Visszavonja több kibocsátó SSL tanúsítványának támogatását a Google

Újabb kötelező biztonsági elem a webáruházaknak?

Visszavonja a Symantec csoporthoz tartozó több kibocsátó 2016. június 1. előtt kiállított tanúsítványának támogatását a Google az április közepén megjelenő 66-os verziószámú Chrome-ban. A Thawte, VeriSign, Equifax, GeoTrust és RapidSSL által kiállított tanúsítványt használó weboldalak a böngésző frissítése után hibaüzenetet fognak megjeleníteni a látogatók számára.

Érvénytelen SSL tanúsítvány
A hibaüzenet, amely a 66-os verziótól az érintett weboldalakon megjelenik majd

Azok a weboldal tulajdonosok, akik nem biztosak abban, hogy a jelenleg használt megoldásuk érintett-e, a Google Chrome Canary teszt verzióját letöltve és feltelepítve ellenőrizhetik, hogyan fog viselkedni a weblapjuk a publikus verzióváltás után.

Ha Chrome Developer Tools funkcióját használva ehhez hasonló hibaüzenet jelenik meg, akkor a tanúsítvány cseréje szükséges:

Érvénytelen tanúsítvány

Mivel a 66-os verzió már elérhető a Chrome Dev és Canary csatornáin (azaz a kísérletező kedvű felhasználók és a fejlesztők számára már letölthető), már most, a publikus verzió megjelenése előtt is hatással lehet a webshop éles forgalmára, ezért javasolt a probléma mielőbbi megoldása, azaz új, megfelelő tanúsítvány beszerzése és telepítése.

A következő lépés

Az év folyamán később megjelenő 70-es verzió már a kiállítási dátumtól függetlenül, minden Symantec SSL/TLS tanúsítvány támogatását megszünteti.

Ha a Developer Toolsban az alábbi üzenet látható, akkor egy kicsit több a türelmi idő, de a tanúsítvány cseréje a 70-es verzió megjelenéséig feltétlenül szükséges:

Érvénytelen tanúsítvány

A stabil verziók megjelenési dátumai a Webmaster Central szerint:

Chrome 66: kb. 2018. április 17.
Chrome 70: kb. 2018. október 16.

Az SSL tanúsítványról röviden

Az SSL egy olyan adatátviteli protokoll, amely biztosítja az adatok biztonságos, védett továbbítását a számítógépes hálózatok két pontja között. Ha egy weboldal biztonságos csatornán szeretné bonyolítani a kommunikációt, az adott domainre érvényes SSL tanúsítványt kell beszereznie, amelynek használata két dolgot biztosít:

  1. igazolja, hogy a weboldal tulajdonosa valóban az, akinek kiadja magát, nem pedig valamilyen adathalászatra vagy egyéb visszaélésre létrehozott oldal
  2. az oldalt kiszolgáló szerver és a látogató böngészője között minden kommunikáció titkosítva történik (beleértve a lapletöltéseket, az űrlap beküldéseket, a jelszó továbbítását), ez megvédi az adatokat az illetéktelen hozzáféréstől

A Google korábban felhívta rá a figyelmet, hogy a biztonságos kommunikáció már a kereső találati listáin elfoglalt helyezéseket is befolyásolja, az idei évtől azonban a böngészőben is folyamatosan jelezni fogja, ha egy weboldal nem alkalmazza az SSL titkosítást.

Jelenleg a magyar webshopok mindössze 52%-a felel meg a követelményeknek. Amennyiben ez az arány júliusig nem változik érdemben, a magyar webshopok közel fele számíthat a figyelmeztetések következtében a vásárlói bizalom megingására.

Schmidt Zoltán

A BIG FISH Internet-technológiai Kft. e-kereskedelmi szakértője.

Üzenet a szerzőnek

Kérdésed van?
Hozzászólnál?

Vedd fel a kapcsolatot a szerzővel, várjuk az üzenetedet!