Zaznacz stron臋

Czy ostatnio zauwa偶y艂e艣 w twojej przegl膮darce, 偶e na stronach przy adresie www zacz膮艂 pojawia膰 si臋 komunikat „Niezabezpieczona” ?聽M贸g艂 ten problem dotkn膮膰 te偶 twojej firmowej strony www. Dlaczego tak si臋 dzieje? O co chodzi?

Troch臋 historii

Od kiedy istnieje Internet, a ma ju偶 ponad 30 letni膮 histori臋, kojarzy si臋 nam g艂贸wnie ze stronami www i protoko艂em http (przedrostek w adresach internetowych).聽Z czasem na stronach szczeg贸lnie wra偶liwych, kt贸re przesy艂a艂y tajne dane dosz艂o szyfrowane po艂膮czenie https, a nast臋pnie certyfikaty, kt贸re dodatkowo zabezpiecza艂y to po艂膮czenie.聽Przez poprzednie lata na stronach www wykorzystywany by艂 zar贸wno protok贸艂 http – nieszyfrowany i https 鈥 szyfrowany, z dodatkowym certyfikatem.

O co chodzi z szyfrowanym po艂膮czeniem?

W uproszczeniu szyfrowane po艂膮czenie polega na u偶yciu dw贸ch wcze艣niej wygenerowanych kluczy: na serwerze prywatnego, kt贸ry powinien by膰 dobrze zabezpieczony (tajny), i klucza publicznego dost臋pnego dla wszystkich.聽Szyfrowanie na serwerze nast臋puje kluczem prywatnym, natomiast deszyfracja – kluczem publicznym w przegl膮darce www. W ten spos贸b transmisja, dane przesy艂ane pomi臋dzy serwerem a przegl膮dark膮 s膮 zaszyfrowane i bardziej bezpieczne, zw艂aszcza przed pr贸bami pods艂uchania.

Dla ciekawostki w przypadku Enigmy szyfrowanie i deszyfrowa艂a wiadomo艣ci nast臋powa艂o identycznymi kluczami zar贸wno po stronie nadawcy i odbiorcy, dlatego tak wa偶ne by艂o chronienie tego klucza.

Szyfrowane po艂膮czenie i certyfikat to w zasadzie dwa nieroz艂膮czne elementy.

Od samego pocz膮tku, gdy wprowadzano szyfrowanie, istnia艂y te偶 certyfikaty, z tym, 偶e na pocz膮tku prawie ka偶da firma mog艂a stosowa膰 te偶 swoje indywidualne tzw. certyfikaty samopodpisane. Z czasem pojawi艂y si臋 wyspecjalizowane instytucje, kt贸re sprzedawa艂y certyfikaty dodatkowo, daj膮c gwarancj臋 bezpiecze艅stwa do okre艣lonej kwoty (odpowiednik firm ubezpieczeniowych).

Producenci przegl膮darek np. Firefox, Chrome, Internet Explorer zacz臋li stopniowo integrowa膰 w nich list臋 zaufanych instytucji certyfikuj膮cych i certyfikat贸w nadrz臋dnych.聽Tak, 偶e w przypadku u偶ywania niezaufanego certyfikatu, uznanego za niebezpieczny, pojawia艂y si臋 bezpo艣rednio w przegl膮darce komunikaty – ostrze偶enia.

Tak偶e w Polsce powsta艂y firmy certyfikuj膮ce, kt贸re wydaj膮 je komercyjnie. Do艣膰 znanym, dzi臋ki P艂atnikowi ZUS, jest np. Certum. Instytucje takie musz膮 mie膰 odpowiedni膮 infrastruktur臋 informatyczn膮, gwarantuj膮c膮 wysoki stopie艅 bezpiecze艅stwa, by zapewni膰 wiarygodno艣膰 wydawanego certyfikatu.

Nieprzestrzeganie odpowiednich procedur ich wydawania mo偶e grozi膰 ze strony firm, kt贸re dostarczaj膮 przegl膮darki utracenie zaufania a w efekcie niedost臋pno艣膰 stron www. W ostatnich latach dwie firmy certyfikuj膮ce StartSSL z Izraela i RapidSSL mia艂y do艣膰 powa偶ne wpadki, kt贸re spowodowa艂y zablokowanie ich certyfikat贸w nadrz臋dnych m.in. przez Google. Spowodowa艂o to konieczno艣膰 wymiany setek tysi臋cy certyfikat贸w na inne, gdy偶 po prostu strony, na kt贸rych by艂y u偶yte, wy艣wietla艂y komunikat b艂臋du.

Strony szyfrowane mo偶na rozpozna膰 po ikonie „zielonej k艂贸dki” z napisem „Bezpieczna”聽oraz adresie zaczynaj膮cym si臋 przedrostkiem聽https://.聽Takie strony musz膮 mie膰 dodatkowo zainstalowany certyfikat kwalifikowany, dzi臋ki kt贸remu zweryfikowany jest dostawca tre艣ci. Bez certyfikatu przegl膮darka wy艣wietla komunikat o zagro偶eniu.

Rodzaje certyfikat贸w

Obecnie dost臋pna jest du偶a liczba r贸偶nych certyfikat贸w kt贸re mo偶na posegregowa膰 wed艂ug

1. Typu:

  • Zabezpieczenie jednej domeny ( np. nss.pl )
  • Zabezpieczenie wielu subdomen tzw. wildcard ( np. www.nss.pl, blog.nss.pl, forum.nss.pl, poczta.nss.pl cokolwiek.nss.pl 鈥 )
  • Zabezpieczenie kilku r贸偶nych domen (np. nss.pl, nss.com.pl, nss.net.pl)

2. Rodzaj walidacji – mo偶na to upro艣ci膰 do tego, co b臋dzie wy艣wietla膰 si臋 w przegl膮darce i jakie informacje przedstawia艂 b臋dzie certyfikat:

  • Podstawowy, najpopularniejszy (wy艣wietla si臋 tylko 鈥瀦ielona k艂贸dka鈥 i napis „Bezpieczna” przed adresem URL np. https://poczta.nss.pl/ ).
  • Z nazw膮 firmy przed adresem URL (np. https://www.biznes.gov.pl/ ) – rejestracja takiego certyfikatu trwa d艂u偶ej, gdy偶 urz膮d certyfikuj膮cy wydaje go na konkretn膮 firm臋 po zweryfikowaniu, jest te偶 dro偶szy w utrzymaniu.


    Mo偶e pe艂ni膰 rol臋 dodatkowej reklamy nazwy np. instytucji, cho膰 nawet du偶e, znane firmy raczej go nie stosuj膮: np. apple.com, samsung.com, microsoft.com a nawet du偶e banki: mbank.pl (mo偶e chodzi o to, aby firma nie wynosi艂a si臋, nie zadziera艂a nosa? :))Z drugiej strony zdarzaj膮 si臋 firmy kt贸re stosuj膮 taki certyfikat np. https://www.envelo.pl/ https://www.jpmorgan.com/.
    Dawniej takie certyfikaty by艂y dodatkowo wyr贸偶nione w przegl膮darce zielonym paskiem – obecnie tylko jedna przegl膮darka: Internet Explorer wy艣wietla go, pozosta艂e jak Chrome, Firefox, Edge, Opera zrezygnowa艂y z tej formy dodawania presti偶u.

3. Okresu wydania

Obecnie, zgodnie z rekomendacj膮 firm zajmuj膮cych si臋 bezpiecze艅stwem, certyfikaty wydawane s膮 maksymalnie na 2 lata (wcze艣niej by艂y dost臋pne nawet na 3 i 5 lat).
Z tym, 偶e przewiduje si臋 jeszcze skr贸cenie tego okresu do 1 roku. A wi臋c z czasem pozostan膮 tylko 1-roczne. Zwi膮zane jest to z niebezpiecze艅stwami, wynajdowaniem luk bezpiecze艅stwa i mo偶liwym podszywaniem si臋 pod adres strony, jak r贸wnie偶 odkrywanymi nowymi zagro偶eniami, z tych powod贸w proponuj膮 kr贸tki okres wa偶no艣ci certyfikatu.

4. Ceny certyfikat贸w

Jest bardzo du偶o wydawc贸w i r贸偶nych typ贸w certyfikat贸w, podobnie zakres cenowy certyfikat贸w w zale偶no艣ci od typu聽 osi膮ga 聽r贸偶ne ceny dla najprostszych od 50-100 z艂 聽poprzez wilcardy w granicach 500 z艂, po wersje 鈥瀦 zielonym paskiem鈥 700-1500 z艂 a nawet po najdro偶sze do 7 000 z艂 / 1 rok. Przy czym te najdro偶sze certyfikaty maj膮 te偶 du偶o wy偶sz膮 gwarancj臋, ubezpieczenie na wypadek ich z艂amania i w ten spos贸b np. wycieku danych.

 

Nowa epoka w Internecie, czyli co zmieni艂o si臋 z wej艣ciem nowej przegl膮darki Google Chrome?

Do tej pory szyfrowane po艂膮czenie by艂o spotykane g艂贸wnie na stronach bank贸w, sklep贸w i na portalach w kt贸rych chodzi艂o o zabezpieczenie przesy艂anych danych np. kart kredytowych, loginu do konta bankowego itp. Strony www maj膮ce charakter informacyjny, na kt贸rych nie przeprowadza艂o si臋 偶adnych transakcji, nie by艂y szyfrowane i transmisja na nich odbywa艂a si臋 bez szyfrowania – po http://.

Z ko艅cem lipca 2018 Google wyda艂o now膮 68.wersj臋 przegl膮darki Chrome, kt贸ra wprowadzi艂a informowanie o stronach, na kt贸rych nie ma szyfrowanego po艂膮czenia. (Wersj臋 posiadanej przegl膮darki mo偶na sprawdzi膰 w informacji o programie).

Google uzna艂o, 偶e wa偶ne jest aby informowa膰 ludzi o tym, 偶e strona nie ma szyfrowanego po艂膮czenia. Wprowadzenie tej zmiany nie jest jakim艣 zagro偶eniem w przypadku zwyk艂ych stron informacyjnych firmy. 聽Jednak powoduje to, 偶e klientom odwiedzaj膮cym stron臋 mo偶e nie podoba膰 si臋 taki komunikat i mog膮 mie膰 wra偶enie, 偶e co艣 jest z tak膮 stron膮 nie tak.

Szyfrowanie i certyfikat na wszystkich stronach www?

Dzi臋ki dzia艂aniu Google i jego polityce wprowadzonej w przegl膮darce Chrome nie ma ju偶 odwrotu przed szyfrowaniem i certyfikatami na wszystkich stronach www.

Obecnie wskazanym rozwi膮zaniem jest wprowadzenie certyfikat贸w i szyfrowanych po艂膮cze艅 na wszystkich stronach www, tak偶e firmowych, nawet je艣li nie ma tam wra偶liwych danych, ani nie dzia艂a na nich sklep internetowy.To za spraw膮 komunikatu „Niezabezpieczona” kt贸ry b臋dzie straszy艂, lub wprowadza艂 niepok贸j w艣r贸d odwiedzaj膮cych stron臋 klient贸w.

 

Na czym polega wdro偶enie szyfrowanego po艂膮czenia strony www?

Wdro偶enie certyfikatu sk艂ada si臋 z kilku etap贸w:

1. Wyb贸r; wygenerowanie wniosku i zakup certyfikatu 聽聽

a) wygenerowanie klucza publicznego i prywatnego
b) wygenerowanie wniosku certyfikatu w formie elektronicznej (s艂u偶y do tego wcze艣niej wygenerowany klucz)
c)
zakup certyfikatu

2. Instalacja certyfikatu na serwerze i konfiguracj膮 szyfrowanego po艂膮czenia.

Konfiguracja serwera pod certyfikat.聽 Zmiana, aby serwis pracowa艂 tylko po szyfrowanym po艂膮czeniu,聽tak aby nie by艂o zduplikowanych tre艣ci z i bez szyfrowania. Google zaleca aby przekierowa膰 stary nie szyfrowany adres na nowy.

3. Dostosowanie, przestawienie obecnej strony www, systemu CMS

Dostosowanie, przestawienie serwisu www, systemu CMS tak aby pracowa艂 na nowym adresie z szyfrowanym po艂膮czeniem. Wi膮偶e si臋 to m.in. z popraw膮 adres贸w, odno艣nik贸w, URL grafik, u偶ytych wewn膮trz serwisu, gdy偶 odwo艂ywanie si臋 do adres贸w po nieszyfrowanym po艂膮czeniu (np. do grafik, skrypt贸w) b臋dzie skutkowa艂o informacj膮 o niebezpiecznych za艂膮cznikach na stronie.

4. Zmian臋 adres贸w w Google Analytics i Google Search Console

Aby Google poprawnie monitorowa艂o strony, konieczna jest zmiana adresu nieszyfrowanego http:// na szyfrowany z przedrostkiem https://. W przypadku Google Analytics jest to tylko zmiana w panelu, natomiast dla Google Search Console konieczne b臋dzie skonfigurowanie us艂ugi od nowa.

5. Zmiana adresu wp艂ywa te偶 na media spo艂eczno艣ciowe np. Facebook, i aby uratowa膰 polubienia, konieczna jest dodatkowa konfiguracja i wdro偶enie rekomendowanych zmian wewn膮trz serwisu, inaczej straci si臋 polubienia artyku艂贸w stron.

 

Podsumowanie

Firma Google wprowadzi艂a do艣膰 odwa偶ne zmiany w sposobie identyfikacji bezpiecznych witryn w Chrome, domy艣lnie traktuj膮c witryny szyfrowane z certyfikatem jako bezpieczne, a zamiast tego oznaczaj膮c witryny nieszyfrowane聽 jako „niezabezpieczone”.

Witryny聽 bez szyfrowania w przegl膮darce Chrome s膮 teraz w bardzo niekorzystnej sytuacji.聽Wydaje si臋, 偶e od zmian zainicjowanych przez Google w Chrome nie ma odwrotu, za nimi za jaki艣 czas p贸jd膮 pozosta艂e przegl膮darki Firefox, Opera, Edge. Zmiany te komplikuj膮 samo wdro偶enie i utrzymanie serwis贸w www i potrzeb臋 dbania i sprawdzania czy www jest zabezpieczona prawid艂owo, z dniem 1 sierpnia 2018 sta艂o si臋 to konieczno艣ci膮.

Szyfrowane po艂膮czenie i certyfikat wydaj膮 si臋 wa偶nym uzupe艂nieniem wdra偶anego ostatnio nowego prawa o ochronie danych osobowych (RODO). Pocieszeniem jest, 偶e zmiany mo偶na wdra偶a膰 stopniowo. Nie wszystkie firmy, nawet bardzo du偶e jak Allegro wprowadzi艂y jeszcze zmiany (przyk艂ad z 2018-07-31 – komunikat potwierdzenia reklamacji z Allegro).

Jeste艣 zainteresowany pomoc膮 we wdro偶eniu na stronie www twojej firmy szyfrowanego po艂膮czenia?

Je艣li chcesz aby艣my pomogli Ci wdro偶y膰 certyfikat i szyfrowane po艂膮czenie na stronie www – skontaktuj si臋, a najlepiej wype艂nij poni偶szy formularz. Pozwoli nam to sprawdzi膰 i przygotowa膰 dla聽 Ciebie odpowiednie rozwi膮zanie. Zach臋camy do wype艂nienia formularza, poniewa偶 jest du偶e zainteresowanie tym tematem, a w zwi膮zku z tym tak偶e wi臋cej zapyta艅.

Formularz zg艂oszeniowy – szyfrowane po艂膮czenie na www

Jestem zainteresowany

Zgoda na przetwarzanie danych osobowych

4 + 6 =