SR

Tag: GDPR


25 dana do Google penala svim sajtovima bez SSL sertifikata

Približava nam se još jedan događaj do čijeg početka primene korisnici interneta (ne)voljno odbrojavaju dane i doslovno sekunde.

Najpre je to bio GDPR, a sada — takozvano “Not Secure” obeležavanje sajtova na Google Chrome pretraživaču.

Za manje od mesec dana, tačnije 23. jula, Google će započeti etiketiranje i “davanje penala” sajtovima koji nemaju SSL sertifikat (odnosno i HTTPS i zeleni katanac ispred www) sa Ova stranica nije bezbedna, odnosno Not Secure.

Kada je Google najavio ovu regulativu u februaru ove godine, procenat sajtova koji koriste HTTPS porastao je na 69,7.

Samo godinu dana pre toga, svega 52,5% svih sajtova sveta koristio je SSL/TLS — protokol za enkripciju iza HTTPS-a.

Dakle, nade ima, progres je očigledan.

Ipak, i dalje postoji veliki broj, čak i velikih igrača na webu koji ne podržavaju HTTPS (ili naprosto fejluju da ga implementiraju i redirektuju neproverene, sumnjive i nesigurne zahteve).

Oni i njima slični, uskoro će biti penalizovani od strane Google. Šta to tačno znači?

Em će dobiti etiketu nesigurnosti, em će biti zakucani na stranama Google pretrage na koje niko ne zalazi.

Poprilično plemenita namera ovog najkorišćenijeg pretraživača koja zapravo demonstrira svu silu Googla, odnosno kompanije Alphabet. Koliko god plemenito, toliko je i zastrašujuće.

Stavljajući tu realnost na kratko u stranu, skenirajući najposećenije sajtove (njih 946.039) i njihove SSL profile, zapazili smo sledeće:

Na pitanje zašto, oni bez ikakve verzije SSL-a, ne štite svoje sajtove, ali i posetioce, sa prostom implementacijom HTTPS-a, odgovore bismo ugrubo mogli da stavimo u tri grupe:

1. “Ma, to nam ne treba”,

2. “To nam je dosta teško da uradimo sada”,

3. “Sajt će nam biti neviđeno spor sa njim”.

I da, ni jedan od tih argumenata nije legitiman, ali u isto vreme oni predstavljaju veoma česte zablude među stanovnicima našeg divljeg, divljeg weba.

Pa, pređimo svaki od njih i demistifikujmo ih u par rečenica.

 

Mit #1: “HTTPS je komplikovan za implementaciju”

Za pojedince i njihove sajtove, ovo je moglo da pije vodu… ali u devedesitima. Međutim, ovaj iskaz je sve osim tačan u 2018. godini. Tada, iako ste imali zahtev za SSL-om, niste imali ni najmanju ideju kako da ga “nabavite”. Proces je mogao da se iskomplikuje i traje mesecima — tačno.

Ali to zaista više nije slučaj.

Hvala kosmosu, očekivano, dosta smo napredovali od tada. Danas možemo da zaštitimo svoje sajtove SSL-om za svega par sekundi, čak i za 0 dinara, ukoliko nam nije potrebna zahtevna zaštita. Recimo, putem Let’s Encrypt-a kojeg i mi nudimo u web hosting paketima sasvim besplatno. Sigurnost i privatnost na interrnetu (nam) je važna.

 

Mit #2: “HTTPS mi nije potreban”

Ovaj argument je, dozvolićete, čista nelogičnost, pogotovo za ljude koji bi, realno, trebalo da znaju bolje, plus — prikupljaju vaše lične podatke i operišu sa njima. Čak i ako takve igrače performanse ne zanimaju u tolikoj meri (pogledajte mit #3) mora im biti stalo do online bezbednosti, ali i privatnosti korisnika koji posećuju njihove sajove.

Usput, evo jedne zanimljive činjenice:

Bez HTTPS-a, svako ko se nađe između posetioca na vašem websajtu ili API-ju, može da pogleda, pa čak i modifikuje sadržaj bez vaše saglasnosti.

Ovo može da ima najviše efekta na vladine institucije, poslodavce, pa čak i internet provajdere.

Ne sviđa vam se šta čujete? Čitajte dalje šta imamo da vam kažemo.

Ukoliko vam je stalo do vaših korisnika i želite da dobijaju vaš sadržaj u nepromenjenom obliku i ostanu bezbedni, bez uticaja zlonamernih online oglašavanja ili malware-a, potrebno je da obratite pažnju na integrisanje HTTPS-a.

Osim sigurnosti, koja je svakako jedna od najvažnijih stavki, postoje i dodatne koristi, kao što su bolji SEO i pristup novim web funkcijama.

Naročito interesantno jeste da sve više velikih kompanija poput Apple, Googla, Mozille i Microsofta, ograničavaju funkcionalnosti, tako da rad bude u potpunosto omogućen samo putem HTTPS-a.

Kada je reč o mobilnim apikacijama, Google će, takođe, uskoro blokirati otvorene (nešifrovane) konekcije, a ove promene se očekuju u predstojećoj verziji Androida.

Slične inovacije nisu strane ni Apple kompaniji, koja je najavila da će uskoro sve aplikacije u MacOS i iOS operativnim sistemima morati da koriste HTTPS.

Mit #3: “HTTPS me usporava”

Ovu rečenicu čujemo dosta često.

“HTTPS usporava naše onlajn iskustvo.”

A, takvo uverenje datira od trenutka kada je SSL/TLS zapravo i mogao da ima negativan efekat na websajt.

Ipak, stvari su se promenile i to više nije slučaj danas.

Dežurni internet kritizeri obično misle da ih HTTPS usporava iz dva razloga:

1) potrebno je malo više CPU snage za šifrovanje i dešifrovanje podataka i

2) uspostavljanje TLS sesije traje dva mrežna kružna putovanja koja se obavljaju između pretraživača i servera.

Ipak, prema mišljenju Adama Langlija, čak i sa malo starijim hardverom, SSL/TLS dodaje manje od 1% opterećenja na CPU. Isto tako, današnji procesori dolaze sa detaljnim uputstvima kao što su AES-NI, koji pomažu kod povećanja performansi. U budućnosti se očekuje da napredna tehnologija znatno umanji TLS 1.2 i TLS 1.3, ili potpuno eliminiše kružna putovanja.

Kada se pošaje HTTPS sadržaj, obično je potrebno 10-20 milisekunde kako bi on sa websajta došao do vaših korisnika.

Zaključujemo: sajtovi sa SSL/TLS tehnologijom su veoma brzi. Performanse se ne umanjuju, čak ni kada se HTTPS ne postavlja “sa ivice”.

Kako da izbegnem da mi sajt bude obeležen kao nebezbedan?

Ukoliko želite da vas Google ne etiketira kao “Not Secure” u Chrome pretraživaču, sve što vam je potrebno je SSL sertifikat sa kojim ćete svom sajtu “dodati” HTTPS redirekciju.

Svi unlimited.rs korisnici su obezbeđeni sa besplatnim SSL-om, i to na svim našim cPanel Web hosting paketima.

A ukoliko Vaš trenutni hosting provajder ne pruža besplatan SSL, kod nas ćete dobiti 20% popusta za prvu godinu korišćenja, na bilo koji izabrani hosting paket.

Toliko je prosto.

Ukoliko vam je potrebna pomoć u implementaciji, tu smo za vas.

Pišite nam na chatu u dnu ove strane ili putem maila [email protected].

Čekamo vas i pre 23. jula.

Pre toga, proverite da li vaš sajt podržava HTTPS.

Život bez WHOIS

Zamislite situaciju – pokrećete svoj biznis.

Imate sjajan poslovni plan i naravno, već ste odabrali ime svoje kompanije.

Sledeći korak: online prisustvo.

Domen i hosting.

Pokušavate da registrujete baš taj željeni domen, međutim, avaj, dobijate informaciju da je on već zauzet.

Šta vam je sada činiti?

Odustati od imena? Ukoliko je izbor sužen, a ime dobro, pretpostavljamo da ne.

Sledi brza WHOIS pretraga domena, kroz koju saznajete ime trenutnog registranta, kao i njegove/njene javno dostupne kontakt podatke.

Ovo bi vam pomoglo da pokušate sa eventualnim otkupom naziva.

Korisno, zar ne?

Kako iz ovog, tako i iz drugih razloga, najjednostavniji i najbrži način za proveru osnovnih informacija je pretraga kroz WHOIS sistem, koji sadrži javno dostupne podatke o registraciji domena i time zasigurno predstavlja neprocenjivo istraživačko sredstvo za sve vlasnike trgovačkih marki, kao i njihovih zakonskih savetnika.

Poznato je da brendovi zakupljuju cele porodice domena, kako bi se zaštitili od narušavanja svog korporativnog identiteta. Tako je, na primer, poznati glumac Ašton Kučer, samo par dana nakon rođenja svoje ćerke Vajat Izobele, zakupio svaki mogući domen sa njenim imenom, a istom prilikom, kreirao joj i email nalog, kao i profile na društvenim mrežama Facebook i Instagram. Poznati glumac je svoju, naizgled, iracionalnu odluku, odbranio rekavši da želi da izbegne da njegova naslednica bude u konotaciji sa pogrdnim sajtovima i time zaštiti njenu privatnost.

Ipak, sistem kakav mi poznajemo je pred, naizgled, nepovratnom promenom.

 

Kako to sada odjednom?

S obzirom na to da je pre par dana Evropska Unija usvojila propis o zaštiti podataka o ličnim podacima, Internet korporacija za dodeljene nazive i brojeve (Internet Corporation for Assigned Names and Numbers – ICANN), pokušava da finalizuje privremeni model koji će omogućiti registrima domena da se pridržavaju obaveza vezanih za privatnost podataka, a u isto vreme, sačuvaju što više WHOIS podataka što je moguće. U slučaju da ICANN ne uspe da to učini u bliskoj budućnosti, svima nam preti višemesečni period bez WHOIS pretrage tokom kog informacije o registraciji domena neće biti javno dostupne.

GDPR i WHOIS

Opšta uredba o zaštiti podataka o ličnosti (GDPR) je predložena od strane Evropskog parlamenta u aprilu 2016. a stupila na snagu 25. maja 2018. Ova nova regulativa je sa sobom donela mnoštvo promena u načinu na koji se privatni podaci građana Evropske unije prikupljaju i koriste, a, za razilku od ranijih uredbi, GDPR je donet da primeni nova pravila koji će sigurno imati uticaja širom sveta. O tome kako GDPR može da promeni web, pisali smo ranije.

ICANN ima ugovore sa više hiljada operatora domena i registara koji zahtevaju besplatan javni pristup podacima o registrovanim imenima domena, tj. WHOIS podacima, za koje postojih veliki broj besplatnih WHOIS alatki za pretraživanje. S obzirom na to da WHOIS sistem sadrži informacije o nazivima, adresi, email-u, broju telefona, kao i administrativne i tehničke kontakt podatke registranta jednog domena, postoje slučajevi gde ICANN, pak, nema zakonsku osnovu za takvu obradu, a davanje tih informacija može doneti visoke kazne zbog kršenja uredbi koje je GDRP doneo.

 

Kakvu budućnost čekaju WHOIS podaci?

Konflikt između novonastalih promena koje je doneo GDPR i dugogodišnje misije ICANN za pružanje dostupnih i tačnih WHOIS podataka, pokazao se kao veoma teškim za usklađivanje. Iako je ICANN do skoro zahtevao od registara domena da učine dostupnim lične podatke registranata, GDPR ih sada praktično poptpuno skriva. Sve od trenutka kada je GDPR usvojen, ICANN pokušava da predloži privremeni model koji omogućava registrima da istovremeno ispunjavaju svoje obaveze prema ICANN-u i GDPR-u.

Prošlog meseca, članovi ICANN zajednice, sastali su se u San Huanu, u Portoriku, gde se glavna diskusija vodila oko razvoja privremenog modela koji će biti u skladu sa GDPR-om. Ipak, ova tema je proizvela salve kritika sa dve strane — registara domena, ali i vlasnika brendova. Jedni veruju da zahtevi u novom modelu, kao što je predloženo objavljivanje informacija o registracionoj organizaciji, ne podležu GDPR uredbama zato što te informacije mogu da sadrže privatne podatke, dok su, sa druge strane, predstavnici vladinog sektora, sajber-bezbednosti i onih koji se bave intelektualnom svojinom, izrazili svoju zabrinutost da bi objavljivanje imena ili email adresa registranata trebalo da bude obavezno, kako je to neophodno da bi se nastavio put ka potpunoj transaprentnosti.

Život bez WHOIS.

ICANN je planirao da usaglasi kreiranje konačne verzije sa 25. majom kada je GDPR stupio na snagu, međutim, i na početku novog meseca, ne vidimo da je rešenje na pomolu. Sve dok ICANN ne primeni svoj mehanizam akreditacija kako bi se trećim licima omogućio pristup ovim, veoma čuvanim podacima, nećemo biti u mogućnosti da koristimo WHOIS pretragu, a ovaj period će, prema procenama stručnjaka, trajati par meseci.

Sumnja se da će sve ovo imati značajne posledice za vlasnike intelektualne svoje koji se redovno oslanjaju na korišćenje WHOIS pretrage zarad pronalaska krivičnih prekršaja te svojine. Preporuka je da svi oni zainteresovani koji se zalažu za opstanak WHOIS pretrage, kontaktiraju članove odbora ICANN-a, kako bi osigurali postojanje ovog mehanizma i mogućnost pristupa podataka.

Što se naših nacionalnih domena tiče, WHOIS zaštitu i nije potrebno zakupljivati kao dodatnu uslugu ukoliko ste fizičko lice, kako će po novim “pravilima”, vaši podaci biti potpuno sakriveni. Bar za sada.

Šta dalje?

WHOIS sistem kakvim ga mi poznajemo danas, nikada više neće biti isti, iako ICANN radi na tome da kreira održivi model koji je u skladu sa novodonesenim zakonom. Ipak, šta god da se desi,  gotovo je sigurno da svi moramo da se pripremimo za život u svetu gde ne zavisimo od WHOIS sistema.

I, da… Možda ćemo i dalje imati neke korisne javne podatke, kao što su datumi kreiranja i isteka domena, imena servera i zemlja registracije, ali veći deo informacija koje danas koristimo za sprovođenje istraga u vezi sa intelektualnom svojinom, slanje pristanka i odustajanje od pisama koje šalju kompanije, kao i drugi načini komunikacije, biće verovatni sakriveni iza vrata. A, ključ do otključavanja, sistem akreditacije i modifikacije prethodnog, verovatno neće biti u našim rukama još barem šest meseci, ako ne i duže.

Želite da stupite u kontakt sa nama?

KONTAKTIRAJTE NAS
+381 11 428 08 08
[email protected]
Pokreni odmah