetleg számlaszámot vagy bankkártyaszámot – kell megadjon), megfelel a célnak egy olcsóbb, vagy akár ingyenes verzió is.
Végül SSL-tanúsítvánnyal
A videón bemutatottakat követve néhány perc alatt elvégezhető a beállítás. Itt az eredménye (és ennek kapcsán is hálát adok a sorsnak, hogy – immáron egy évtizede – rátaláltam a DiMa.hu Kft.-re).
Tény, hogy az általam alkalmazott ingyenes változat csak a technikai hitelesítést biztosítja, azaz, a tanúsítványt nem írta alá hatóság…
Frissítés:
- A szolgáltatóm utólag mutatott egy weboldalt, ahol bármelyik hálóhely tanúsítványa ellenőrizhető. Akár az enyém is. A neve: SSL Checker.
-
A beállítási lehetőségek között van egy különösen praktikus, ám némi
kockázatot is magában rejtő opció: az oldalelérés mindenképpen
biztonságos mederbe terelhető (a videón is bemutatott módon).
A felhasználó hivatkozásában szereplő régi, nem biztonságos protokollt
a rendszer automatikusan biztonságosra váltja.
- Ahogy a videón is elhangzik, ez a fajta tanúsítvány 90 napra szól, melyet a lejárta előtt célszerű meghosszabbítani. Az eljárás a videón (1:27-től) látható művelet megismétlése, amit nem érdemes az utolsó pillanatra hagyni, mert az érvényesítés esetenként eltarthat akár egy napig is. Anélkül pedig – automatikus átirányítás esetén – a meghívott weboldalak letöltését a böngésző letiltja.
Kiigazítások
Két és fél hónapnak kellett eltelnie ahhoz, hogy észrevegyem az átállás egy fontos következményét. A védett kommunikáció elve tiltja a vegyes aktív tartalom létrehozását (mely jó pár HTTP-kérelem között nemcsak például a más szájtokon lévő szkripteket érinti, hanem a saját hálóhelyről abszolút elérési úttal meghívottakat is). Kiderült, hogy a böngésző megakadályozza a biztonságos weboldalról nem biztonságos protokollal meghívott szkriptek letöltését és futtatását, amiről egyidejűleg tájékoztatást is ad a konzolján:
http:
vezeti be az internetcímeket, minthogy készítésükkor ismeretlen
fogalom volt a titkosítási protokoll. A böngésző szerencsére nem olyan
kényes
a vegyes
passzív/megjelenítő tartalom létrehozását célzó (például kép-)
hivatkozások útvonalának megítélésében. Helytelen protokollhivatkozás
esetén – bár a konzolon zsörtölődik egy kicsit, azért –
a vegyes (nem biztonságos) passzív tartalmat megjeleníti a biztonságos
oldalon.
Miután mindez napvilágra került, kijavítottam a Google-hirdetések hivatkozását az érintett weblapokon (és, ha már kézbe vettem őket, némelyeken a feltétlenül szükséges esetekben végrehajtottam pár, főként technikai jellegű apró változtatást), végül e módosítások időpontját – Korszerűsítés elnevezéssel – felvettem az oldalak alján lévő dátumlistába. (Csak emlékeztetőül: a listában a legalsó keltezés a legtöbb weboldalamon, ahogy ezen is, nem az utolsó változtatás tényleges dátumát mutatja, hanem az oldal letöltésének időpontját. Erről a problémáról többet olvashatsz az Utolsó módosítás című weblapomon.)
