Według przeprowadzonego w ubiegłym roku (2017) badania szereg aplikacji mobilnych dla inwestorów nie korzysta z prawidłowo implementowanych certyfikatów SSL. Problemem – jak można się domyślać – jest sposób, w jaki pozyskują certyfikaty.
Czy certyfikaty SSL od zaufanych wydawców są koniecznością?
Jak się okazuje nie wszyscy przedsiębiorcy i dostawcy usług, którzy prowadzą działalność w sieci decydują się na certyfikaty od zaufanych wydawców. Przykładem są tutaj choćby ci, którzy oferują inwestycyjne aplikacje mobilne. O ile certyfikaty samodzielnie podpisywane (self-signed) sprawdzą się w przypadku stron, które nie generują dużo ruchu i mniej popularnych aplikacji, to gdy mowa o usługach i serwisach, gdzie szczególnie istotne jest bezpieczeństwo danych użytkowników (w tym danych finansów) ich zastosowanie budzi pewne zastrzeżenia. Jak się możemy przekonać – nie ze strony administratorów tych aplikacji. Nie jest to jednak odosobniony przypadek. Co jeszcze bardziej niepokojące, z certyfikatów self-signed korzystają również wydawcy niektórych popularnych aplikacji bankowych.
Certyfikat self-signed – bezpieczny, czy nie?
Mimo, że witryny z certyfikatami self-signed przez niektóre przeglądarki mogą być postrzegane jako stanowiące zagrożenie, a użytkownik jest zmuszony do manualnego dodawania strony do wyjątków, nie wszystkie z nich muszą oznaczać niebezpieczeństwa dla przeglądającego. Internauci przyzwyczaili się jednak do automatyzacji tego procesu. Strony uznawane przez przeglądarkę za godne zaufania, są postrzegane w taki sam sposób przez korzystających z sieci. I trudno się dziwić, gdyż czasu i możliwości na weryfikację certyfikatów od niezaufanych wydawców nie ma prawdopodobnie zbyt wielu casulowych użytkowników. Z pewnością trudno jest zrozumieć, co kierowało twórcami aplikacji finansowych, którzy wybierali właśnie certyfikaty self-signed. Niewiedza, nieroztropność, czy chęć zaoszczędzenia na kluczowych dla użytkowników kwestiach.
Brak uwierzytelnienia 2FA (two factor authentication)
Badania wykazały dalsze nieprawidłowości. Okazało się, że self-signed certyfikat SSL to nie jedyne zastrzeżenie, jaką użytkownicy aplikacji finansowych mogą mieć do ich twórców w kwestii bezpieczeństwa. Większość aplikacji dla inwestorów nie wykorzystuje uwierzytelniania wielopoziomowego – znanego jako 2FA. Na drodze do przechwycenia danych finansowych internautów stoi tutaj jedynie hasło.
Certyfikaty SSL od zweryfikowanych wydawców – jaką mają przewagę?
Certyfikaty SSL wydawane przez CA są zalecanym rozwiązaniem do ochrony witryny, jak i użytkowników, którzy ją odwiedzają. W przeciwieństwie do certyfikatów self-signed są one sprawdzane pod względem implementacji technologii w sposób poprawny, a wszelkie luki, które pozwoliłyby na wejście w posiadanie przez osoby niepowołane danych wrażliwych, są na bieżąco naprawiane. Warto również dodać, że tylko w przypadku, gdy certyfikaty SSL są uznane jako realnie dbające o bezpieczeństwo użytkowników, strona czy aplikacja jest pozytywnie postrzegana przez społeczność internautów. Certyfikaty od zaufanych wydawców są emitowane dopiero wtedy, gdy zostaną przeprowadzone stosowne badania środowiskowe odnośnie domeny.
Co wykazały jeszcze wspomniane badania z 2017 roku? Poniżej statystyki:
62% aplikacji mobilnych nie posiada poprawnych certyfikatów SSL
62% aplikacji mobilnych pozostawia dane wrażliwe w panelu logowania
67% aplikacji mobilnych zawodzi, jeśli chodzi o bezpieczne przechowywanie danych
95% aplikacji mobilnych nie wykrywa, że urządzenia działa w trybie „zrootowania”.
Używasz certyfikatów self-signed? Sprawdź naszą ofertę najtańszych certyfikatów SSL już od 18,53 zł netto za rok! Sprawdź: Comodo PositiveSSL. Tworzysz aplikacje dla użytkowników? Sprawdź w jaki sposób możesz chronić swoje aplikacje przed modyfikacjami oraz chronić swoich użytkowników: Certyfikaty SSL Code Signing.