Do tej pory najczęściej spotykanymi serwisami z certyfikatem SSL były największe sklepy internetowe i strony z sektora finansowego. Wkrótce może się to zmienić za sprawą standardów do jakich dąży Google. O braku certyfikatu będą również informować przeglądarki Firefox czy Chrome. Wszystko w celu zwiększenia bezpieczeństwa przetwarzania naszych danych osobowych i finansowych.
Już we wrześniu ubiegłego roku Google poinformował, że od stycznia 2017 roku, wraz z wejściem nowej, 56 wersji przeglądarki, Chrome będzie oznaczał strony, które nie wykorzystują protokołu HTTPS jako „niebezpieczne”.
Jak można przeczytać w wiadomości, Google stopniowo zmierza do tego, żeby każdy serwis w Internecie posiadał certyfikat SSL. Trudno jest przewidzieć, jak finalnie może wyglądać komunikat, ale możliwe, że oprócz tekstu, będzie podkreślony jego charakter np. za pomocą koloru czerwonego, który kojarzy się z zagrożeniem.
Poniżej obecne oznaczenie bezpiecznego połączenia.
Dlaczego należy szyfrować komunikację na stronie?
Internet to dynamiczne miejsce, które z dnia na dzień zwiększa liczbę użytkowników i wykonywanych operacji. Obecnie, praktycznie cała komunikacja odbywa się przy pomocy sieci: od przesyłania prostych informacji po zaawansowane działania jak np. transakcje finansowe. I to właśnie podczas tych działań jesteśmy najbardziej narażeni na próby nieautoryzowanego pozyskania danych osobowych.
Serwisy internetowe najczęściej padają ofiarą ataków typu phishing i man in the middle. Często ofiara nawet nie jest świadoma tego, że podając dane udostępniła je cyberprzestępcy. Chcąc zobrazować skalę problemu, podaję kilka faktów:
- w drugim kwartale 2017 r. system Anty-Phishingowy Kaspersky Lab zablokował 46 557 343 prób odwiedzenia stron phishingowych przez użytkowników. W przypadku 8,26% unikalnych użytkowników produktów Kaspersky Lab, zostały podjęte działania, mające na celu nieautoryzowane pozyskanie danych;
- najczęściej atakowanymi sektorami, zaraz za bankami (23.49%), systemami płatności (18,40%) jest e-commerce (9,58%);
- w 2015 roku Polska była w TOP10 najczęściej atakowanych krajów. W 2017 roku najwięcej ataków, bo aż 18.09% kierowanych jest na Brazylię. Polska w tym zestawieniu jest poza TOP10, ale nadal utrzymuje się na poziomie ok 5% z 2015 roku.
Po więcej danych odsyłam do raportu Spam and phishing in Q2 2017 i Phishing Data – Attack Statistics.
Ze względu na powyższe dane, warto zastanowić się nad wdrożeniem certyfikatu SSL. Dzięki niemu możemy uchronić użytkowników przed stratami materialnymi, nieprzyjemnymi doświadczeniami, a własną firmę przed problemami wizerunkowymi.
Korzyści z posiadania certyfikatu SSL
Najważniejszy aspekt, wynikający z posiadania certyfikatu SSL, to potrzeba zapewnienia realnego bezpieczeństwa użytkownikom Twojej strony. Należy być świadomym, że:
- bardzo ważna jest ochrona użytkowników przed kradzieżą haseł oraz wszelkiego typu danych, takich jak: numery kont bankowych, kart kredytowych i danych osobowych;
- w 2014 roku Google poinformował, że protokół HTTPS będzie traktowany jako sygnał rankingowy w ustalaniu pozycji stron;
- bardzo ważna jest informacja na pasku adresu przeglądarki o tym, że strona jest bezpieczna. Jeśli nie posiadamy SSL, użytkownik przechodząc np. do finalizacji zamówienia, dostanie powiadomienie na pasku adresu o niezabezpieczonym połączeniu.
Obecnie wiemy, że komunikaty będą pojawiać się w przeglądarkach Chrome i Firefox. Warto podkreślić, że rankingi wykorzystywanych przeglądarek na polskim rynku nie pozostają złudzeń: Chrome posiada ponad 22% udziału ruchu a Firefox 13%.
W rzeczywistości może to wyglądać jeszcze mniej korzystnie. Weryfikując własne projekty, potwierdzam że w przypadku sklepów z wyposażeniem kuchni, blisko 60% ruchu pochodzi z Chrome, a sklepów z kategorii „narzędzia i przemysł” oraz „obuwie” – 50%. Są to znaczące wartości, które mogą negatywnie wpłynąć na liczbę transakcji, jeśli użytkownicy zaczną z nich rezygnować z powodu wyświetlanego komunikatu na stronie „niezabezpieczona”.
Co zyskujemy, gdy wprowadzimy certyfikat SSL? Najważniejsze aspekty to:
- ochronę przed atakami typu phishingi i man in the middle;
- zwiększenie konwersji. Badania wykazują, że posiadanie SSL wpływa pozytywnie na ilość transakcji;
- posiadając certyfikat SSL, możemy zintegrować sklep z Facebookiem;
- spełnienie wymogów GIODO. W ustawie o ochronie danych osobowych (tekst aktu) nie jest jasno napisane, że należy używać certyfikatu SSL, ale są zapisy, które mówią nam, jakie obowiązki mają Administratorzy danych osobowych, np. w art. 36 ust. czytamy:
„Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”
W tej sytuacji wdrożenie SSL wydaje się najlepszym i najtańszym rozwiązaniem.
Certyfikat SSL a protokół HTTP 2
Protokół HTTP 2 ze względu na swoje możliwości, odgrywa coraz większą rolę w działaniach SEO. Wykorzystanie nowego protokołu HTTP, może w znaczący sposób przyśpieszyć czas ładowania się strony, który traktowany jest jako czynnik, mogący mieć wpływ na pozycje. Wdrażając HTTP 2 musimy liczyć się z tym, że posiadanie certyfikatu SSL jest wymogiem koniecznym, aby móc wdrożyć HTTP 2.
Bez certyfikatu SSL nie uruchomisz kampanii reklamowych
Od lutego 2017 roku w usłudze Zakupy Google (Google Shopping) posiadanie protokołu HTTPS będzie jednym z wymogów. Sklepy, które nie spełnią tych zasad mogą nie przejść poprawnie weryfikacji kampanii.
„Zgodnie z zasadami AdWords strony internetowe, z których przesyłane są określone informacje osobowe i finansowe, muszą korzystać z połączeń SSL: źródło
Aby zaoszczędzić sobie problemów, szczególnie w przed dniem darmowej dostawy, warto zadbać o SSL wcześniej i nie przejmować się tym, czy kampanie zostaną zaakceptowane.
Czy warto inwestować w certyfikat SSL?
Uważam, że ilość profitów, jakie otrzymujemy wraz z posiadaniem certyfikatu SSL jest na tyle atrakcyjna, że inwestycja w posiadanie protokołu HTTPS jest jak najbardziej zasadna. Będzie to zysk z obszaru finansowego, wizerunkowego oraz prawnego.
Jaki certyfikat wybrać dla mojej strony?
Jeśli prowadzisz mały serwis lub bloga (użytkownicy nie podają żadnych danych np. adresów email), możesz wykorzystać darmowe rozwiązanie, jakie oferuje Let’s Encrypt, ale tylko w przypadku, kiedy w serwisie:
- pobierasz i przetwarzasz dane osobowe,
- publikujesz informacje wymagające autoryzacji.
W powyższych przypadkach rekomenduję zainwestowanie w płatne certyfikaty.
Różnice między darmowym a płatnym certyfikatem SSL
Przyjrzyjmy się ofercie Let’s Encrypt. Jedną z podstawowych różnic są dostępne typy walidacji:
- darmowe certyfikaty posiadają tylko walidację tożsamości domeny tj. SSL DV (Domain Validation);
- w płatnych certyfikatach mamy dostępne dodatkowe dwie walidacje SSL OV (Organization Validation) – identyfikacje tożsamości domeny, jak i właściciela domeny oraz SSL EV (Extended Validation), gdzie oprócz identyfikacji tożsamości domeny, mamy jeszcze identyfikację właściciela oraz podmiotu biznesowego oraz adresu firmy;
- certyfikat typu EV otrzymują już zielony pasek przy polu adresowym URL w przeglądarce.
Z informacji umieszczonych na Let’s Encrypt wynika, że obecnie nie jest planowane wdrożenie pozostałych typów OV i EN.
Certyfikaty SSL typu DV znacznie prościej jest wygenerować, ponieważ nie są wymagane żadne dodatkowe działania oprócz wypełnienia formularza podczas generowania certyfikatu. W przypadku OV i EV mamy już większe obostrzenia. W skład procesu uzyskiwania certyfikatu wchodzą działania związane z wysyłaniem różnego typu dokumentów potwierdzających dane firmy.
Darmowy certyfikat nie oferuje Trust Seal, który jest „pieczęcią” oznaczającą, że Twoja działalność została zweryfikowana według światowych norm i jest godna zaufania.
Płatne certyfikaty posiadają wsparcie CA (Certificate Authority) i gwarancje w przypadku złamania klucza, co przy obecnych możliwościach jest nieosiągalne. Jeśli usługodawca nie oferuje automatycznego odnawiania, to w przypadku darmowych certyfikatów Let’s Encrypt, jesteśmy zmuszeni wykonywać to ręcznie.
Nie każdy darmowy certyfikat SSL gwarantuje pełne szyfrowanie
Podaję przykład na podstawie rozwiązań oferowanych przez popularną firmę Cloudflare. Jest to firma, która oprócz świadczenia m. in. CDN, ochrony przed atakami DDOS, oferuje również SSL w wersji darmowej. Cloudflare dużo oferuje w tym właśnie przypadku, ale w temacie wspomnianego SSL, nie możemy mówić o pełnowartościowym certyfikacie z ważnego powodu. Komunikacja miedzy stroną a serwerem nie jest szyfrowana w obu kierunkach. Dane są tylko szyfrowane między użytkownikiem a serwerami Cloudflare, ale już z serwera Cloudflare do docelowego serwera brakuje szyfrowania. Problem również może wynikać z tego, że użytkownicy routują ruch ze swoich serwerów przez Cloudflare.
Dokładniej informuje o tym sam Cloudflare Support https://support.cloudflare.com/hc/en-us/articles/205893698-Configure-Cloudflare-and-Heroku-over-HTTPS.
Warto zwracać uwagę na takie elementy szczególnie, jeśli rozważamy wdrożenie SSL na stronach, przy których szczególnie zależy nam na bezpieczeństwie wykonywanych działań.
Po raz kolejny kreowane są nowe kierunki rozwoju
Tym razem zmiany dotyczyć będą bezpieczeństwa użytkowników Internetu. Myślę, że jest to bardzo dobre posunięcie ze strony nie tylko Google, ale też twórców Firefox czy Facebook. Dzięki temu korzystanie z Internetu może stać się bezpieczniejsze.
Photo by Saksham Gangwar on Unsplash