Create a Joomla website with Joomla Templates. These Joomla Themes are reviewed and tested for optimal performance. High Quality, Premium Joomla Templates for Your Site

O co chodzi z tymi certyfikatami SSL?

O co chodzi z tymi certyfikatami SSL?
O co chodzi z tymi certyfikatami SSL?

Mityczna zielona kłódka, która daje bezpieczeństwo.

Epidemia koronowirusa to nowe informacje każdego dnia. Codziennie w związku z tą ogólnoświatową sytuacją powstają także nowe zagrożenia w sieci - phishingowe kampanie smsowe, próbujące wyłudzić dane do logowania do bankowości internetowej, a w efekcie kradzież środków z kont ofiar, czy plagę nieprawdziwych informacji, jednych tylko po to, aby wprowadzać zamęt, innych po to, aby wykradać dane logowania, np. do serwisów społecznościowych. Przykładem takiej akurat strony jest postawiona na podszywającej się domenie witryna imitująca portal informacyjny RMF24 (domena została już djęta, ale z pewnością pojawią się nowe mutacje). Strona wykorzystywała znaną już od kilku dni fałszywą informację o wprowadzeniu na terenie Polski stanu wyjątkowego i zamknięciu granic (?) województw w naszym kraju. O tym, co myślę o wprowadzaniu stanu wyjątkowego i informacjach o tym się pojawiających pisałem na swoim Facebooku (przypomnę, a co!):

3. Czy zostanie wprowadzony stan wyjątkowy?
W tej chwili w ogóle nie jest rozważana taka opcja. Wypowiedział się o tym jednoznacznie prezydent Duda. Sytuacja jest jednak na tyle dynamiczna, że nie dam sobie niczego uciąć i nie pokuszę się o profetyczne stwierdzenia tego, co będzie za kilka, kilkanaście dni. Dla przypomnienia stan wyjątkowy wprowadza prezydent, na wniosek Rady Ministrów na okres oznaczony, nie dłuższy niż 90 dni w całym kraju lub jego części, jeśli zagrożone jest bezpieczeństwo państwa, bezpieczeństwo obywateli lub porządek publiczny. Jest opcja jego przedłużenia, za zgodą sejmu, na nie dłużej niż kolejne 60 dni. Nowa ustawa o stanie wyjątkowym jest z 2002 roku, a więc nie jest to żadna nowość, ani tak naprawdę nic strasznego. Zamiast stanu wyjątkowego zamknięte prawdopodobnie zostaną granice (aktualizacja: to już się stało, granice będą wyglądać tak, jak sprzed wejścia do UE). Nie wyklucza tego rząd i rozmawiano o tym na dzisiejszym posiedzeniu Rządowego Zespołu Zarządzania Kryzysowego. I nie, stan zagrożenia epidemicznego (który wprowadzono) to nie jest stan wyjątkowy. To sytuacja prawna, wprowadzona na danym obszarze w związku z ryzykiem wystąpienia epidemii w celu podjęcia określonych w ustawie działań zapobiegawczych. Oznacza to, że w kolejnych rozporządzeniach minister zdrowia może czasowo ograniczyć specyficzny sposób przemieszczania się, może zakazać i ograniczyć czasowo obrót i używanie określonych produktów, może czasowo ograniczyć funkcjonowanie określonych instytucji lub zakładów pracy i może wprowadzić zakaz organizowania widowisk i wszelkich zgromadzeń określonych co do liczby w rozporządzeniu. I nie, to dalej nie jest stan wyjątkowy (aktualizacja: zapomniałem dopisać, że jeśli sytuacja będzie się przedłużać to wprowadzenie stanu wyjątkowego może okazać się konieczne, chociażby w celu przełożenia daty wyborów prezydenckich).

Wróćmy jednak do sedna. Ostrzeżenie o tym oszustwie zamieszczone zostało na profilu CERT Polska. W komentarzach pojawił się natomiast głos, który był inspiracją do powstania tego tekstu. Jeden z komentujących napisał bowiem, jak to możliwe, że zielona kłódka pojawiła się przy tego typu stronie i, że pokazuje to, że system certyfikatów (SSL, przyp. red.) wciąż jest niedopracowany. Ale to nie o system certyfikatów tutaj chodzi, moim zdaniem, a o świadomość użytkowników i mylne przekonanie (czasem ugruntowane błędnymi tezami na różnych szkoleniach), że tzw. zielona kłódka momentalnie oznacza bezpieczeństwo. 

Czym jest certyfikat SSL i jakie są jego rodzaje

Zacznijmy od tego czym jest certyfikat SSL. Posiadanie certyfikatu SSL na stronie internetowej oznacza jedynie, że dane przesyłane z twojego urządzenia do serwera i w drugą stronę są szyfrowane - czyli, nie można ich podsłuchać. Certyfikat SSL gwarantuje także konsystencję danych oraz potwierdzają, że połączyliśmy się z tym, kim chcieliśmy. I to tutaj pojawia się problem, bo certyfikaty SSL występują w trzech rodzajach.

Domain validation - dostawca certyfikatu sprawdza jedynie, czy domena na której znajduje się certyfikat jest własnością tego, kto certyfikat instaluje. Nic poza tym. Taki certyfikat można otrzymać za darmo i oprócz szyfrowanego połączenia z serwerem docelowym i odwrotnie nie gwarantuje niczego więcej. To na takie certyfikaty i mityczne zielone kłódki nabierają się najczęściej ofiary wszelkich phishingów i scamów.

Extended validation - to certyfikat rozszerzony. Zamiast zielonej kłódki przy adresie strony widnieje zielony pasek z nazwą firmy do której należy certyfikat.

Organization validated - to certyfikat wymagający od właściciela strony najwięcej zachodu, a tym samym uznawany jest za najbardziej bezpieczny. W tym przypadku musisz dowieść, że nie tylko jesteś właścicielem danej domeny, ale także właścicielem firmy na którą się powołujesz. Jeśli więc certyfikat wystawiony jest na Bank Polska Kasa Opieki S.A. to możesz mieć pewność, że łączysz się ze stroną należącą do banku PeKaO.

Wszystkie te rzeczy możesz łatwo sprawdzić na pasku adresu swojej przeglądarki. Bądź więc czujny, nie daj się okraść.