Monthly Archive for luty, 2009

Błędne certyfikaty w przeglądarkach internetowych

Opublikowany
przez
Marcin
, 27.02.2009
w E-commerce
. Comments

Jeszcze rok czy dwa lata temu, w czasach kiedy na rynku prym wiodły Internet Explorer 6 i Firefox 2, przeglądarki internetowe dość łagodnie podchodziły do problemu błędnych certyfikatów SSL chroniących serwisy internetowe czy serwery pocztowe.

Czasy jednak się zmieniły, użytkownicy Internetu boją się o swoje bezpieczeństwo, a coraz więcej oszustów podszywa się pod oryginalne serwisy internetowe. Rosnące zagrożenia zauważyli twórcy przeglądarek internetowych i w najnowszych wersjach programów podeszli do problemu znacznie poważniej. Użytkownicy są bardzo wyraźnie ostrzegani przed serwisami, które używają niepoprawnych certyfikatów SSL.

Google Chrome ostrzeżenie przed niezaufanym certyfikatem SSL

Dotychczasowe okienko z niezrozumiałym komunikatem, które wszyscy nauczyliśmy się ignorować. Komunikat zajmuje teraz całe okno przeglądarki, elementy graficzne kojarzą się z niebezpieczeństwem — króluje kolor żółty i czerwony. Dodatkowo użytkownik może dowiedzieć się na jakie niebezpieczeństwo może narazić się użytkownik, który zdecyduje się nadal korzystać z tego serwisu.

Najczęstsze błędy certyfikatów

Błędy, przed którymi przeglądarki internetowe ostrzegają użytkownika to:

  • Certyfikat SSL serwisu internetowego został odwołany
    Poważny błąd! Ten komunikat najczęściej oznacza, że certyfikat jest wykorzystywany przez witrynę w sposób nieuprawniony. Prawowity właściciel certyfikatu mógł na przykład utracić klucz na skutek włamania i zażądał od wystawcy certyfikatu (centrum CA) jego unieważnienia. Natomiast Ty w tej chwili masz zamiar odwiedzić stronę, która posługuje się unieważnionym certyfikatem! Zanim zignorujesz to ostrzeżenie dobrze się zastanów czy właściciel najpierw unieważniłby dokument, a następnie próbował się nadal nim posługiwać.
  • Adres witryny nie odpowiada adresowi zawartemu w certyfikacie
    Serwis internetowy korzysta z certyfikatu, który został wystawiony dla innej nazwy domeny. Często występuje, jeśli certyfikat został wystawiony np. dla nazwy www.certi.pl, a w przeglądarce internetowej otwierasz stronę certi.pl. Zignoruj błąd tylko jeśli masz pewność, że witryna jest rzeczywiście związana z serwisem dla którego został wystawiony certyfikat. To tak jak z dowodem osobistym, w którym z rzeczywistością zgadzają się wszystkie dane poza imieniem i nazwiskiem.
  • Certyfikat jest nieaktualny
    Certyfikaty SSL ważne są od określonego dnia przez rok lub kika lat. Ten wygasł i właściciel powinien go odnowić w centrum CA. Przeterminowany certyfikat SSL jest tak samo niewiarygodny jak dokument, który utracił swoją ważność. Praktyka pokazuje, że nawet największym zdarza się przegapić termin odnowienia certyfikatów.
  • Certyfikat nie pochodzi z zaufanego źródła
    Bardzo często spotykany błąd, najczęściej chodzi o certyfikat self signed (więcej na ich temat poniżej). Przeglądarka ostrzega przed certyfikatem, który został wydany przez organizację, która nie jest uznawana za zaufaną. Taki przypadek może mieć też miejsce, jeśli na przykład z telefonu komórkowego, a serwis internetowy został zabezpieczony prostym certyfikatem. Jeśli korzystasz z wiarygodnego serwisu internetowego, to prawie na pewno nie natrafisz na ten błąd. Jeśli jednak tak się stało, poważnie zastanów się nad zignorowaniem ostrzeżenia, ponieważ pod oryginalną witrynę mogą podszywać się oszuści.

Certyfikaty self signed

Certyfikat self signed to certyfikat SSL podpisany przez właściciela serwisu internetowego na którym jest zainstalowany albo przez inną, niezaufaną organizację (na przykład firmę, która zbudowała serwis). W rzeczywistości oznacza to, że właściciel serwera sam zaświadcza, że jest tym za kogo się podaje lub prosi znajomego, który potwierdzi że “on to on”. Prawda, że ciekawy pomysł? Nie można jednak powiedzieć, by wzbudzał zaufanie.

Certyfikaty self signed są dość często wykorzystywane również na potrzeby wewnętrznych systemów organizacji. Jeśli faktycznie próbujesz połączyć się z takim serwisem internetowym, to możesz zaimportować certyfikat główny (CA root) organizacji. Dzięki temu certyfikaty wydane przez tę organizację staną zaufane dla Twojej przeglądarki. Dzięki temu przy kolejnej wizycie przeglądarka nie będzie wyświetlała ostrzeżenia o problemie z certyfikatem.

Zastanawiam się kogo stać na utratę klientów spowodowaną wykorzystaniem certyfikatów self signed, skoro najtańszy certyfikat SSL można mieć za mniej niż 0,30zł dziennie (na przykład certyfikat RapidSSL)! Kto zdecyduje się na zakupy w sklepie internetowym, przed którym ostrzega go Microsoft albo Google?

Jeden obraz wart jest tysiąca słów

Zanim napisałem powyższy tekst, sprawdziłem jak 4 najpopularniejsze (lub najciekawsze) przeglądarki internetowe (Internet Explorer, Firefox, Opera i Google Chrome) ostrzegają użytkownika przed błędami w certyfikatach SSL. W przyszłym tygodniu komentarz wraz z kompletem zrzutów ekranów. Zapraszam!

Dla zainteresowanych, polecam cykl wpisów poświęconych rozpoznawaniu certyfikatów Extended Validation przez różne przeglądarki internetowe.

Baza wiedzy

Opublikowany
przez
Marcin
, 25.02.2009
w O serwisie
. Comments

Na blogu mamy już blisko 30 artykułów. Chcąc ułatwić korzystanie z zawartych w nich informacji (część z tekstów ma formę poradników) stworzyłem bazę wiedzy poświęconą certyfikatom SSL.

Mam nadzieję, że opracowane informacje okażą się przydatne: http://blog.certi.pl/baza-wiedzy/.

Kupujący zwracają uwagę na wiarygodność i certyfikaty

Opublikowany
przez
Marcin
, 23.02.2009
w E-commerce and Raporty
. odpowiedź

Kilka dni temu CyberSource opublikowała raport zatytułowany UK Online Fraud Report 2009. Raport jest poświęcony oszustwom w Internecie i bazuje na badaniach przeprowadzonych w Wielkiej Brytanii. Dotyczy przede wszystkim roku 2008, ale analizy wybiegają również w przyszłość i dotyczą między innymi planowanych sposobów zabezpieczania się przed oszustwami.

Rozliczenia w Polsce i w Wielkiej Brytanii

Czytając raport należy mieć na uwadze, że proces przetwarzania płatności w sklepach internetowych w Wielkiej Brytanii (i również w Stanach Zjednoczonych) różni się od tego jak płatności są przetwarzane w Polsce. W Wielkiej Brytanii duża część sklepów samodzielnie autoryzuje płatności kartami płatniczymi i przechowuje informacje takie jak imię i nazwisko posiadacza, numer karty, data ważności i kod CVV.

W polskich sklepach taka sytuacja nie ma miejsca, ponieważ autoryzacją kart zajmują się agenci rozliczeniowi tacy jak eCard czy Polcard (obecnie First Data). Dzięki temu dane osób kupujących w Polsce nie są rozproszone po wielu, często słabo zabezpieczonych, sklepach. Ułatwia to również walkę z wyłudzeniami i oszustwami przy płatnościach (na przykład zakupy realizowane przy pomocy skradzionej karty płatniczej), ponieważ oceną ryzyka zajmują się wyspecjalizowane w tej działalności firmy, a nie pojedyncze sklepy, które nie posiadają obrazu całego rynku. Zachęcam do przejrzenia sekcji 3 raportu, żeby zdać sobie sprawę o ile mniej pracy mają dzięki temu polskie sklepy.

Co ciekawe, 60% Brytyjczyków (informacje na temat ankietowanej grupy poniżej) zapytanych czy są zadowoleni, że sprzedawcy gromadzą informacje na temat ich kart płatniczych odpowiedziało, że nie podoba im się to, nawet jeśli dzięki temu proces kupowania jest krótszy i mniej skomplikowany. Dla ankietowanych bezpieczeństwo jest więc wygodniejsze od wygody.

Dlaczego (nie)kupujemy online

Mimo wspomnianych różnic w sposobie rozliczania transakcji, raport można jednak odnieść również do polskiego rynku e-commerce.

W październiku 2008r. pracownicy CyberSource przeprowadzili ankietę wśród 1.000 dorosłych Brytyjczyków. Ankietowana grupa stanowiła reprezentatywną próbkę populacji Wielkiej Brytanii. 51% z zapytanych w ogóle nie robi zakupów w Internecie. Na początku zadano dwa typowe pytania, odpowiednio — osobom, które kupują w Sieci i tym, które nie robią zakupów online (pod nimi odpowiedzi udzielone przez respondentów):

  • Dlaczego decydujesz się robić zakupy online?
    • 84% Natychmiastowy dostęp do szerokiej oferty produktów i usług
    • 81% Oszczędność czasu
    • 67% Atrakcyjniejsze ceny
    • 4% Inny powód
  • Dlaczego nie robisz zakupów online?
    • 62% Preferuję zakupy w normalnych sklepach
    • 47% Nie mam dostępu do Internetu
    • 41% Obawiam się o bezpieczeństwo internetowych zakupów
    • 36% Nie potrafię korzystać z komputera
    • 1% Inny powód

Pozwoliłem sobie wyróżnić odpowiedź dotyczącą bezpieczeństwa. 41% z 51% Brytyjczyków, którzy nie robią zakupów w Internecie boi się o bezpieczeństwo transakcji zawieranych drogą elektroniczną. To blisko 21% całej populacji osób w wieku ponad 16 lat, które nie kupują przez Internet ze względu na obawę o bezpieczeństwo! Co jest przyczyną obaw? 33% ankietowanych odpowiedziało, że padło ofiarą oszustwa w Internecie lub zna kogoś, kto nią był.

Źródła wiedzy o bezpiecznych zakupach

Ciekawych odpowiedzi udzielono na pytanie o źródła wiedzy na temat bezpieczeństwa transakcji zawieranych przez Internet:

  • 55% Negatywne historie przedstawione w mediach i dotyczące przestępstw lub przypadków utraty danych
  • 53% Przyjaciele, rodzina, znajomi
  • 39% Banki
  • 38% Pozytywne historie przedstawione w mediach i dotyczące zalet robienia zakupów przez Internet
  • 29% Niezależne serwisy lub poradniki (na naszym rynku byłby to na przykład serwis Sklepy24)
  • 16% Edukacja, szkolenia
  • 10% Inne źródła
  • 4% Nie wiem

Pojawiające się w mediach historie opisujące wyłudzenia, kradzieże i przypadki utraty danych (danych osobowych, informacji o kartach płatniczych) skutecznie odstraszają od internetowych zakupów. Dobrze, jeśli sprawiają, że użytkownicy są ostrożniejsi w korzystaniu z Internetu, ale nagłośnione oszustwa pobudzają wyobraźnię kupujących znacznie bardziej niż wiarygodne źródła informacji i powodują strach. Konieczna jest edukacja konsumentów na temat bezpiecznego robienia zakupów, minimalizującego ryzyko natrafienia na oszustów.

Co robimy, by zakupy były bezpieczne

Ostatecznie ankietowani Brytyjczycy zostali zapytani w jaki sposób dbają by ich internetowe zakupy były bezpieczne:

  • 86% Sprawdza, czy transmisja jest bezpieczna (certyfikat SSL)
  • 85% Korzysta ze znanych i wiarygodnych sklepów
  • 68% Korzysta z MasterCard SecureCode lub Verified by Visa — w polskich warunkach ma to zastosowanie dla agentów rozliczeniowych, a nie poszczególnych sklepów
  • 57% Używa karty kredytowej zamiast karty debetowej do płatności w Internecie
  • 22% Korzysta z czytnika kart (ang. card-reader machine, więcej na ten temat w Wikipedii) do autoryzowania płatności — rozwiązanie nie jest popularne w polskich warunkach
  • 1% Żaden z powyższych sposobów

Bezsprzecznie zdecydowana większość kupujących zwraca uwagę na to czy sklep internetowy korzysta z certyfikatu SSL oraz jaka jest jego wiarygodność. Jeśli dopiero zaczynasz prowadzić internetowy biznes i nie masz wyrobionej marki, to prawie nie masz szans na osiągnięcie sukcesu jeśli jednocześnie nie zainstalujesz dobrego certyfikatu SSL, który poprawi wiarygodność prowadzonego biznesu.

Podsumowanie

Brytyjski rynek e-commerce jest z pewnością bardziej dojrzały od naszego. Nadal jednak boryka się z podobnymi problemami. Przede wszystkim problemem jest brak zaufania do transakcji elektronicznych, które wielu osobom wydają się być “wirtualne”. Szeroko opisywane oszustwa i beztroskie działania przedsiębiorców (niewłaściwe zabezpieczenie przechowywanych danych) zdecydowanie zniechęcają kupujących.

Jak wynika z raportu, istotnym wyzwaniem roku 2009 będzie nie tylko zmniejszenie obaw konsumentów o bezpieczeństwo samych transakcji, ale również obaw dotyczących prywatności i ochrony danych osobowych.

Pole do działania i poprawiania bezpieczeństwa internetowych zakupów ma każdy podmiot zaangażowany w transakcje online: wystawy kart płatniczych, banki, producenci rozwiązań związanych z bezpieczeństwem, agenci rozliczeniowi, sprzedawcy, dziennikarze i organizacje zajmujące się e-commerce. Niezbędna jest edukacja konsumentów na temat bezpiecznego korzystania z Internetu, minimalizującego ryzyko wyłudzeń i szansę natrafienia na oszustów.

Problem bezpieczeństwa transmisji danych oraz wiarygodności sklepu internetowego rozwiązuje odpowiednio dobrany certyfikat SSL (przeczytaj również post opisujący kiedy potrzebny jest SSL).