Mit zielonej kłódki. 80% internautów jest w błędzie
Zwracasz uwagę, czy strony, które odwiedzasz, mają zieloną kłódkę?
Słusznie. Kłódka i skrót HTTPS to znak, że strona otrzymała certyfikat SSL i szyfruje przesyłane przez Ciebie informacje. Jednocześnie aż jedna czwarta wszystkich ataków phishingowych dokonywana jest właśnie za pośrednictwem stron HTTPS. Bo zielona kłódka wcale nie jest gwarancją, że strona jest bezpieczna…
SSL (Secure Socket Layer) i TLS (najnowsza wersja SSL) to protokoły kryptograficzne, które uchodzą za gwarancję bezpiecznej komunikacji w sieci komputerowej. Na stronach sprzedających certyfikaty SSL zwykle już w początkowym leadzie znajdujemy zapewnienie, że kłódka to niezaprzeczalny dowód naszego bezpieczeństwa w przestrzeni on-line i mocny argument przemawiający za wiarygodnością strony. Czy aby na pewno?
Jak to działa?
Mała, zielona kłódka obok adresu strony internetowej to dla nas sygnał, że strona szyfruje wszystkie dane, które za jej pośrednictwem wysyłamy. Szyfrowanie jest oznaczone skrótem HTTPS (Hypertext Transfer Protocol Secure) wyświetlanym na początku adresu strony. Dzięki temu oznaczeniu wiemy, że podczas przeglądania stron najpierw następuje wymiana kluczy kryptograficznych TLS (Transport Layer Security), a dopiero potem standardowe żądanie HTTP. W ten sposób zabezpieczamy się przed przechwyceniem danych przez osoby trzecie. Protokół HTTPS przedstawiany jest w przeglądarce właśnie w formie zielonej kłódki. Widzimy ją i wierzymy, że nic nam nie grozi.
Zalety certyfikatów SSL
Oczywiście szyfrowanie przesyłanych danych jest bardzo ważne i potrzebne. Dzięki niemu informacje wymieniane pomiędzy przeglądarką a stroną nie są dostępne dla osób z zewnątrz — dostawców usług internetowych, administratorów sieci itp. Umożliwia ono wprowadzanie haseł, adresu lub danych z karty kredytowej bez możliwości ich podejrzenia przez kogoś postronnego. Jako użytkownicy końcowi możemy bardzo łatwo sprawdzić wiarygodność certyfikatu SSL. Klikając w kłódkę dostajemy informacje o tym, kto wystawił certyfikat (GeoTrust, Comodo itp.), kto o niego wystąpił i kiedy mija jego okres ważności. Jeśli więc logując się do banku, zwracasz uwagę na protokół HTTPS i zieloną kłódkę – to dobry nawyk. Niestety niewystarczający, by uchronić się przed atakami.
Gdzie jest haczyk?
Problem w tym, że zielona kłódka oraz otrzymany wraz z nią certyfikat SSL tak naprawdę nic nie mówią o bezpieczeństwie strony, a jedynie o szyfrowaniu danych. Wobec tego każda, również niebezpieczna, witryna internetowa (np. phishingowa) może mieć wiarygodny certyfikat SSL i szyfrować przesyłane informacje. Oczywiście zielona kłódka gwarantuje, że nikt inny nie będzie miał dostępu do naszych danych, ale jeśli strona jest fałszywa – wszystkie nasze dane mogą zostać skradzione. Korzystają na tym przede wszystkim strony phisingowe (do złudzenia imitujące oficjalne strony wiarygodnych organizacji – banków, serwisów aukcyjnych itp.), które wykupują certyfikaty SSL i przechwytują dane wprowadzane przez nieostrożnych internautów.
Za pośrednictwem stron HTTPS przeprowadzana jest aż jedna czwarta wszystkich ataków phishingowych! (źródło: PhishLabs)
Niska świadomość społeczna
Niestety badania dowodzą, że Polacy nie dbają o swoje bezpieczeństwo w sieci. Jak wynika z raportu Bezpieczniewsieci.org nie wiemy co to DDoS, botnet i pharming, nie używamy mocnych haseł, nie zaglądamy do ustawień prywatności. Nic więc dziwnego, że ponad 80 procent użytkowników wierzy, że zielona kłódka i słowo „bezpieczna” wyświetlane obok adresu internetowego oznacza, że strona nie jest szkodliwa i można bezpiecznie wprowadzać na niej swoje dane. (źródło: https://info.phishlabs.com/blog/quarter-phishing-attacks-hosted-https-domains). Phisherzy wykorzystują naszą naiwność i bez skrupułów tworzą kolejne szkodliwe witryny, które przechwytują nasze hasła i dane wrażliwe. Ich strony do złudzenia przypominają prawdziwe strony wiarygodnych organizacji, bardzo często mają też certyfikat SSL wraz z zieloną kłódką przy adresie internetowym. To usypia naszą czujność. A stąd już tylko krok dzieli nas od poważnych kłopotów.
Kupować czy nie?
Oczywiście nie znaczy to, że certyfikaty SSL są poświadczeniem bez znaczenia. Są bardzo ważne, zarówno dla właścicieli stron, jak i użytkowników sieci. Internautom dają poczucie komfortu i pewność, że ich transmisja danych nie zostanie przechwycona. Firmom zapewniają wiarygodność i poprawę wizerunku na rynku. Bez wątpienia warto w nie inwestować, choćby dlatego, że dla Google protokół HTTPS to ważny czynnik wpływający na pozycję strony w wyszukiwarkach. Ta decyzja daje stronom z certyfikatem wyraźną przewagę nad konkurencją. Tym bardziej, że od lipca 2018r. producent najpopularniejszej przeglądarki Chrome ma wprowadzić istotną zmianę w tym zakresie. Wchodząc na stronę, która nie posiada szyfrowania SSL. Każdy użytkownik przeglądarki Chrome w pasku adresu zobaczy informację „Niebezpieczna”. Obecnie działa to odwrotnie – jedynie strony obsługujące HTTPS są wyróżnianie ikoną zielonej kłódki oraz tekstem „Bezpieczna”. Strony, które nie posiadają zabezpieczeń nie są teraz wyróżnianie (z wyjątkiem, kiedy certyfikat jest przestarzały lub błędny).
Na korzyść certyfikatów przemawia również ich relatywnie niski koszt i bardzo łatwa instalacja na dowolnym hostingu. Niektóre wiarygodne firmy (np. Comodo), którym szczególnie zależy na ochronie użytkownika końcowego, dają gwarancję, że jeśli popełnią błąd podczas weryfikacji informacji, zawartych w certyfikacie, i użytkownik końcowy ucierpi z tego powodu za sprawą oszustwa online (podczas płatności kartą kredytową) – może rościć sobie prawo do zadośćuczynienia ze specjalnego funduszu gwarancyjnego. Więcej o certyfikatach Comodo znajdziesz tutaj: https://servizza.com/comodo-ssl.php
Jak się upewnić, że strona jest bezpieczna?
Poniżej podpowiadamy, na co zwrócić uwagę będąc użytkownikiem sieci i jakie środki ostrożności stosować w obliczu potencjalnego zagrożenia.
- Strona nie ma kłódki
Jeśli obok adresu strony nie ma kłódki oznacza to, że strona nie wykorzystuje szyfrowania ruchu między użytkownikiem a serwerem i wymienia informacje używając standardowego protokołu HTTP. Wprowadzanie danych wrażliwych na stronie bez kłódki jest niebezpieczne i naraża na potencjalne ataki internetowych oszustów.
- Kłódka jest przekreślona
Jeżeli ikona kłódki jest przekreślona na czerwono (i skrót HTTPS również jest czerwony) to znaczy, że strona posiada certyfikat SSL, ale nie został on zweryfikowany lub strona zawiera elementy z adresami, które nie stosują protokołu HTTPS – np. obrazek, do którego odwołaniem będzie http://domena.pl/obrazek.jpg. Ruch między użytkownikiem a serwerem jest szyfrowany, jednak nie możemy mieć pewności, że domena jest bezpieczna.
- Kłódka jest czerwona
Gdy kłódka jest czerwona oznacza to, że okres ważności certyfikatu wygasł, a właściciel strony nie zadbał o jego odnowienie. Takie strony są niebezpieczne, dlatego powinniśmy szczególnie się ich wystrzegać i absolutnie nie wprowadzać na nich żadnych osobistych informacji!
Praktyczne rady:
- dokładnie sprawdzaj nazwę domeny – może się różnić od prawdziwej tylko jednym znakiem!
- sprawdź, czy łącza, w które zamierzasz kliknąć, nie są podejrzane
- nigdy nie wprowadzaj loginów, haseł, danych z karty kredytowej itp., dopóki nie masz pewności, że strona jest wiarygodna
- upewnij się, że Twój komputer jest chroniony antywirusem
- na bieżąco aktualizuj swoje oprogramowanie
- regularnie korzystaj z aplikacji audytujących poziom zabezpieczeń
- przestrzegaj rekomendacji dotyczących ustawień polityki SSL na serwerze
Polecamy również pakiety hostingowe Servizza, w ramach których użytkownik otrzymuje bezpłatnie m.in. certyfikat Let’s Encrypt (AutoSSL).
Przechwycenie danych przez osoby nieuprawnione może się odbyć na wiele różnych sposobów. Jako użytkownicy sieci powinniśmy stale pamiętać o zagrożeniach i stosować niezbędne środki ostrożności. Wprowadzając hasła, adresy i numery kart kredytowych zawsze powinniśmy być czujni i kierować się zasadą ograniczonego zaufania. Jako właściciele stron natomiast powinniśmy prowadzić świadomą i rozważną politykę SSL, której najważniejszym założeniem jest regularna aktualizacja zabezpieczeń.
Servizza Team, przy wsparciu Stefana
Napisaliście: „Polecamy również pakiety hostingowe Servizza, w ramach których użytkownik otrzymuje bezpłatnie m.in. certyfikat Let’s Encrypt (AutoSSL).” a na stronie pakietów hostingowych Servizza nie znalazłem słowa o tym fakcie…
Czy możecie to potwierdzić?
Dziękujemy za komentarz ?
Tak, wszystkie pakiety zawierają bezpłatny SSL. Informację na ten temat
znajdzie Pan na stronie https://servizza.com/hosting, w sekcji:
‚Najistotniejsze informacje dla wszystkich opcji’ -> ‚Inne’ ->
‚AutoSSL(Let’s Encrypt)’.
Serdecznie zapraszamy!