Server Gated Cryptography to technologia, która powstała w latach ‘90 XX wieku w odpowiedzi na obowiązujące w Stanach Zjednoczonych ograniczenie eksportowania silnych technologii kryptograficznych (nie można było korzystać z kluczy o długości ponad 40-bitów, dzisiaj powszechnie korzystamy z kluczy 128 lub 256-bitowych) poza teren USA. W celu umożliwienia poprawnego zabezpieczenia transakcji wykonywanych przez instytucje finansowe na całym świecie wprowadzono do SSL rozszerzenie SGC. Certyfikaty SSL z rozszerzeniem SGC mogły być wystawiane tylko dla instytucji finansowych. SGC pozwalał na podniesienie siły szyfrowania z 40 bitów do 128 bitów.

W chwili obecnej nie obowiązują już ograniczenia w eksportowaniu silnej kryptografii poza terytorium USA, a certyfikaty SGC mogą być wystawiane dla każdej organizacji, nie tylko dla instytucji finansowych. Każdy może wykorzystywać klucze symetryczne 128 czy nawet 256-bitowe, jeśli tylko serwer i przeglądarka WWW użytkownika pozwala na wynegocjowanie takich parametrów zabezpieczenia transmisji danych. Każdy współczesny serwer WWW i przeglądarka internetowa pozwalają na używanie przynajmniej 128-bitowych kluczy.

Jedynie użytkownicy bardzo starych przeglądarek internetowych i systemów nie mogą korzystać z silnej kryptografii, są to:

• przeglądarka Internet Explorer® wersje od 3.02 do 5.5
• przeglądarka Netscape wersje od 4.02 do 4.72
• system Microsoft Windows® 2000, które nie mają zainstalowanego dodatku Microsoft’s High Encryption Service Pack i pod warunkiem korzystania z przeglądarki Internet Explorer

Tak, to prawda - na liście nie ma żadnej współcześnie wykorzystywanej przeglądarki internetowej ani systemu operacyjnego. Jeśli ktoś korzysta z archaicznych wersji oprogramowania, to stanowi to większy problem bezpieczeństwa niż transmisja SSL zabezpieczona tylko 40-bitowym kluczem.

Reasumując: SGC (Server Gated Cryptography) nie daje w dniu dzisiejszym poprawy bezpieczeństwa.

Raport został opracowany na podstawie najobszerniejszego z przeprowadzonych dotychczas w Polsce badań ankietowych sklepów internetowych. Zawiera analizę wielkości i struktury rynku, porusza również temat wykorzystywanych przez sklepy technik marketingowych, sposobów płatności, logistyki czy bezpieczeństwa robionych zakupów.

Wersja podstawowa Raportu e-Handel Polska 2009 dostępna jest za darmo, wersja pełna kosztuje 183zł brutto.

Zapraszam do lektury raportu!

Skąd klient ma wiedzieć, że e-sklep odpowiednio chroni jego dane?

Najprostszym do sprawdzenia kryterium jest posiadanie przez sklep certyfikatu SSL i stosowanie szyfrowanego połączenia. Sklepy posiadające certyfikat SSL wypadają lepiej w pozostałych obszarach ochrony danych niż sklepy bez certyfikatu. Badanie potwierdza też, że sklepy prowadzące sprzedaż w internecie od ponad pięciu lat (informacje o wieku większości e-sklepów znaleźć można np. w serwisie Sklepy24.pl) gwarantują wyższe standardy bezpieczeństwa niż sklepy z krótszym stażem. W wyższym stopniu chronią również przetwarzane dane osobowe. Taką samą zależność można zaobserwować w przypadku sklepów dużych, generujących wysoki miesięczny obrót.

Zapraszam do przeczytania pełnego wywiadu z Marcinem Engelmannem, właścicielem Certi.pl. Wywiad ukazał się w dodatku Forsal do Dziennik Gazeta Prawna.

Starałem się na bieżąco komentować najważniejsze branżowe raporty: raport IDG i Sklepy24.pl, raport CERT Polska, CyberSource oraz przedstawiać w usystematyzowany sposób wiedzę związaną z certyfikatami SSL, w efekcie czego powstała nieustannie aktualizowana bazie wiedzy.

Mam nadzieję, że kolejny rok będzie przynajmniej tak samo dobry jak poprzedni :)

Wersja przeglądarki: Opera 9.63.

Możesz kliknąć na obrazek, żeby zobaczyć jego powiększenie.

W przeciwieństwie do pozostałych przeglądarek, które testowałem (Internet Explorer, Firefox i Google Chrome) Opera nie wyświetla ostrzeżenia w formie strony, a jako tradycyjne okno:

Po zaakceptowaniu błędnego certyfikatu użytkownik zobaczy normalną stronę WWW, bez żadnych wizualnych ostrzeżeń o tym, że witryna posługuje się certyfikatem z błędami:

Opera łagodnie podchodzi do błędów certyfikatów SSL. Użytkownik, który zaakceptuje błędy w certyfikacie (mniej zaawansowani użytkownicy zrobią to bez wnikania w szczegóły komunikatu) nie jest już ponownie ostrzegany o możliwym niebezpieczeństwie korzystania z tego serwisu WWW. Jest to zachowanie zupełnie odmienne od innych przeglądarek internetowych, które opisywałem niedawno: Internet Explorer 7, Firefox 3 i Google Chrome.

Wersja przeglądarki: Google Chrome 1.0.154.48.

Możesz kliknąć na obrazek, żeby zobaczyć jego powiększenie.

W porównaniu do omawianych już Internet Explorera i Firefoksa, Google Chrome serwuje swoim użytkownikom trudne do zignorowania ostrzeżenie przed dalszym korzystaniem z serwisu internetowego korzystającego z błędnego certyfikatu: Certyfikat bezpieczeństwa tej witryny nie jest zaufany!:

Jeśli mimo wszystko internauta zdecyduje się zignorować (dobrą) radę od Google’a, w paseku adresu będzie przekreślone na czerwono https i ostrzegawczy, żółty trójkąt:

Google Chrome wyraźnie piętnuje strony korzystające z certyfikatów, które zawierają błędy. Jej użytkownicy na pewno zastanowią się czy korzystać z witryny, przed którą ostrzega Google.

Możesz kliknąć na obrazek, żeby zobaczyć jego powiększenie.

Otwarcie w przeglądarce strony internetowej, która została zabezpieczona certyfikatem podpisanym przez niezaufaną organizację powoduje wyświetlenie całoekranowego ostrzeżenia Nie udało się nawiązać bezpiecznego połączenia. Komunikat zawiera zbędne dla zwykłego użytkownika informacje techniczne, ale ostrzeżenie jest zrozumiałe:

Użytkownik może dodać wyjątek od reguł bezpieczeństwa i zaakceptować certyfikat witryny internetowej mimo błędu. Akceptacja sprawi, że serwis internetowy będzie prezentowany tak jakby wykorzystywał poprawny certyfikat SSL (żadnych elementów graficznych przypominających użytkownikowi o możliwym problemie z bezpieczeństwem serwisu):

Procedura dodawania wyjątku i akceptowania błędnych certyfikatów SSL w Firefoksie może być dość skomplikowana dla zwykłego użytkownika. Dodanie wyjątku od reguł bezpieczeństwa sprawia, że przeglądarka nie będzie w przyszłości ostrzegała użytkownika w żaden widoczny sposób przed możliwymi problemami z witryną internetową. Dla porównania możesz zobaczyć jak tę kwestię rozwiązano w przeglądarce Internet Explorer 7.

Wersja przeglądarki: Internet Explorer 7.0.6001.18000.

Możesz kliknąć na obrazek, żeby zobaczyć jego powiększenie.

Wejście na stronę internetową korzystającą z certyfikatu podpisanego przez niezaufaną organizację powoduje wyświetlenie całoekranowego ostrzeżenia Wystąpił problem z certyfikatem zabezpieczeń tej witryny sieci Web:

Domyślną akcją doradzaną przez Internet Explorer jest zamknięcie tej witryny internetowej. Jeśli użytkownik zdecyduje się kontynuować przeglądanie serwisu, wizycie będzie towarzyszył czerwony pasek adresu przypominający, że korzystanie z tej strony internetowej może być niebezpieczne:

Jak widać na powyższych przykładowych ekranach, nie można mieć zastrzeżeń do sposobu w jaki Internet Explorer ostrzga swoich użytkowników przed potencjalnie niebezpiecznymi serwisami internetowymi.

Za przykładową stronę posłużyła testowa domena self-signed.certi.pl (nie jest i nie będzie dostępna w Internecie) oraz podpisany samodzielnie (self signed) certyfikat SSL. Wszystkie przeglądarki powinny wyświetlić ostrzeżenie o certyfikacie SSL, który został wystawiony przez niezaufaną organizację.

Sprawdziłem działanie następujących przeglądarek (najnowsze dostępne wersje w dniu pisania tego tekstu):

• Internet Explorer 7 (ponad 23% udział wśród polskich użytkowników), zobacz efekty dla Internet Explorer 7
• Firefox 3.0.6 (ponad 37% udział wśród polskich użytkowników)
• Opera 9.63 (7,5% udział wśród polskich użytkowników)
• Google Chrome 1.0.154.48 (0,8% udział wśród polskich użytkowników)

Wszystkie przeglądarki zostały uruchomione w systemie Microsoft Windows Vista z Service Pack 1. Przeglądarki działają tak samo po uruchomieniu na Microsoft Windows XP z Service Pack 3.

Dla każdej z przeglądarek przedstawiam zrzuty ekranów zawierające:

• ostrzeżenie o niezaufanym certyfikacie wyświetlane tuż po wejściu na stronę
• widok strony po zignorowaniu ostrzeżenia (po zaakceptowaniu błędu)

Zapraszam do pierwszego postu poświęconego certyfikatowi self signed w przeglądarce Internet Explorerowi 7.

Czasy jednak się zmieniły, użytkownicy Internetu boją się o swoje bezpieczeństwo, a coraz więcej oszustów podszywa się pod oryginalne serwisy internetowe. Rosnące zagrożenia zauważyli twórcy przeglądarek internetowych i w najnowszych wersjach programów podeszli do problemu znacznie poważniej. Użytkownicy są bardzo wyraźnie ostrzegani przed serwisami, które używają niepoprawnych certyfikatów SSL.

Dotychczasowe okienko z niezrozumiałym komunikatem, które wszyscy nauczyliśmy się ignorować. Komunikat zajmuje teraz całe okno przeglądarki, elementy graficzne kojarzą się z niebezpieczeństwem — króluje kolor żółty i czerwony. Dodatkowo użytkownik może dowiedzieć się na jakie niebezpieczeństwo może narazić się użytkownik, który zdecyduje się nadal korzystać z tego serwisu.

Najczęstsze błędy certyfikatów

Błędy, przed którymi przeglądarki internetowe ostrzegają użytkownika to:

• Certyfikat SSL serwisu internetowego został odwołany
  Poważny błąd! Ten komunikat najczęściej oznacza, że certyfikat jest wykorzystywany przez witrynę w sposób nieuprawniony. Prawowity właściciel certyfikatu mógł na przykład utracić klucz na skutek włamania i zażądał od wystawcy certyfikatu (centrum CA) jego unieważnienia. Natomiast Ty w tej chwili masz zamiar odwiedzić stronę, która posługuje się unieważnionym certyfikatem! Zanim zignorujesz to ostrzeżenie dobrze się zastanów czy właściciel najpierw unieważniłby dokument, a następnie próbował się nadal nim posługiwać.
• Adres witryny nie odpowiada adresowi zawartemu w certyfikacie
  Serwis internetowy korzysta z certyfikatu, który został wystawiony dla innej nazwy domeny. Często występuje, jeśli certyfikat został wystawiony np. dla nazwy www.certi.pl, a w przeglądarce internetowej otwierasz stronę certi.pl. Zignoruj błąd tylko jeśli masz pewność, że witryna jest rzeczywiście związana z serwisem dla którego został wystawiony certyfikat. To tak jak z dowodem osobistym, w którym z rzeczywistością zgadzają się wszystkie dane poza imieniem i nazwiskiem.
• Certyfikat jest nieaktualny
  Certyfikaty SSL ważne są od określonego dnia przez rok lub kika lat. Ten wygasł i właściciel powinien go odnowić w centrum CA. Przeterminowany certyfikat SSL jest tak samo niewiarygodny jak dokument, który utracił swoją ważność. Praktyka pokazuje, że nawet największym zdarza się przegapić termin odnowienia certyfikatów.
• Certyfikat nie pochodzi z zaufanego źródła
  Bardzo często spotykany błąd, najczęściej chodzi o certyfikat self signed (więcej na ich temat poniżej). Przeglądarka ostrzega przed certyfikatem, który został wydany przez organizację, która nie jest uznawana za zaufaną. Taki przypadek może mieć też miejsce, jeśli na przykład z telefonu komórkowego, a serwis internetowy został zabezpieczony prostym certyfikatem. Jeśli korzystasz z wiarygodnego serwisu internetowego, to prawie na pewno nie natrafisz na ten błąd. Jeśli jednak tak się stało, poważnie zastanów się nad zignorowaniem ostrzeżenia, ponieważ pod oryginalną witrynę mogą podszywać się oszuści.

Certyfikaty self signed

Certyfikat self signed to certyfikat SSL podpisany przez właściciela serwisu internetowego na którym jest zainstalowany albo przez inną, niezaufaną organizację (na przykład firmę, która zbudowała serwis). W rzeczywistości oznacza to, że właściciel serwera sam zaświadcza, że jest tym za kogo się podaje lub prosi znajomego, który potwierdzi że “on to on”. Prawda, że ciekawy pomysł? Nie można jednak powiedzieć, by wzbudzał zaufanie.

Certyfikaty self signed są dość często wykorzystywane również na potrzeby wewnętrznych systemów organizacji. Jeśli faktycznie próbujesz połączyć się z takim serwisem internetowym, to możesz zaimportować certyfikat główny (CA root) organizacji. Dzięki temu certyfikaty wydane przez tę organizację staną zaufane dla Twojej przeglądarki. Dzięki temu przy kolejnej wizycie przeglądarka nie będzie wyświetlała ostrzeżenia o problemie z certyfikatem.

Zastanawiam się kogo stać na utratę klientów spowodowaną wykorzystaniem certyfikatów self signed, skoro najtańszy certyfikat SSL można mieć za mniej niż 0,30zł dziennie (na przykład certyfikat RapidSSL)! Kto zdecyduje się na zakupy w sklepie internetowym, przed którym ostrzega go Microsoft albo Google?

Jeden obraz wart jest tysiąca słów

Zanim napisałem powyższy tekst, sprawdziłem jak 4 najpopularniejsze (lub najciekawsze) przeglądarki internetowe (Internet Explorer, Firefox, Opera i Google Chrome) ostrzegają użytkownika przed błędami w certyfikatach SSL. W przyszłym tygodniu komentarz wraz z kompletem zrzutów ekranów. Zapraszam!

Dla zainteresowanych, polecam cykl wpisów poświęconych rozpoznawaniu certyfikatów Extended Validation przez różne przeglądarki internetowe.