SSL: Da li su korisnici na vašem sajtu bezbedni?

01-11-2019 12:30:14 | | benchmark.rs/ mojenovosti.com |

Mnogo smo ovih godina pisali o bezbednosti na globalnoj, svetskoj mreži. Većinom su to bile vesti o virusima i raznim vrstama napada koji nas vrebaju sa svih strana. Sve je jasno, korisnici često posećuju lokacije koje ne bi trebalo, ali znatiželja i radoznalost ne poznaju granice. Međutim, postoji način da internet sajtovi doprinesu opštoj bezbednosti, i to će upravo biti tema današnjeg teksta, pošto ćemo objasniti i pokazati na praktičnom primeru čemu služi SSL.

SSL je akronim od Secure Sockets Layer, tehnološkog standarda koji uspostavlja enkriptovani link između web servera i internet pregledača na korisnikovom računaru. Zahvaljujući njemu, svi podaci koje razmenjuju server i korisnik, odnosno pregledač, ostaju bezbedni i ne mogu se presretnuti tokom transfera, što je jedna od neuralgičnih ranjivih tačaka u svim komunikacijama. Uostalom, ni stari drumski razbojnici nisu napadali tovare novca kada se nalaze u bankama ili policijskim stanicama toliko često kao tokom transporta, zar ne?

SSL je industrijski standard i koriste ga milioni internet sajtova, posebno oni preko kojih se obavlja veliki broj transakcija, komunikacija sa korisnicima ili među samim korisnicima, gde korisnici ostavljaju svoje podatke i slično. No, kakva je situacija u praksi? Kako stvari stoje na domaćem internetu? Koliko se prate svetski standardi i ko ih uopšte prati? To je jedna od tema kojima će se baviti ovaj tekst. Istovremeno, postavlja se pitanje kako realizovati proces dobijanja SSL sertifikata. Stanje je bilo komplikovano, zbog toga što se to uglavnom radilo preko stranih firmi.

Postoji mnoštvo problema jer ima dosta peripetija kada se sarađuje sa strancima, ali sada je moguće sve obaviti i na domaćem tržištu. Recimo, mi smo se obratili kompaniji Ninet, koja nam je izašla u susret i pomogla u mnogim aspektima kvalifikovanja za SSL sertifikat, kao i u samoj implementaciji, ali o tome nešto više u nastavku teksta. Za kreiranje SSL konekcije, koja je preduslov za bezbednu razmenu podataka, potrebno je obezbediti SSL sertifikat. Običan korisnik o ovome ne treba da brine, već vlasnici internet sajtova. Nakon toga je potrebno izvršiti proces autentifikacije sajta / kompanije, o čemu ćemo nešto više govoriti naknadno.

Ono što je važno jeste da SSL protokol ne opterećuje korisnike, odnosno posetioce. Oni mogu da vide informacije o protokolu unutar pregledača preko indikatora koji je, primera radi, u Google Chrome pregledaču pozicioniran gore levo, pored unosa web adrese. Ukoliko se tu pojavi ključ, to je indikator da se trenutno nalaze u sesiji koja je zaštićena SSL protokolom. To istovremeno znači da su posetioci bezbedni, i da ne moraju da brinu brigu o tome da li će njihova komunikacija sa omiljenim internet sajtom ili mestom za kupovinu biti presretnuta, a podaci zloupotrebljeni.

Od 1. oktobra svaki sajt koji nema podršku za SSL sertifikat biva okarakterisan kao nebezbedan od Gugla, što je izuzetno važan podatak koji utiče i na pretragu, rezultate, položaj, rejting i tako dalje. Postoji više vrsta sertifikata i HTTPS protokola, ali o svemu tome nešto više u daljem toku teksta.

Zašto do SSL-a?

Postavlja se pitanje šta je to što vlasnici sajtova trebaju da urade da bi bili sigurni da je njihov posetilac bezbedan. Ukoliko ste vlasnik sajta, sigurno je da ste dobro poveli računa da svoj server odnosno svoje podatke zaštitite od neželjenog upada. Međutim, šta je sa vašim posetiocima? Koliko ste njih zaštitili? Ili vodite računa samo o sebi?

Ko o tome najviše vodi računa? Neko ko je veći od svakoga od nas, neko od koga mnogima od nas zavisi poslovanje. Naravno, znate već da postoji kompanija na web-u oko koje se mnogi od nas toliko trude da nas voli koliko god može. Za tu ljubav se trudimo, za tu ljubav mnogi plaćaju jako puno na mesečnom nivou: no od te ljubavi neće puno toga ostati ukoliko se ne potrudite da vas Google svakog dana ne vidi sveže i nasmejane i iznad svega – sigurne! Jer ako ste nesigurni, Google vas voleti neće, budite uvereni u to.

Google je još početkom godine svima jasno stavio do znanja šta se sprema – počevši od januara 2017. godine on je u svom Chrome pregledaču jasno označio sajtove koji nisu bezbedni i teško da iko nije primetio malu sivu ikonicu koja se nalazi sa leve strane, pre web adresnog polja. Uradili su to i drugi, pa takve oznake jasno možete primetiti i ukoliko koristite druge pregledače poput Firefoxa ili Microsoft Edge-a. To itekako (barem nama) bode oči i vreme je da se stvari menjaju po tom pitanju.

Recimo da se nalazimo u tranzicionom periodu, makar što se Google-a tiče, trenutno je na snazi period upozorenja, da tako nazovemo stvari u ovom momentu. Ono što sledi svima onima koji se ne potrude da http protokol svog sajta ne pretvore u HTTPS (hyper text transfer protocol SECURE) umesto uobičajenog HTTP-a u prefiksu web adrese, neće biti nimalo prijatno. Suočiće se sa znatno lošijim rangiranjem u pretragama kada je reč o najvećem svetskom pretraživaču. Google je vrlo odlučan u nameri da na vrh rezultata pretrage izbaci sajtove koji su se pozabavili sigurnom komunikacijom i zaštitom posetilaca. Ovo Google, u svom tipičnom stilu, uvodi veoma postepeno i etapno, ali u narednim mesecima će se jasno osetiti posledice.

Naročito ćemo istaći da svaka firma koja drži do sebe i svoje prezentacije na WEB-u, svaka kompanija koja tvrdi da posluje poštujući sva prava i propise, a naročito one na čijem se sajtu obavljaju bezgotovinske transakacije, MORA povesti računa o bezbednosti obe strane, kako svoje, tako i strane posetioca. Ne samo iz etičkih razloga koje opet ne smemo zanemariti, već i iz razloga sprečavanja štete koja može nastati neovlašćenim presretanjem informacija.

Mnogi su sajtovi u opasnosti, pa možemo čak reći da je možda i pitanje dana kada će se neko žestoko opeći, na ovaj ili onaj način. Da ne bi kalkulisali nastalu štetu, odlučili smo se da napišemo ovaj članak i sve one koji se bave WEB-om na vreme upozorimo o potencijalnim opasnostima i kako ih preduprediti. Svi se mogu veoma lako zaštititi, makar na elementarni način. Naravno, postoje apsolutno besplatna rešenja za svaki sajt koji ne želi da ga Google apostrofira pridevom „unsecure“ – i to je sasvim u redu. Slažemo se, potrebno je konkretno tehničko znanje ili pomoć prijatelja administratora kako bi bezbednosni sertifikat pravilno instalirali, ali ne radi se o nemogućoj misiji. Želja nam je da vas, ukoliko ste vlasnik nekog sajta ili imate uticaja na IT dešavanja u firmi u kojoj radite, ovim člankom potaknemo ne na razmišljanje, već na akciju.