Zmiany w naszym serwisie – ładniej, szybciej i bezpieczniej

dodał 20 czerwca 2015 o 20:10 w kategorii Info, Krypto  z tagami:
Zmiany w naszym serwisie – ładniej, szybciej i bezpieczniej

W historii Zaufanej Trzeciej Strony nastąpił przełomowy moment, który powinien mieć miejsce już ponad 3 lata temu, gdy strona startowała. Zajęło to sporo czasu, ale zawsze ważniejsze były artykuły do napisania i brakowało rąk do pomocy.

Ten problem mamy jednak za sobą i możemy z dumą ogłosić: od dzisiaj oficjalnie ZaufanaTrzeciaStrona.pl jest dostępna wyłącznie poprzez szyfrowany protokół HTTPS. Oznacza to, że jeśli Wasze połączenie internetowe jest przez kogoś podsłuchiwane po drodze między Waszym komputerem a naszym serwerem, to złoczyńca praktycznie nie będzie w stanie ustalić, które ze stron naszego serwisu odwiedzacie, czego w nim szukacie ani co piszecie do nas przez formularz kontaktowy. Złoczyńca nie będzie mógł też z tej pozycji na przykład wstrzyknąć dodatkowych treści do naszej strony wyświetlanej w Waszej przeglądarce lub podmienić jej fragmentów. Oczywiście ryzyko takich zdarzeń oceniamy raczej jako niewielkie (nie jesteśmy w końcu WikiLeaks), ale pisanie o bezpieczeństwie zobowiązuje do wyższych standardów. Niedawno na HTTPS jako jedyny oferowany protokół przeszły serwisy takie jak Wikipedia czy Reddit, więc dołączamy do zacnego grona.

Kilka szczegółów technicznych

Z punktu widzenia obsługi HTTPS proces nie był szczególnie skomplikowany. Korzystamy z CloudFlare, zatem po prostu poprosiliśmy go o włączenie HTTPS. Problemy zaczęły się potem. Najpierw trzeba było poprawić wszystkie linki i obiekty w serwisie, by były serwowane po HTTPS zamiast HTTP. Kiedy już to się udało (nie powinno już być ostrzeżeń o mieszanej treści), to okazało się, że CloudFlare używa SNI, rozszerzenia protokołu TLS, które nie jest obsługiwane przez wszystkie przeglądarki. Początkowo byliśmy zdania, że jeśli ktoś korzysta z Windowsa XP albo Androida starszego niż 3.0 to jest to raczej jego problem (i to z punktu widzenia bezpieczeństwa dość poważny), jednak kilka głosów zrozpaczonych wiernych Czytelników w końcu nas przekonało i wykupiliśmy w CloudFlare odpowiednią usługę, by wszystkie przeglądarki były obsługiwane bez wyjątków (co nie znaczy, że nie namawiamy do odejścia od XP…). Jako że CloudFlare szyfruje tylko ruch między swoimi serwerami a Waszymi urządzeniami, w kolejnym etapie także zaszyfrowaliśmy połączenie między naszym serwerem z CloudFlare (wystarczył własnoręcznie podpisany certyfikat, który i tak widzi tylko CloudFlare). Skutkiem tych zabiegów jest ocena „A” w serwisie SSL Labs (by otrzymać 100% w każdej kategorii trzeba jednak odrzucić część połączeń starszych przeglądarek, a nie chcemy aż tak bardzo utrudniać Wam życia).

Idealnie nie jest, ale przynajmniej większość użytkowników może stronę zobaczyć

Idealnie nie jest, ale przynajmniej większość użytkowników może stronę zobaczyć

Nie wiemy, czy jesteśmy pierwszym odrobinę popularnym serwisem informacyjnym w Polsce, który zdecydował się na ten ruch, ale mamy wielką nadzieję, że nie ostatnim. Teraz będzie nam łatwiej namawiać do tego pozostałych. Projekt migracji jednak nigdy by się nie zakończył, gdyby nie nieoceniona pomoc Krystiana Kochanowskiego, który sam wykonał dla nas całą czarną robotę związaną z przejściem na HTTPS. Dziękujemy! Krystian wprowadził także kilka rozwiązań poprawiających wydajność serwera – zobaczymy przy okazji najbliższego Wykop efektu na ile będą skuteczne. Drobnej zmianie uległ także wygląd strony – mamy nadzieję, że jej lektura będzie jeszcze przyjemniejsza.

W związku ze skalą zmian prosimy o zgłaszanie wszelkich problemów z funkcjonowaniem strony. Mimo tygodnia testów i wielu poprawek może się jeszcze zdarzyć, że coś nie zadziała. Dajcie znać a naprawimy.