A teljes magyar webre kiterjedő kutatásunkban 75.185 weboldalt vizsgáltunk meg, és minősítettünk biztonságos kapcsolat szempontjából. A vizsgálat eredményeképp fény derült arra, hogy a weboldalak közül 34.014 nem biztonságos.

HTTP és HTTPS kapcsolat megoszlása a hazai weboldalak esetén diagram

Tartalomjegyzék

Mitől biztonságos vagy nem biztonságos egy weboldal?

A nem biztonságos weboldalak nem rendelkeznek SSL tanúsítvánnyal, azaz továbbra is a hagyományos és védtelen HTTP kapcsolatot használják. A HTTP kapcsolat nem tartalmaz titkosítást, így bizalmas információk, pl. hitelkártya adatok, személyes adatok könnyen egy harmadik fél kezébe kerülhetnek.

A megoldást a HTTPS kapcsolat használata jelenti, amely egy titkosított, biztonságos kommunikációt hoz létre a látogató gépe és a weboldal között.

A HTTPS kapcsolat meglétét a Google szigorúan ellenőrzi. 2018. július óta a böngésző címsorában megjelenik a „Nem biztonságos” felirat, amennyiben a weboldal nem rendelkezik SSL tanúsítvánnyal, azaz nincs HTTPS kapcsolat.

Nem biztonságos kapcsolat Google böngésző figyelmeztetés

Hogyan végeztük a felmérést?

Az általunk fejlesztett robot heteken keresztül böngészte a hazai netet és összegyűjtötte az összes .hu domain nevet, amelyet az általa meglátogatott weboldalakon talált.

Ezeket a domain neveket, illetve a rajtuk található weboldalakat ezek után egy többlépcsős elemzésnek vetettük alá. Megvizsgáltuk, hogy maga az oldal elérhető-e és ha igen, akkor HTTP vagy HTTPS protokollon keresztül.

A vizsgálat korántsem volt ennyire egyszerű, mivel a 2.617 nem működő weboldal mellett találtunk 8.436-ot, amelyek hibaüzenet generáltak vagy át voltak irányítva egy másik domain-re. Ezeket értelemszerűen nem vettük bele a statisztikába.

Az oldal biztonságos voltának eldöntése sem olyan egyszerű kérdés, mivel a tökéletes megoldás az, ha a weboldal domain nevének www és anélküli alakja is át van irányítva a HTTPS változatra. 

A weboldalak egy részénél ezzel kapcsolatban teljes zűrzavart találtunk, előfordult, hogy a HTTP verziók nem voltak átirányítva a HTTPS-re, vagy csak bizonyos verziók átirányítását végezték el. 

A statisztikában megjelenítettük azokat a hibás beállításokat is („HTTP és HTTPS”), ahol a weboldal a biztonságos HTTPS mellett HTTP kapcsolaton keresztül is elérhető volt.

Mi a különbség a HTTP és a HTTPS között?

A Hypertext Transfer Protocol, rövidebb nevén HTTP egy úgy nevezett kommunikációs protokoll, amely lehetővé teszi, hogy a böngésző információt jelenítsen meg egy weboldalról. Vagyis a böngésző és a weboldalt tároló webszerver közötti kommunikációt határozza meg.

Sajnos a HTTP nem rendelkezik semmilyen védelemmel, így a „man-in-the-middle” típusú támadással egy harmadik személy el tudja tulajdonítani a kommunikáció során küldött üzenetet vagy akár veszélyes kódot is bele tud rakni a tudtunk nélkül. A HTTP olyannyira védtelen, hogy nem alkalmas pl. online fizetések lebonyolítására.

Man-in-the-middle támadás

A megoldást a HTTP Secure, vagyis a HTTPS biztosítja. Ez a HTTP-nek egy olyan módosított változata, amely titkosítja a kommunikációt és ezzel elejét veszi a támadásoknak és az adatszivárgásoknak.

A HTTPS-t kezdetben csak az online vásárlások egy egyéb kényes információk továbbítása során használták. Mára az online tranzakciók és a személyes adatok védelme okán általános ajánlás lett minden weboldal számára.

Mi az az SSL tanúsítvány és miért van szükség rá?

Az SSL tanúsítvány egy titkosítást biztosít a webszerver és a látogató böngészője között megakadályozva, hogy illetéktelenek bizalmas információkat tudjanak eltulajdonítani. 

A hagyományos kommunikációs eljárások könnyű támadhatósága miatt a Google az internet felhasználóknak nem ajánlja, hogy bizalmas adatokat adjanak meg titkosítással nem rendelkező weboldalakon. 

A titkosított HTTPS kapcsolat a szerver/weboldal és a böngésző között kiépített biztonságos kommunikációs csatorna használatával megvédi adatainkat ezektől a veszélyektől.

A Google 2018. júliusától „Nem biztonságos”-nak jelöli a weboldalakat

A Google 2018. július 24-én jött ki a Chrome böngészőjének 68-as verzió frissítésével. A korábbi Chrome verziók a HTTPS-t használó weboldalakat biztonságosnak jelölték meg. A „Biztonságos” szöveg zöld színnel jelent meg egy lakat ikon társaságában. Az ikont látva egyértelmű volt, hogy biztonságos kapcsolaton keresztül látogatjuk a weboldalt, így adataink nincsenek veszélyben.

A Google Chrome böngésző 67-es és azelőtti verziói nem jelenítettek meg semmilyen üzenetet a hagyományos HTTP-t használó weboldalak esetében. De az új 68-as verziótól már „Nem biztonságos”-nak jelöli meg a HTTP oldalakat.

Ez azt jelenti, hogy a Google innentől a biztonságos kapcsolatot veszi ajánlottnak és azon weboldalak esetében, amelyek eltérnek ettől, vagyis a régi HTTP kapcsolatot használják, az alábbi képen látható figyelmeztetést fogja megjeleníteni.

Nem biztonságos kapcsolat Google böngésző figyelmeztetés

A nem biztonságos weboldalak veszítenek Google helyezéseikből

A Google 2014-től a biztonságos HTTPS használatát helyezést befolyásoló tényezőként tartja számon. Ez azt jelenti, hogy azok a weboldalak, amelyek nem rendelkeznek HTTPS-el, egyértelműen hátrányt szenvednek a HTTPS-es konkurenseikkel szemben.

Mit mond a SEO szakértő?

Megkérdeztük Szuhi Attilát, az egyik legnépszerűbb hazai SEO blog az ite.hu szakértőjét, hogyan látja a keresőoptimalizálás, felhasználói élmény és a biztonságos kapcsolat közötti összefüggéseket:

„Rangsorolási szempontból a HTTPS megléte egy nagyon csekély tényező. Ahogy a Google egyik szóvivője fogalmazott: ha két pohárban azonos mennyiségű víz van, ez csak egyetlen csepp, de akár ez is eldöntheti melyik oldal kerül előrébb.

SEO szempontból sokkal fontosabbnak tartom az indirekt hatást. A felhasználókat elriaszthatja egy weboldalról, ha azt látja, hogy nem biztonságos, ez pedig hosszabb távon jobban leronthatja egy weboldal helyezését, mint pusztán a HTTPS, mint rangsorolási szignál. „

Hogyan tudom a „Nem biztonságos” üzenetet eltüntetni a Google Chrome-ból?

A legegyszerűbben úgy, hogy weboldaladhoz vásárolsz egy SSL tanúsítványt. A folyamat a következő:

  1. Vásárolj egy SSL tanúsítványt
  2. Telepítsd a tárhelyedre
  3. Módosítsd a weboldal elérhetőségét
  4. Irányítsd át a régi HTTP URL-eket az új HTTPS változatra.
  5. Végezz alapos tesztelést és ellenőrizd az esetleges hibákat a Google Search Console-ban.

Ha bonyolultnak tűnik a folyamat, akkor írj egy levelet a webfejlesztődnek, hogy segítsen benne.

További források a témában