Badanie przeprowadzone przez serwis top100.wht.pl na próbie ponad 2,5 miliona domen w Polsce wskazuje, że wielu dostawców hostingu w Polsce w sposób niewystarczający dba o bezpieczeństwo danych przesyłanych ze stron WWW swoich Klientów. Nadal wykorzystywane są przestarzałe protokoły TLS 1.0 i TLS 1.1, a obsługa najnowszego standardu TLS 1.3 wspieranego przez ostatnie wydania przeglądarek Google Chrome i Mozilla Firefox nie została wdrożona.
Najpierw trochę historii…
Dawno, dawno temu gdy powstawał Internet nikt nie myślał o bezpieczeństwie, a strony WWW, w co trudno dzisiaj uwierzyć, nie posiadały obrazków. Rewolucję na rynku spowodowała w 1994 roku firma Netscape, wprowadzając w swojej przeglądarce protokół SSL (Secure Socket Layer) służący do bezpiecznej transmisji zaszyfrowanego strumienia danych.
Wersje zabezpieczeń szybko się zmieniały i konieczne było opracowanie standardu, który został by uznany przez wszystkich producentów przeglądarek. W 1996 roku Internet Engineering Task Force (IETF) powołało grupę roboczą pod nazwą TLS (Transport Layer Security), która miała za zadanie rozwijać protokół SSL. W wyniku prac w styczniu 1999 roku została opracowana specyfikacja TLS 1.0. Kolejne wydanie TLS 1.1 ukazało się w roku 2006, a w 2008 została wydana wersja TLS 1.2. Na najnowszy TLS 1.3 trzeba było czekać aż 10 lat, do kwietnia 2018 roku, co kończy pewien rozdział w historii Internetu. Najnowsza wersja pomimo podobnie brzmiącej nazwy wprowadziła bardzo wiele istotnych zmian w zakresie szybkości działania i bezpieczeństwa przesyłanych danych.
Nowoczesne zabezpieczenia
Biorąc pod uwagę podatności protokołów TLS 1.0 i TLS 1.1 na ataki, które mogą uczynić je niebezpiecznymi, firma nazwa.pl jako lider technologiczny wycofała obsługę tych protokołów. Obsługa została pozostawiona wyłącznie najnowszym wersjom TLS 1.3 i TLS 1.2.
Decyzja ta jest milowym krokiem w zakresie bezpieczeństwa, który podjęło już kilku światowych liderów, a nazwa.pl swoją decyzją wyznaczyła w tym zakresie standard wśród firm hostingowych w Polsce. Wyniki badań przeprowadzonych w ostatnich dniach października przez serwis top100.wht.pl na próbie ponad 2,5 miliona domen wskazują, że z najnowszego protokołu TLS 1.3 korzysta ponad 650 tysięcy polskich serwisów WWW, a udział nazwa.pl wśród najlepiej zabezpieczonych serwisów przekracza 90%.
Niepokojące jest jednak to, że pomimo iż 30 czerwca 2018 upłynął termin wyłączenia TLS 1.0 określony przez stowarzyszenie wystawców kart kredytowych PCI (Payment Card Industry), to nadal w Polsce funkcjonuje ponad 1,4 miliona serwisów z obsługą TLS 1.0. Serwisy te narażone są na różne typy ataków, w szczególności POODLE i BEAST, a dostawcy usług hostingowych tworzą iluzję bezpieczeństwa.
Jak się zabezpieczyć?
Można zaobserwować, że tylko największe firmy hostingowe jak nazwa.pl są w stanie nadążyć za tym technologicznym maratonem. Różnice technologiczne pomiędzy liderami technologicznymi, a małymi firmami powiększają się z dnia na dzień. Małe jest piękne, ale duży może więcej – dlatego warto wybrać ofertę lidera rynku, w szczególności w zakresie usług hostingowych, które powinny opierać się na bezpieczeństwie.
Chcesz sprawdzić czy Twoja strona WWW jest bezpieczna? Sprawdź samodzielnie poziom zabezpieczeń za pomocą niezależnego testu na stronie https://www.htbridge.com/ssl.
