A Chrome és a Firefox is újított a biztonság terén. Mostantól látványosan jelzik, ha egy weboldal nem biztonságos, azaz ha nem használ SSL tanúsítványt.

A Google több éve dolgozik azon, hogy még biztonságosabbá tegye a webet, sőt ennek érdekében kényszerintézkedéseket is foganatosított. Azért, hogy a weboldalak üzemeltetői áttérjenek a biztonságosabb https protokoll használatára, módosította keresési algoritmusát: előnyben részesíti a biztonságosabb protokollt használó oldalakat. Most viszont a netezőket is látványosan figyelmezteti – a Mozillával együtt.

Áthúzott lakat és szöveges figyelmeztetés

A Firefox és a Chrome is jól látható módon jelzi, ha a felhasználó olyan oldalra téved, amely nem használ SSL tanúsítványt. Az intézkedés nem váratlan, hiszen a Google már tavaly nyáron bejelentette be, hogy a Chrome 56-os kiadásától feltűnő szöveges üzenetben jelzi, ha egy weboldal nem használ SSL tanúsítványt. A Firefox is követte a példáját: az 51-es verzióban már az URL előtt egy piros vonallal áthúzott lakat jelzi ugyanezt az oldalon, míg a biztonságos kapcsolatot zöld lakat mutatja.

A Chrome figyelmeztetése azért némileg hatásosabb, ugyanis a Google böngészője arra koncentrál, ahol a titkosított kapcsolat hiánya a legégetőbb. A szöveges figyelmeztetés ugyanis olyan webes űrlapoknál jelenik meg, ahol a felhasználónak érzékeny adatokat (jelszó, belépési kód, egyéb adat) kell megadnia. A Chrome-ban megjelenő jelzések jelentéséről egy kattintásnyira találnak részletes magyarázatot a felhasználók. A Firefox bő egy hete, a Chrome pedig január végétől élesítette a figyelmeztetést. Persze az továbbra is kérdéses, hogy ez a figyelmeztetés mennyire lesz hatásos: a NetLock ezzel kapcsolatos közleménye ugyanis arról ír, hogy a nemzetközi statisztikák szerint a weboldalak közel harmada nem használ SSL-t, azaz a figyelmeztetéseket gyakoriságuk miatt felhasználók szeme is kevésbé fogja észrevenni.

Aki akarta, eddig is megnézhette

A böngészők eddig is adtak információt a weboldalak biztonságáról, azaz ha valaki tudatosan böngészett, ezt a tényezőt is bekalkulálgatta a kockázatokba. Mindenekelőtt ott volt az URL elején szereplő http://, illetve biztonságos kapcsolat esetén a https://. De az URL előtti információs gombra kattintva további részletekkel is szolgálnak a böngészők az adott webhelyről. Így bárki tudatában lehetett volna annak, hogy egy űrlap kitöltésénél milyen kapcsolaton keresztül mennek át az adatai.

A leglátogatottabb magyar weboldalak (ezek jellemzően híroldalak) egyike sem használ https protokollt, még az MTI sem, melyhez például csak regisztráció után lehet hozzáférni. Ugyanez persze igaz nagyon sok nemzetközi oldalra is. A legnagyobb nemzetközi portálok, köztük például a The New York Times, a Bloomberg vagy a Reuters már jó ideje figyelnek erre, már csak azért is, mert közülük több is áldozatul esetett az utóbbi években komolyabb kibertámadásoknak. Ha egy weboldal nem https-t használ, attól még látogatható, amennyiben a tartalomhoz való hozzájutáshoz nem kell megadni érzékeny adatokat. Ha azonban regisztrációt követele meg, esetleg több adatot is meg kell adni, jóbb, ha ragaszkodunk az SSL tanúsítvány meglétéhez.

A szolgáltatók is rárepültek

A biztonság pénzbe kerül, bár nem jelent eget rengető kiadásokat. Egy SSL tanúsítvány, melyet jellemzően évente meg kell újítani, alapszinten néhány ezer forintos kiadást jelent, de ha komolyabb biztonsági igények vannak, ennek sokszorosára is felkúszhatnak a költségek. Mivel a Google már jó ideje bombázza a piacot azzal, hogy a weboldalakat állítsák át https-re, illetve a webes alkalmazások eleve felpörgették ezt a piacot, a tanúsítványszolgáltatók is láttak üzletet abban, hogy egyszerűsítsék a tanúsítványkiadást és -menedzselést.

De mi is az az SSL tanúsítvány?