Tag: Wildcard

6
Sie

SSL

Prywatna, firmowa, czy korporacyjna strona www powinna być wyposażona w należyty poziom zabezpieczeń. Ważne jest zrozumienie potencjalnych zagrożeń sposobu ochrony przed nimi. Z tego powodu należy skorzystać z zaufanych partnerów oferujących certyfikaty SSL. Poniżej prezentujemy podstawowe informacje dotyczące rodzaju certyfikatów SSL i ich wpływ na bezpieczeństwo stron www

1. Czym jest SSL

Certyfikacja SSL zabezpiecza i ochrania witryny internetowe oraz zachowuje poufność przesyłanych danych, które są szyfrowane. SSL jest rejestrowany na każdą domenę i zawierają zabezpieczone kryptograficznie dane właściciela domeny. Informacje te nie mogą bezpośrednio być zmieniane przez właściciela domeny. SSL tworzony jest przez instytucje zewnętrzne zajmujące się generowaniem certyfikatów (CA). Pełni on dwie istotne funkcje takie jak uwierzytelnienie i weryfikacja oraz szyfrowanie danych. Analogicznie do zamka w drzwiach SSL może otworzyć lub zamknąć przepływ informacji do witryny internetowej. Zawiera on dwa klucze: publiczny do szyfrowania informacji oraz prywatny do deszyfrowania informacji i przywracania do oryginalnego formatu, który może zostać przeczytany. Kiedy użytkownik uruchamia stronę www zachodzi widoczny dla niego SSL handshake pomiędzy przeglądarką a serwerem. Wtedy pojawia się „oznaczenie zaufania” w pasku adresu, które jest widoczne w formie zależności od poziomu certyfikatu. Oznacza to, że bezpieczne połączenie zostało nawiązane w tej sesji korzystając z unikalnego klucza, dzięki temu można rozpocząć bezpieczne korzystanie ze strony.

2. Rodzaje certyfikatów

Certyfikat SSL bazuje na protokołach kryptograficznych, które są ciągle ulepszane. Nie jest to pojedynczy algorytm ale zestaw wielu algorytmów i schematów używanych do zapewnienia bezpieczeństwa. Ostatnią wersją protokołu jest TLS 1.3 zaproponowany 21 marca 2018 roku. Nie jest on jeszcze zaimplementowany w przeglądarkach, stąd wersja TLS 1.2 zajmuje obecnie 88% rynku. Nie zmienia to faktu, że wersja 1.3 jest przede wszystkim szybsza od poprzedniej o 50%. Obecnie TLS 1.3 obsługiwany jest przez: Firefox i Chrome. Stąd wniosek, że większość wersji przeglądarek nie obsługuje najnowszego TLS-a. Na chwilę obecną rynek musi zadowolić się poprzednim zestawem algorytmów.

Z biznesowego punktu widzenia certyfikaty SSL podzielono na trzy typy:

  • DV (Domain Vaildated) – najpopularniejszy certyfikat SSL. Weryfikowany jest przez nazwę domeny. Instytucja certyfikująca wysyła potwierdzający e-mail na podstawie którego certyfikat jest przyznawany. DV polecany jest dla małych sklepów internetowych, portali korporacyjnych, niekomercyjnych stron WWW.
  • OV (Organization Validated) – zapewnia wyższy poziom walidacji niż DV. Instytucja certyfikująca weryfikuję dane w oparciu o odpowiednie dokumenty, które muszą być przesłane. Informacje o certyfikacie dostępne w przeglądarce internetowej wyświetlają dane firmy posiadającej SSL. OV polecany jest dla dużych sklepów internetowych, serwisów biznesowych, stron urzędów i administracji publicznej.
  • EV (Extended Validation) – wprowadza maksymalny dostępny poziom zaufania. Wymaga przedstawienia precyzyjnych danych i dokumentów w języku angielskim. Skutkuję pojawieniem się zielonego paska adresu w przeglądarce. EV budzi pełne zaufanie internautów.

Na dzień dzisiejszy Chrome jest najpopularniejszą przeglądarką w Polsce zajmując ok 77% rynku. Z uwagi na fakt, że 70% ruchu internetowego odbywa się przez protokół SSL, staje się on standardem. Przeglądarka Google Chrome od wersji 68 wprowadza rygorystyczny sposób oznaczania stron WWW w postaci jawnego komunikatu o niebezpieczeństwie dla stron nie posiadających SSL-a, stąd stosowanie SSL-a staje się standardem.

3. Wildcard – SSL dla wielu adresów

W ramach jednej organizacji lub firmy można zamówić SSL dla kilku domen i wielu poddomen. Taki certyfikat nazywa sie wildcart. Jest on droższy od pojedyńczego SSL-a natomiast przy różnych adresach tej samej domeny jego zakup jest znacznie atrakcyjniejszy. Wildcart w ramach jednej organizacji dostępny jest dla kilku domen. Dla przykładu można go zarejestrować na adresach: www.mojsklep.pl, www.mojesklepy.pl, www.naszesklepy.pl. Trzeba pamiętać, że każda dodatkowa domena będzie płatna. Inaczej wygląda sprawa w przypadku poddomen. Dla witryny www.mojskep.pl możemy posiadać certyfikaty dla adresów: www.audio.mojsklep.pl, www.video.mojsklep.pl, www.muzyka.mojsklep.pl, itd. Coraz częściej klienci pytają o grupowe certyfikaty Wildcart i wybierają te z grupy OV lub EV

4. Test certyfikatów

Tak jak w życiu: usługa usłudze nie jest równa. Jak zawsze w kwestiach cyberbezpieczeństwa nie należy lekceważyć jakości oferowanych rozwiązań. W internecie dostępne są skrypty lub wtyczki umożliwiające testowanie poziomu zabezpieczeń SSL online. Zazwyczaj weryfikowane są następujące parametry: poziom certyfikacji, wsparcie protokołu, wymiana klucza oraz siła szyfrowania. Każdy z wymienionych parametrów kryje w sobie wiele testów odpowiadających na pytanie o całkowity poziom bezpieczeństwa certyfikatów użytych w domenach klienta

Przykładem dobrego zabezpieczenia jest domena akanza.pl. Wszystkie cztery kluczowe parametry ocenione są powyżej 90% skuteczności

Niestety, istnieją dostawcy SSL-, których skuteczność zabezpieczeń nie jest tak wysoka. Poniżej przedstawiono test wykonany na innej domenie należącej do firmy z Wielkiej Brytanii.

Serwer na którym umieszczono stronę nie wspiera kilku istotnych mechanizmów co ma negatywny wpływ na ocenę zabezpieczeń. Jak widać na powyższych przykładach usługi związane z certyfikacją SSL oferowane przez polskie firmy są na światowym poziomie.