Nezabezpečená komunikace přes HTTP protokol umožňuje odposlouchávání dat. Během ní může kdokoliv číst data proudící mezi počítačem uživatele a serverem. K tomu útočníkovi stačí volně dostupná softwarové vybavení.
Veškerá komunikace proudící mezi vaším webem a návštěvníkem bude s použitím SSL certifikátu zabezpečena a nikdo nebude schopen zjistit obsah přenášených dat. Naprosto nezbytné je použití SSL certifikátu pro stránky s přihlašovacími dialogy, kde může dojít k získání a zneužití přístupových hesel.
Preferujte EV SSL certifikáty se zeleným pruhem
Pořízení SSL certifikátů není náročné finančně ani časově. Při volbě SSL certifikátu je však třeba přihlédnout na důvěryhodnost, kterou může uživatelům přinést.
Pokud provozujete webové stránky či projekt, u kterých je důležitá důvěra zákazníků, používejte certifikáty EV se zeleným pruhem v adresním řádku. Příkladem vhodného použití EV certifikátů jsou e-shopy, stránky pracující s osobními daty a stránky, na kterých probíhají platební transakce.
Zelený pruh v adresním řádku prohlížeče je nejznámější symbol bezpečnosti na internetu. V zeleném řádku je zobrazen název vaší organizace a návštěvník se na webu cítí bezpečně. Ví, že je chráněn prestižním certifikátem a zároveň ví, kdo web provozuje a kdo byl certifikační autoritou ověřen.
Používejte SSL certifikáty důvěryhodných autorit
Výběr správné a důvěryhodné certifikační autority je důležitý pro návštěvníky vašeho webu. Certifikát důvěryhodné certifikační autority nezobrazuje v prohlížeči návštěvníka žádné varování o nedůvěryhodnosti. Naopak certifikáty nedůvěryhodných autorit a vlastní (tzv. self signed) certifikáty nemají na webu místo. Prohlížeč zákazníka jim nedůvěřuje a odrazuje ho od návštěvy vašich stránek.
Světově známé certifikační autority jako Symantec, Thawte nebo GeoTrust, jsou automaticky důvěryhodné pro 99,9 % počítačů a v prohlížeči návštěvníka chybu nezobrazí. Naopak problémové jsou certifikáty málo známých autorit, které v operačních systémech nebo prohlížečích chybí. Certifikační autority vydávající certifikáty zdarma žadatele o certifikát prakticky nijak neověřují a takový certifikát může získat i nepovolaná osoba.
Pravidelně kontrolujte přítomnost malwaru
Další velkou hrozbou je pro uživatele malware, který může být na webu umístěn bez vědomí provozovatele. Často se stává, že útočník získá přihlašovací údaje od FTP vašich stránek a umístí na ně škodlivý kód. Ten se buď dále šíří a infikuje návštěvníky, nebo je použit pro šíření SPAMu.
Podle analýzy Symantecu tvoří 61 % nakažených stránek běžné weby, jejichž stránky byly zneužity a na kterých byste závadný obsah nikdy neočekávali. Bezpečnostní specialisté objeví denně přes 9000 nakažených stránek, vaše prezentace může být jednou z nich (Zdroj: Symantec Internet Security Thread Report).
Známé certifikační autority Symantec a GeoTrust pomáhají vlastníkům jejich SSL certifikátů zabezpečit webové stránky proti škodlivému kódu. Můžete si zapnout pravidelnou kontrolu vašeho webu a v případě nalezení nákazy budete upozorněni zprávou přímo od certifikační autority.
Sledujte podezřelá spojení
Sledujte podezřelé spojení směřující z vašeho serveru. Můžete tak přijít na neočekávaná zjištění. Váš server či počítač může být součástí botnetu, jehož aktivita je těžko zjistitelná. Server může být vzdáleně zneužíván k činnostem útočníka, ovšem jeho prioritou je nebýt odhalen.
Chraňte své informace a certifikáty
Chraňte své důležité informace, zejména přístupové údaje ke správě webových stránek a své šifrovací klíče. Útočníci se často zaměřují na krádež přihlašovací údajů z FTP klientů a webových prohlížečů. Chraňte své přihlašovací údaje dalšími hesly, které nebudou v počítači uložené.
Nejvyšší pozornost věnujte ochraně vašich šifrovacích klíčů, které na webu používáte. Samotný SSL certifikát útočník zneužít nemůže, ale pokud získá privátní klíč certifikátu, může ho bez omezení využít.
Používejte aktuální software
Každý provozovatel webových stránek by měl dbát na aktuálnost použitého softwaru. Důležité jsou zejména aktualizace redakčních systémů, jako je Joomla, Wordpress či Drupal. Pokud je v těchto systémech nalezena bezpečnostní díra, útočníci na celém světě ji začnou zneužívat a můžete mít jistotu, že se nevyhnou ani vašemu webu. Po vydání nové či opravené verze webových aplikací byste měli provést aktualizaci, stejně jako je provádíte na svém PC.
Věříme, že vám naše tipy pomohou lépe zabezpečit vaše webové stránky. V případě vašich dotazů k této problematice jsme vám plně k dispozici. Můžete využít e-mail, telefon, nebo chat. Více informací na SSLmarket.cz, admin@zoner.cz, 603 196 637.
Autor: Jindřich Zechmeister, certifikovaný Symantec Sales Expert Plus
ČLÁNKY DO MAILU