Baza wiedzy

Przewiń by dowiedzieć się więcej

Jak zwiększyć zaufanie klienta w Internecie, czyli SSL cz. 1

Jest na świecie wiele wynalazków, bez których ten działałby zupełnie inaczej. Nawet jeśli tego nie wiesz, z wieloma z nich spotykasz się na co dzień. W tym artykule opowiem Ci o SSL, czyli mechanizmie dzięki któremu płatności czy zakupy w Internecie są znacznie bardziej bezpieczne. Bez względu na to czy jesteś jedynie konsumentem Internetu albo prowadzisz tu biznes, powinieneś przeczytać w jaki sposób wykorzystywać dostępną Ci technologie aby chronić swoje pieniądze i informacje.

Musisz wiedzieć, że my – specjaliści od bezpieczeństwa informacji, definiujemy co najmniej 7 podstawowych kryteriów, które definiują bezpieczną informację. Poznaj trzy z nich, które przydadzą się do rozważań nad standardem SSL:

Autentyczność. Przychodzisz do pracy, wszyscy Twoi koledzy i koleżanki są nad wyraz mili, dodają Ci otuchy, trzymają kciuki, życzą wytrwałości. Praktycznie każdy przelał jakąś sumę pieniędzy na konto fundacji, która zajmuje się leczeniem Twojej ciężko chorej siostrzenicy. Zaraz, zaraz …Ty przecież nie masz siostrzenicy ale prawie dorosłego siostrzeńca, który gwoli ścisłości czuje się świetnie. Po kilkunastu minutach dochodzenia okazuje się, że ktoś wysłał fałszywego, choć wzruszającego emaila z prośbą o drobny datek na leczenie. Praktycznie wszystko się zgadzało, Twój podpis także. Nikt jednak nie zadał sobie trudu aby sprawdzić adres email nadawcy wiadomości – to nie był Twój email. Chociaż nie zawiniłeś to mimo wszystko jest Ci głupio, że ktoś wykorzystał Twoje dane do tego aby oszukać Twoich kolegów i koleżanki. Reguła autentyczności informacji została złamana.

Poufność. Od dłuższego czasu zdobywasz mniej zleceń niż zwykle. Zastanawiasz się ze wspólnikiem dlaczego tak się dzieje – przecież ostateczny kształt oferty znacie tylko Wy, a mimo to zawsze przegrywacie – Wasz konkurent oferuje nico korzystniejsze warunki współpracy lub cena usługi jest niewiele niższa. Tak jakby wiedział co znajduje się w Waszej ofercie. Cóż, nie specjalizujecie się w bezpieczeństwie informatycznym i nie wiecie, że korzystanie z publicznej sieci wifi podczas lunchu może narazić informacje, które wysyłacie np. poczta elektroniczną na ujawnienie. Brak zachowania poufności spowodował, że Ty i Twój wspólnik nie byliście jedynymi osobami, które wiedziały jaka jest treść oferty wysyłanej do Waszych potencjalnych kontrahentów.

Integralność. Od samego rana dzwonią do Ciebie zdenerwowani klienci z pytaniem o towar za który zapłacili. Na swojej stronie internetowej obiecujesz szybką wysyłkę zaraz po wpłacie należności, tymczasem oni czekają już klika dni. Jesteś zdziwiony, nie odnotowałeś przecież żadnej wpłaty na rachunku bankowym. Jeszcze raz wchodzisz na stronę internetową, sprawdzasz jej treść i nagle truchlejesz – wszystko się zgadza …oprócz nr rachunku bankowego. Ktoś włamał się na Twoją stronę www i zmienił te kilkanaście cyfr przez co należność za towar, który sprzedajesz trafiała na konto nad którym nie masz kontroli. Informacja została zmieniona przez co naruszona została jej integralność. To oznacza kłopoty.

Jak udowodnić, że Ty to Ty?

W realnym świecie przychodzi nam to dosyć łatwo – dokument ze zdjęciem identyfikuje Cię bezbłędnie, a logo nad siedzibą banku oznacza, że trafiłeś do właściwej placówki. Ale weryfikacja tożsamości w Internecie jest bardziej skomplikowana. Jak sprawdzić, czy strona banku internetowego do której się logujesz to rzeczywiście właściwa witryna? I jak Twój klient zweryfikuje, że strona www na której zostawia poufne informacje rzeczywiście należy do Ciebie? Z pomocą przychodzi technologia SSL.

Aby pokazać Ci na czym to polega, wejdę na stronę banku PKO BP znajdująca się pod adresem www.ipko.pl. Na początku zauważ, że zostałem automatycznie przekierowany na stronę https://www.ipko.pl oraz po lewej stronie adresu pojawiła się prawidłowa nazwa banku (na zielono). To dobra wiadomość. HTTPS oznacza, że znajduję się na stronie internetowej, która szyfruje komunikację przy pomocy protokołu SSL.

rys1

Właściwie już te dwie cechy oznaczają, że znajdujesz się na dobrej stronie internetowej, ale my będziemy bardziej dociekliwi aby pokazać Ci, czego jeszcze możesz dowiedzieć się z certyfikatu SSL.

Dlaczego (nie)ufamy certyfikatom SSL?

Certyfikat SSL może wygenerować każdy z nas, ale nie każdy certyfikat będzie domyślnie uznany za zaufany. W niektórych przypadkach zostanie zweryfikowany automatycznie, a w innych będziesz musiał go sprawdzić i zaakceptować. Dlaczego? Wyobraź sobie, że zostałeś zatrzymany do rutynowej kontroli przez Policję, ale zapomniałeś dokumentów. Podajesz oczywiście swoje dane osobowe i dane samochodu, ale posterunkowy nie zna Cię i nie wie czy nie kłamiesz. Nieprzyjemna sprawa, skończy się na pewno mandatem i odholowaniem samochodu …chyba, że ktoś potwierdzi Twoją tożsamość np. Twój sąsiad, który przypadkiem przechodzi obok chodnikiem. Tym sąsiadem może być Komendant Posterunku Policji …albo Pan Edward, na co dzień pracujący w Irlandii. Komu uwierzy policjant który Cię kontroluje – swojemu szefowi czy kolejnej nieznajomej osobie ?

Zaufanie, chociaż to pojęcie bardzo niematerialne, to podstawa systemu certyfikatów SSL. W omawianym przypadku rolę Komendanta Posterunku Policji pełnią organizacje zwane Certyficate Authoruty w skrócie CA (pol. Urząd Certyfikacji). Są to instytucje znane publicznie, które zyskały zaufanie społeczności oraz dysponują wiedzą i technologią aby weryfikować tożsamość innych podmiotów. Certyfikaty autoryzowane przez takie organizacje są uznawane za globalnie zaufane i są automatycznie akceptowane np. przez przeglądarkę internetową.

Certyfikat wygenerowany przez Ciebie może także zapewniać wysoki poziom bezpieczeństwa oraz autoryzować Twoją tożsamość, ale raczej nie jesteś na tyle znaną osobowością, aby zaufała Ci społeczność internetowa. To znaczy, że certyfikat wystawiony przez Ciebie zostanie uznany przez przeglądarkę internetową za niezaufany i przed połączeniem ze stroną internetową będziesz musiał ręcznie zaakceptować taki certyfikat. Poniżej przykładowy komunikat z programu Firefox:

rys2

Certyfikat certyfikatowi nie równy

Wiesz już, że certyfikat SSL służy m. in. do weryfikacji tożsamości domeny i jej właściciela. Istnieją jednak różne klasy certyfikatów SSL. W znakomitej większości przypadków będziesz wykorzystywał pierwszy z nich, czyli Domain Validation służący do bezpiecznego przesyłu informacji (np. wiadomości email lub danych z formularzy kontaktowych). Pozostałe dwie klasy certyfikatów pozwalają dodatkowo przedstawić się nazwą organizacji i powinny być wykorzystywane wszędzie tam, gdzie kluczowa rolę, oprócz bezpieczeństwa transmisji danych, pełni weryfikacja tożsamości właściciela certyfikatu. Pamiętaj, że samo szyfrowane połączenie z serwerem nie gwarantuje autentyczności strony www, dlatego w przypadku transakcji internetowych powinieneś sprawdzać dla jakiej instytucji został wystawiony certyfikat.

DV – Domain Validation to certyfikat, który gwarantuje szyfrowanie transmisji danych w certyfikowanej domenie. W tym przypadku sprawdzane jest jedynie, czy domena, którą chcesz certyfikować należy do Ciebie lub Twojej organizacji. Nie weryfikuje się natomiast danych organizacji, która wnioskuje o wydane certyfikatu. Zastosowanie tego certyfikatu jest wystarczające aby spełnić np. wymagania ustawy o ochronie danych osobowych w zakresie przesyłu danych osobowych w sieciach publicznych.

rys3

OV – Organization Validation. Tego typu certyfikat gwarantuje szyfrowanie transmisji danych w certyfikowanej domenie oraz potwierdza dane organizacji, która jest właścicielem certyfikatu SSL. Podczas weryfikacji Urząd Certyfikacji (CA) sprawdza, czy domena dla której wystawia certyfikat należy do Ciebie oraz weryfikuje dane Twojej firmy. Dzięki temu na certyfikacie SSL oprócz nazwy domeny pojawia się nazwa organizacji na którą ten został wystawiony.

rys4

EV – Extended Validation. Ten certyfikat gwarantuje szyfrowanie transmisji danych w certyfikowanej domenie oraz potwierdza dane organizacji, która jest właścicielem certyfikatu SSL. Różnica w porównaniu z certyfikatem OV polega na bardziej skrupulatnej weryfikacji tożsamości zamawiającego certyfikat SSL. Oprócz tego, że na certyfikacie SSL pojawia się nazwa domeny i nazwa organizacji na którą ten został wystawiony, to nazwa organizacji pojawi się dodatkowo obok pasku adresu strony internetowej co ułatwia weryfikacje tożsamości właściciela strony www. Dodatkowo stosowany jest bardzo wysoki poziom szyfrowania transmisji danych.

rys5

Na co jeszcze zwrócić uwagę w przypadku certyfikatu SSL?

Wystawca certyfikatu. Jeśli jesteś firmą lub organizacją, która prowadzi działalność komercyjną, to Wybierając wystawcę certyfikatu (Urząd Certyfikacji) upewnij się, że znajduje się on na liście zaufanych głównych urzędów certyfikacji przechowywanych przez najpopularniejsze przeglądarki internetowe np. Firefox, Chrome, IE, MS Edge, Safari (lub współdzieli zaufany root). Pozwoli to uniknąć problemów z automatyczną akceptacja certyfikatu przez przeglądarkę kiedy klient odwiedzi Twoja stronę www.

Ważność certyfikatu. Wszystkie certyfikaty SSL wystawiane są na określony czas. W praktyce najpopularniejszym okresem jest rok. Pamiętaj o terminie zakończenia ważności certyfikatu i jego wcześniejszym odnowieniu. W innym przypadku Twoja strona internetowa może być domyślnie blokowana przez przeglądarkę www, co np. w przypadku e-commerce oznacza wymierne straty. W zależności od klasy certyfikatu czas potrzebny na jego odnowienie może wynieść od kilkudziesięciu minut do kilku dni.

Sprawdź naszą ofertę

BEZPIECZEŃSTWO IT

Setki godzin na spotkaniach po to by zrozumieć biznes. Tysiące godzin w serwerowni po to by system działał perfekcyjnie. Wszystko wspierane technologią o której wiemy, że jest funkcjonalna i niezawodna.

Czytaj więcej

AUDYT BEZPIECZEŃSTWA INFORMACJI

Przeprowadzenie audytu bezpieczeństwa informacji tj najskuteczniejsza metoda sprawdzania efektywności funkcjonowania systemu informatycznego firmy.

Czytaj więcej
Top

BEZPŁATNE
KONSULTACJE
TELEFONICZNE

Umów się na bezpłatną konsultację z ekspertem!
Czytaj więcej

Koszyk jest pusty!