Wiarygodny sklep internetowy tylko z certyfikatem SSL

Hasło do poczty, konta bankowego, czy serwisu społecznościowego jest w istocie kluczem do informacji o stanie naszego konta, wysokości wynagrodzenia, miejscu pracy, adresu zamieszkania, numerze telefonu - są to wrażliwe informacje, które chcemy i powinniśmy chronić. Czy zawsze to się udaje?

Od wielu lat funkcjonuje w przeglądarkach internetowych mechanizm certyfikatów SSL służących do ochrony komunikacji w sieci. Od kilku lat stosowane są także certyfikaty SSL EV, które gwarantują wysoką wiarygodność strony internetowej. Każdy, kto zabezpiecza takim certyfikatem stronę internetową, jest zweryfikowany, co uniemożliwia podstawienie fałszywej, podszywającej się strony internetowej. Zabezpieczona strona internetowa nie tylko gwarantuje, że połączyliśmy się z wiarygodnym i znanym dostawcą usługi internetowej (np. sklepem), lecz także zapewnia, że nikt nie przechwyci przekazywanych informacji, a więc także haseł.

Żeby zabezpieczenie działało, sami użytkownicy muszą zwracać uwagę, czy strona internetowa, z którą się łączą i na której podają swoje dane, jest zabezpieczona certyfikatem SSL (czy na

pasku adresu znajduje się https:// wraz z zieloną kłódką a przy certyfikatach EV zielony pasek z nazwą firmy).

Dotychczas nie istniały zabezpieczenia zmuszające użytkowników do weryfikacji, czy strona jest zabezpieczona wiarygodnym certyfikatem SSL. Dostawcy przeglądarek internetowych zaczęli w związku z tym wprowadzać zmiany zapewniające większą kontrolę i świadomość użytkownika, czy wpisuje hasło na stronie zabezpieczonej. W najbliższych miesiącach będą to usługi ostrzegania i informowania, docelowo producenci przeglądarek uniemożliwią podawanie hasła na stronach nieposiadających zabezpieczania w postaci certyfikatu SSL.

W styczniu 2017 r. firma Google, producent przeglądarki Chrome, wprowadzi zabezpieczenie, w wyniku którego podczas wpisywania loginu i hasła na niezabezpieczonej stronie użytkownik dostanie stosowne ostrzeżenie. W kolejnej fazie wdrożenia informacja o braku bezpiecznego połączenia będzie miała wyraźny krzykliwy kolor czerwony wraz ze znakiem wykrzyknika. Także inne przeglądarki, np. Firefox, wprowadzają zabezpieczenia związane z jednoznacznym informowaniem o zagrożeniu.

Certyfikaty SSL służące do zabezpieczenia stron internetowych są dla właścicieli stron internetowych na tyle dostępne kosztowo, jak również technologicznie, że w przyszłości niezabezpieczone strony będą występowały coraz rzadziej. Dostawcy usług internetowych powinni zatem zadbać o zabezpieczenie swojej strony certyfikatem jeszcze przed wejściem nowych wersji przeglądarek. Produkty te są łatwo dostępne i można je zamówić również przez Internet korzystając np. z Powszechnego Centrum Certyfikacji Certum.

Chrome 56

● Wersja będzie udostępniona w styczniu 2017 roku

● Nowy mechanizm ostrzeże użytkowników w przypadku wykrycia niezaszyfrowanego połączenia http w trakcie wpisywania poufnych danych

● Ostrzeżenie będzie komunikować użytkownikowi że podawanie haseł lub informacji na nieszyfrowanej witrynie jest bardzo ryzykowne i może prowadzić do kradzieży pieniędzy i innych wartościowych dla nas rzeczy

● W pierwszej fazie kolor wskaźnika informujący o braku szyfrowania będzie szary, natomiast docelowo oznaczenie przybierze formę czerwonego wykrzyknika

@RY1@i02/2016/240/i02.2016.240.007000200.802.jpg@RY2@

Rysunek 1 Ostrzeżenie o nieszyfrowanym połączeniu http w pierwszej fazie aktualizacji

@RY1@i02/2016/240/i02.2016.240.007000200.803.jpg@RY2@

Rysunek 2 Ostrzeżenie o nieszyfrowanym połączeniu http w drugiej fazie aktualizacji

● Kolejno wprowadzane mechanizmy ostrzegawcze będą pokazywały użytkownikom niezaszyfrowanych połączeń http. Ma to m.in. dotyczyć trybu przeglądania prywatności, gdzie początkowo takie komunikaty nie będą pokazywane

● Google planuje rozszerzyć ostrzeżenie dla wszystkich nieszyfrowanych stron w trybie Incognito, a następnie dla wszystkich nieszyfrowanych witryn dla całej przeglądarki

Firefox

● Firefox Developer Edition od wersji 46 ostrzega programistów przekreśloną na czerwono kłódką, gdy dane logowania są wymagane przez HTTP.

@RY1@i02/2016/240/i02.2016.240.007000200.805.jpg@RY2@

Rysunek 3 Firefox Edycje dla Programistów w wersji 45 oraz 46 i wyższe - sposób ostrzegania o braku szyfrowanego połączenia

@RY1@i02/2016/240/i02.2016.240.007000200.801.jpg@RY2@

Ewa Skurtys,

menedżer produktów w Pionie Usług Bezpieczeństwa i Zaufania, Asseco Data Systems SA

@RY1@i02/2016/240/i02.2016.240.007000200.804.jpg@RY2@