Certyfikaty SSL – garść statystyk

W3tech codziennie generuje automatyczne raporty dotyczące wykorzystania certyfikatów SSL. Wprawdzie uwzględnia w nich „tylko” 10 milionów stron najpopularniejszych w sieci według rankingu Alexa, ale to wystarczająco duża próba, żeby zwrócić uwagę na te dane.

W sumie w rankingu badane są certyfikaty SSL wystawione przez 51 podmiotów. Całość raportu to ponad 2500 stron, ale najważniejsze z naszego punktu widzenia są dane dotyczące częstości używania poszczególnych certyfikatów. W ciągu ostatniego roku ilość stron nieużywających certyfikatów w ogóle spadła z 33,3 do 26,9%. Nie wydaje się to dużą zmianą, ale w praktyce jest to liczba, która powinna przykuć uwagę. To oznacza bowiem, że coraz częściej ochronie podlegają nie tylko witryny sklepowe czy zbierające dane użytkowników, ale także serwisy o bardziej ogólnej charakterystyce. To cieszy, ponieważ tak naprawdę dziś w wielu domenach dzielimy się przynajmniej adresami e-mail, a nawet te informacje powinny być chronione.

Drugą ciekawostką jest ilość nieprawidłowych domen, która wynosi obecnie niespełna 40%. W kontekście tego badania oznaczać to może, że certyfikat nie został poprawnie wdrożony, został wdrożony certyfikat SSL wydany dla innej domeny albo na przykład chronione są tylko niektóre podstrony serwisu, a nie strona, na której wylądował robot sprawdzający. Generalnie zwraca uwagę fakt, że przy części stron, które teoretycznie powinny być chronione, certyfikat nie działa – to kolejna ważna rzecz, o której powinny pamiętać osoby zajmujące się instalacją certyfikatów.

A teraz czas na analizę najbardziej interesujących danych. Aż 1,1% stron posługuje się nieważnym certyfikatem. To o tyle ważne, że wygasłe certyfikaty często działają bardzo silnie na niekorzyść witryny, jeśli chodzi o doświadczenia użytkowników. Podobną wpadkę zaliczył swego czasu jeden z polskich banków, który zapomniał o przedłużeniu certyfikatu, w związku z czym wielu internautów wycofało się i założyło konta gdzie indziej. Oczywiście brak certyfikatu przez kilka godzin w normalnym przypadku nie jest sporym problemem, ale w banku, który wszak powinien świecić przykładem, jeśli idzie o bezpieczeństwo, taka wpadka nigdy nie powinna mieć miejsca.

51 organów walidacyjnych, które zostały wzięte pod uwagę przy tworzeniu raportu, obsługuje 99,6% wszystkich wydanych certyfikatów. Wprawdzie podział rynku jest tu bardzo nierówny, o czym jeszcze za chwilę, ale warto też poświęcić sekundkę brakującym 0,4% stron. Otóż połowa z nich jest zabezpieczona certyfikatami samopodpisanymi, co wprawdzie zwiększa bezpieczeństwo, ale nie jest idealnym rozwiązaniem, zważywszy na fakt, że taki podpis jest znacznie gorzej postrzegany, a najtańsze walidowane są dostępne bez problemów (koszt rzędu 30-40 złotych rocznie). Kolejne 2 promile to strony z certyfikatami wydanymi przez nieznane ośrodki walidacji. Tutaj problem jest stosunkowo niewielki, natomiast warto o tym pamiętać przy poszukiwaniach najtańszych certyfikatów SSL – ranga ośrodka weryfikacyjnego też ma pewne znaczenie i nie warto w imię oszczędności paru złotych instalować certyfikatu, którego wystawca nie jest znany.

A jak dokładnie wygląda podział rynku certyfikatów? Aż 43% wszystkich prawidłowych certyfikatów sprawdzonych w ramach badania, zostało wydanych przez Comodo (działają na 14% stron uwzględnionych w sumarycznej liczbie 10 milionów). Na drugim miejscu jest IdenTrust i to może zaskakiwać, bo obecnie ten dostawca ma prawie 23% udziałów w rynku (niecałe 8% wszystkich sprawdzonych stron), a jeszcze rok temu obsługiwał tylko 0,3% wszystkich witryn. Podobnych sensacyjnych wzlotów i upadków nie ma więcej. Ogółem centrów weryfikacji, które mają udział w rynku wyższy niż 1%, jest zaledwie 5 (cały czas z 51 podmiotów uwzględnianych w badaniu). Są to: Comodo, IdenTrust, Symantec, GoDaddy i GlobalSign. Domyślać się można, że w Polsce te statystyki będą inne, jednak większość z wymienionych nazw nie jest obca osobom zajmującym się bezpieczeństwem w sieci.

Co wynika z tak przygotowanego raportu? Wniosków jest kilka. Przede wszystkim coraz częściej zabezpieczane są certyfikatami nawet strony, które zbierają dane dość powszechnie uznawane za nieszczególnie wrażliwe, a także serwisy, które w ogóle nie zbierają danych użytkowników, ale których administratorzy chcą podnieść komfort użytkowników. Po drugie – udział certyfikatów samopodpisanych jest znikomy i tak naprawdę nie są one dziś godne większego zainteresowania. Co zaś tyczy się ważnych certyfikatów, to tutaj nietrudno wskazać lidera rankingu i tylko przy wyborze należy zwrócić uwagę, czy faktycznie warunki oferowane przez daną firmę są najkorzystniejsze.

Nieoczywiste kryteria wyboru certyfikatu SSL

Certyfikaty SSL wybiera się, przede wszystkim zwracając uwagę na ich klasę. I choć jest to najważniejsze kryterium, to nie jest ono jedyne. Wiele osób kieruje się przy wyborze marką wystawcy certyfikatu czy nawet zaufaniem do dystrybutora, ale są również inne – często nieoczywiste – kryteria, o których warto pamiętać.

  • Zakres ochrony. Większość certyfikatów chroni tylko jedną domenę. Na rynku dostępne są jednak także dwa inne typy certyfikatów: wildcard, które chronią wszystkie subdomeny oraz multi-domain, które mogą chronić do 100 różnych nazw domenowych.

  • Wsparcie dla domen IDN. Domeny IDN (Internationalized Domain Name), a więc zawierające w nazwach znaki diakrytyczne charakterystyczne dla danego języka, np. dla polskiego ą, ę, ł, itd., nie są obsługiwane przez niektóre certyfikaty. Chcąc zabezpieczyć witrynę w takiej właśnie domenie, trzeba wybrać certyfikat oferujący wsparcie dla domen IDN.

  • Ochrona domeny głównej i bez przedrostka www. O ile certyfikaty typu Wildcard z zasady chronią obie wersje adresu, o tyle w przypadku pozostałych typów certyfikatów nie jest to oczywiste. Niektórzy wydawcy certyfikatów oferują ochronę obu adresów jednym certyfikatem, a inni nie – do tej pierwszej grupy należą między innymi Comodo, GeoTrust, RapidSSL i DomenySSL.

  • Opcja SAN. Jest to przydatna w pewnych okolicznościach właściwość certyfikatu, który pozwala na ochronę kilku nazw domenowych zlokalizowanych pod tym samym adresem IP. Nazwy chronione określa się przy zakupie certyfikatu w pliku CSR.

  • Możliwość wymiany certyfikatu. Opcja reissue obowiązuje w przypadku większości certyfikatów, ale są i takie, których wymiana nie jest możliwa. Zwykle okres, w którym możliwe jest ponowne wydanie certyfikatu, wynosi 30 dni, a jest to przydatne między innymi w przypadku zmiany algorytmu z SHA-1 (dziś niezalecanego) na SHA-2, zgubienia klucza prywatnego lub samego certyfikatu, niedopasowania klucza do certyfikatu itd.

Słowo o cenach

Ceny certyfikatów SSL, nawet o tym samym zakresie działania i podobnych opcjach dodatkowych, mogą się znacząco różnić. Dla wielu osób stają się one również dodatkowym kryterium wyboru, ale jest to sprawa dość kontrowersyjna. Sam mechanizm zabezpieczający jest we wszystkich przypadkach identyczny – nie ma znaczenia, jaki podmiot wydaje certyfikat, bo dane zawsze będą zabezpieczone dokładnie tak samo. Wzrost ceny wraz z kolejnymi funkcjami dodatkowymi też nie budzi żadnych zastrzeżeń, natomiast należy pamiętać, że certyfikaty są wydawane przez podmioty komercyjne, więc konkurencja cenowa będzie tu miała miejsce. Dla samej ważności certyfikatu nie ma to znaczenia, natomiast w niektórych przypadkach warto rozważyć także prestiż – nie jest on na pewno czynnikiem decydującym, ale w przypadku niektórych firm czy typów serwisów internetowych będzie odgrywał także poślednią rolę. Podstawowym kryterium wyboru musi być jednak dopasowanie certyfikatu do rzeczywistych potrzeb klienta i możliwości serwera.

Rodzaje certyfikatów SSL

Certyfikaty SSL nie zawsze działają tak samo. Wyróżnia się trzy ich rodzaje w zależności od poziomu wiarygodności oraz zakresu działania. W każdym przypadku mechanizm obsługi takiej witryny jest dokładnie taki sam, jednak certyfikaty te różnią się ceną (podstawowe można znaleźć nawet za darmo) i poziomem zaufania, jaki zapewniają. Oczywiście każdy certyfikat jest lepszy niż brak certyfikatu, ale z wielu powodów nie jest obojętne, który z certyfikatów SSL się zastosuje. Czytaj dalej Rodzaje certyfikatów SSL

Dlaczego szyfrowanie w sieci jest tak istotne?

Przez internet załatwiamy bardzo dużo różnego rodzaju spraw – logujemy się na strony banków, odbieramy pocztę, robimy zakupy czy rozmawiamy ze znajomymi. Właśnie dlatego istotne jest dobre zabezpieczenie zarówno komputera, wykorzystując program antywirusowy, jak i sieci, żeby przesyłane dane nie mogły być przechwycone. Właśnie dlatego kluczowe jest szyfrowanie w sieci, które powinno być na najwyższym poziomie. To szczególnie istotne w przypadku połączeń bezprzewodowych, które bardziej narażone są na ryzyko związane z podsłuchiwaniem przez osoby trzecie, włamaniami różnego rodzaju, na przykład na konto bankowe czy pocztowe. Warto korzystać z nowoczesnego sprzętu przeznaczonego do połączenia z Internetem oraz pamiętać o używaniu złożonych haseł dostępu. Należy także pamiętać, aby nie korzystać z sieci ogólnodostępnych i nieszyfrowanych przy różnych ważnych czynnościach wymagających logowania się na stronach.

Jak wybrać certyfikat?

Zabezpieczenie stron internetowych w postaci certyfikatów kierowane jest do różnych odbiorców. W zależności od zastosowania strony wybrać należy nieco inny certyfikat. Dane najlepiej zabezpieczyć za pośrednictwem certyfikatów domen. Takie certyfikaty można kupić za niewielkie pieniądze w stosunku do bardziej rozbudowanych zabezpieczeń. Serwisy internetowe, które przyjmują płatności powinny decydować się na silniejsze zabezpieczenia i sprawdzonych dostawców, jak certyfikaty Symantec. Takie certyfikaty mają na celu określenie właściciela serwisu. Wystawiający  certyfikat w takim przypadku potwierdza, że właściciel domeny jest właścicielem serwisu. O takie certyfikaty powinny starać się sklepy internetowe czy właściciele portali, na których odbywa się transmisja danych, gdyż w ten sposób można zwiększyć wiarygodność serwisu internetowego.

Certyfikaty bezpieczeństwa w Internecie

Zagrożenia związane z kradzieżą danych w Internecie są coraz większe. Z tego powodu warto korzystać z rozwiązań pozwalających na zwiększenie bezpieczeństwa przechowywania oraz przesyłania danych. Jednym z takich rozwiązań, które funkcjonuje już od 1994 roku są certyfikaty bezpieczeństwa, do których zalicza się Certyfikat ssl. Zapewnia on ochronę witryn internetowych poprzez wykorzystania szyfrowania przesyłanych danych. Zaufany Certyfikat ssl jest niezwykle ważnym elementem przy zabezpieczaniu danych osobowych. Jest to rozwiązanie, szczególnie wskazane dla wszystkich firm, podmiotów działających w Internecie w zakresie udostępniania i realizowania usług. Certyfikaty tego rodzaju wykorzystywane są również w sieciach lokalnych. Oprócz zwiększenia bezpieczeństwa przesyłanych danych poprzez szyfrowanie połączeń, certyfikaty zwiększają dodatkowo wiarygodność witryn internetowych

Bezpieczeństwo danych i wykorzystanie certyfikatów bezpieczeństwa

Oferując usługi za pośrednictwem Internetu konieczne jest zapewnienie bezpieczeństwa danych, zarówno tych które są przechowywane, jak i przesyłane za pośrednictwem strony. Zapewnienie bezpieczeństwa danych jest szczególnie ważne w przypadku firm, które korzystają z danych osobowych swoich klientów. Na stronach internetowych korzysta się z różnych certyfikatów typu SSL. Z jednej strony Certyfikat Rapidssl ma za zadanie zwiększyć bezpieczeństwo, ale również zbudować wiarygodność witryny internetowej. Na rynku certyfikatów SSL można korzystać z certyfikatów posiadających różne właściwości. Z jednej strony mogą to być proste certyfikaty, jak Certyfikat Rapidssl dedykowany na stron o niskiej i średniej wartości. Wybór certyfikatu powinien być zależny od możliwości finansowych właściciela strony internetowej oraz powinien być dostosowany do wartości serwisu.

Bezpieczeństwo w sieci

Internet stał się tak potężnym medium, że możemy w nim zrobić niemalże wszystko. Robienie zakupów przez internet, przelewów elektronicznych oraz setek innych operacji, tych związanych z naszymi pieniędzmi jak również tych, które są teoretycznie niebezpieczne, sprawiło, że zaistniała potrzeba ochrony danych osobowych oraz własności. W związku z tym obecnie bezpieczeństwo w sieci jest jednym z ważniejszych tematów, które dotyczą Internetu oraz powszechnej cyfryzacji. W związku z tym coraz więcej na ten temat rozmawiają nie tylko informatycy, ale również politycy oraz ludzie, którzy w sposób ścisły powiązani są z daną branżą. Oczywiście internet jest tym samym miejscem, które pomaga nam i jednocześnie nam może zaszkodzić. Wszystko oczywiście zależy od tego, jak go używamy. Korzystając z Internetu w sposób odpowiedni, zachowując odpowiednią ostrożność i stosując dobry program zabezpieczający, możemy być pewni, że w sieci nic złego nam się nie stanie. Warto jednak jak w życiu realnym stosować się do pewnych zasad.

Jak bezpiecznie kupować w sieci?

Zakupy internetowe są teraz coraz popularniejsze. Przez internet możemy kupić już praktycznie wszystko – od elektroniki i książek, poprzez ubrania i buty, a skończywszy na jedzeniu z dowozem jeszcze tego samego dnia. Jednak także on-line czyha na kupujących dość dużo zagrożeń – podrobione towary, nierzetelni sprzedający niewywiązujący się z umów. Bezpieczeństwo w sieci podczas zakupów jest wyjątkowo ważne. Jak kupować bez ryzyka? Na pewno konieczne jest znalezienie takiego sklepu, który jest godny zaufania, czyli ma dużo pozytywnych opinii i zadowolonych klientów. Sklepy dużych sieci sprzedażowych, chociaż czasami droższe, to na pewno są bezpieczniejsze. W razie potrzeby można posiłkować się specjalnymi serwisami zawierającymi opinie kupujących. Także trzeba uważać na portalach zakupów grupowych i na aukcjach. Zbyt tanie i teoretycznie markowe towary powinny budzić podejrzenia – niejednokrotnie ostatnio słyszało się o sklepach odzieżowych, obuwniczych, które jeżeli już wysłały klientowi towar, to była to podróbka. Także trzeba uważać na kosmetyki i elektronikę. Bezpieczeństwo w sieci to podstawa udanych zakupów.