Reputacja przekuta w zysk - czyli dbajmy o SSL

Certyfikat SSL uznawany za podstawowy standard bezpieczeństwa w Internecie organizacje wciąż wykorzystują wybiórczo - głównie do stron transakcyjnych. Z drugiej strony rośnie w Polsce sprzedaż certyfikatów o najwyższej walidacji.

SSL to protokół sieciowy używany do bezpiecznych połączeń internetowych, przyjęty jako standard szyfrowania na stronach www. Jest to podstawowy, najprostszy i najpewniejszy sposób weryfikacji witryny. Może być wykorzystywany w każdej branży i w każdej organizacji. Posiadanie certyfikatu SSL przynosi szereg korzyści. Gwarantuje spełnienie wymogów ustawy o ochronie danych osobowych (Dz. U. z 2002 Nr 101, poz. 926, ze zm.), pozwala na szybką ocenę czy dana witryna jest bezpieczna, broni przed nieuczciwymi próbami przejęcia lub modyfikowania informacji. Istnieją trzy klasy certyfikatów SSL – DV (Domain Validation - walidacja domeny), OV (Organization Validation - walidacja organizacji/firmy) i EV ( Extended Validation - rozszerzona walidacja). Certyfikat wydawany jest dla pojedynczej domeny np. przyklad.waw.pl. Jednocześnie na rynku dostępne są certyfikaty typu wildcard, które mogą być zainstalowane dla wielu subdomen serwera np. www.przyklad.waw.pl. Certyfikaty tego typu mają nieco wyższą cenę. - Często jedna licencja przypada na certyfikat. To oznacza, że jego instalacja może się odbyć na jednym serwerze. Może stanowić to ograniczenie przy certyfikatach typu Wildcard, gdy subdomeny kierują na różne serwery, stąd też potrzeba instalacji tego samego certyfikatu na wielu serwerach - mówi Anna Jezierska, Kierownik Produktu Domeny i SSL w Home.pl

Popularność rodzajów certyfikatów zależy od branży. Małe sklepy internetowe najczęściej decydują się na certyfikaty klasy DV, urzędy administracji publicznej i duże sklepy internetowe decydują się na certyfikaty klasy OV, instytucje finansowe i ubezpieczeniowe wybierają certyfikaty klasy EV. Przedstawiciele branży e-commerce, dla których poziom bezpieczeństwa przekłada się bezpośrednio na ilość transakcji także sięgają coraz częściej po certyfikaty EV. - Administratorzy e-sklepów dostrzegli w certyfikatach SSL typu EV nie tylko metodę na wywiązanie się z ustawowego obowiązku ochrony danych osobowych, ale też pomysł na wyróżnienie się na tle konkurencji.- mówi Mariusz Janczak, Koordynator Marketingu Produktowego w Unizeto Technologies SA.

Zobacz również:

W ciągu ostatniego roku liczba certyfikatów EV wzrosła o kilkadziesiąt procent. To pokazuje potencjał rynku, wyższą świadomość osób odpowiedzialnych za bezpieczeństwo oraz większy nacisk ze strony końcowych użytkowników. Jak wynika raportu angielskiej firmy analitycznej Netcraft liderem sprzedaży certyfikatów Extended Validation w Polsce jest obecnie Unizeto Technologies. W listopadzie 2013 polskie Centrum Certyfikacji osiągnęło wyższy udział w rynku EV SSL niż VeriSign, GeoTrust czy Thawte. Przedsiębiorstwo zanotowało 50‑procentowy wzrost sprzedaży certyfikatów EV SSL w ciągu 12 miesięcy.

Fragmentaryczność standardem?

W praktyce SSL jest rozpoznawany na podstawie ikony kłódki i członu „https” (zamiast http) w adresie strony www, który został wpisany w pasek przeglądarki internetowej. Jednak brak symbolu zabezpieczenia nie oznacza jego braku w ogóle. Ochrona SSL może być stosowana, nazwijmy to „miejscowo” w strategicznych dla poufności przesyłanych danych miejscach witryny, niestety stosowanie SSL dla całej witryny jest wciąż zbyt mało popularne. Kłódkę potwierdzającą aktywne bezpieczne połączenie z certyfikatem SSL lub inny symbol w pasku przeglądarki można zobaczyć wówczas dopiero po przejściu, np. do formularza logowania czy rejestracji. To właśnie proces logowania pod kątem korzystania z serwisu jest najczęściej zabezpieczanym elementem witryn. Fragmentaryczne stosowanie SSL nie jest tylko przypadłością firm, cierpi na nią także sektor publiczny Niewiele szkól, jednostek służby zdrowia, urzędów i wyższych uczelni chroni swoje serwisy i strony internetowe certyfikatem SSL w całości. Bardzo często są to także tylko części witryn. Sesja szyfrowanego połączenia za pomocą SSL pojawia się więc na stronach logowania do elektronicznych skrzynek podawczych, w serwisach szkół i uczelni przy udostępnianiu informacji o uczniach i studentach oraz list ocen i w zasadzie wszędzie tam wszędzie tam, gdzie serwisy internetowe przetwarzają dane osobowe. Rzecz jasna dostawcy rozwiązań bezpieczeństwa rekomendują ochronę SSL dla całości witryny internetowej, tym bardziej, że nie przysparza to dodatkowych kosztów. Zabezpieczenie całości serwisu może być istotne dla biznesu, gdyż niewidoczne zabezpieczenie SSL, nawet jeśli jest obecne na podstronach serwisu ma swoje konsekwencje. Według badań TNS Research 72 proc. internautów przynajmniej raz opuściło stronę www, która wydała im się niebezpieczna, a 91 proc. z nich przyznało, że nie opuściłoby tej strony, gdyby posiadała zaufany certyfikat

Kto dba o SSL

Administracja publiczna dość dobrze wywiązuje się z ustawowego obowiązku odpowiedniego zabezpieczania serwisów internetowych. Zgodnie z Ustawą o ochronie danych osobowych, z dnia 29 sierpnia 1997 r., administrator witryny internetowej, na której zbierane są dane osobowe, a więc również wielu stron administracji publicznej, ma obowiązek ich zabezpieczenia przed nieuprawnionym dostępem. Certyfikaty SSL to standard na witrynach instytucji ogólnopolskich, ponieważ stanowią najprostszy i najpewniejszy sposób ich weryfikacji. W pierwszej dziesiątce polskich miast sytuacja pod tym względem jest dobra. Wszystkie korzystają z certyfikatów SSL, jednak zaobserwować można błędy w ich instalacji takie jak np. nieważny certyfikat (zapomniano o jego odnowieniu). Jednak i tu grzech fragmentaryczności występuje, zwłaszcza w mniejszych urzędach. Większość portali mniejszych miast pracuje w otwartym protokole HTTP. Jedyna strona zabezpieczona szyfrowaniem SSL to zazwyczaj Elektroniczne Biuro Obsługi Klienta. Dużym zdziwieniem był wynik badania przeprowadzonego w 2012 roku przez Unizeto Technologies na grupie 440 serwisów internetowych podmiotów notowanych na Giełdzie Papierów Wartościowych w Warszawie. Okazało się, że jedynie 11 proc. przebadanych spółek dba właściwie o bezpieczeństwo swoich użytkowników stosując SSL. Wśród tych 11 proc. znajdują się głównie spółki z sektora finansowego, które stawiają na najwyższy poziom zabezpieczeń. Aż 58 proc. certyfikatów SSL w tej grupie to rozwiązania klasy EV. Należy mieć nadzieję, że poziom bezpieczeństwa witryn przez kolejne dwa lata zapewne poprawił się, wraz ze wzrostem świadomości zagrożeń w sieci. Również nie wszystkie sklepy dbają o wysoki poziom bezpieczeństwa. Według Unizeto 60 proc. sklepów internetowych posiadało w ubiegłym roku najtańsze certyfikaty należące do podstawowej klasy DV (z nazwą domeny), 38 proc. przebadanych stron posiadało certyfikat klasy OV (zawiera nazwę domeny i organizacji). Krajobraz ten się zmienia, bo brak certyfikatu bezpośrednio może wpłynać na zyski, Anna Jezierska, Kierownik Produktu Domeny i SSL w Home.pl 98 proc. klientów zwraca uwagę na bezpieczeństwo zakupów w e-sklepach, a 65 procent klientów e-sklepów (dane dla rynku amerykańskiego) rezygnuje w ogóle z zakupów w przypadku kiedy witryna nieopatrzona jest bezpiecznym certyfikatem.

Łukasz Gawior, menedżer produktu odpowiedzialny w nazwa.pl za certyfikaty SSL

Najczęściej certyfikat SSL jest wykorzystywany do zabezpieczenia poszczególnych elementów serwisu www, który przetwarza dane poufne (np. hasła, loginy, dane osobowe).

Przede wszystkim są to części transakcyjne (koszyk w sklepach elektronicznych, panele zarządzania, okienka logowania). Osoby odpowiedzialne za serwis uważają, iż skoro w danej części serwisu www nie są przetwarzane newralgiczne dane, to nie ma konieczności zabezpieczenia ich certyfikatem SSL, chociaż pełne zabezpieczenie serwisu zazwyczaj nie wiąże się z dodatkowymi kosztami, gdyż certyfikat zabezpiecza całą domenę na którą został wykupiony (bez domen kolejnego rzędu jak np. panel.mójbank.pl).

Z większymi kosztami musimy się liczyć w przypadku, gdy klient chciałby posługiwać się certyfikatem EV, który ze względu na swoją specyfikację nie obsługuje funkcji Wildcard zabezpieczającej subdomeny następnego rzędu. Jeśli więc część serwisu jest utrzymywana w subdomomenie, klient będzie zmuszony do zakupu dwóch różnych certyfikatów.

Mariusz Janczak,, Koordynator Marketingu Produktowego w Unizeto Technologies SA

Firmy zazwyczaj zabezpieczają SSL-em strony zawierające: formularz kontaktowy, formularz rejestracyjny i formularz logowania. W przypadku urzędów, sesja szyfrowanego za pomocą certyfikatu połączenia pojawia się na stronach logowania do elektronicznych skrzynek podawczych. Fragmentaryczne zabezpieczanie witryny wynikać może po pierwsze z błędów w projektowaniu stron WWW. Bardzo często serwisy używają adresów bezwzględnych, co uniemożliwia automatyczne przełączanie się protokołów z HTTP na HTTPS. Powoduje to powstawanie ostrzegawczych komunikatów („strona zawiera treści nieuwierzytelnione”) co zniechęca użytkownika końcowego do kontynuowania działań. Po drugie, właściciele stron, chcąc przestrzegać przepisów prawnych, włączają certyfikat SSL tylko w tych miejscach, w których przetwarzane są dane osobowe, mimo że nie ma to wpływu na koszty rozwiązania. Dostawcy certyfikatów rekomendują zabezpieczanie całych witryn internetowych. Dobrym przykładem dbałości o ochronę wszystkich elementów stron są np. usługi Google.com.

Anna Jezierska, Kierownik Produktu Domeny i SSL w Home.pl

Zakres zabezpieczenia zależy zwykle od osób, które odpowiedzialne są w organizacji za kwestie bezpieczeństwa. A trzeba pamiętać, że to nie tylko ochrona danych. To również świadome kształtowanie dobrego wizerunku i prestiżu wśród użytkowników serwisu www. Certyfikat SSL powinien być stosowany w celu szyfrowania całej witryny. Certyfikaty SSL OV (Organization Validation) oraz EV (Extended Validation) potwierdzają również tożsamość podmiotu, którego witrynę oglądamy. Dzięki temu nie tylko zostaje zapewnione szyfrowanie informacji, ale rośnie także wiarygodność samej strony www.


TOP 200