De prin vara anului trecut, Google a anunțat că va promova folosirea ssl by default prin adăugarea unui bonus la “ranking-ul” site-urilor care folosesc ssl ( sau putem spune invers, prin scăderea celui al paginilor necriptate).
Nu este vorba doar de site-urile care necesită autentificare, ci de orice site. Acest lucru va face, în viziunea Google, web-ul mai sigur, prin faptul că cineva care ar intercepta traficul dintre utilizator și site nu ar mai avea cum să facă analiză de conținut pe acesta. Conținutul fiind criptat între mine și site-ul destinație, acesta va fi inaccesibil interceptării pe traseu.
În general acest conținut, în cazul în care nu vorbim de credențiale, ar putea fi folosit în activități de “profiling” : putem analiza ce mănâncă vecinul ( de pe ce site-uri comandă, mai precis) , dacă citește ziare de stânga sau de dreapta, dacă vede filme de Sergiu Nicolaescu sau de Antonioni etc, interceptând traficul său de web necriptat . Bineînțeles că de aici se poate merge mai departe folosind “cumva” aceste date, însă în principiu ceea ce e important este că nu vorbim de o amenințare directă prin folosirea paginilor necriptate, ci mai degrabă de o problemă potențială.
Pe vremea când locuiam în Pantelimon aveam veșnic niște vecine care se îndeletniceau cu activitatea de “profiling”, deși nu pe Internet ; aceasta avea cel puțin o finalitate clară, legată de numărul de persoane care să fie trecută la întreținere. În general, fiind o persoană politicoasă și deschisă aveam un ranking destul de bun și îmi plăteam întreținerea la timp, deși nu inventasem mantaua invizibilității cum ar recomanda Google.
Principala problemă a SSL a fost o vreme încărcarea suplimentară a serverului ( și stației). Cum însă procesoarele au evoluat destul de mult, în acest moment această problemă practic a dispărut.
Tehnic vorbind, se mai pun și alte probleme, mai ales în mediul de afaceri. De obicei o firmă mai mare, pentru a reduce din trafic, folosește așa numitele servere “proxy”. Toate cererile către Internet se fac prin intermediul acestora. Serverul memorează răspunsurile și, atunci când accesăm a doua oară aceeași pagină, ne va răspunde direct cu pagina memorată, în loc să mai facă încă o cerere către același site ( există bineînțeles mecanisme pentru a controla conținutul dinamic de cel static, dar nu e cazul să intrăm în amănunte). Ori, atâta timp cât traficul între stație și site-ul web este criptat, am doar două soluții: fie renunț la proxy , fie devin eu însumi “the man in the midle” și încep, de nevoie, să decriptez pe proxy traficul, eventual criptându-l la loc pentru utilizator, lucru pentru care va trebui să emit un “wildcard certificate” cu care să îi dau utilizatorului senzația falsă că e în continuare în siguranță.
Cealaltă problemă este comercială: în momentul în care voi trece site-ul meu pe ssl, va trebui să emit un certificat. Dacă în emit eu, browserul va afișa diverse mesaje care o să îmi sperie mușterii; am mai vorbit de această problemă anterior, unele din mesajele produse de Googkle Chorme sunt de-a dreptul mincinoase ( “your connection is not private” de exemplu este fals; în realitate ceea ce se poate spune este doar că nu putem fi siguri că site-ul e de încredere, conexiunea este la fel de privată ca la orice alt certificat). Cu alte cuvinte, dacă vreau să cresc în ranking-ul Google fără să îmi alung clienții ( vorbesc de un site public, nu unul fără autentificare) va trebui să cumpăr un certificat de la unul din providerii agreați de Google și Mozilla ( pentru că nu vreau să îi sperii nici pe cei care intră cu Firefox, nici pe cei care intră cu Chrome. Frumos business!
Din punctul meu de vedere însă, se mai pune o problemă. Google adaugă în ranking un criteriu care nu ține de relevanța site-urilor. Cu alte cuvinte, ranking-ul Google se îndepărtează de relevanța “reală”. Ori acesta este în primul rând un lucru rău pentru Google; e adevărat că deocamdată nu prea avem o alternativă la motorul lor de căutare, dar pe măsură ce diferența între ranking-ul Google și relevanța “reală” (orice ar însemna asta) crește, “ranking”-ul Google ca motor de căutare scade. Sigur, deocamdată e o valoare mică, însă nu trebuie să uităm că toată lumea, webdesigneri și clienți folosesc intensiv și aproape fără discernământ webmaster tools de la Google ( nici nu poti face altfel, dacă ignori recomandările acestora sigur vor veni alți webdesigneri care să-i “deschidă ochii” clientului asupra “greșelilor” ). Ceea ce dorim în primul rând de la un motor de căutare e relevanța. Dacă relevanță nu e….
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Ranking-ul Google e ranking-ul Google și nu trebuie luat prea în serios. E tot ca o agenție de rating, oferă niște servicii și speră să obțină bani din ele.
Ca impresie personală.(n-am întâlnit nicăieri abordat subiectul) aș zice că relevanța rezultatelor Google a scăzut sensibil în ultimii 2 – 3 ani. Am ajuns la fel ca pe vremea când foloseam Altavista, trebuie să mă gândesc la cei mai ciudați și mai restrictivi termeni de căutare pentru a obține 4-5 pagini de rezultate în loc de 232.000 (e un exemplu concret, numărul de rezultate pentru o căutare după ”lettice rowbotham”, la care încerc să-i fac reclamă cu ocazia asta :P )
În rezumat, Google e o afacere privată, orientată spre a produce venituri. Și cel mai bun mod de a produce venituri este să deții monopolul asupra unui produs. Pe care poți să-l ajustezi cum vrei, în scopul de a maximiza profitul. Acest produs fiind tocmai Ranking-ul Google, în cazul de față :)
„Sit” vine de la „situs”, loc in latina. „Site” este pluralul de la „sita”.
In romănă e împrumutat din lb engleză; împăratul Traian nu avea site, desi are un ranking bun :)
Sincer, cred ca e vorba de putina dezinformare sa spui ca Google promoveaza folosirea TLS-ului ca sa favorizeze business-ul CA-urilor. Recomand sa cititi blogurile [1] [2] inginerilor de securitate ai Google ca sa intelegeti mai bine filozofia din spatele unor astfel de miscari. Lasand putin la o parte teoriile conspirationiste, acesti ingineri sunt printre cei mai buni oameni din domeniu, si „citindu-i”, sper sa va convingeti nu doar de calitatea lor profesionala, ci si de cea etica.
[1] https://www.imperialviolet.org/;
[2] http://googleonlinesecurity.blogspot.de/ (aici i-ati prins cu ocaua mica, blogspot e fara TLS).
Nu mă îndoiesc că inginerii Google sunt „printre cei mai buni oameni din domeniu”, și NSA are oameni foarte buni si cred ca și FSB-ul. Cât despre etică, nu inginerii decid asta ci acționarii. „Hai să nu permitem injectarea de reclame de la alții, ca să le putem injecta pe ale noastre” :)
De fapt cei care câștigă în final nu sunt neapărat vânzătorii de certificate, ci vânzătorii de cloud; în curând lui Google îi va puți probabil dacă IP-ul tău găzduiește mai puțin de 100 de site-uri :) Devine din ce în ce mai complicat (și scump) să îți menții propria infrastructură, și asta nu pentru că ar fi din ce în ce mai ieftin în cloud ( Google e firma care vinde mail cu 3-4 USD/căsuță / lună) , adică îi poțî bate cu un server propriu la orice capitol: tehnic, economic, simplitate în utilizare, dar devine tot mai scump să ții pasul cu genul ăsta de măsuri „protecționiste”.
Bing.com, cam asta e raspunsul meu.
Din păcate, în multe situații Bing este încă inferior Google. Inclusiv la indexarea TechNet :)
Solutia sunt certificate autentificate pe baza unui model de incredere distribuit de tip openpgp. Certificatele se schimba fie fata in fata fie prin intermediul altor mecanisme agreate cu persoanele in care aveti incredere.
Problema incredereii e mult mai simpla. Ea nu a existat la inceputurile webului pentru ca pur si simplu miroseai site-urile care sunt ok de cele care nu erau. Pana la urma si acum poti sa-ti dai seama de aspectul asta fara ca acel site sa aiba sau sa nu aiba certificat ssl verde. Bine Microsoftul are, dar asta nu inseamna ca e de incredere :))) O data ce site-ul e de incredere in cazul in care e necesar un transfer criptat se poate folosi orice certificat. Indicat sa fie unul generat cu tehnologii care nu rezida in US pentru a avea o lungime de criptare mai mare, desigur daca si browser-ul suporta.
sudo apt-get install lets-encrypt
lets-encrypt contributors.ro
=)
Rubrica dvs.este pentru mine una din cele mai utile si interesante de pe acest site. Va urmaresc de ceva vreme si va rog sa continuati.