Zapraszamy do lektury tegorocznej edycji raportu Bezpieczeństwo zakupów w polskich sklepach internetowych.

Transkrypt

1

2 W S T Ę P Kwestie bezpieczeństwa w Internecie będą aktualne zawsze. Sieć cały czas się rozwija na dobre przeniosła się z komputerów do komórek i telewizorów, pozyskuje coraz więcej użytkowników w krajach rozwijających się, zupełnie przekroczyła granice wieku i niemal całkowicie wchłonęła załatwianie codziennych spraw. Równolegle do pozytywnych aspektów rozwoju sieci, następuje wzrost negatywnych działań, jak m.in. szeroka aktywność hakerska. Obok zainfekowanych plików, fałszywych i i złośliwego oprogramowania pojawiły się nowe pułapki zawirusowane kody QR, niezabezpieczone hot spoty, dane wyciekające podczas różnego rodzaju operacji on-line. To wszystko sprawia, że dzisiaj w Internecie wszystkich powinna obowiązywać zasada ograniczonego zaufania. Świadomość internautów wzrasta, jednak nadal gros z nich wykazuje się niemałą ignorancją w sprawach bezpieczeństwa internetowego. Mimo wielu raportów oraz artykułów ze wskazówkami jak być świadomym internautą, większość z nas nie stosuje się do nich. Lenistwo w Internecie jest jednak niedopuszczalne, bo może drogo kosztować. i naprawdę działają na szeroką skalę. Z kolei inne badania pokazują, że większość właścicieli serwisów www nie wprowadza na swoich stronach odpowiednich zabezpieczeń. W Polsce już 83% internautów kupuje on-line, a więc niemal wszyscy korzystamy ze sklepów internetowych, tworzymy konta klienckie, dzielimy się naszymi adresami, peselami, pieniędzmi i nie tylko. Czy są to bezpieczne zachowania? Czy możemy liczyć na to, że sklep internetowy będzie chronił nasze dane? A może musimy być czujni i za każdym razem sprawdzać poziom wszystkich zabezpieczeń? Zapraszamy do lektury tegorocznej edycji raportu Bezpieczeństwo zakupów w polskich sklepach internetowych. Autorzy licznych badań¹ z 2011 roku alarmowali o wzrastającym poziomie niebezpieczeństw: w ubiegłym roku tożsamość skradziono 232 milionom ludzi, 65% użytkowników Internetu na całym świecie padło ofiarą cyberprzestępstwa, a liczba zablokowanych zagrożeń pochodzących ze stron internetowych i i wzrosła do 5,5 miliarda. Te liczby pokazują, że przestępcy są coraz skuteczniejsi ¹ Dane za: Symantec, WhiteHat Security, Ernst&Young, Millward Brown SMG/KRC, TNS OBOP 2

3 S P I S T R E Ś C I Wstęp Metodologia Etap I Etap II Bezpieczeństwo e-sklepów Wyniki badania Liczba e-sklepów W poszukiwaniu SSL Oceny certyfikatów Klucze szyfrowania Uwaga na datę ważności Automatyczny poszukiwany Polacy wybierają znane CA Walidacje certyfikatów czy istnieje najlepsza? Co nam mówią znaki Obraz polskiego e-commerce Co w branżach piszczy Krajobraz e-polski DODATEK: Wskazówki prawidłowej instalacji SSL Podsumowanie O raporcie Indeks grafik 3

4 Sprawdziliśmy, ile sklepów gwarantuje swoim klientom bezpieczeństwo przesyłania danych. Impulsem do badania stał się konkurs Bezpieczny esklep, organizowany przez Instytut Logistyki i Magazynowania. Ma on na celu promowanie stosowania dobrych praktyk gospodarczych w handlu elektronicznym, a w szczególności znajomości oraz poszanowania praw konsumenckich w codziennej działalności sklepu internetowego. Zgłoszenia przyjmowano do 31 stycznia br., a wyniki opublikowano 31 marca. Warunkiem przystąpienia do konkursu było prowadzenie działalności od co najmniej 12 miesięcy przed datą zgłoszenia oraz wpis na listę. Stała się ona bazą wyjściową naszego raportu. Badanie Bezpieczeństwo zakupów w polskich sklepach internetowych zostało przeprowadzone w kwietniu i maju 2012 roku na 462 sklepach internetowych. Tyle e-sklepów było wpisanych na listę uczestników powyższego konkursu. Bezpieczeństwo przesyłanych danych zostało sprawdzone poprzez weryfikację zainstalowanego certyfikatu SSL, który jest jednym z narzędzi ochrony informacji przesyłanych on-line. Jest to również powszechnie znany sposób szyfrowania danych stosowany przez banki, urzędy, instytucje rządowe i prywatne oraz największe serwisy e-commerce. Należy również wziąć pod uwagę, że certyfikaty SSL są dostępne dla wszystkich. Wystarczy być właścicielem domeny internetowej, aby móc go zainstalować. Bezpieczeństwo każdego e-sklepu zostało zweryfikowane na podstawie: M E T O D O L O G I A posiadania zainstalowanego certyfikatu SSL, a zwłaszcza: - jego ważności, - zaufanego wystawcy (Urzędu Certyfikującego), - poprawnego klucza szyfrowania, automatycznej zmiany protokołu na w najbardziej newralgicznych punktach przesyłania danych, tj. na podstronach, gdzie następuje: - logowanie klienta, - rejestracja użytkownika, - złożenie zamówienia, używanych znaków bezpieczeństwa i informowania klientów o bezpieczeństwie na stronie, niezależnej oceny zabezpieczeń certyfikatu SSL przez zewnętrzne narzędzie SSL Labs. Bezpieczny e-sklep to taki, który chroni swoich klientów przed zagrożeniami w Internecie. Do głównych niebezpieczeństw w sieci należą kradzieże przesyłanych danych. Działalność sklepów internetowych opiera się na transmisji poufnych danych klientów, którzy wierzą, że są one chronione. Bezpieczny e-sklep powinien szanować ich zaufanie. Szczególnie poprzez ochronę informacji o kliencie (osobowych, teleadresowych, haseł dostępu do kont, płatności itp.). SSL Labs jest niekomercyjnym narzędziem badawczym należącym do firmy Qualys. ETAP I Wszystkie adresy sklepów internetowych zostały przeskanowane wyszukiwarką SSL Labs. To niezależne narzędzie, które sprawdza konfigurację certyfikatów SSL na danym serwerze. Przyznaje również oceny A F (wg punktacji od 0 do 100: F < 20, E 20, D 35, C 50, B 65 i A 80) oraz wyświetla uwagi. Wyszukiwarka bierze pod uwagę: datę ważności certyfikatu, zaufanie do wystawcy, konfigurację serwera w trzech kategoriach: - obsługa protokołu SSL 30%, - obsługa wymiany kluczy 30%, - obsługa szyfrowania 40%. 4

5 Data ważności i zaufanie do wystawcy to podstawowe czynniki, które wpływają na ocenę certyfikatu; jeśli nie są zadowalające, certyfikat automatycznie otrzymuje 0 punktów. OBSŁUGA SZYFROWANIA Mocniejszy algorytm szyfru zapewnia silniejsze szyfrowanie połączenia, a tym samym zmniejsza prawdopodobieństwo jego przerwania. Ponieważ serwer może obsługiwać różnego rodzaju szyfry, najmniej punktów przyznaje się najsłabszym. Obliczanie wyniku tej kategorii następuje wg wzoru: ocena najsilniejszego szyfru zsumowana z wynikiem najsłabszego szyfru podzielone przez 2. OBSŁUGA PROTOKOŁU SSL Każdy serwer może obsługiwać różne typy protokołów. Nie wszystkie są tak samo skuteczne. Przykładem może być protokół SSL w wersji 2.0, która została udostępniona ponad 12 lat temu i obecnie nie powinna być stosowana. Z tego względu SSL Labs ocenia obsługę protokołu wg algorytmu: wynik najsilniejszego protokołu zsumowany z oceną najsłabszego protokołu podzielone przez 2. Oceny procentowe protokołów: Sposób procentowej oceny szyfrowania: brak» 0% poniżej 128-bitów (40, 56)» 20% (128, 168)» 80% 256 lub więcej» 100% Końcowy wynik SSL Labs jest kombinacją pozostałych komponentów konfiguracji serwera (m.in. zabezpieczenia domeny z lub bez przedrostka www), ale nie wszystkie mają tak istotny wpływ na ostateczną ocenę, jak trzy wymienione powyżej. Niektóre składowe konfiguracji certyfikatu na serwerze osłabiają ostateczny wynik. Nie są jednak w stanie zniżyć go do zera, jeśli powyższe punkty są spełnione na zadowalającym poziomie. Wyjątkiem jest niedopasowanie nazwy domeny do certyfikatu (tzw. mismatch). SSL 2.0» 20% SSL 3.0» 80% TLS 1.0» 90% TLS 1.1» 95% TLS 1.2» 100% Mismatch sytuacja, gdy certyfikat SSL jest zainstalowany na serwerze, na którym znajduje się sprawdzana domena, jednak nie jest on dla niej wystawiony. OBSŁUGA WYMIANY KLUCZY Proces składa się z dwóch faz: uwierzytelnienia oraz weryfikacji bezpieczeństwa wygenerowanych kluczy (publicznego i prywatnego) wraz z ich wymianą. Od 2011 roku najkrótszym uznawanym kluczem szyfrowania jest 2048-bit. Im więcej bitów ma klucz prywatny, tym trudniej jest go złamać. Słaby klucz lub proces wymiany, który używa tylko części klucza, może wpływać na złamanie połączenia. Oceny procentowe kluczy: brak klucza» 0% słaby klucz» 0% krótszy niż 512-bitów» 20% limit 512-bitów» 40% krótszy niż 1024-bitów» 40% krótszy od 2048-bitów» 80% krótszy od 4096-bitów (np. 2048)» 90% dłuższy lub równy 4096-bitów» 100% Dla potwierdzenia autentyczności wyników otrzymanych w SSL Labs, wszystkie domeny były równolegle weryfikowane za pomocą darmowych narzędzi udostępnianych w serwisie CertyfikatySSL.pl: Tester certyfikatów SSL pozwala np. dostrzec pełną ścieżkę certyfikacji (tzw. łańcuch zaufania, złożony z certyfikatów potwierdzających autentyczność certyfikacji), rodzaj walidacji, daty ważności, długość klucza etc. Wskazuje też błędy w konfiguracji serwera (np. korzystanie z niewystarczającego klucza szyfrowania, brak ochrony głównego hosta, wygaśnięcie certyfikatu). ETAP II W kolejnej fazie weryfikacji każda domena sklepu internetowego została wpisana do przeglądarki internetowej. W ten sposób spraw- 5

6 dzono, czy serwer automatycznie przekierowuje protokół na na podstronach: logowania, rejestracji, składania zamówienia. Analizie poddane zostały także strony główne, na których sprawdzono obecność znaków bezpieczeństwa (np. kłódek i kluczy przy polach logowania lub w stopce). W ten sposób zweryfikowano, jaki procent sklepów internetowych podaje swoim klientom nieprawdziwe informacje dotyczące zabezpieczeń serwisu. Sprawdziliśmy jaki procent sklepów wprowadza klientów w błąd Te dwa etapy badań pozwoliły na zebranie obiektywnych danych dotyczących bezpieczeństwa e-sklepów w Polsce. Wszystkie przeanalizowane adresy sklepów internetowych zostały wpisane na listę konkursu Bezpieczny esklep przez zarządzające nimi osoby. Powstała w ten sposób baza informacji o działalności 462 sklepów, stanowiąca zarys polskiego rynku e-commerce. Wszystkie zebrane dane zostały przedstawione z komentarzem w dalszej części raportu. RAPORTsecure2012 6

7 B E Z P I E C Z E Ń S T W O E - S K L E P Ó W Chrome O bezpieczeństwie sklepów internetowych decyduje kilka podstawowych czynników. Wszystkie z nich opierają się na narzędziach ogólnodostępnych na rynku. POSIADANIE WAŻNEGO CERTYFIKATU SSL Firefox Certyfikaty SSL wydawane są na okres od 1 do 5 lat, w zależności od wystawcy. Ich ważność i pozostałe kluczowe informacje są dostępne po wyświetleniu szczegółów certyfikatu. Może się zdarzyć, że witryna zawiera treści niepodpisane certyfikatem (np. linki zewnętrzne). Wówczas na kłódce w prawym dolnym rogu pojawia się ostrzeżenie w postaci czerwonego wykrzyknika. Warto również zaznaczyć, że bezpieczne korzystanie ze strony umożliwia jedynie ważny certyfikat SSL. Samo zainstalowanie certyfikatu nie gwarantuje bezpieczeństwa. Jednym ze sposobów wyświetlenia szczegółów certyfikatu jest kliknięcie oznaczenia certyfikatu (np. visual icon) w pasku adresu przeglądarki internetowej Internet Explorer

8 AUTOMATYCZNE PRZEKIEROWANIE NA PROTOKÓL to jeden ze znaków potwierdzających posiadanie zainstalowanego certyfikatu SSL. Litera s dodana do standardowego protokołu jest gwarancją szyfrowania połączenia i bezpieczeństwa przesyłanych danych (jest to skrót od angielskiego słowa secure bezpieczny, chroniony). Za bezpieczne e-sklepy uznaje się takie serwisy, których strona logowania, rejestracji bądź realizacji zamówienia jest automatycznie przekierowana na protokół bez konieczności wykonywania dodatkowych czynności przez użytkownika (takich, jak dodawanie wyjątków do przeglądarki, samodzielne wpisywanie s w pasku adresu). s w pasku adresu znaczy chroniony - od angielskiego słowa secure ZNAKI BEZPIECZEŃSTWA Jest kilka podstawowych znaków graficznych, informujących użytkowników o bezpiecznych witrynach i szyfrowanych połączeniach. Część z nich to tzw. pieczęci bezpieczeństwa, instalowane razem z certyfikatem SSL (wydawane przez Urzędy Certyfikacji). Zawierają one dane dotyczące firmy i informują o szyfrowaniu połączenia. Drugą grupę stanowią symbole powszechnie kojarzone z bezpieczeństwem, czyli wszelkiego rodzaju kłódki, klucze etc. Kłódka pojawiająca się przy polu logowania czy rejestracji sugeruje użytkownikowi, że proces ten jest bezpieczny. Niestety, duży procent tych znaków to tylko elementy graficzne, które mogą wprowadzić potencjalnego klienta w błąd. Sama kłódka nie jest gwarancją bezpieczeństwa. KLUCZ SZYFROWANIA Od 1 stycznia 2011 roku jedynym gwarantem bezpieczeństwa przesyłanych danych są certyfikaty SSL z kluczami o długości 2048-bitów. Nowe normy bezpieczeństwa zostały ustalone przez Narodowy Instytut Standaryzacji i Technologii² z USA (The National Institute of Standards and Technology) i obowiązują do odwołania. Zastosowanie wymienionych wyznaczników jest gwarantem bezpiecznej transmisji danych i zaufania klientów. ² NIST jest organem odpowiedzialnym za ustalanie standardów bezpieczeństwa internetowego w USA, a także bierze udział w tworzeniu norm międzynarodowych 8

9 W przypadku 214 adresów (46,32% całości), połączenie z serwerem natrafiło na tzw. mismatch, czyli sytuację, gdy SSL został zainstalowany na serwerze, ale nie jest wystawiony dla danej domeny. Pozostałe 14,49% połączeń nie zostało nawiązanych (8,65%), rozpoznanych (4,11%) lub napotkało na inne błędy (1,73%). OCENY CERTYFIKATÓW W Y N I K I B A D A N I A Certyfikaty SSL wykryte przez SSL Labs, zostały w czasie skanowania automatycznie ocenione pod względem konfiguracji. Suma przyznawanych punktów (m.in. za siłę szyfrowania, wspierane protokoły etc.) wpływa na uzyskanie ostatecznej oceny w skali od F niedostateczne rozwiązania, do A prawidłowa konfiguracja certyfikatu SSL na serwerze. LICZBA E-SKLEPÓW Najwyższy uzyskany w tym roku wynik to 88 punktów (a zarazem najlepsza ocena A, przyznawana po przekroczeniu 80 pkt.). Pozytywnym zaskoczeniem jest fakt, że aż 59,12% konfiguracji sklepów z SSL zostało zweryfikowanych jako najlepsze A (w poprzednim roku odsetek ten wyniósł zaledwie 25%). Podczas skanowania nie odnotowano żadnej oceny D i E, a tylko 7,73% instalacji nie spełniało podstawowych założeń sprawności SSL (najczęściej certyfikaty były nieważne lub pochodziły od niezaufanych CA). To wyraźna poprawa w porównaniu z rokiem 2011, kiedy grupa F liczyła 15%. Po zakończeniu przyjmowania zgłoszeń do tegorocznej edycji plebiscytu na bezpieczny e-sklep, lista adresów obejmowała 502 pozycje. Jednak 40 sklepów zgłoszono dwukrotnie, stąd też do ostatecznego zestawienia zostały zakwalifikowane 462 adresy. W POSZUKIWANIU SSL OCENY SSL LABS {wykres 1} A B C D E Wszystkie sklepy zostały przeskanowane w serwisie SSL Labs oraz za pomocą bezpłatnych Narzędzi SSL, dostępnych na stronie CertyfikatySSL.pl. Strony, które nie otwierały się lub posiadały nieokreślone problemy wewnętrzne, zostały przeskanowane dwukrotnie, w odstępie czasowym wynoszącym ok. 3 tygodnie. W ten sposób zostały wyeliminowane krótkotrwałe czynniki, które mogły wpłynąć na brak połączenia z serwerem podczas pierwszej próby (np. prace administratorskie na stronie). Wśród 462 sklepów zgłoszonych jednorazowo do konkursu, certyfikat SSL wystawiony dla domeny, pod którą działa strona internetowa posiadało 181 adresów. Stanowi to 39% całości. Nie oznacza to jednak, że wśród tych 39% wszystkie certyfikaty były całkowicie sprawne i dobrze skonfigurowane. Ich szczegółowa analiza zostanie przedstawiona w dalszej części raportu. F 59,12% 8,29% 24,86% 7,73% Do najczęściej występujących problemów, które obniżają przyznawaną liczbę punktów i są najłatwiejsze do rozwiązania, zaliczamy: zabezpieczenie jedynie domeny z prefiksem www lub bez niego (powinny być zabezpieczone obie wersje adresu: i domeny.pl), problemy z ciągłością łańcucha certyfikacji (sama instalacja certyfikatu na serwerze nie wystarcza do zapewnienia pełnej ochrony 9

10 danych niezbędna jest także instalacja certyfikatu pośredniego i głównego CA), klucz szyfrowania krótszy od obowiązujących norm (obecnie zalecany jest 2048-bit), KLUCZE SZYFROWANIA Podział procentowy sprawnych i niesprawnych kluczy szyfrowania jest zupełnie inny niż ubiegłoroczny. brak zaufania do wystawcy (nie należy stosować certyfikatu nieznanego Centrum Autoryzacji lub tzw. self-signed, ponieważ nie są one rozpoznawane przez przeglądarki, co powoduje generowanie ostrzeżeń o niezaufanym połączeniu), wsparcie dla protokołu szyfrowania SSL 2.0 (z uwagi na przedawnienie tej wersji, wsparcie dla niej powinno być wyłączone). KLUCZE SZYFROWANIA (w nawiasach dane z 2011) {wykres 2} 1,66% (0,65) 6,08% (2,6) 48,9% (92,64) 4096-bit 2048-bit 1024-bit nieważny Ostatni wymieniony punkt jest określany jako błąd krytyczny i został wykryty aż w 19,89% przypadków wszystkich stron z zainstalowanym certyfikatem SSL. Tym samym stopniem określono brak zaufania do wystawcy certyfikatu, który zauważono u 1,66% przypadków. Pozostałe z wyżej wymienionych problemów określono mianem alarmowych i zostały one wykryte u 16,57% sklepów (prefiks www), 13,81% (łańcuch certyfikacji) i 8,83% (nieuznawany klucz szyfrowania). Błąd krytyczny oznacza stosowanie certyfikatu, części zabezpieczeń lub konfiguracji, które w znacznym stopniu wpływają na osłabienie szyfrowania danych. Błąd alarmowy oznacza korzystanie z zadowalającego poziomu zabezpieczeń w przypadku, gdy istnieją już lepsze, nowocześniejsze sposoby zabezpieczania danych. Najczęściej wykrywanym technicznym zagrożeniem alarmowym jest brak wsparcia dla renegocjacji SSL. Zostało ono wykryte u 44,75% sklepów z SSL. Brak wsparcia dla renegocjacji - polaga na uniemożliwieniu kontynuowania sesji w przypadku jej zerwania. W takiej sytuacji serwer powinien zarządać ponownego zalogowania sie do systemu, aby uniemożliwić tym samym powstanie luki bezpieczeństwa. Natomiast w kategorii krytycznych najwięcej niedociągnięć dotyczy ataków BEAST. Nie jest na nie odpornych aż 66,85% sklepów. BEAST Browser Exploit Against SSL/TLS to typ ataku wykryty w 2011 r. Są na niego odporne serwery korzystające z najnowszych wersji protokołów kodowania: TLS 1.1 i TLS 1.2. Wyeliminowanie zagrożenia atakiem BEAST jest możliwe, gdy wszystkie strony transmisji danych wymuszają stosowanie szyfrowania TLS 1.1 lub wyższego. W tych kwestiach to edukacja właścicieli serwisów jest podstawą gwarancji zachowania wszelkich norm bezpieczeństwa przy korzystaniu z certyfikatów SSL. całość 89,5% (69,48) 3,31% (24,35) 5,52% (5,12) nieprawidłowe 51,1% (7,36) prawidłowe 93,92% (97,4) Obserwujemy wyraźny spadek udziału certyfikatów SSL z 1024-bitowym kluczem szyfrowania, który od 2010 roku nie jest już uznawany za wystarczająco bezpieczny. Rok temu co czwarty certyfikat SSL posiadał klucz szyfrowania tej długości. W tym roku odsetek ten wyniósł zaledwie 3,31%. Zdecydowana większość stron z tegorocznej analizy stosowała klucz 2048-bitowy. Było to niemal 90% wszystkich e-sklepów z certyfikatami SSL. Podobnie jak rok wcześniej, nadal śladową ilość stanowią klucze bardziej złożone 4096-bitowe. Również teraz ich udział w całości nie przekroczył 2%. Cieszy jednak fakt, że można już spotkać zabezpieczenia na wyższym poziomie niż obowiązujący standard. Zbyt krótkie klucze szyfrowania są błędem, który będzie coraz rzadziej spotykany, ponieważ największe Centra Autoryzacji nie przyjmują już plików CSR wygenerowanych z kluczem poniżej 2048-bit. UWAGA NA DATĘ WAŻNOŚCI Certyfikaty SSL są wydawane w systemie rocznym od roku do 5 lat. Ich ważność w Internecie rozpoznawana jest co do sekundy, dlatego poza stosowaniem istotne jest również przedłużanie jego działania we właściwym terminie. Jest to też bezpośrednio związane z faktem, że domeny internetowe, do których są przypisywane certyfikaty cyfrowe, również funkcjonują w rocznych systemach abonamentowych. Po przekroczeniu daty ważności SSL wygasa, nie spełnia swoich funkcji i staje się bezużyteczny. Przeglądarki automatycznie rozpo- 10

11 znają brak ważności ochrony przy próbie łączenia z witryną, a samo połączenie klasyfikują jako niezaufane. Tym samym przed otwarciem strony pojawia się okno z informacją, że ktoś próbuje się podszyć pod tę witrynę i wskazówką, aby ją opuścić. Wymuszanie bezpiecznego połączenia jest dobrym rozwiązaniem szczególnie z punktu widzenia internauty. Dzięki temu każda osoba dokonująca rejestracji, logowania czy zakupów na stronie www jest chroniona podczas przesyłania danych. Jest to szczególnie istotne, biorąc pod uwagę, że większość użytkowników nie jest skłonna do samodzielnej zmiany protokołu z na Inną możliwością jest wprowadzenie przekierowania na tylko na wybranych stronach sklepu. Powinny to być przede wszystkim podstrony, za pośrednictwem których przesyłane są informacje bądź dane. W przypadku sklepów będą to z pewnością: strony rejestracji, na których są podawane wszystkie szczegółowe dane osobowe (telefon, PESEL, NIP, nr dowodu osobistego itp.), strony logowania, czyli wpisywanie loginu i hasła do konta (w którym zapisane są wszystkie dane do ewentualnej zmiany), strony płatności, a więc moment realizacji zamówienia (gdy potrzebna jest rejestracja, logowanie lub podanie danych potrzebnych do przesyłki czy płatności). Rzeczywistość jednak szybko weryfikuje te założenia. Biorąc pod uwagę wszystkie sklepy testowane na potrzeby raportu, aż 60,17% z nich nie posiada automatycznego przekierowania na bezpieczne połączenie na żadnej z wyżej wymienionych trzech stron. Wśród sprawdzonych e-sklepów z SSL, 5,52% posiadało certyfikat z nieaktualną datą działania. OKRES WAŻNOŚCI WYKRYTYCH CERTYFIKATÓW SSL {wykres 3} 94,48% Pojawiły się również sklepy, na których brak jest strony logowania (2,6% całości) i rejestracji (4,55%). Nie są one uwzględniane w wynikach tej części badań i występują w sklepach, które wykorzystują do zakupów dane stosowne w serwisie Allegro. Wówczas nie ma konieczności tworzenia nowego konta etc. Wśród sklepów, które korzystają z SSL, automatyczne wprowadzanie na stronie logowania, rejestracji i realizacji zamówień powinno wynosić 100%. Wyniki są jednak niższe. Niespełna 60% sklepów posiadających certyfikat SSL stosuje automatyczne przekierowanie na wszystkich trzech stronach. Po sprawdzeniu wszystkich sklepów, wyniki przedstawiają się następująco: 5,52% SSL z aktualną datą ważności SSL po dacie ważności AUTOMATYCZNY WŚRÓD SKLEPÓW Z SSL {wykres 4} AUTOMATYCZNY POSZUKIWANY Z punktu widzenia klienta, szyfrowanie połączenia na stronie powinno rozpocząć się w momencie, gdy wpisuje on swoje prywatne dane. Być może z tej przyczyny rzadko spotykane są strony, które stosują już od początku wizyty, podczas każdego połączenia z witryną. Jest to tzw. wymuszenie na użytkowniku stosowania bezpiecznego połączenia, niezależnie od tego na jakiej podstronie się znajduje i czy przekazuje na niej jakiekolwiek informacje. 67,40% 79,01% 91,16% 59,67% 100% Logowanie Rejestracja Realizacja zamówienia Wszystkie 3 11

12 Zobrazowane wskaźniki wynoszą znacznie powyżej połowy i drastycznie spadają, gdy liczbę automatycznych przyrównamy do liczby wszystkich sklepów sprawdzanych w raporcie: Drugie miejsce zajmuje Certum polska firma uzyskała wynik 20,99%. Trójkę najpopularniejszych CA zamyka AlphaSSL z udziałem w rynku na poziomie 17,13%. To kolejny wystawca oferujący wyłącznie certyfikaty DV. Całe zestawienie prezentuje się następująco: AUTOMATYCZNY WŚRÓD WSZYSTKICH SKLEPÓW {wykres 5} NAJPOPULARNIEJSZE CENTRA AUTORYZACJI W POLSKIM E-COMMERCE {wykres 6} 26,41% 30,95% 35,71% 23,38% 100% 50% Logowanie Rejestracja Realizacja zamówienia Wszystkie 3 RapidSSL Certum AlphaSSL Thawte Geo Trust PositiveSSL Comodo Self-signed Inne 39% 21% 17% 5,5% 3% 3% 2% 0,5% 9% POLACY WYBIERAJĄ ZNANE CA Na naszym rynku dostępne są certyfikaty zagranicznych i polskich Urzędów Certyfikacji. Od lat niezmienna jest światowa czołówka najlepiej rozpoznawanych, jednak zestawienie polskiego e commerce niezupełnie odzwierciedla ten trend. Najlepszym przykładem tej rozbieżności jest przytoczenie liczby certyfikatów VeriSign stosowanych w naszym krajowym e-commerce: w posiadanej bazie tylko 1 sklep ma zainstalowany certyfikat tego Centrum Autoryzacji. Z kolei na świecie Symantec, do którego należy Centrum Autoryzacji VeriSign, zabezpiecza niemal 25% wszystkich chronionych stron. Jest też niezaprzeczalnym liderem wśród wystawców produktów grupy EV SSL. Zaopatruje ponad 65% rynku 3. W Polsce czołówkę najczęściej występujących CA otwiera RapidSSL. W ofercie tego wystawcy znajdują się wyłącznie certyfikaty DV i korzysta z nich 38,67% e-sklepów. RapidSSL to jeden z najczęściej instalowanych certyfikatów SSL w Internecie. W Polsce również otwiera czołówkę Inne Urzędy Certyfikacji ujęte w zestawieniu to EssentialSSL, VeriSign, Equifax Secure, Go Daddy, GlobalSign, TrustWave, Domeny.pl, StartCom, UTN-USERFirst-Hardware, TeleSec ServerPass i Starfield Secure (kolejność przypadkowa). Na wykresie widać również minimalne występowanie certyfikatów self-signed. Są to certyfikaty wygenerowane bez udziału tzw. zaufanej strony trzeciej (CA) rozpoznawanej przez przeglądarki internetowe. W ich przypadku (0,55%) przed wyświetleniem strony pojawi się okno z informacją o niezaufanym połączeniu oraz prośbą o zezwolenie na kontynuację. WALIDACJE CERTYFIKATÓW CZY ISTNIEJE NAJLEPSZA? Wydanie każdego rodzaju certyfikatu SSL poprzedza tzw. walidacja (z ang. validation). To nic innego jak sposób sprawdzenia autentyczności podmiotu, który stara się o certyfikat. Listę wymogów, jakie należy spełnić przed otrzymaniem konkretnego produktu, określa Urząd Certyfikacji. Istnieją 3 rodzaje walidacji certyfikatów: DV (Domain Validation) sprawdzenie danych dotyczących domeny, OV (Organization Validation) sprawdzenie informacji o firmie, EV (Extended Validation) szczegółowa weryfikacja podmiotu. Wszystkie certyfikaty, bez względu na rodzaj walidacji, są przystosowane do pełnej ochrony witryn z zastosowaniem najsilniejszych kluczy szyfrowania, dużą rozpoznawalnością przeglądarek itd. Jednak to walidacja decyduje o tym, w jaki sposób jest on wyświetlany na stronie i jakie informacje przekazuje odwiedzającym. 3 Według danych z kwietnia 2012 r. Źródło: 12

13 Witryny zabezpieczane produktami DV korzystają z bezpiecznych połączeń jednak przy sprawdzeniu certyfikatu w przeglądarce, nie wyświetlą elementów o tożsamości strony i jej właścicielu. Istnieje również możliwość informowania o autentyczności właściciela strony bez manualnego sprawdzania danych. Taką opcję posiadają certyfikaty z ostatniej grupy walidacji EV. Tylko one automatycznie wyświetlają szczegóły o podmiocie, na którego stronie znajduje się internauta. Walidacja EV trwa dłużej i jest najbardziej szczegółowa, ale niesie za sobą najwięcej profitów. Najważniejszy z nich to wyraźnie oznaczona nazwa właściciela strony od razu po wejściu na adres z Jest to więc rozwiązanie stosowane głównie w interesie posiadacza domeny, który chroni informacje przed podsłuchaniem. W sytuacji, gdy strona (poza szyfrowaniem danych) ma informować odwiedzających, do której firmy należy, jaka organizacja odpowiada za jej poziom ochrony, a jednocześnie ma potwierdzać autentyczność istnienia firmy wówczas należy wybrać co najmniej poziom walidacji OV. Przy wystawianiu produktów OV SSL sprawdzane są dokumenty zaświadczające legalną działalność firmy (zależnie od charakteru prowadzonej działalności są to m.in. dowody osobiste, dokumenty nadania NIP i REGON, wpis do Ewidencji Działalności Gospodarczej, KRS). Na tej podstawie wyświetlane są dane o tożsamości podczas sprawdzania certyfikatu SSL w przeglądarce. W ten sposób odwiedzający wie, bez dodatkowej weryfikacji, do kogo należy strona. Ponadto, paski adresu z EV wyświetlają się na zielono co jest najszybciej zauważalnym elementem bezpieczeństwa strony. Z tego powodu to właśnie certyfikaty EV SSL są najczęściej wykorzystywane przez banki, serwisy rządowe itp. Statystyki z raportu pokazują, że polski e-commerce na pierwszym miejscu stawia bezpieczeństwo ruchu na stronie. Aż 77,9% badanych 13

14 sklepów internetowych jest zabezpieczona certyfikatami z grupy najmniej wymagającej walidacji DV. Te błyskawicznie wydawane certyfikaty zostawiły daleko w tyle pozostałe, bardziej przyjazne klientowi zabezpieczenia. Z walidacji OV korzysta blisko 21% przebadanych witryn. Natomiast stosowanie wśród polskich e-sklepów produktów z grupy EV (która najlepiej informuje odwiedzających o stosowaniu wysokiej jakości ochrony) praktycznie nie istnieje. Po przeskanowaniu wszystkich sklepów z certyfikatami SSL wiadomo, że EV SSL posiada jedynie 1,1% z nich. JAK POZNAĆ BEZPIECZNY e-sklep? Firefox Internet Explorer Chrome DV (79%) OV (21%) EV (1%) 14

15 ILE MOŻNA DOWIEDZIEĆ SIĘ O WŁAŚCICIELU ODWIEDZANEJ STRONY Dane o podmiocie (niezależnie od przeglądarki) DV (78%) OV (21%) EV (1%) WALIDACJE SSL {wykres 7} 1/3 sklepów ze znakami bezpieczeństwa 78% 21% 1% DV OV EV nie ma podstaw do posługiwania się nimi CO NAM MÓWIĄ ZNAKI? Niekwestionowanym znakiem bezpieczeństwa w Internecie jest kłódka. Zamiennie stosowane są również klucze, łańcuchy, zamki itp. Wielu właścicieli sklepów instaluje znaki bezpieczeństwa Centrów Autoryzacji, które dzięki swojej interaktywności wyświetlają dane o ochronie i tożsamości witryny po najechaniu kursorem lub po kliknięciu. Pozostali indywidualnie tworzą własne banery z informacją o bezpieczeństwie strony. I tu pojawia się pomarańczowe światło nie wszystkie takie znaki są prawdziwe! Znane wszystkim kłódki bezpieczeństwa wyświetlane są przez przeglądarki internetowe i pojawiają się zawsze przy zaufanych połączeniach, które można poznać po rozpoczynającym adres strony Ich wygląd i umiejscowienie nie zależą od typu certyfikatu czy wystawcy, ale od typu i wersji używanej przeglądarki: IE Firefox Chrome Safari Opera Konqueror 15

16 IE9 Safari (osx) Chrome Firefox Opera 11+ Opera 9,10 IE 7,8 Safari (win) Konqueror IE 5,6 Warto jest znać ich formę i rozmieszczenie, aby zauważyć złudną ochronę, czyli zwykłe graficzne kłódki, które mogą pojawiać się na niezabezpieczonych stronach. Spośród wszystkich badanych e-sklepów, zaledwie 22,94% umieściło oznaczenie, mające kojarzyć sie z bezpieczeństwem. Były to elementy graficzne wkomponowane w stronę www - niezależne od elementów pokazywanych przez przeglądarki. Zaliczamy do nich np. kłódki oraz klucze przy polu logowania/rejestracji, banery z informacją Bezpieczne zakupy lub Jesteś pod ochroną, itp. Alarmująca jest statystyka, mówiąca, ile z powyższych sklepów wprowadza klientów w błąd. Blisko co trzeci z nich (31,13%) używa znaków bezpieczeństwa, mimo braku posiadania zabezpieczeń SSL. Pozostałe 68,87% stron z graficznymi informacjami o bezpiecznym korzystaniu ze strony, obsługuje transkrypcję danych przy użyciu protokołu SSL. Większość sklepów z SSL nie umieszcza na swoich stronach znaków bezpieczeństwa Wśród sklepów z SSL tylko 40% decyduje się wykorzystać ten fakt w swojej komunikacji marketingowej z internautami. To oczywisty błąd. Inwestując w certyfikat SSL warto rozważać go nie tylko jako ochronę przed atakami przestępczymi, ale również jako dodatkowy walor dla klientów, dokonujących zakupów w sklepie. Ochrona prywatnych informacji to zaleta, która podnosi wiarygodność w oczach osób robiących zakupy. Często może to być również wyróżnik na tle konkurencji, która tego typu zabezpieczeń nie stosuje. Dlatego zawsze na stronie sklepu należy zamieścić informację (tekstową lub wizualną), która poinformuje o bezpieczeństwie zakupów. Oczywiście tylko wtedy jeżeli znajduje ona pokrycie w rzeczywistości. 16

17 NAJPOPULARNIEJSZE BRANŻE {wykres 8} Elektronika i AGD Moda Dom i ogród Sklepy specjalistyczne Zdrowie i uroda inne Sport, turystyka, rekreacja Art. dziecięce 15,37% 11% 14,29% 15% 13,20% 11% 9,96% 12% 8,27% 9% 8,23% 10% 5,63% 6% 5,63% 8% 4,55% Kultura i rozrywka 4% O B R A Z P O L S K I E G O Motoryzacja 4,55% 4% Wielobranżowe sklepy 4,11% 3% Hobby 3,25% E - C O M M E R C E 2% 2012 Zoologia 1,08% 1% 2011 Najbezpieczniej kupisz kulturę Na podstawie danych, pochodzących z analizy zebranych sklepów, można spróbować wyciągnąć wnioski, dotyczące bezpieczeństwa najpopularniejszych branż. CO W BRANŻACH PISZCZY Wyniki tegorocznego raportu wskazują, że nie zaszły duże zmiany w zakresie najpopularniejszych branż sklepów internetowych. Zmienił sie jednak lider, którym w minionym roku była moda. Ustąpiła ona sklepom ze sprzętem elektronicznym i AGD. Spore zmiany zaszły natomiast w kategorii Najbezpieczniejsza branża. W 2011 roku, mimo że prym wiodły sklepy branży sport, turystyka i rekreacja, to różnice nie były duże. Obecnie obserwujemy większe zróżnicowanie, a lider stracił podium. Elektronika i AGD na prowadzeniu Czołówka najczęściej występujących branż wśród polskich sklepów internetowych uległa tylko niewielkiemu przetasowaniu. Na pierwsze miejsce wysunęły się sklepy z kategorii Elektronika i AGD (dzielona pozycja nr 3 w 2011 roku). Wśród całej bazy stanowią one 15,37%. Drugie miejsce zajmuje ubiegłoroczny lider, czyli Moda, z udziałem 14,29% w rynku. Trzecia pozycja niezmiennie należy do sklepów z asortymentem dla Domu i ogrodu (13,20%). Bez zmian plasuje się również 5 ostatnich miejsc zestawienia. Do najmniej licznych (i nadal nieprzekraczających 5% udziału w rynku) zalicza się Kulturę i rozrywkę, Motoryzację, Sklepy wielobranżowe, Hobby i Zoologię. Ta ostatnia kategoria ponownie stanowi jedynie 1% krajowego e-commerce. Zwycięzcą w kategorii najbezpieczniejszych sklepów została Kultura i rozrywka. Aż 67% sklepów z tej kategorii stosuje na swoich stronach szyfrowane połączenia między użytkownikiem a serwerem. W zeszłym roku Kultura zajmowała trzecie miejsce tego zestawienia z wynikiem 25%. Jednak wówczas żadna kategoria nie osiągnęła wskaźnika powyżej 50%. Najwięcej bezpiecznych sklepów należało do Sportu, turystyki i rekreacji (zaledwie) 35% z nich korzystało z SSL. W tym roku sklepy sportowe zajmują czwartą pozycję (46%), a wynik na poziomie 35% nie pozwala znaleźć się nawet na początku drugiej połowy rankingu. Elektronika i AGD to jedyna branża, która znalazła się w czołówce zarówno najliczniejszych, jak też najbezpieczniejszych sklepów 17

18 Drugie miejsce wśród najbezpieczniejszych branż zajmują sklepy o charakterze wielobranżowym. Niemal 58% z nich stosuje certyfikaty SSL. Czołówkę zamyka w zasadzie ex aequo z drugim miejscem Elektronika i AGD (57,75%). I jest to bardzo optymistyczna wiadomość, ponieważ to jedyna branża, która zajmuje 2 mocne pozycje: zarówno w liczbie sklepów, jak też w bezpieczeństwie. W porównaniu do 2011 roku zadowalający jest fakt, że obecnie najniższy zanotowany poziom bezpieczeństwa kategorii wynosi 20% (rok temu 16%). Ponadto, w ubiegłym roku aż 6 kategorii było poniżej tego wyniku, a poza liderem, żadna branża nie przekroczyła 30% poziomu bezpieczeństwa. W tegorocznym zestawieniu nie udało się to zaledwie trzem kategoriom. Województwo % ludności % sklepów Zachodniopomorskie 4,4 5,2 Warmińsko-mazurskie 3,6 0,6 Świętokrzyskie 3,3 1,5 Podlaskie 3,1 2,4 Lubuskie 2,6 2,1 Opolskie 2,6 3,5 Źródło: GUS NSP 2011 Mazowsze górą Drugi raz z rzędu okazuje się, że najwięcej sklepów internetowych w Polsce należy do mieszkańców województwa mazowieckiego, które na tle pozostałych jest także najbardziej zaludnione i największe powierzchniowo. Mazowsze kontroluje 21% sklepów ujętych w raporcie i uwaga to identyczny wynik jak w 2011 roku. NAJBEZPIECZNIEJSZE BRANŻE {wykres 9} Kultura i rozrywka 25% 67,00% Wielobranżowe sklepy 24% 57,90% Elektronika i AGD 28% 57,75% Sport, turystyka, rekreacja 35% 46,00% Inne 18% 42,00% Zdrowie i uroda 23% 41,50% Zoologia 19% 40,00% Motoryzacja 16% 38,00% Dom i ogród 24% 33,00% Sklepy specjalistyczne 19% 30,50% Art. dziecięce 17% 27,00% Moda 16% 24,00% 2012 Hobby 20,00% 21% 2011 KRAJOBRAZ e-polski Podobnie jak w przypadku wyników dotyczących liczebności kategorii sklepów, tak również przy analizie ich rozmieszczenia geograficznego, nie można stwierdzić dużych zmian w porównaniu do stanu z ubiegłego roku. Polskie e-sklepy są rozproszone po całym kraju. Da się jednak zauważyć, że w pewnym stopniu ich zagęszczenie pokrywa się z udziałem województw w podziale liczby ludności w Polsce. Województwo % ludności % sklepów Polska Mazowieckie 14,3 21,2 Śląskie 12 12,3 Wielkopolskie 8,9 10,8 Małopolskie 8,8 11,5 Dolnośląskie 7,4 6,5 Łódzkie 6,8 6,1 Pomorskie 5,9 3,9 Lubelskie 5,7 4,1 Kujawsko-pomorskie 5,4 1,9 Podkarpackie 5,3 3,2 To także jedyny wskaźnik przekraczający 20%, do którego daleko jest kolejnym trzem województwom: śląskiemu (12,77%), małopolskiemu (11,47%) i wielkopolskiemu (10,82%). Wszystkie pozostałe nie przekroczyły granicy 10%. W sumie sześć województw ma takie same wyniki jak sprzed roku. Poza mazowieckim są to: łódzkie, wielkopolskie, śląskie, małopolskie i podkarpackie. Spadł udział pomorskiego i kujawsko-pomorskiego (obu o ponad 2%). Największy wzrost (blisko 1,5%) odnotowało województwo opolskie, którego obecny udział w rynku wynosi 3,46%. Najsłabiej znów wypadło województwo warmińsko-mazurskie. Spadło z 1% na 0,65%. e-stolice Rozmieszczenie geograficzne sklepów biorących udział w tegorocznym badaniu wskazuje, że udział dużych miast w krajowym rynku e-sklepów jest przeważający. 18 miast wojewódzkich (władze województwa lubuskiego i kujawsko-pomorskiego są podzielone między 2 miasta) skupia w sumie 49,35%. Bydgoszcz i Łódź kontrolują ponad 70% e-rynku swoich województw Największy udział stolicy w wojewódzkim rynku e-commerce występuje w kujawsko-pomorskim, którego 77,78% sklepów jest zarejestrowanych w Bydgoszczy. Na drugim miejscu znajduje się Łódź z posiadaniem 71,43% sklepów regionu. W przedziale powyżej 60% są także Warszawa, Kraków i Wrocław. Najniższy wskaźnik uzyskał Gdańsk i Olsztyn w obu miastach znajduje się po 33,33% e-sklepów z ich województw. Na liście tego zestawienia nie znalazł się Toruń i Gorzów Wielkopolski. 18

19 ROZMIESZCZENIE SKLEPÓW INTERNETOWYCH W WOJEWÓDZTWACH I ICH STOLICACH {grafika 8} ZACHODNIOPOMORSKIE 5.2% Szczecin 50% LUBUSKIE 2.1% Zielona Góra 50% WIELKOPOLSKIE Poznań 46% DOLNOŚLĄSKIE 6.5% Wrocław 63% 10.8% POMORSKIE 3.9% Gdańsk 33% KUJAWSKO-POMORSKIE 1.9% Bydgoszcz 78% OPOLSKIE 3.5% Opole 50% ŚLĄSKIE ŁÓDZKIE 6.1% Łódź 71.5% 12.3% Katowice 13.5% WARMIŃSKO-MAZURSKIE 0.6% Olsztyn 33.4% MAZOWIECKIE 21.2% Warszawa 64% MAŁOPOLSKIE Kraków 64% ŚWIĘTOKRZYSKIE 1.5% Kielce 57% 11.5% PODLASKIE 2.4% Białystok 45.5% LUBELSKIE 4.1% Lublin 45.5% PODKARPACKIE 3.2% Rzeszów 33% Najbezpieczniejsze podlaskie i Białystok Analiza bezpieczeństwa e-sklepów z poszczególnych województw pokazuje ogólną tendencję wzrostu użycia szyfrowania danych. Rok temu najbezpieczniejsze województwo posiadało w swoich granicach 31% sklepów z SSL. Gdyby dziś również obowiązywały te kryteria, mielibyśmy 13 najbezpieczniejszych regionów w kraju... Obecnie liderem bezpieczeństwa jest województwo podlaskie, którego 82% e-sklepów korzysta z transkrypcji danych. W czołówce znalazły się również pomorskie (55,5%) i podkarpackie (53%). Tylko te 3 województwa przekroczyły próg 50%. Inaczej wygląda kolejność najbezpieczniejszych głównych miast w kraju. Pierwsze miejsce również należy do Podlasia, którego stolica Białystok posiada 80% sklepów z SSL. Dobry wynik zanotowały też Katowice 62,5%. Poznań i Gdańsk przekroczyły 50% bezpieczeństwa (odpowiednio 52% i 50%). To zestawienie zamykają Opole i Kielce z wynikami 25%. Żaden ze sklepów zarejestrowanych w Olsztynie i Zielonej Górze nie posiadał certyfikatu SSL, stąd też na podstawie grupy ujętej w badaniu wyniki bezpieczeństwa dla tych miast wynoszą 0%. Ranking najbezpieczniejszych województw zamyka lubuskie z wynikiem 20% (wzrost o 7% w stosunku do 2011 roku). 19

20 stronę internetową, dlatego zawsze chroń domenę z przedrostkiem www i bez niego, Niektóre Centra Autoryzacji chronią bez dodatkowych opłat jedną domenę zarówno z prefiksem WWW jak tez bez niego (np. i domeny.pl) D O D A T E K oprócz certyfikatu serwera instaluj również certyfikaty pośrednie i główny (tzw. Intermediate i Root SSL), bez nich ścieżka certyfikatu będzie niepełna, co może spowodować problemy z łącznością lub rozpoznawaniem ochrony, root ca intermediate ssl domeny korzystaj ze sprawdzonych protokołów szyfrowania: najlepszy wybór to stosowanie protokołu TLS 1.0 jako głównego i TLS 1.1 oraz 1.2 jako pomocniczych, ponadto zawsze należy korzystać z najnowszych wersji i eliminować wsparcie protokołu SSL 2.0, używaj szyfru RC4 tylko w połączeniu z TLS 1.0 lub SSL 3.0, WSKAZÓWKI PRAWIDŁOWEJ INSTALACJI SSL NA SERWERZE Instalacja certyfikatu SSL zależy od rodzaju serwera. Firmy oferujące certyfikaty SSL powinny zamieszczać na swoich stronach wskazówki dotyczące ich konfiguracji na najpopularniejszych serwerach. Podczas zakupu i instalacji SSL należy położyć szczególny nacisk na czynniki, decydujące o sposobie i sile działania certyfikatu. Najważniejsze rady, z których warto skorzystać to: w miarę możliwości szyfruj całą sesję połączenia, nie tylko wybrane podstrony, chroń pliki cookie, nie łącz na stronie elementów szyfrowanych i nieszyfrowanych (to najczęściej odnośniki, grafiki lub inne pliki pozostają niezaszyfrowane i wpływają za zerwanie transkrypcji), aktywuj wznowienie sesji SSL, w ten sposób zwiększysz wydajność szyfrowania. instaluj certyfikaty SSL zaufanych wystawców, to gwarancja rozpoznawalności szyfrowania przez najpopularniejsze przeglądarki, używaj SSL z co najmniej 2048-bitowym kluczem szyfrowania, korzystaj z szyfrowania o minimalnej sile 128-bit (aktualnie najsilniejsze szyfrowanie na rynku to 256-bit), Certyfikaty SGC SSL korzystają z opcji wymuszania siły szyfrowania, dzięki temu nie połączą się poprzez stare, słabsze rozwiązania np. 40, 56-bit nie udostępniaj nikomu swojego klucza prywatnego, upewnij się, że chronisz wszystkie domeny, które odpowiadają za transmisję wrażliwych danych, pamiętaj, że nie masz wpływu na to, w jaki sposób ludzie odnajdą 20