SSL i Chrome och på Google.com + Verifiera din webbplats

1/15/2009

Tittar vi på varningarna Chrome ger användare i situationer där något indikerar en problematik i kontext av en SSL anslutning är Chrome allmänt mycket bra. Ett problem har traditionellt (Åtminstone Netscape: Insåg att jag inte är säker på vad jag kommer ihåg om tidiga IE) inte minst varit varningar som kommit som pop-up. Besökare vana att klicka sig förbi sådant och uppfattade dom aldrig.

Mozilla Firefox blev där bättre men hade risken att varningarna kunde och kan uppfattas som vanliga felmeddelanden om webbplatsen:

De varningar Chrome ger känns mycket tydligare. Notera här den svarta bakgrunden och att https är överstryket till vänster om URL:

Givetvis gäller sedan att allt nytt känns tydligare därför att man ev. inte vant sig att filtrera bort varningen.

Numera har jag för mig att även Internet Explorer har bra varningar (använder den sällan så jag kan inte lova det). Edit: Här får jag säga att jag nu inser att jag inte kommer ihåg säkert hur IE egentligen gjorde. Netscape vet jag säkert kastade upp dem och jag tror Internet Explorer också gjorde det. Men jag kan inte utesluta att IE inte var dom var först med vettiga felsidor!

Dumt att vänja besökare vid varningar

Vänjer man besökare vid att CERT-varningar är vanligt och inte orsakat av angrepp får man problem. Det är ingen som sitter och läser exakt vad varningarna handlar om flera gånger. Inte minst om man bygger något liknande vad jag uppfattar att Google arbetar på (jfr "the Google Cloud") blir det här naturligtvis ännu viktigare.

Båda skärmdumparna ovan gjorde jag genom att:

  1. Söka efter Google accounts på Google:

  2. http://www.google.com/search?hl=en&q=google+accounts&btnG=Google+Search&aq=f&oq=google+account

  3. Klicka på första sökresultatet d.v.s. länken som man "uppfattar" går till domänen google.com:

  4. https://google.com/accounts/

Även om jag inte tänker lova det är jag tämligen säker på att det var rätt webbplats jag kom till. Vad problemet här handlar om är att man går till google.com istället för www.google.com och certifikatet är utställt till www.google.com.

Är detta ett säkerhetsproblem?

Något säkerhetsproblem är det däremot inte (om jag nu inte tar helt fel och det inte är Google). Det går inte att missbruka direkt på något sätt så vitt jag vet. Utan det är bara det att man vänjer användare vid varningar som inte beror på säkerhetsproblem.

När det är ett allvarligt fel struntar folk kanske i det därför att man vill läsa sin e-post. Man tror inte att varningen är viktig. Det kan filtreras bort automatiskt.

Varför indexerade Google denna sida?

Jag har aldrig brytt mig att följa hur Google indexerar SSL tidigare. Det är inget som berör mig. Någon bra information om det har jag egentligen inte och har inte försökt leta rätt på någon. Hur som helst verkar det rimligt för mig att de inte ska indexera sidor som ger SSL-varningar. Då riskerar man att driva trafik till webbsajter som antingen är falska eller genererar onödiga varningar.

Eller så är självsignerade certifikat och certifikat utställda till andra subdomäner så pass vanliga i legitima situationer att Google indexerar dem? Det tror inte jag är bra alls.

Kanske gäller något undantag internt på Google? Att de normalt inte indexerar sidor som ger SSL-fel? Kanske orsakat av något av följande alternativ eller motsvarande:

  • Att Google robot inte får SSL-varning d.v.s. troligen att någon fattat ett beslut om att lita på certifikatet trots felaktig subdomän.
  • Att sidor går direkt över till index utan robot d.v.s. sidan laddas inte ner jämförbart.
  • Att Google robot kastar bort vissa grupper av större fel för sitt eget interna nätverk.

Att lösa problemet: Google Webmaster Tools

Det här problemet tror jag går bra att lösa genom att Google (eller annan som har problemet) går in på Google Webmaster Tools och:

  • Lägger till sin webbplats om man inte gjort det.
  • Verifierar sin webbplats om man inte gjort det.
  • Går in på "Settings".
  • För "Preferred domain" sätt till "Display URLs as www.google.com".

Därmed kommer inte subdomänen dyka upp i sökresultaten (om jag inte tolkar Google:s egen information fel). Alternativt kan man köpa ett certifikat även till subdomänen. Eller för en stor aktör som Google kanske det är bättre att köpa ett CA-cert och ställa ut i sin egen organisation (jag menar hur mycket kan Verisign eller annan ockra priset nu när Google har en ganska stor webbläsare?).

Andra lösningar finns också men har man inte redan verifierat sin webbplats med Webmaster Tools bör man göra det oavsett vilken som lösning som används eller om man har sådana här problem.

Ingen nackdel med Google Webmaster Tools: Bra verktyg

Jag kan inte se någon nackdel med Google Webmaster Tools för någon. Inte ens spammare såvida inte association mellan användarkonto, din IP-adress och webbplatsen är ett problem. Annars är det bara fördelar efter att man verifierat:

  • Intressant statistik om sökord.
  • Flera användbara verktyg för att ställa in saker runt sökningar.

Verifiera alltid din webbplats!

Dessutom tycker jag att det är en vettig försiktighetsåtgärd att verifiera sin webbplats. Jag utgår från att algoritmen Google använder för att generera strängarna som används inte är öppna för att några kollisioner som praktiskt går att utnyttja finns men det ska inte uteslutas. Det är tycker jag givet att säkerhetsproblem ändå poppar upp då och då bra att verifiera sig där liksom på Live! och Yahoo:

Inte minst Google Webmaster Tools är dessutom användbart. Live! och Yahoo! och är egentligen inget jag använder. Live! kan ju dock vara kul någon gång för att se deras motsvarighet till PR (ännu mer intet sägande avseende ranking än Google Toolbar).

Videoklipp om att verifiera webbplats

Google kom precis med ett litet videoklipp som de uppger förklarar hur man verifierar sin webbplats:

Om man nu inte som jag hellre läser texten:

1 kommentar
Krokus sa...

Hej!
Tack för så bra info, jag letade info om hur man kan verifiera en webbplats.
Jag har blivit uppringd av folk som vill ha pengar för att göra detta.
När jag kan göra det själv. Samt de hotade med att koppla min webbplats till obehagliga webbplatser om jag inte gick på med att betala.

2010-05-06 12:01

Kommentera