Ali vaša spletna stran še vedno deluje na http protokolu?
Še danes obstajajo spletne strani oz. aplikacije, ki SSL protokol ne uporabljajo ali pa ga uporabljajo zgolj kot dodatek http protokolu. Velika večina SSL implementacij pa ni pravilno izvedenih.
Kdaj bo http protokol dokončno izginil?
Ko je http protokol v začetku 90-ih poskrbel za zagon Internet omrežja, je kmalu postalo jasno, da vsebuje kar nekaj pomembnih varnostnih ranljivosti. Tako se je kmalu pojavil še njegov ‘brat’ https oz. SSL protokol.
Na prvi pogled bi pričakovali, da bo SSL zaradi očitnih varnostnih prednosti, relativno hitro nadomestil oz. celo izkoreninil http protokol, vendar temu na žalost ni bilo tako. Http protokol še vedno živi.
Zakaj skrbniki in lastniki spletnih strani ne poskrbijo za varnost?
Glavni vzrok je v preveč poenostavljeni predstavi, kaj SSL sploh je. Ta pove, da je SSL zgolj šifriranje http prometa. Zaradi tega marsikateri skrbnik spletne strani meni, da vsebina njegove spletni strani ni dovolj pomembna za šifriranje ali pa je prisluškovanje nerealno, nemogoče. Posledično naletimo na celo vrsto spletnih strani, kjer SSL protokol ni implementiran, ali pa je implementiran površno. Kar posledično prinaša celo vrsto ranljivosti in napak.
Katere so glavne tri napake pri implementaciji SSL protokola?
Napaka #1
Najbolj očitna napaka je seveda, da SSL protokola sploh ne implementiramo. Če imamo navadno spletno stran s podatki, ki so javno objavljeni, se to mogoče sploh ne zdi narobe. Kaj pa skrbniški dostop? Kaj pa vpis podatkov uporabnikov ob registraciji za prejemanje e-mail obvestil? Kaj pa prenos osebnih podatkov (‘cookie’ vrednosti, iskana vsebina ipd.) po Internet omrežju? Zelo hitro pridemo do spoznanja, da je SSL protokol v resnici vedno potreben.
Napaka #2
SSL sicer implementiramo, vendar hkrati pustimo http protokol aktiven. V takšnih primerih lahko zlonamernež uporabnike zelo hitro zavede k uporabi http protokola, česar ne opazijo. Vsaj za določen del podatkov. Najmanj kar moramo poskrbeti je, da v takšnih primerih uredimo samodejno preusmeritev iz http na SSL protokol. Še najbolje pa je, da se http protokol ukine.
Napaka #3
Pod tretje pa spada vse, kar se navezuje na pravilnost implementacije samega SSL protokola. Tipičen primer tega je dopuščanje uporabe TLS 1.0 protokola. Tovrstne napake lahko namreč zelo ogrozijo osnovni namen SSL protokola.
Implementirajte SSL protokol še danes!
Če je še kdo skeptičen glede implementacije SSL-a, naj omenim še ostala pomembna dejstva:
- SSL protokol je brezplačen. Na voljo so brezplačni SSL digitalni certifikati.
- SSL protokol prinaša spletnih stranem višji rating v Google iskalniku.
- SSL protokol je zahtevan v marsikaterem standardu (GDPR, PCI ipd.).
- Brskalniki Google Chrome od verzije 69 naprej vse http strani označujejo kot nevarne.
Skratka odlašanje na prehod na SSL je nepotrebno in lahko tudi zelo nevarno. Zato vse skrbnike spletnih strani pozivam, da čimprej prenesejo delovanje svojih spletnih strani na SSL protokol.
Preventivni varnostni pregled spletnih strani in aplikacij bo jasno pokazal se nevarnosti neuporabe SSL protokola ter izpostavil vse točke napačne uporabe SSL protokola.