Ryzyko ataku rośnie wraz ze wzrostem popularności serwisu on line

Komunikacja w Internecie podlega mechanizmom weryfikacji, które sprawdzają, czy dany podmiot ma prawo posługiwać się określoną domeną. Po przekazaniu żądania i przeprowadzeniu weryfikacji mechanizm wystawia certyfikat SSL poświadczający bezpieczeństwo komunikacji z określoną stroną WWW. Pozyskanie certyfikatu SSL powoduje, że przeglądarka internauty i użytkowane przez niego zabezpieczenia nie oznaczają danej witryny jako podejrzanej lub niebezpiecznej. Od tego momentu możliwa jest bezpieczna wymiana danych między serwerem witryny WWW a komputerem intrneuty.

Początki protokołu SSL (secure socket layer) sięga połowy lat 90. Mechanizm został stworzony przez firmę Netscape - dostawcę popularnej wówczas przegląd internetowej. W 1996 r. powstała specjalna grupa robocza z zadaniem dalszego rozwijania SSL. W efekcie jej pracy, jeszcze przed rokiem 2000, powstała udoskonalona wersja protokołu TLS (transport layer security). TLS to obecnie jeden ze standardów, z którego korzystają certyfikaty SSL. Gwarantuje on poufność danych przez szyfrowanie informacji. Jednocześnie uwierzytelnia bezpieczeństwo serwera witryny WWW, z którym łączy się użytkownik. Dzięki temu internauta - klient banku czy sklepu on line ma pewność, że nie padnie ofiarą oszustwa. TLS/SSL posługuje się zestawami algorytmów szyfrujących z kluczami o długości 128 lub więcej bitów. Algorytmy te mogą być symetryczne - do kodowania i dekodowania wykorzystywany jest ten sam klucz lub asymetryczne - w takim przypadku klucz szyfrujący jest zwykle publiczny, a deszyfrujący prywatny.

Certyfikaty SSL to dziś podstawowa metoda zabezpieczania poufnych danych przesyłanych między internautą a witrynami sieci WWW. Gdyby nie szyfrowanie, numer karty kredytowej czy adres zamieszkania kupującego mogłyby zostać przechwycone i przekazane nieuprawnionym osobom. SSL weryfikuje tożsamość serwisu internetowego. Współczesne przeglądarki sprawdzają certyfikaty SSL i ostrzegają użytkownika, gdy coś jest nie w porządku. Dzięki ryzyko ataku polegającego np. na zamianie elementów strony internetowej czy przekierowaniu użytkownika do innej witryny jest ograniczane. Każdy z internautów może łatwo sprawdzić, czy serwis jest zabezpieczony - wystarczy, że dokładnie obejrzy pasek adresu przeglądarki. Powinien on być żółty albo zielony. Adres musi zaczynać się od liter "https", a obok powinna znajdować się ma kłódka - elementy te wyglądają różnie w różnych przeglądarkach. Po kliknięciu na ikonę kłódki internauta powinien zobaczyć, czy certyfikat SSL jest prawidłowy, jaki jest jego termin ważności i kto go wystawił.

Nie sposób dziś wyobrazić sklepu czy banku internetowego, które nie stosowałyby certyfikatu SSL dla uwiarygodnienia swojego serwisu. Wprawdzie większość internautów nie wie dokładnie, na czym polega szyfrowanie stron WWW i weryfikowanie ich tożsamości. Jednak coraz więcej osób, kierując się względem na bezpieczeństwo swoich operacji w Internecie, poszukuje w witrynach sklepów internetowych charakterystycznej kłódki. Kłódka na pasku adresu witryny to symbol bezpieczeństwa i pewności transakcji. Bez przeprowadzenia tego rodzaju weryfikacji coraz więcej osób po prostu rezygnuje z zakupów i decyduje się skorzystać z usług innych, konkurencyjnych sklepów. Chodzi o osoby bardziej świadome, doświadczone w prowadzeniu transakcji on line, bo tego rodzaju klienci stanowią obecnie zdecydowaną większość wśród tych, którzy wydają pieniądze on line.

Dzięki certyfikatowi SSL i szyfrowaniu połączeń również właściciele stron WWW mają pewność, że poufne dane ich klientów nie wyciekną na zewnątrz. Jest to ważne, bo chodzi również o bezpieczeństwo usług oferowanych za pośrednictwem Internetu i oddalenie widma ewentualnych pozwów, które mogłyby być skutkiem niedochowania przez e - przedsiębiorcę kupieckiej rzetelności. Certyfikat SSL to element budowania zaufania do usług oferowanych przez Internet i jednocześnie istotne ograniczenia pola manewru hakerom i cyberprzestępcom, którzy trudnią się gromadzeniem danych i wyłudzeniem pieniędzy dzięki ich wykorzystaniu. SSL zmniejsza też ryzyko oszustwa wymierzonego w e-sklep czy e-bank z związanych z nim strat.

Certyfikat SSL można kupić za 40 zł netto za rok. Jeśli administrator strony WWW chce utrzymywać kilka domen podporządkowanych domenie głównej i zabezpieczyć je wszystkie, musi nabyć certyfikat z tzw. wildcardem. Zapłaci za to więcej - ok. 430 zł netto za rok. Certyfikaty SSL sprzedaje GlobeSSL i kilku innych niedrogich dostawców, np. RapidSSL (od 50 zł do 350 zł netto za rok za wildcard) oraz GeoTrust (od 380 zł netto za rok). Najlepsi, ale i najdrożsi dostawcy to VeriSign i Thawte (od 400 do nawet 4,5 tys. zł za certyfikaty korporacyjne).

Podczas wybierania certyfikatu należy kierować się prostą zasadą - im większa i bardziej skomplikowana jest witryna, a przewidywana liczba jej użytkowników znacząca, tym bardziej warto zdecydować się na lepszy ale i kosztowniejszy mechanizm zabezpieczenia. Ryzyko ataku rośnie bowiem wraz ze wzrostem popularności serwisu. Certyfikaty SSL nie są w żadnym razie czymś, na czym warto oszczędzać. Kilkaset złotych wydanych raz na rok może uchronić przed utratą - skądinąd bezcennej - reputacji sklepu internetowego czy dostawcy aplikacji sieciowych. Dlatego zawsze trzeba mieć najlepszy certyfikat, na jaki firmę stać. Na szczególną uwagę zasługują certyfikaty w wersji EV (extended validation SSL). Są to rozszerzone wersje zwykłych certyfikatów, które umożliwiają skuteczniejszą walkę z phishingiem. Standard EV przechowuje nie tylko informacje o domenie i jej właścicielu, ale także o nazwie, lokalizacji i logo organizacji lub firmy.

Jacek Zioło