W3tech codziennie generuje automatyczne raporty dotyczące wykorzystania certyfikatów SSL. Wprawdzie uwzględnia w nich „tylko” 10 milionów stron najpopularniejszych w sieci według rankingu Alexa, ale to wystarczająco duża próba, żeby zwrócić uwagę na te dane.
W sumie w rankingu badane są certyfikaty SSL wystawione przez 51 podmiotów. Całość raportu to ponad 2500 stron, ale najważniejsze z naszego punktu widzenia są dane dotyczące częstości używania poszczególnych certyfikatów. W ciągu ostatniego roku ilość stron nieużywających certyfikatów w ogóle spadła z 33,3 do 26,9%. Nie wydaje się to dużą zmianą, ale w praktyce jest to liczba, która powinna przykuć uwagę. To oznacza bowiem, że coraz częściej ochronie podlegają nie tylko witryny sklepowe czy zbierające dane użytkowników, ale także serwisy o bardziej ogólnej charakterystyce. To cieszy, ponieważ tak naprawdę dziś w wielu domenach dzielimy się przynajmniej adresami e-mail, a nawet te informacje powinny być chronione.
Drugą ciekawostką jest ilość nieprawidłowych domen, która wynosi obecnie niespełna 40%. W kontekście tego badania oznaczać to może, że certyfikat nie został poprawnie wdrożony, został wdrożony certyfikat SSL wydany dla innej domeny albo na przykład chronione są tylko niektóre podstrony serwisu, a nie strona, na której wylądował robot sprawdzający. Generalnie zwraca uwagę fakt, że przy części stron, które teoretycznie powinny być chronione, certyfikat nie działa – to kolejna ważna rzecz, o której powinny pamiętać osoby zajmujące się instalacją certyfikatów.
A teraz czas na analizę najbardziej interesujących danych. Aż 1,1% stron posługuje się nieważnym certyfikatem. To o tyle ważne, że wygasłe certyfikaty często działają bardzo silnie na niekorzyść witryny, jeśli chodzi o doświadczenia użytkowników. Podobną wpadkę zaliczył swego czasu jeden z polskich banków, który zapomniał o przedłużeniu certyfikatu, w związku z czym wielu internautów wycofało się i założyło konta gdzie indziej. Oczywiście brak certyfikatu przez kilka godzin w normalnym przypadku nie jest sporym problemem, ale w banku, który wszak powinien świecić przykładem, jeśli idzie o bezpieczeństwo, taka wpadka nigdy nie powinna mieć miejsca.
51 organów walidacyjnych, które zostały wzięte pod uwagę przy tworzeniu raportu, obsługuje 99,6% wszystkich wydanych certyfikatów. Wprawdzie podział rynku jest tu bardzo nierówny, o czym jeszcze za chwilę, ale warto też poświęcić sekundkę brakującym 0,4% stron. Otóż połowa z nich jest zabezpieczona certyfikatami samopodpisanymi, co wprawdzie zwiększa bezpieczeństwo, ale nie jest idealnym rozwiązaniem, zważywszy na fakt, że taki podpis jest znacznie gorzej postrzegany, a najtańsze walidowane są dostępne bez problemów (koszt rzędu 30-40 złotych rocznie). Kolejne 2 promile to strony z certyfikatami wydanymi przez nieznane ośrodki walidacji. Tutaj problem jest stosunkowo niewielki, natomiast warto o tym pamiętać przy poszukiwaniach najtańszych certyfikatów SSL – ranga ośrodka weryfikacyjnego też ma pewne znaczenie i nie warto w imię oszczędności paru złotych instalować certyfikatu, którego wystawca nie jest znany.
A jak dokładnie wygląda podział rynku certyfikatów? Aż 43% wszystkich prawidłowych certyfikatów sprawdzonych w ramach badania, zostało wydanych przez Comodo (działają na 14% stron uwzględnionych w sumarycznej liczbie 10 milionów). Na drugim miejscu jest IdenTrust i to może zaskakiwać, bo obecnie ten dostawca ma prawie 23% udziałów w rynku (niecałe 8% wszystkich sprawdzonych stron), a jeszcze rok temu obsługiwał tylko 0,3% wszystkich witryn. Podobnych sensacyjnych wzlotów i upadków nie ma więcej. Ogółem centrów weryfikacji, które mają udział w rynku wyższy niż 1%, jest zaledwie 5 (cały czas z 51 podmiotów uwzględnianych w badaniu). Są to: Comodo, IdenTrust, Symantec, GoDaddy i GlobalSign. Domyślać się można, że w Polsce te statystyki będą inne, jednak większość z wymienionych nazw nie jest obca osobom zajmującym się bezpieczeństwem w sieci.
Co wynika z tak przygotowanego raportu? Wniosków jest kilka. Przede wszystkim coraz częściej zabezpieczane są certyfikatami nawet strony, które zbierają dane dość powszechnie uznawane za nieszczególnie wrażliwe, a także serwisy, które w ogóle nie zbierają danych użytkowników, ale których administratorzy chcą podnieść komfort użytkowników. Po drugie – udział certyfikatów samopodpisanych jest znikomy i tak naprawdę nie są one dziś godne większego zainteresowania. Co zaś tyczy się ważnych certyfikatów, to tutaj nietrudno wskazać lidera rankingu i tylko przy wyborze należy zwrócić uwagę, czy faktycznie warunki oferowane przez daną firmę są najkorzystniejsze.