Jarosław DolegaJarosław Dolega////CertyfikatyCertyfikatySSL.plSSL.pl

Bezpieczeństwo danych w Bezpieczeństwo danych w sklepie internetowym w sklepie internetowym w

oparciu o technologię SSL oparciu o technologię SSL

W 2011 roku W 2011 roku 70%70% Internautów Internautów przyznało się do robienia przyznało się do robienia zakupów on-line.zakupów on-line.

*Według raportu firmy Gemius i serwisu Okazje.info (luty 2012)

2

Na początek...Na początek...

Polacy na zakupach...Polacy na zakupach...

* Kaspersky Lab (2011)

3

Nasz świat się zmienia...Nasz świat się zmienia...

Umożliwiają to nasze urządzenia.Umożliwiają to nasze urządzenia.

LaptopyLaptopy posiada posiada 55%55% respondentów respondentów (25% przynajmniej dwa).(25% przynajmniej dwa).

SmartfonySmartfony ma ma 45,6%45,6% badanych badanych (w 14,7% gospodarstw domowych znajduje (w 14,7% gospodarstw domowych znajduje się więcej niż jeden sprzęt tego się więcej niż jeden sprzęt tego typu).typu).

TabletyTablety posiada posiada 10,3%10,3% pytanych. pytanych.

4

Polacy są coraz bardziej mobilni. Liczba Polacy są coraz bardziej mobilni. Liczba posiadaczy smartfonów szybko rośnie.posiadaczy smartfonów szybko rośnie.

* GfK Polonia (styczeń 2012)

Prognozy na rok 2012 przewidują przekroczenie progu 50%.Prognozy na rok 2012 przewidują przekroczenie progu 50%.

...i będzie się zmieniał...i będzie się zmieniał

Internet jest nam coraz bliższy Internet jest nam coraz bliższy i chętnie korzystamy z jego możliwości.i chętnie korzystamy z jego możliwości.

5

Ale czy użytkownicy wiedzą, Ale czy użytkownicy wiedzą, jak robić to bezpieczniejak robić to bezpiecznie, , aby nie ściągnąć na siebie aby nie ściągnąć na siebie zagrożeń?zagrożeń?

Niekoniecznie...Niekoniecznie...

6

popularyzacja + łatwość dostępu + brak wiedzy (lekkomyślność)popularyzacja + łatwość dostępu + brak wiedzy (lekkomyślność)==

zagrożeniezagrożenie

Im bardziej pożądana staje Im bardziej pożądana staje się nowa technologia, tym się nowa technologia, tym łatwiejszy jest do niej łatwiejszy jest do niej dostęp dla mas użytkowników. dostęp dla mas użytkowników. Jeżeli nie posiadają oni Jeżeli nie posiadają oni odpowiedniej wiedzy, o tym odpowiedniej wiedzy, o tym jak korzystać z nowych jak korzystać z nowych technologii, rośnie ryzyko, technologii, rośnie ryzyko, że staną się ofiarą ataku.że staną się ofiarą ataku.

Kto kiedykolwiek połączył Kto kiedykolwiek połączył się z otwartą siecią Wi-Fi?się z otwartą siecią Wi-Fi?

7

- w pubach i restauracjach...- w pubach i restauracjach...

- w galeriach handlowych...- w galeriach handlowych...

- na lotniskach i dworcach...- na lotniskach i dworcach...

- itd...- itd...

8

...wykorzystuje darmowe publiczne hotspoty Wi-Fi ...wykorzystuje darmowe publiczne hotspoty Wi-Fi w celu korzystania z zasobów sieci.w celu korzystania z zasobów sieci.

Około...Około...

59%59% użytkowników użytkowników smartfonówsmartfonów

70%70%właścicieliwłaścicieli tabletówtabletów

*Kaspersky Lab/Harris Interactive (luty-marzec 2012)

Wielu z nich może stać się Wielu z nich może stać się przypadkową ofiarą przestępstwa.przypadkową ofiarą przestępstwa.

O ile samo przeglądanie stron O ile samo przeglądanie stron www w ten sposób nie stanowi www w ten sposób nie stanowi zagrożenia, to pojawia się ono, zagrożenia, to pojawia się ono, gdy dana strona wymaga gdy dana strona wymaga logowania lub podawania logowania lub podawania prywatnych informacjiprywatnych informacji. .

9

Man-in-the-middleMan-in-the-middle

Atak kryptologiczny, Atak kryptologiczny, którego głównym założeniem którego głównym założeniem jest jest przejęcie pakietów danych przejęcie pakietów danych transmitowanych między transmitowanych między użytkownikami oraz dokonanieużytkownikami oraz dokonanie w nich zamierzonych zmianw nich zamierzonych zmian, , w taki sposób, aby nie zostały w taki sposób, aby nie zostały one wykryte przez ofiary one wykryte przez ofiary ataku.ataku.

10

Marzec 2011Marzec 2011 – konto – konto Ashtona Kutchera Ashtona Kutchera (@aplusk) w serwisie (@aplusk) w serwisie Twitter zostało Twitter zostało zhakowane przy pomocy zhakowane przy pomocy programu programu FiresheepFiresheep..

Przykład?Przykład?

Wkrótce po tym Twitter zaczął Wkrótce po tym Twitter zaczął wymuszać stosowanie SSL.wymuszać stosowanie SSL.

Nie tylko Wi-FiNie tylko Wi-FiRównież tradycyjne metody nie gwarantują Również tradycyjne metody nie gwarantują pełnej tajności przesyłanych danych.pełnej tajności przesyłanych danych.

12

Dlatego Dlatego wszędziewszędzie tam, gdzie tam, gdzie wymagane jest podanie wymagane jest podanie prywatnych danych, prywatnych danych, administrator strony administrator strony MUSIMUSI zadbać o zabezpieczenie zadbać o zabezpieczenie transmisji danych. transmisji danych.

Rozwiązaniem jest SSL

SSLSSLTechnologia Technologia Secure Sockets LayersSecure Sockets Layers poprzez poprzez zaawansowane szyfrowanie zaawansowane szyfrowanie zapewnia bezpieczne zapewnia bezpieczne przesyłanie danychprzesyłanie danych między komputerem a serwerem. między komputerem a serwerem.

ZapeZapewnia poufność m.in. haseł oraz prywatnych wnia poufność m.in. haseł oraz prywatnych danych, integralność i autentyczność przesyłandanych, integralność i autentyczność przesyłanych ych komunikatów oraz opcjonalne potwierdzanie komunikatów oraz opcjonalne potwierdzanie tożsamości komputera tożsamości komputera typu klient w połączeniachtypu klient w połączeniachrealizowanych za pomocą realizowanych za pomocą protokołu TCP/IP.protokołu TCP/IP.

13

Certyfikaty SSL w PolsceCertyfikaty SSL w Polsce

70%70% stron www z polskiego stron www z polskiego TOP100* TOP100* posiada zainstalowany posiada zainstalowany certyfikat SSLcertyfikat SSL..

14

39%39% e-sklepów przebadanych e-sklepów przebadanych na potrzeby raportu na potrzeby raportu "Bezpieczeństwo polskich"Bezpieczeństwo polskiche-sklepów" e-sklepów" chroniło klientów chroniło klientów za pomocą protokołu SSLza pomocą protokołu SSL..

Pobierz raport "Bezpieczeństwo polskich e-sklepówBezpieczeństwo polskich e-sklepów" ze strony: https://certyfikatyssl.pl/raport.htmlhttps://certyfikatyssl.pl/raport.html

Gdzie powinniśmy zobaczyć https://https://

15

Czyli m.in. na stronach:Czyli m.in. na stronach:

- rejestracji- rejestracji- logowania- logowania- finalizacji zakupów- finalizacji zakupów

Wszędzie tam, gdzie podajemy:Wszędzie tam, gdzie podajemy:dane identyfikacyjne np.: loginy, hasła, dane dane identyfikacyjne np.: loginy, hasła, dane ewidencyjne, a także dane finansowe, np. numery ewidencyjne, a także dane finansowe, np. numery kart kredytowych.kart kredytowych.

Na stronach, gdzie wymagane jest podanie informacji, Na stronach, gdzie wymagane jest podanie informacji, których nie chcemy i nie powinniśmy nikomu ujawniać.których nie chcemy i nie powinniśmy nikomu ujawniać.

Internauci rozpoznają Internauci rozpoznają bezpieczne stronybezpieczne strony

● 55%55% sprawdza obecnośćsprawdza obecność zielonego paska adresu zielonego paska adresu (oznaka obecności certyfikatu EV - Extended Validation),(oznaka obecności certyfikatu EV - Extended Validation),● 60%60% kupujących w Europie, USA i Australii kupujących w Europie, USA i Australii czuje się czuje się bezpiecznie widząc zielony pasekbezpiecznie widząc zielony pasek EV SSL, EV SSL,● 80%80% szuka kłódki bezpieczeństwaszuka kłódki bezpieczeństwa w przeglądarce,w przeglądarce,● 81%81% sprawdzasprawdza, czy , czy protokółprotokół zmienił się na zmienił się na https://https://,,● 75%75% przerwało transakcję on-lineprzerwało transakcję on-line, ponieważ , ponieważ odnieśli wrażenieodnieśli wrażenie, że strona www nie jest bezpieczna, że strona www nie jest bezpieczna,,● 82%82% respondentów twierdzi, że bezpieczeństwo ich respondentów twierdzi, że bezpieczeństwo ich danych stanowi danych stanowi najwyższy priorytetnajwyższy priorytet..

16

*Dane za Symantec *Dane za Symantec

Certyfikaty SSL zapewniają Certyfikaty SSL zapewniają coraz lepszą ochronę coraz lepszą ochronę

Zgodnie z nowymi standardami szyfrowanie powinno odbywać się Zgodnie z nowymi standardami szyfrowanie powinno odbywać się za pomocą klucza, składającego się minimum z 2048 bitówza pomocą klucza, składającego się minimum z 2048 bitów

17

Ziemie istnieje zaledwie odZiemie istnieje zaledwie od4,500,000,000 (4,5 MILIARDA) lat.4,500,000,000 (4,5 MILIARDA) lat.

Pojedynczy komputer potrzebuje ponadPojedynczy komputer potrzebuje ponad

6,400,000,000,000,0006,400,000,000,000,000(czyli 6,4 BILIARDA) lat,(czyli 6,4 BILIARDA) lat,

aby złamać taki szyfr.aby złamać taki szyfr.

Ale nawet najskuteczniejsza ochrona Ale nawet najskuteczniejsza ochrona nie zadziała, jeżeli nie zastosuje się nie zadziała, jeżeli nie zastosuje się jej jej we właściwy sposób i we właściwym we właściwy sposób i we właściwym czasieczasie..

18

Dlatego:Dlatego:

- wybieraj certyfikaty zaufanych wystawców;- wybieraj certyfikaty zaufanych wystawców;

- upewnij się, że właściwie skonfigurowałeś - upewnij się, że właściwie skonfigurowałeś certyfikat na serwerze;certyfikat na serwerze;

- pamiętaj o dacie ważności certyfikatu;- pamiętaj o dacie ważności certyfikatu;

- dobieraj rodzaj certyfikatu- dobieraj rodzaj certyfikatudo potrzeb serwisu.do potrzeb serwisu.

Wiele stron wyposażonych Wiele stron wyposażonych w SSL posiada błędy, w SSL posiada błędy, które mogą skutkować które mogą skutkować osłabieniem poziomu osłabieniem poziomu ochrony.ochrony.

Analitycy Qualys Analitycy Qualys sprawdzili 1 milion stron sprawdzili 1 milion stron z zestawienia Alexa.com.z zestawienia Alexa.com.

Jedynie 9 z nich miało Jedynie 9 z nich miało bezbłędą konfigurację bezbłędą konfigurację certyfikatu SSL.certyfikatu SSL.

● Ponad 67%Ponad 67% certyfikatów certyfikatów było skonfigurowanych było skonfigurowanych nieprawidłowonieprawidłowo

● Blisko 54%Blisko 54% wspierało wspierało nadal SSL v2nadal SSL v2

● Około 20%Około 20% zamieszczało zamieszczało na szyfrowanej stronie na szyfrowanej stronie linki bez linki bez https://https://

● Około 54%Około 54% stron nie stron nie używało SSL do ochrony używało SSL do ochrony autoryzacji użytkownikaautoryzacji użytkownika

● Około 15%Około 15% stosowało stosowało pliki niebezpieczne pliki niebezpieczne cookiescookies

*Qualys, Inc., SSL and Browsers: The Pillars of Broken Security (2012)

SerwisSerwis ////CertyfikatyCertyfikatySSLSSL.pl:.pl:

- najszersza oferta certyfikatów SSL w Europie- najszersza oferta certyfikatów SSL w Europie- produkty czołowych światowych dostawców technologii SSL- produkty czołowych światowych dostawców technologii SSL

- łatwa dostępność rozwiązań dla każdego typu działalności- łatwa dostępność rozwiązań dla każdego typu działalności- wszystkie dostępne rodzaje certyfikatów SSL. Znajdują - wszystkie dostępne rodzaje certyfikatów SSL. Znajdują się tu m.in. certyfikaty chroniące domeny, oprogramowanie, się tu m.in. certyfikaty chroniące domeny, oprogramowanie, pocztę e-mail i pieczęcie bezpieczeństwapocztę e-mail i pieczęcie bezpieczeństwa- pakiet narzędzi ułatwiających zarządzanie certyfikatami.- pakiet narzędzi ułatwiających zarządzanie certyfikatami.

20

Właścicielem serwisu Właścicielem serwisu ////CertyfikatyCertyfikatySSLSSL.pl jest spółka Domeny.pl.pl jest spółka Domeny.pl

API- usprawnienie procesu zakupu,- łatwiejsze zarządzanie certyfikatami SSL,- pełne bezpieczeństwo wszystkich procesów,- stałe wsparcie konsultantów,- gwarancja niezawodności,- darmowa integracja.

- dla partnerów biznesowych, zainteresowanych sprzedażą produktów SSL

- dostępny wygodny model:

>> Pay as You Grow (PaYG) –

wpłacaj pieniądze na konto i akumuluj je. Wraz ze wzrostem środków przeznaczonych na certyfikaty zwiększa się Twój status i zakres możliwości.

Wiecej o programie resellerskim i API znajdziesz na:Wiecej o programie resellerskim i API znajdziesz na:

https:https:////CertyfikatyCertyfikatySSLSSL.pl/partnerstwo.html.pl/partnerstwo.html

Reselling

Dziękuję za uwagęDziękuję za uwagę

////CertyfikatyCertyfikatySSL.plSSL.plTel.: Tel.: 12 296 36 6312 296 36 63

501 366 369501 366 369E-mail:E-mail: info@certyfikatyssl.plinfo@certyfikatyssl.pl

...proszę o pytania...proszę o pytania

22