Wypowiedź eksperta

Zabezpiecz swoją aplikację internetową certyfikatem SSL

 

Podaj hasło, podaj swoje dane osobowe, akceptuj zakup w sklepie internetowym lub uzyskaj dostęp do konta bankowego, zmień status w profilu społecznościowym – w Internecie to codzienność. Dziesiątki razy podajemy hasła i łączymy się ze stronami, które żądają od nas danych i udostępniają nasze dane osobowe, czy te dotyczące fizycznej obecności w konkretnym miejscu! Czy możemy czuć się bezpieczni?

q

Hasło do poczty, konta bankowego, czy serwisu społecznościowego jest w istocie kluczem do informacji o stanie naszego konta, wysokości wynagrodzenia, miejscu pracy, adresie zamieszkania, numerze telefonu – są to wrażliwe informacje, które chcemy i powinniśmy chronić. Ale czy udaje nam się je skutecznie zabezpieczać?

 

Od wielu lat funkcjonuje w przeglądarkach internetowych mechanizm certyfikatów SSL służących do ochrony komunikacji w sieci. Od kilku lat są stosowane także certyfikaty SSL EV, które gwarantują wysoką wiarygodność strony internetowej. Każdy, kto zabezpiecza takim certyfikatem stronę internetową, jest pozytywnie zweryfikowany przez niezależne Centrum Certyfikacji, co uniemożliwia podstawienie fałszywej, podszywającej się strony internetowej. Zabezpieczona strona internetowa nie tylko nam gwarantuje, że połączyliśmy się z wiarygodnym i znanym dostawcą usługi internetowej (np. aplikacją internetową, na której zostawiamy swoje dane w procesie zakupu, np. książki, sprzętu RTV, czy samochodu), ale także zapewnia, że nikt nie przechwyci przekazywanych informacji, a więc także haseł.

 

Żeby zabezpieczenie działało, sami użytkownicy muszą zwracać uwagę, czy strona internetowa, z którą się łączą jest zabezpieczona certyfikatem SSL. Inaczej mówiąc powinni sprawdzić, czy na pasku adresu znajduje się napis https:// wraz zieloną kłódką, a przy certyfikatach EV – dodatkowo zielony pasek z nazwą firmy.

 

Problem braku możliwości weryfikacji strony internetowej przez użytkowników jest powszechny. Dotychczas nie istniały zabezpieczenia zmuszające użytkowników do weryfikacji, czy strona jest zabezpieczona wiarygodnym certyfikatem SSL.

 

Dostawcy przeglądarek internetowych zaczęli w związku z tym wprowadzać zmiany zapewniające większą kontrolę i świadomość użytkownika, poprzez wyświetlanie odpowiednich komunikatów ostrzegawczych zamieszczonych w pasku przeglądarki. Już teraz producenci przeglądarek ostrzegają użytkowników przed  podawaniem jakichkolwiek informacji poufnych takich jak hasła czy numery kart kredytowych na niezabezpieczonej certyfikatem SSL stronie, gdyż osoba atakująca będzie mogła je w łatwy sposób wykraść.

Rysunek 1. Informacja o stronie www niezabezpieczonej certyfikatem SSL

W styczniu 2017 roku Google producent przeglądarki Chrome wprowadził zabezpieczenie, w wyniku którego w polu służącym do wprowadzania loginu i hasła użytkownik dostanie informację, że strona nie jest zabezpieczona. W kolejnej fazie wdrożenia informacja o braku bezpiecznego połączenia będzie miała wyraźny krzykliwy kolor czerwony wraz ze znakiem wykrzyknika. Także inne przeglądarki tj. Firefox wprowadzają zabezpieczenia związane z jednoznacznym informowaniem o zagrożeniu wynikającym z wprowadzania hasła na niezabezpieczonej stronie internetowej.

 

Korzyści wynikające z posiadania HTTPS są niezaprzeczalne:

  • Bezpieczeństwo dla wszystkich witryn i stron, niezależnie od ich zawartości;
  • Złagodzenia znanych podatności takich jak SSLstrip i Firesheep;
  • Zapewnienie prywatności użytkownikom przeglądarki;
  • Wsparcie HSTS, które zapewni komunikat przeglądarki, jeżeli strona nie jest bezpieczna;
  • Wsparcie HTTP/2 zapewnia większą wydajność i mniejsze opóźnienia;
  • Wyższy poziom optymalizacji wyszukiwarek (SEO) dla Google;
  • Wyższy wskaźnik zaufania z zieloną ikoną kłódki.

 

Certyfikaty SSL służące do zabezpieczenia stron internetowych nie stanowią bariery zarówno kosztowej jak i technologicznej, z tego powodu wydaje się, że w przyszłości niezabezpieczone strony będą występowały coraz rzadziej. Informacja o braku bezpieczeństwa strony staje się negatywną informacją o dostawcy usług internetowych. Aby tego uniknąć, warto się w taki certyfikat zaopatrzyć. Można go zamówić również przez Internet np. z Powszechnego Centrum Certyfikacji Certum, które oferuje następujące rodzaje certyfikatów CERTUM SSL:

  • Certyfikat CERTUM Commercial SSL
  • Certyfikat CERTUM Trusted SSL
  • Certyfikat CERTUM Premium EV SSL

 

autor: Ewa Skurtys, Menadżer produktów, Pion Usług Bezpieczeństwa i Zaufania, Asseco Data Systems SA