Varna in zaupanja vredna spletna trgovina

Kako v porastu kiber-kriminala uspešno voditi
Varna in zaupanja vredna spletna trgovina
Oziroma, kaj potrebujem, da bo moji spletni trgovini zaupal širok krog uporabnikov

varnostrn

Porast spletnih trgovin
V zadnjem desetletju smo priča velikemu porastu spletnih trgovin in ostalih »e-commerce« rešitev, posledično pa se, razumljivo, povečujejo tudi aktivnosti spletnih kriminalcev, ki bodisi z goljufijami izkoriščajo naivnost uporabnikov, ali pa lahko-miselnost tistih upravljalcev spletnih trgovin, ki neustrezno skrbijo za varnost in s tem nepridipravom omogočijo odtujitev osebnih podatkov svojih kupcev.

Uporabniki so zaradi slabih izkušenj in odmevnih zgodb v medijih vse bolj previdni pri svojem nakupovanju. Statistike kažejo, da spletni uporabniki levji delež spletnih nakupov opravijo pri ponudnikih v tujini, zmotno pa je prepričanje, da je cena edini razlog, da se tako odločajo. Pogosto je razlog tudi v tem, da veliki mednarodni spletni trgovci praviloma poskrbijo za pozitivno varnostno izkušnjo uporabnika, med tem ko se mali domači trgovci običajno to plat popolnoma zanemarijo.

Enkripcija, varnost in zaupanje
Za varno in zaupanja vredno spletno trgovino je naloga upravljalca, iz vidika varnosti, predvsem zagotoviti, da spletna stran vsebuje elemente prepoznave, ki so se jih uporabniki naučili prepoznati kot varne, ter da navsezadnje zaupanje tudi upraviči s skrbnim ravnanjem. Najpomembnejši dejavnik pri pridobivanju zaupanja je uporaba pravega varnostnega SSL potrdila. SSL potrdilo zagotavlja v svoji osnovni definiciji dve zadevi;

  • Podatki, ki se prenašajo med obiskovalcem spletne trgovine in samo spletno trgovino, se na podlagi SSL potrdila globoko šifrirajo, kar ščiti uporabnika, ter uporabnikove osebne podatke, ter po drugi strani, z izpostavitvijo t.i. »zelene pasice«, oziroma »green bar-a«, uporabnika obvesti, da je spletna trgovina, v katero je vstopil, pristna in vredna zaupanja.
    Na voljo je cela kopica SSL potrdil, od brezplačnih, do osnovni, plačljivih in v končni fazi naprednih potrdil, ki vsebujejo osebno preverjanje in ob uporabi upravljalca spletne trgovine nadgradijo s popolno zeleno pasico, ki poleg oznake, da je stran vredna zaupanja, izpostavijo tudi naziv spletnega mesta in prav slednji način je edini pravi način za uporabo pri spletni trgovini.
    Brezplačna SSL potrdila, kot je denimo sistem Let’s encrypt, ki ga že ponujajo nekateri ponudniki spletnih gostovanj je v osnovi namenjen SSL zaščiti najbolj enostavnim stranem, za katere do danes niti ni bilo v navadi, da so opremljene z SSL zaščito, in zaradi tega popolnoma neprimeren za uporabo v spletni trgovini. Takšna potrdila se izdajo samodejno, brez človekovega posredovanja, kar pomeni, da je pristnost takšnega potrdila mnogo enostavneje potrditi.
    Najbolj osnovna, že plačljiva, oblika SSL potrdila, denimo Comodo PositiveSSL, zagotavlja osnovno preverjanje pristnosti z minimalnim človeskim posredovanjem. Takšna oblika je načeloma primerna, iz tehničnega vidika, saj zagotavlja minimalne varnostne standarde, vendar nima znakov posebne prepoznave, že prej omenjene razširjene zelene pasice.
    Potrdilo SSL z naprednim preverjanjem, kar pomeni, da izdajatelj certifikata naročnika osebno preveri, tudi s telefonskim klicem, se v spletnem brskalniku izrazi kot razširjena zelena pasica, ki uporabniku takoj pade v oči in to je najpomembnejši razlog, da bi to moralo biti edino SSL varnostno potrdilo, sprejemljivo za spletne trgovine.

Gostovanje
Ko uporabnik spletnemu trgovcu enkrat zaupa, je dolžnost trgovca, da to zaupanje upraviči. Pomemben dejavnik pri temu je skrb za zaščito in ustrezna hramba osebnih podatkov. Spletno stran, in torej tudi spletno trgovino, je moč v splet umestiti na več različnih načinov. Najbolj osnovni, in s tem tudi najbolj ugoden način, je umestitev spletne trgovine v nek sistem skupinskega, »shared hosting«, gostovanja.
Podatki spletne trgovine, skupaj z vsemi osebnimi podatki kupcev, se v tem primeru hranijo v skupnem strežniku, ki si ga trgovina deli skupaj z nekaj sto, ali celo tisoč, drugimi spletnimi mesti. Noben ponudnik gostovanja na takšen način ne more zagotavljati, da ne bo prislo do vdora, ali zlorabe ranljivosti, na kakšni drugi od teh strani.

VPS način gostovanja bi moral biti za spletne trgovine takorekoč nek minimalni standard.
V sistemih VPS, pri ponudnikih ki to ponujajo na pravilen način, to smo ponudniki, ki VPS gostovanja ponujamo na osnovi strojne virtualizacije, in ne »paravirtualizacije«, oziroma virtualizacije na podlagi skupnega jedra operacijskega sistema. Tako so podatki, in deovanje, spletnega sistema hermetično ločeni od ostalih uporabnikov, ponudniki gostovanj pa pri takšnih oblikah lahko ponudimo izredno visoko, skoraj 100 odstotno zagotovilo za varnost. Posledično spletna trgovina, ki jo poganja sistem VPS, deluje bolje in bolj ozivno, kar z varnostnega stališča sicer ni pombmeno, nudi pa vseeno bistveno boljšo uporabniško izkušnjo, kar pa je pomembno.

Za uspešen zagon in upravljanje spletne trgovino tako še zdaleč niso ključni le privlačna vsebina, ugodna ponudba in nabor artiklov, temveč tudi pravilna umestitev spletne trgovine v spletni prostor, zato je priporočljivo, da se upošteva navodila strokovnjakov za spletno varnost, čeprav se morda v začetku zdi to nepomemben in odvečen strošek.

Kateri SSL certifikat naj izberem?

Kaj je SSL in zakaj je pomemben?

paglavec

SSL (Secure Sockets Layer) je protokol, ki omogoča šifrirano povezavo med strežnikom in odjemalcem (uporabnikom), podatki se tako prenašajo na varen način.

SSL certifikat je predvsem priporočljiv takrat kadar se preko spletnega mesta pretakajo osebni podatki, bančne transakcije.

Tudi Facebook aplikacije obvezujejo svoje uporabnike, da na svojih straneh uporabljajo SSL zaščito.

Že leta 2014 je Google pričel s kampanjo kako pomemben je SSL, začel pozivati vse imetnike spletnih strani, da pričnejo uporabljati zaščitene povezave, s tem bodo tudi uvrščeni višje v njihovem iskalniku – bolj ko boste vlagali v varnost spletne strani, bolj boste za Google pomembni.

Z januarjem 2017 pa bo Google Chrome 56 pričel označevati HTTP strani na katerih je potrebno vpisati geslo ali kreditno kartico kot “not secure”.

Kaj lahko storite? Priskrbite si SSL certifikat, ki bo vašemu HTTP dodal S > HTTPS (s stoji za secure).

Kater certifikat izbrati in v čem se razlikujejo?

1. SSL certifikati za domensko potrditev

Te certifikate priporočamo vsem manjšim spletnim stranem, primerni so tudi za Facebook aplikacije in Google.

2. SSL certifikati poslovne potrditve (tudi za organizacije)

Za večjo varnost uporabnikov in večje zaupanje uporabnikov v vas. Priporočamo ga vsem podjetjem, ki imajo svoje spletne strani.

3. SSL certifikati razširjene potrditve

To so certifikati z visoko stopnjo zaupanja. Priporočamo jih vsem, ki imajo spletne trgovine, saj omogočajo visok nivo varnosti pri prenašanju osebnih podatkov in denarnih transakcij.
Značilnost: Uporabnik bo videl zeleno naslovno vrstico, ko bo prišel na stran, prav tako pa bo vidno ime podjetja, ki je izdalo certifikat.

4. SGC SSL certifikati
SGC = strežniško omejena kriptografija.

Priporočamo za vladne organizacije, banke in vse spletne strani z zelo visokim številom uporabnikov.

5. WildCard SSL certifikati

WildCard certifikati so vedno bolj priljubljeni, saj nudijo popolno rešitev zaščiteneomejenega števila poddomen, ki so pod eno domeno. Prav tako s tem prihranite denar, saj ne potrebujete več dedicated IPjev za vsako poddomeno, tako lahko uporabite isti IP za zaščito vseh poddomen.

Večina teh certifikatov omogoča neomejeno strežniško licenco, kar pomeni, da lahkonaložite en SSL na več serverjev z različnimi IP naslovi, tako da lahko zaščititer zlične poddomene na različnih strežnikih.

Vsi te certifikati pa zaščitijo tudi glavno domeno.

Prav tako pa se te certifikati uporabljajo za zaščito poštnih strežnikov in kontrolnih plošč, kot je cPanel.

6. Večdomenski UCC/SAN certifikati

Subject Alternative Name (SAN) SSL certifikati so znani tudi kot UnifiedCommunication Certificates (UCC) ali tudi kot Multi-Domain (večdomenski) SSLcertifikati.

Te so razviti za zaščito vseh vaših domen/poddomen s samo enim SSL certifikatom.SAN SSL so popolnoma kompatibilni z Microsoft Office komunikacijskim strežnikom inMicrosoft Exchange produkti. Zaščitite lahko različna skupna imena ali domenskaimena s samo enim certifikatom. Delujejo tako z notranjim imenom omrežja kot tudizunanjimi domenskimi imeni.

Poglejmo si nekaj primerov kako najbolje izbrati SSL certifikat

  1. Imamo spletno stran, blog, kjer preko spleta ne prodajam izdelkov. Stran prikazuje moje delo, kontakt, kakšen video ter je povezana s Facebookom in Instagramom. Želeli bi, da se uporabniki ob brskanju po vsebini in galerijah počutijo varno, kateri certifikat je prvi za nas?

    V tem primeru potrebujete najbolj osnoven certifikat, takšen, ki bo vašemu HTTPju dodal še S > HTTPS.
    V kolikor imate samo eno domeno in ne tudi poddomen, potem je za vas popolnoma dovolj certifikat domenske potrditve.

  2. Smo srednje veliko podjetje, na naši spletni strani lahko uporabniki naročijo naše storitve, želeli bi, da bi uporabniki vedeli, da lahko na naši strani brez skrbi naročijo željen izdelek.

    V tem primeru vam svetujemo, da pogledate certifikate razširjene potrditve, te so namenjeni spletnim trgovinam. Pomembno zaupanje kupcem v vašo spletno trgovino pa jim bo dala zelena url vrstica.

  3. Smo srednje veliko/veliko podjetje, imamo svojo spleto trgovino, ki je tudi na večih poddomenah, uporabniki lahko dostopajo do različnih kontrolnih plošč, ki jim pomagajo pri urejanju naših kompleksih storitev. Želeli bi, da se uporabniki prav na vseh straneh počutijo varne oz. da vedo, da so varni.

    Glede na bolj kompleksno stukturo vaših storitev vam predlagamo, da si ogledate t.i. WildCard certifikate, te so namenjeni domeni in večim poddomenam, prav tako pa se uporabljajo za zaščito strežnikov in kontrolnih plošč.

Pa smo res varni na spletu? Ocene spletnih strani 2. del

Ker se je konec leta 2014 in v začetku leta 2015 zgodilo že kar nekaj incidentov povezanih z varnostjo, smo ponovno preverili varnostne ocene nekaterih spletnih strani, ki smo jih objavili že v lanskem letu (članek). Pa se je kaj spremenilo?

Screen Shot 2015-02-05 at 09.03.26

Za analizo strani smo uporabili Qualys SSL Labs, ki preverja varnost naših SSL certifikatov.

Kaj je SSL?

SSL certifikat je potrdilo za strežnik oz. spletno stran, ki ga izda pooblaščena organizacija. Certifikat zagotavlja, da je komunikacijski kanal med uporabnikom in strežnikom varen.

Ali je res, da prihaja do razlik, če je moja stran na http in ne na https ?

HTTP = Hypertext Transfer Protocol.
HTTPS = Hypertext Transfer Protocol z Secure Sockets Layer (SSL)

O tem, da bo vaša stran bolje rangirana (tako oglaševanje kot organsko) na Googlu, če bo zaščitena (ssl certifikati), smo že pisali (članek: Google pravi enkripcija spletnih strani).

Pa vendar je še mnogo ljudi skeptičnih glede tega. Nekateri temu ne verjamejo, drugi čakajo kaj se bo zares zgodilo, spet tretji v httpsju ne vidijo nikakršne prednosti.

Raziskave so pokazale prve rezulate.

Stran www.BillHartzer.com je naredila analizo in objavila sledeče rezultate:

Organski rezultati:

http-vs-https-4-weeks-google-organic-edited

Slika: https://www.billhartzer.com

Oglaševanje:

http-vs-https-4-weeks-edited

Slika: https://www.billhartzer.com

Kot lahko sami razberete, so številke boljše (še bolj pozitivne) od kar so svojo stran prestavili na https.

Razlog verjetno tiči v tem, da je zaradi zaščite stran dosti bolj vredna zaupanja kot prej, ko le-te ni imela. Uporabniki brez skrbi klikajo povezave in brskajo po strani, saj vedno, da so njihovi podatki in prenosi varni.

Celoten članek si lahko ogledate na:
https://www.billhartzer.com/pages/http-to-https-update-one-month-after-moving/

Varnostni paketi – vse o SSL certifikatih

Kaj je SSL zaščita in zakaj je potrebna?

SSL je protokol, ki omogoča šifrirano povezavo med strežnikom in odjemalcem (uporabnikom), podatki se tako prenašajo na varen način.

SSL certifikat je predvsem priporočljiv takrat kadar se preko spletnega mesta pretakajo osebni podatki, bančne transakcije.
Tudi Facebook aplikacije obvezujejo svoje uporabnike, da na svojih straneh uporabljajo SSL zaščito.
Prav tako pa je tudi Google začel pozivati vse imetnike spletnih strani, da pričnejo uporabljati zaščitene povezave, s tem bodo tudi uvrščeni višje v njihovem iskalniku – bolj ko boste vlagali v varnost spletne strani, bolj boste za Google pomembni (celoten članek si lahko ogledate na: (http://blog.zabec.net/google-pravi-enkripcija-spletnih-strani/).

Kakšne vrste SSL certifikatov poznamo?

1. SSL Certifikati za domensko potrditev

Te certifikate priporočamo vsem manjšim spletnim stranem, primerni so tudi za Facebook aplikacije in Google.

Do 21.09.2014 lahko pri nas naročite:

VARNOSTNI PAKET – OSNOVNA SSL ZAŠČITA
Paket vsebuje SSL podporo z IP naslovom in Comodo positive SSL
(https://www.zabec.net/landing/varnost_paket)
SEDAJ ZA SAMO 50,05 EUR/LETO (namesto 73 EUR/LETO)

VARNOSTNI PAKET – WILDCARD SSL ZAŠČITA
Paket vsebuje SSL podporo z IP naslovom in Comodo positive Wildcard
SSL(https://www.zabec.net/landing/varnost_paket)
SEDAJ ZA SAMO 123,15 EUR/LETO (namesto 159 EUR/LETO)

2. SSL Certifikati za poslovno potrditev

Priporočamo ga vsem podjetjem, ki imajo svoje spletne strani in tudi spletne trgovine.

3. SSL Certifikat razširjene potrditve

To so certifikati z visoko stopnjo zaupanja. Priporočamo jih vsem, ki imajo spletne trgovine, saj omogočajo visok nivo varnosti pri prenašanju osebnih podatkov in denarnih transakcij. Te certifikati so kompatibilni z večino brskalnikov: Mozilla 3+, Google Chrome, IE7.0+. Safari 3.2+ and Opera 9.5+.

Prav tako pa delujejo na mobilnih brskalnikih: Netfront 3.0+, Safari for iOS (IPhone3GS in kasnejše različice), Microsoft Pocket Internet Explorer, Blackberry in Palm /Handspring Blazer 2.0+.

Značilnost: Uporabnik bo videl zeleno naslovno vrstico, ko bo prišel na stran, prav tako pa bovidno ime podjetja, ki je izdalo certifikat.

VARNOSTNI PAKET – GREEN BAR SSL ZAŠČITA
Paket vsebuje SSL podporo z IP naslovom in Comodo EV SSL 
(https://www.zabec.net/landing/varnost_paket)
SEDAJ SAMO 186,05 EUR/LETO (namesto 233 EUR/LETO)

4. SGC SSL certifikati

SGC = strežniško omejena kriptografija.

Priporočamo za vladne organizacije, banke in vse spletne strani z zelo visokim številom uporabnikov.

5. SSL certifikati podpisane kode

Te certifikati bodo zmanjšali število sporočil o napakah. Uporaba teh certifikatov za Microsoft Authenticode, vam omogoči, dapokažete, da ima vaša koda visoko integriteto, prav tako pa bodo certifikatipokazali prisnost vaše identitete.

6. Wildcard SSL certifikati

WildCard certifikati so vedno bolj priljubljeni, saj nudijo popolno rešitev zaščiteneomejenega števila poddomen, ki so pod eno domeno. Prav tako s tem prihranitedenar, saj ne potrebujete več dedicated IPjev za vsako poddomeno, tako lahkouporabite isti IP za zaščito vseh poddomen.

Večina teh certifikatov omogoča neomejeno strežniško licenco, kar pomeni, da lahkonaložite en SSL na več serverjev z različnimi IP naslovi, tako da lahko zaščititerazlične poddomene na različnih strežnikih.
Vsi te certifikati pa zaščitijo tudi glavno domeno.

Prav tako pa se te certifikati uporabljajo za zaščito poštnih strežnikov in kontrolnih plošč, kot je cPanel.

7. Večdomenski UCC/SAN certifikati 

Subject Alternative Name (SAN) SSL certifikati so znani tudi kot UnifiedCommunication Certificates (UCC) ali tudi kot Multi-Domain (večdomenski) SSLcertifikati.

Te so razviti za zaščito vseh vaših domen/poddomen s samo enim SSL certifikatom.SAN SSL so popolnoma kompatibilni z Microsoft Office komunikacijskim strežnikom inMicrosoft Exchange produkti. Zaščitite lahko različna skupna imena ali domenskaimena s samo enim certifikatom. Delujejo tako z notranjim imenom omrežja kot tudizunanjimi domenskimi imeni.

Več o certifikatih si lahko ogledate tudi na naši strani: https://www.zabec.net/gostovanje/ssl-certifikati