Ako pogledate URL mnogih web stranica, vidjet ćete da im adrese počinju s “https://”. Ovo slovo “s” znači “secure” što u prijevodu znači da je veza između vas i stranice koju ste posjetili sigurna.
Na webu, sigurne konekcije se uspostavljaju koristeći SSL (engl. secure sockets layer) certifikate. To ponekad može biti zbunjujuće i često ljudi imaju svakakve pretpostavke u glavi o tome, koje mi nazivamo “mitovima”. Pa pogledajmo koji su to mitovi i zašto u njih ne biste trebali vjerovati.
1) “Samo e-commerce web stranice trebaju SSL”
Vjerojatno ste čuli onu rečenicu da samo web stranice koje od vas zahtijevaju osobne podatke trebaju SSL certifikat(e). To je čak i pravedna pretpostavka jer biste trebali obratiti pozornost na SSL certifikat i zaštitu na stranicama na kojima dajete svoje podatke. Ali – uvijek slijedi “ali” – to vrijedi i za mnoge duge stranice na kojima ne ostavljate svoje podatke.
Bez obzira da li je to privatni blog, web stranica s vijestima ili nešto treće.
Čak i Chrome je počeo sam preusmjeravati korisnike na https stranice, a upozoravati vas ako niste spojeni na https. Do sada je bilo obrnuto. Ako ste se spojili na http, Chrome vas nije obavještavao o tome, no ako ste bili na https stranici, vidjeli ste zeleni znak da je stranica “sigurna”. Danas https postaje default, a sve ostalo “iznimka”.
2) “SSL neće utjecati na web promet”
Jedan od mitova je što ljudi koji imaju web stranice misle da SSL ne utječe na posjećenost (i statistiku) web stranice, no zapravo utječe. Ako korisnik vidi neku stranicu da nije sigurna i da mu web preglednik javlja da web stranica nije sigurna, korisnici će se “okrenuti” i otići, odnosno počet će posjećivati druge web stranice.
S druge strane, ako imate implementiranu sigurnosnu zaštitu i ako korisnici to cijene, a cijene sve više, onda ćete imati i bolji promet. Također, Googleova tražilica bolje rangira web stranice koje imaju implementirane SSL certifikate, pa ćete se tako pojavljivati i bliže vrhu rezultata pretraživanja što će sigurno utjecati na posjećenost web stranice.
3) “SSL će jako usporiti učitavanje web stranice”
Ako imate dosta veliki promet na web stranici, mnogi su zabrinuti da će im HTTPS adresa i SSL certifikati usporiti učitavanje web stranice. Na svu sreću, enkripcija gotovo da i ne utječe na brzinu loadanja web stranice.
To je zato što u većini slučajeva HTTPS zapravo znači HTTPS/2. Ovo potonje znači drugu verziju HTTPS protokola koja je dizajnirana da sreže za čak 50 posto brzinu učitavanja web stranice kroz razne kompresije.
Tako da nema nikakvog govora da će enkripcija bilo kako usporiti učitavanje vaše web stranice, a to se možete uvjeriti da posjetite neku jako popularnu web stranicu. Probajte samo učitati Facebook kojeg koristi dvije milijarde ljudi i vidjet ćete da se učitava u sekundi. A Facebook ima implementirane sve moguće zaštite i enkripcije.
4) “SSL certifikati još uvijek nisu jako zaživjeli, ima još vremena”
Ne znamo tko još vjeruje u ovo, no SSL certifikati su s nama već jako dugo. Da, imali su u povijesti određenih sigurnosnih nedostataka, no oni su ispravljeni tijekom godina. Čak mnoge web stranice prelaze na TLS certifikate koji su vjerojatno idući veliki korak na ovom polju.
TLS također postoji od 2008. godine no sada ga počinju masovno koristiti web stranice koje su “payment gateway” kao što su PayPal, neke banke … Nijedna od tih tehnologija nije nova i vrijeme je da svi prigrlimo ove certifikate kako bismo osigurali sigurnost našim posjetiteljima, odnosno korisnicima web stranica koje imamo.
5) “SSL certifikati su skupi”
SSL certifikati nisu skupi. Ako pogledate malo po Internetu cijene su do 50-ak dolara godišnje što nije skupo za ovakvu vrstu zaštite. Da, prije je to bilo dosta skuplje i rjeđe, no danas kada sve više web stranica koristi SSL certifikate i HTTPS konekciju, cijene su se “normalizirale”. Problem su “scam” web stranice koje nude certifikate po 200+ dolara, no vjerojatno od toga ništa. Nemojte nasjesti na propagandu po Internetu, nego pogledajte malo što se nudi i kakvu zaštitu dobijete za tih 40-50 dolara godišnje.
6) “SSL certifikati kriptiraju sve vaše podatke”
Nemojmo se zavaravati – SSL certifikati nisu svemoćni niti kriptiraju sve podatke. Da, podaci prema serveru i podaci koje dobijete od servera jesu kriptirani, no pitanje je što je s podacima na web serveru na koji se spajate.
Sigurni smo da su podaci na Facebookovim web serverima zaštićeni, no ako posjetite web stranicu xyz.com možda to nije slučaj.
SSL je sigurnosni kanal koji vas štiti od “man-in-the-middle” napada, te još nekih sličnih problema, ali problem je ono “iza”, odnosno kao što smo rekli web server.
7) “SSL enkripcija je neprobojna”
HTTPS nudi dobru razinu kriptiranja i zaštite podataka. No, to ne znači da je nemoguće hakirati tu vezu, da je nemoguće dekriptirati podatke i slično. Niti jedna zaštita nije 100 posto sigurna i toga morate biti svjesni.
Zadaća svake kompanije koja vam nudi online usluge mora ponuditi siguran način da vaši podaci dođu do njihovih servera, no to ne znači da vas mogu i moraju obraniti od svih mogućih hakerskih metoda. Jednostavno ne mogu to učiniti. Oni imaju dužnost štiti sve ono što im vi date (osobne podatke), no propusti uvijek postoje. To možete vidjeti gotovo svaki tjedan na IT portalima. Hakeri nađu načine da hakiraju i najveće kompanije na svijetu. Pa čak su i SSL certifikati bili kompromitirani 2014. godine. Sjetite se samo “Heartbleed” afere.
Da li možete vjerovati TLS/SSL certifikatima? Da. Samo ne zaboravite da sigurnost nikad nije apsolutna i da postoje ranjivosti u svakom sustavu.
Piše: B.P.