SSL: Da li su korisnici na vašem sajtu bezbedni?

SSL je akronim od Secure Sockets Layer, tehnološkog standarda koji uspostavlja enkriptovani link između web servera i internet pregledača na korisnikovom računaru. Zahvaljujući njemu, svi podaci koje razmenjuju server i korisnik, odnosno pregledač, ostaju bezbedni i ne mogu se presretnuti tokom transfera, što je jedna od neuralgičnih ranjivih tačaka u svim komunikacijama. Uostalom, ni stari drumski razbojnici nisu napadali tovare novca kada se nalaze u bankama ili policijskim stanicama toliko često kao tokom transporta, zar ne?

SSL je industrijski standard i koriste ga milioni internet sajtova, posebno oni preko kojih se obavlja veliki broj transakcija, komunikacija sa korisnicima ili među samim korisnicima, gde korisnici ostavljaju svoje podatke i slično. No, kakva je situacija u praksi? Kako stvari stoje na domaćem internetu? Koliko se prate svetski standardi i ko ih uopšte prati? To je jedna od tema kojima će se baviti ovaj tekst. Istovremeno, postavlja se pitanje kako realizovati proces dobijanja SSL sertifikata. Stanje je bilo komplikovano, zbog toga što se to uglavnom radilo preko stranih firmi.

Postoji mnoštvo problema jer ima dosta peripetija kada se sarađuje sa strancima, ali sada je moguće sve obaviti i na domaćem tržištu. Recimo, mi smo se obratili kompaniji Ninet, koja nam je izašla u susret i pomogla u mnogim aspektima kvalifikovanja za SSL sertifikat, kao i u samoj implementaciji, ali o tome nešto više u nastavku teksta. Za kreiranje SSL konekcije, koja je preduslov za bezbednu razmenu podataka, potrebno je obezbediti SSL sertifikat. Običan korisnik o ovome ne treba da brine, već vlasnici internet sajtova. Nakon toga je potrebno izvršiti proces autentifikacije sajta / kompanije, o čemu ćemo nešto više govoriti naknadno.

Ono što je važno jeste da SSL protokol ne opterećuje korisnike, odnosno posetioce. Oni mogu da vide informacije o protokolu unutar pregledača preko indikatora koji je, primera radi, u Google Chrome pregledaču pozicioniran gore levo, pored unosa web adrese. Ukoliko se tu pojavi ključ, to je indikator da se trenutno nalaze u sesiji koja je zaštićena SSL protokolom. To istovremeno znači da su posetioci bezbedni, i da ne moraju da brinu brigu o tome da li će njihova komunikacija sa omiljenim internet sajtom ili mestom za kupovinu biti presretnuta, a podaci zloupotrebljeni.
Od 1. oktobra svaki sajt koji nema podršku za SSL sertifikat biva okarakterisan kao nebezbedan od Gugla, što je izuzetno važan podatak koji utiče i na pretragu, rezultate, položaj, rejting i tako dalje. Postoji više vrsta sertifikata i HTTPS protokola, ali o svemu tome nešto više u daljem toku teksta.
 Postavlja se pitanje šta je to što vlasnici sajtova trebaju da urade da bi bili sigurni da je njihov posetilac bezbedan. Ukoliko ste vlasnik sajta, sigurno je da ste dobro poveli računa da svoj server odnosno svoje podatke zaštitite od neželjenog upada. Međutim, šta je sa vašim posetiocima? Koliko ste njih zaštitili? Ili vodite računa samo o sebi?

Ko o tome najviše vodi računa? Neko ko je veći od svakoga od nas, neko od koga mnogima od nas zavisi poslovanje. Naravno, znate već da postoji kompanija na web-u oko koje se mnogi od nas toliko trude da nas voli koliko god može. Za tu ljubav se trudimo, za tu ljubav mnogi plaćaju jako puno na mesečnom nivou: no od te ljubavi neće puno toga ostati ukoliko se ne potrudite da vas Google svakog dana ne vidi sveže i nasmejane i iznad svega – sigurne! Jer ako ste nesigurni, Google vas voleti neće, budite uvereni u to.
Google je još početkom godine svima jasno stavio do znanja šta se sprema – počevši od januara 2017. godine on je u svom Chrome pregledaču jasno označio sajtove koji nisu bezbedni i teško da iko nije primetio malu sivu ikonicu koja se nalazi sa leve strane, pre web adresnog polja. Uradili su to i drugi, pa takve oznake jasno možete primetiti i ukoliko koristite druge pregledače poput Firefoxa ili Microsoft Edge-a. To itekako (barem nama) bode oči i vreme je da se stvari menjaju po tom pitanju.

Recimo da se nalazimo u tranzicionom periodu, makar što se Google-a tiče, trenutno je na snazi period upozorenja, da tako nazovemo stvari u ovom momentu. Ono što sledi svima onima koji se ne potrude da http protokol svog sajta ne pretvore u HTTPS (hyper text transfer protocol SECURE) umesto uobičajenog HTTP-a u prefiksu web adrese, neće biti nimalo prijatno. Suočiće se sa znatno lošijim rangiranjem u pretragama kada je reč o najvećem svetskom pretraživaču. Google je vrlo odlučan u nameri da na vrh rezultata pretrage izbaci sajtove koji su se pozabavili sigurnom komunikacijom i zaštitom posetilaca. Ovo Google, u svom tipičnom stilu, uvodi veoma postepeno i etapno, ali u narednim mesecima će se jasno osetiti posledice.
Naročito ćemo istaći da svaka firma koja drži do sebe i svoje prezentacije na WEB-u, svaka kompanija koja tvrdi da posluje poštujući sva prava i propise, a naročito one na čijem se sajtu obavljaju bezgotovinske transakacije, MORA povesti računa o bezbednosti obe strane, kako svoje, tako i strane posetioca. Ne samo iz etičkih razloga koje opet ne smemo zanemariti, već i iz razloga sprečavanja štete koja može nastati neovlašćenim presretanjem informacija.

Mnogi su sajtovi u opasnosti, pa možemo čak reći da je možda i pitanje dana kada će se neko žestoko opeći, na ovaj ili onaj način. Da ne bi kalkulisali nastalu štetu, odlučili smo se da napišemo ovaj članak i sve one koji se bave WEB-om na vreme upozorimo o potencijalnim opasnostima i kako ih preduprediti. Svi se mogu veoma lako zaštititi, makar na elementarni način. Naravno, postoje apsolutno besplatna rešenja za svaki sajt koji ne želi da ga Google apostrofira pridevom „unsecure“ – i to je sasvim u redu. Slažemo se, potrebno je konkretno tehničko znanje ili pomoć prijatelja administratora kako bi bezbednosni sertifikat pravilno instalirali, ali ne radi se o nemogućoj misiji. Želja nam je da vas, ukoliko ste vlasnik nekog sajta ili imate uticaja na IT dešavanja u firmi u kojoj radite, ovim člankom potaknemo ne na razmišljanje, već na akciju.
 
 
 
 
 Što se tiče sajtova kompanija koje posluju u Srbiji, zarad potrebe pisanja ovakvog članka malo smo pregledali neke velike domaće sajtove, sajtove koje inače ne posećujemo, sajtove pojedinih institucija i tako dalje. Naravno, ostali smo neprijatno iznenađeni spoznajom da se o ovom faktoru u ogromnoj većini slučajeva apsolutno niko nije pozabavio. Čak ni oni koji bi to morali da učine pa tako ogroman procenat domaćih sajtova aktuelni web pregledači danas karakterišu kao nepouzdane, tj sugerišu posetiocima da se radi o nebezbednim lokacijama. Stoga, da probamo da sagledamo ono što smo primetili…
U startu želimo da se blago ogradimo u smislu da je opisano stanje zatečeno u trenutku kreiranja ovog teksta – lako je moguće da je u međuvremenu došlo do neke promene, pa imajte i to u vidu. Krenućemo od biznisa koji nam je najbliži, naravno, radi se o sajtovima domaćih (r)etailera koje često posećujemo prilikom kupovine računara, telefona ili IT opreme.
– WinWin sajt – sajt najvećeg domaćeg prodavca Google karakteriše kao nepouzdanu web lokaciju. Nismo kupovali kod njih ranije ništa ali kada smo pokušali da se registrujemo i pri tome unesemo gomilu ličnih podataka uključujući i JMBG, sajt i dalje nije nudio nikakvu sigurnu konekciju. Dalje nismo hteli, ne osećamo se bezbedno, preporučujemo ovoj kompaniji da obrati pažnju na ovaj propust.

Posebno je važno navesti da prodavnice imaju nekoliko važnih koraka – dok može da se zažmuri na nebezbednu konekciju tokom pretrage, apsolutno je obavezno da od momenta kada korisnik ubaci proizvod u korpu njegova konekcija bude potpuno bezbedna kako bi dovršio kupovinu. To je podjednako važno i za korisnike koji bi bili registrovani i koji ne bi bili registrovani kako bi i korisnik i trgovac bili u potpunosti sigurni u bezbednost transakcije. Nažalost, na WinWin sajtu to nije slučaj, kao što možete videti na priloženim fotografijama.


– Gigatron – kod najvećeg konkurenta je situacija nešto bolja ali svakako da ima mesta za unapređenje. Naime, i po dolasku na sajt ove maloprodaje bićete upozoreni da se radi o sajtu koji nije (dovoljno) bezbedan. Tek kada uđete u korpu aktivira se “secure” protokol, verovatno neki besplatni – smatramo da bi i ovaj maloprodajni lanac trebalo nešto konkretnije da uradi po pitanju zaštite transakcija, kako po pitanju rizika kupaca, tako i sami za sebe. Sugerišemo kupovinu ozbiljnog sertikata, nije to neki trošak, Gigatron se uvek trudio da ide za korak ispred drugih pa očekujemo da uskoro reaguju na pravi način.

Sa druge strane, ukoliko ste ulogovan korisnik, situacija je nešto bolja. Tada se vaša konekcija sa sajtom od starta tretira kao bezbedna i tokom pretrage po sajtu, ne samo kada nešto ubacite u korpu i želite da kupite. Razumemo zašto je primenjeno ovakvo rešenje, ali smo mišljenja da bi kompletna pokrivenost SSL-om bila prava stvar.


 
– Tehnomanija – Bravo! Vidi se da se neko u ovoj firmi bavi IT-jem na pravi način. Ozbiljan sertifikat, green bar, onako kako to očekujemo od svakog ozbiljnog prodavca. Apsolutno ste bezbedni dok kupujete na sajtu ove firme, i zahvaljujući pouzdanom sertifikatu koji pokriva sve “kutke” u koje možete zaći, možete biti potpuno uvereni da ćete biti bezbedni na ovom prodajnom sajtu.
 

– Handy – ni na sajtu najvećeg domaćeg prodavca mobilnih telefona ne cvetaju ruže po pitanju sigurnosti. U momentu kada smo artikal stavili u korpu i poželeli da se registrujemo, Google Chrome je ikonicu pretvorio u upozorenje “Not secure”! Valjalo bi da se brzo preduzmu odgovarajući koraci!
 

Primedba urednika: očekujemo od najvećih domaćih maloprodajnih lanaca da prethodne redove razumeju onako kako to treba – jer ovo su dobronamerni saveti. Još smo u tranzicionom periodu i svakako da od IT orijentisanih firmi očekujemo da prednjače u odnosu na ostale. Ogromne količine novca su uložili u razvoj svojih sajtova, ogroman novac troše u oglašavanje na Guglu i Fejsbuku, red je da par stotina evra potroše na bezbednost – svoju i svojih posetilaca. Edukujte se! Nema opravdanja za aktuelnu situaciju, pokažite da želite da pratite trendove, ovo više nije proaktivnost, za nju je davno prošlo vreme – vreme je za akciju
 
 Ovde stvari već nisu dobre, da ne kažemo da su zabrinjavajuće. Znamo da banke imaju ogromne sefove za smeštaj gotovine i dragocenosti ali red bi bio da to načine analognu stvar i sa online komunikacijama. Prosto rečeno, mora to bolje. Mnogo bolje.
– Narodna banka Srbije – Narodna Banka Srbije se “provukla” kroz iglene uši, jer je bukvalno tokom pisanja ovog teksta uvela SSL konekciju. Ovaj pasus je imao drastično drugačiji sadržaj i pozamašnu dozu kritike na račun najvažnije finansijske institucije ove države. Srećom, u međuvremenu je SSL implementiran tako da sada već možemo da sa većom dozom zadovoljstva pišemo o bezbednosti komunikacije preko NBS internet sajta. Kako stoje stvari sa najvećim bankama?

– Telenor banka – po dolasku na sajt dočekaće vas informacija da je reč o nebezbednom sajtu. Naravno, sajt Telenor banke ima SSL sertifikat kada zađete u sekcije pomoću kojih možete da obavljate transakcije bilo koje vrste, ali voleli bismo da nas ova informacija dočeka i prati još od prve stranice. Sertifikat postaje vidljiv tek ukoliko poželite da se ulogujete ili na primer pokrenete kreditni kalkulator – svakako da bi web tim ove banke trebalo ceo sajt stavi pod kapu SSL konekcije kada već poseduje ozbiljan SSL sertifikat. Ali, neko bi trebalo da kupi EV (extended validity) sertifikat koji će važiti i za www.telenorbank… a ne samo za online.telenorban…poddomen. Kada radite, uradite do kraja…Cela situacija je tim čudnija što Telenor mobilni operater ima kompletnu zaštitu čitavog sajta u startu.

– Raiffeisen banka – ovo je adresa za primer. Ozbiljan sertifikat, svaka stranica sajta zaštićena je sigurnosnom konekcijom, bravo za Rajfajzen. Sve finansijske institucije u ovoj zemlji bi trebalo da se ugleda na Rajfajzen banku kada je reč o sertifikatu za glavni domen ali i poddomene koji većina banaka koristi. Prosto, Raiffeisen koristi SSL sertifikat koji potpisuje Symantec, koji donosi maksimalnu bezbednost po svim pitanjima za konekcije sa bilo kojim delom sajta. Sve pohvale!

– Sberbank – kada je sajt ove banke u pitanju, u suštini, najveći broj konekcija nije bezbedan, što nije za pohvalu. Jednostavno, smatramo da sve konekcije trebaju biti bezbedne, naročito na sajtovima banaka. Uvek može da se dogodi da neko iskoristi nebezbedni deo sajta da načini neku nepoželjnu radnju, to je tako u današnjem digitalnom svetu.

Situacija se popravlja kada se ode na segment Online banking. Tada adekvatne ikonice “pozelene”, odnosno konekcija postaje sigurna i bezbedna, zaštićena SSL-om. Ovaj sertifikat potpisuje GoDaddy.com, i pokriva segment sajta na kome se korisnici mogu ulogovati i obavljati transakcije. Međutim, kao što smo već rekli, drugi segmenti sajta nisu pokriveni, pa tako recimo možete ostaviti svoje podatke onlajn kako biste se informisali ili aplicirali za neki oblik štednje, a to se obavlja preko nebezbedne konekcije, što nikako nije dobro.


– Banca Intesa – još jedna dvojaka priča. Ponovo imamo čudnu situaciju sa “pola-pola” zaštitom. Naime, osnovni sajt banke nema SSL pokrivenost, kao ni mnoge njegove sekcije. Međutim, ukoliko se ode na odeljak za poslovanje sa stanovništvom ili privredom, gde se unose nekakvi podaci i postoji razmena podataka i manipulacija novcem i transakcijama, SSL enkripcija tada postaje aktivna. Recimo, kada odete na Intesa Online, Wave 2 Pay ili Intesa Mobi, taj deo sajta raspolaže zaštitom i to izrađenom “in house”, odnosno od strane IT osoblja ove gigantske međunarodne banke.

 
 
 
 
 
 Kao što možete pretpostaviti, u fokusu su nam najveći sajtovi, ali ćemo ipak poći od najdražeg sajta – najposećenijeg i najvećeg IT medija u Srbiji.

Benchmark – Ukoliko ste posetilac Benchmark sajta, verovatno ste primetili promenu koja je nastupila kako na našem sajtu, tako i na forumu. Mala ali veoma bitna promena odnosi se na adress bar koji je sada “pozeleneo” i svakom posetiocu govori da se nalazi na sigurnoj lokaciji, te da su svi podaci koje njegov računar razmenjuje sa serverom Benchmark kriptovani i – bezbedni. To se odnosi kako na posetioce Benchmark sajta, tako i na posetioce Benchmark foruma.

Mi smo se opredelili da naši posetioci budu maksimalno bezbedni jer želimo da nemaju nikakvih problema zbog Benchmarka, pošto nam ostavljaju podatke u nagradnim igrama, anketama itd.


Blic – najposećeniji onlajn portal ne koristi bezbednu konekciju. Ovo je veliko razočarenje, posebno pošto znamo da je reč o mediju u stranom vlasništvu, koji dolazi sa područja za koje važi predrasuda da je veoma poslovno i da se tamo izuzetno puno vodi računa o ovakvim stvarima. Ma na koju sekciju sajta otišli, dočekivala nas je ista poruka – “not secure”.

Stvari postaju utoliko gore pošto znamo da popularni sajt ima o svoju onlajn prodavnicu. Reč je o sajtu Non Stop Shop na koji možete otići direktno sa bilo kog dela Blic portala i koji čini veliki deo biznisa ovog informativnog sajta. Tamo nas dočekuje identična poruka – konekcija ka tom sajtu nije bezbedna. Probamo li da stavimo proizvod u korpu, registrujemo se, naručimo, razlike nema – sve se obavlja preko nebezbedne konekcije, što znači da postoji povišen rizik da vaši podaci mogu biti presretnuti i zloupotrebljeni.

Kurir, B92, Mondo – ista priča kao sa Blicem. Želeli smo da ih razmatramo odvojeno, jer smo mislili da ćemo zateći drugačiju situaciju na pojedinim sajtovima, ali se ispostavilo da nijedan veliki informativni sajt ne koristi SSL enkripciju. Ovo je veliko razočarenje. Prosto, svi ovi sajtovi moraju shvatiti da živimo u novoj eri u kojoj se podaci ne “kradu” upadom na računare, već presreću prilikom transfera. Jednostavno – moraju da reaguju.

Toliko slušamo o važnosti informisanja i posvećenosti korisnicima da smo zaista razočarani ovakvim pristupom. To posebno važi za velike medijske sisteme, koji neretko imaju strane vlasnike. Ispostavlja se da to u praksi i nema neke veze kada su standardi funkcionisanja u pitanju, na našu veliku žalost. Ispod ovog teksta se možete i uveriti u izrečeno na priloženim fotografijama…


 SSL sertifikat sadrži mnoštvo informacija, između ostalog i ime vašeg domena, vaše kompanijsko ime, adresu, grad, kao i državu. Zbog čega vam ovo govorimo?
Svakako nije razlog pisanja našeg članka da bismo se mi ovim podatkom ili njegovom implementacijom pohvalili, već da sugerišemo svima ostalima koji smatraju prisustvo na web-u bitnim delom svog poslovanja da urade makar nešto po tom pitanju. Takođe, nismo u situaciji da se u 2017. godini pravimo previše pametnim time što smo komunikaciju sa posetiocima učinili sigurnijom, već da prenesemo neka naša iskustva po tom pitanju. Još početkom 2016. godine smo imali nameru da uradimo ono što jesmo sada, ali sve to ume pomalo da se iskomplikuje – pa hajde da vas uputimo u problematiku.

Kao što smo već napisali na prethodnim stranama, postoje besplatni i plaćeni SSL sertifikati. Benchmark kao najpoznatija domaća IT destinacija ima moralnu obavezu da pokaže da ozbiljan sertifikat sebi može da priušti i mala kompanija, te da to ne treba i ne sme da bude privilegija samo velikih sistema. Međutim, proces verifikacije kompanije od strane velikih sertifikacionih sistema ume itekako da bude bolan.
Naime, morate da prođete kompletan proces verifikacije. SSL serfitikat sadrži informacije o vašoj firmi, o vašem domenu i tako dalje. Tu postoji čitav niz peripetija, od nepoznavanja / nepriznavanja ćirilice, preko čudnovate APR baze podataka sa kojom može doći do konflikta, a sama provera je izuzetno rigorozna. To je i logično, budući da je ova stavka izuzetno bitna i da ne sme da se dogodi da neko treći licencom “pokrije” vaš sajt. Iskreni da budemo, imali smo problem sa ovim stavkama i zbog toga smo u prilici da vam ponudimo egzaktan razlog za kupovinu licence na domaćem tržištu.

Mi smo se, kao što smo već pomenuli na samom početku teksta, obratili kompaniji Ninet, koja nas je dramatično ubrzala u procesu dobijanja sertifikata. U praksi može nastati mali milion problema sa najrazličitijim stvarima, problema sličnih onima koje je Benchmark imao sa ćirilicom, upisom u APR, opštinom i lokacijom, što se sve takođe proverava. U svemu tome nas je Ninet podrška dramatično ubrzala i “osposobila”. Naravno, nije to jedini razlog zašto preporučujemo da se SSL licenca kupi na domaćem tržištu, jer su tu svakako i razne pogodnosti prilikom plaćanja, odnosno plaćanja preko računa. Ninet sarađuje sa brojnim partnerima: RapidSSL, GeoTrust, Comodo, Thawte, kao i Symantec. U skladu sa potrebama i mogućnostima, svako može da odabere paket provajdera koji želi, odnosno u koji ima najviše poverenja. Najzad, tu je i posebna pogodnost za sve korsnike njihovog SSD hostinga – naime, njima se nudi besplatan Comodo SSL SSL sertifikat, i to bez limita u broju domena.

Tim rečeno, postoje razne vrste HTTPS protokola. Ima besplatnih, koji će za običan sajt biti dovoljni. Postoje pristupačne varijante, postoje i skuplje. “Green bar” verzije su u principu najskuplje, ali oni ne samo da štite komunikaciju između servera i korisnika, već vrlo jasno ukazuju na to da je sajt bezbedan. Takođe, ne treba smetnuti sa uma da ozbiljni protokoli čuvaju i prodavca. Naime, u slučaju štete koja bi eventualno nastala, imaju pravo na milionske odštete, u bukvalnom smislu te reči. Od 200-ak hiljada pa do nekoliko miliona evra, što je garancija koja čuva mir i prodavcu, a ne samo kupcu, tako da ovo ulaganje predstavlja i svojevrsno osiguranje, a suma novca koju je potrebno izdvojiti zaista nije velika za neki veliki portal ili trgovinski lanac. Ponavljamo, šteta se lako može meriti milionima evra, i zbog toga je veoma važno obezbediti se.

Namera članka nije da nikoga uvredi ili neosnovano stavlja na stub srama, nego samo posmatramo situaciju koliko smo zaštićeni svi skupa, i sa jedne i sa druge strane. Koliko je zaštita internet saobraćaja važna, pokazuje i najnovija Google statistika koja se tiče implementacije HTTPS enkripcije širom weba, a koja pokazuje da je komunikacija koja se obavlja po platformama ove godine značajno bezbednija nego prethodne. Konkretno, ChromeOS i macOS imaju najveću stopu zaštićenog saobraćaja, sa preko 75 procenata. Windows je na 66%, dok je Android trenutno na oko 64% zaštićenosti, a sve platforme su ostvarile značajan napredak, a samo prošle godine je na Androidu zaštićeno 42% Chrome saobraćaja.
Stoga, naša preporuka svima jeste da se što pre postaraju da obezbede ne samo miran san svojim korisnicima, već i sebi. To  se može uraditi relativno brzo i jednostavno, a za iole veće kompanije zaista se ne radi o velikom trošku. Naprotiv, može doneti i puno u slučaju potrebe za nadoknadom štete. Sve u svemu, SSL je definitivno obavezna stavka za današnje internet destinacije – i sa stanovišta korisnika, i sa stanovišta vlasnika sajtova!