SSL Encryption – Η μετάβαση σε Https

ssl-encryption

Το SSL δεν είναι κάτι καινούργιο. Αφορά τις διαδικτυακές επικοινωνίες και πιο συχνά θα το συναντήσετε στο Http πρωτόκολλο και τα Emails. Πάνω σε αυτά χρησιμοποιείται ένα SSL πιστοποιητικό για την κρυπτογράφηση των δεδομένων που μεταφέρονται. Υπάρχει επίσημα διαθέσιμο προς όλους από το 2000, όταν οι διαδικτυακές ταχύτητες μετριούνταν σε μερικά kbps, ενώ οι βάσεις του τέθηκαν το 1994. Πολύ παλαιότερο θα λέγαμε από τους περισσότερους κολοσσούς του διαδικτύου. Τελευταία έχει έρθει πολύ «στη μόδα» καθώς ένας μεγάλος αριθμός παρόχων φιλοξενίας παγκοσμίως έχει κάνει υποχρεωτική τη χρήση κρυπτογραφημένης σύνδεσης για τους προφανείς λόγους της ασφάλειας μετά από τη ξέφρενη και ανεξέλεγκτη πορεία που έχει πάρει το Hacking στο Διαδίκτυο.

Το SSL αποτελεί ένα πρωτόκολλο σύμφωνα με το οποίο τα δεδομένα που μεταφέρονται από το Server προς τα έξω κωδικοποιούνται με στόχο να δυσκολέψουν τους πιθανούς Hackers οι οποίοι θα τα υποκλέψουν. Με άλλα λόγια, το SSL δεν διασφαλίζει ότι τα δεδομένα δεν θα υποκλαπούν. Αυτό είναι σχεδόν αδύνατο να το εξασφαλίσει κανείς στον κόσμο. Το SSL διασφαλίζει πως ακόμα και αν υποκλαπούν τα δεδομένα, θα είναι δύσκολο αυτά να αποκωδικοποιηθούν.

Από το 2015, ενώ το SSL μετρούσε ήδη 15 χρόνια χρήσης, όλες οι μεγάλες μηχανές αναζήτησης έθεσαν ως προϋπόθεση για ένα καλύτερο ranking την υπάρξη SSL πιστοποιητικού σε μία ιστοσελίδα. Έκαναν απαραίτητη δηλαδή την ύπαρξη του Https. Αυτό συνέβη αφενός μεν επειδή το κόστος για την απόκτηση SSL πιστοποιητικού έπεσε δραματικά τα τελευταία χρόνια, αφετέρου δε ως ένα μέτρο πίεσης, ως ένα έναυσμα, προς τις επιχειρήσεις ώστε να προχωρήσουν σε αυτή την αλλαγή. Προς διευκόλυνση όλων έρχεται η Let’s Encrypt το 2016 και δημιουργεί το «Free SSL Certificate» το οποίο, όπως λέει χαρακτηριστικά το όνομά του, είναι ένα δωρεάν SSL Πιστοποιητικό για τον Web Server. Το γιατί άλλοι τα χρεώνουν και άλλοι τα προσφέρουν δωρεάν είναι άλλο μεγάλο θέμα το οποίο ίσως αναλύσουμε σε μελλοντικό άρθρο.

Το Hacking έχει πάρει ανεξέλεγκτες διαστάσεις τα τελευταία χρόνια. Ένα μέτρο περιορισμού του είναι η χρήση SSL πιστοποιητικών

Ταυτόχρονα με τη δημοσίευση της Let’s Encrypt ότι προσφέρει δωρεάν πιστοποιητικά SSL, ακολουθεί η δημοσίευση της cPanel ότι πλέον σε συνεργασία με την Let’s Encrypt θα διαθέτει σε όλα τα πακέτα της τη δυνατότητα οι Hosting Providers ανά τον κόσμο να εγκαθιστούν στις σελίδες που φιλοξενούν τα Free SSL. Έκτοτε, εδώ και σχεδόν 2 έτη, υπάρχει διαθέσιμη αυτή η τεχνολογία τόσο για δωρεάν χρήση HTTPS στα URLs όσο και για δωρεάν χρήση SSL στα Emails. Ερχόμαστε στον Ιανουάριο του 2017, όταν η μεγάλη μηχανή αναζήτησης ανακοινώνει ότι ξεκινάει να αναγνωρίζει ως «Not Secured» δηλαδή «Μη Ασφαλή», κάτι που εμφανίζεται στο αριστερό πάνω άκρο του Browser σας, όσες ιστοσελίδες δεν διαθέτουν SSL πιστοποιητικά. Όπως θα έχετε ήδη προσέξει, πάρα πολλές ιστοσελίδες εμφανίζονται με μία κόκκινη κλειδαριά ανοιχτή η οποία υποδεικνύει ότι η σύνδεση δεν είναι κρυπτογραφημένη (Encrypted), γεγονός που αποτελεί αποτρεπτικό παράγοντα για τον κάθε επισκέπτη να μείνει ή να περιηγηθεί στη σελίδα.

Τι γίνεται με τα Emails;

Άλλο ζήτημα δεν υπάρχει στις ιστοσελίδες. Με τα Emails όμως υπάρχει μεγάλο. Το βασικότερο πρόβλημα έγκειται στους παλιούς Email Clients, κυριώς στον Outlook, οι οποίοι χρησιμοποιούνται σε παλιές εκδόσεις των Windows.

Τα SSL πιστοποιητικά αναβαθμίζονται συνεχώς για να μπορέσουν να αντιμετωπίσουν τη συνεχώς αυξανόμενη απειλή των Hackers. Μαζί με εκείνους, η cPanel, ως πρωτοπόρος ανάμεσα στα συστήματα παροχής φιλοξενίας, αναβαθμίζει το δικό της encryption ασταμάτητα. Οι ανταγωνιστές ακολουθούν συνήθως 6 με 12 μήνες αργότερα. Τέλη 2017 λοιπόν, με την έκδοση 68 που εισήγαγε νέα αύξηση της ασφάλειας στα Emails, διαπιστώνεται θέμα στην αποστολή Emails από χρήστες που χρησιμοποιούν Outlook. Το ζήτημα αφορά χρήστες παλαιών εκδόσεων Outlook και παλαιών εκδόσεων Windows. Υπάρχουν αναφορές για χρήστες που χρησιμοποιούν Outlook 2016 σε Windows 7 οι οποίοι δε μπορούν να αποστείλουν Emails και αναφορές για χρήστες που χρησιμοποιούν Outlook 2010 σε Windows 10 οι οποίοι μπορούν κανονικά να αποστείλουν Emails. Το πρόβλημα έγκειται ξεκάθαρα στο γεγονός ότι μεγάλος αριθμός συνδυασμών παλαιών εκδόσεων Outlook με παλαιές εκδόσεις Windows δεν υποστηρίζουν τη νέα μορφή κωδικοποίησης. Γιατί; Γιατί η Microsoft έπαψε να υποστηρίζει (ορθά κατά την άποψή μας) τις παλαιές εκδόσεις ώστε και να τέρψει τους καταναλωτές να προμηθευτούν τις νέες εκδόσεις των προϊόντων της (και άρα να αποκομίσει κέρδη) αλλά και να τους ωθήσει στον ενστερνισμό των νέων τεχνολογιών.

Πρέπει να σημειωθεί πως σε πολλές περιπτώσεις ακόμα και η διαγραφή μίας παλαιάς έκδοσης του Outlook και η εγκατάσταση μίας νέας δεν επιλύει το πρόβλημα καθώς τα Windows κρατάνε στο Registry εγγραφές από την πρώτη εγκατάσταση. Συνεπώς το θέμα γίνεται πολυπλοκότερο.

Η μοναδική λύση που έχει βρεθεί μέχρι στιγμής είναι ο πάροχος του Web Hosting να γυρίσει σε παλαιότερη έκδοση χειροκίνητα την κρυπτογράφηση των Emails βραχυπρόθεσμα. Αυτό βεβαίως γίνεται για όλους τους χρήστες του Server καθότι δεν υπάρχει η δυνατότητα να γίνει μεμονωμένα. Από τη μία οι χρήστες με τα παλιά λογισμικά παίρνουν μία παράταση ώστε να έχουν χρόνο να αλλάξουν τα λογισμικά τους και να προμηθευτούν τα νέα, γεγονός θετικό για αυτούς. Από την άλλη όμως, αυτό γίνεται εις βάρος όσων ήδη διαθέτουν νέα λογισμικά τα οποία υποστηρίζουν τις νέες μορφές κρυπτογράφησης και άρα εκτίθενται και αυτοί, ενώ δεν το αξίζουν, σε μεγαλύτερο κίνδυνο. Σαν πάροχος δυστυχώς πρέπει να ζυγίσεις τι συμφέρει την πλειονότητα των πελατών σου και να προχωρήσεις σε αυτή τη λύση ενώ ταυτόχρονα πρέπει να αφιερώσεις χρόνο και προσωπικό το οποίο θα επικοινωνήσει με όλους τους πελάτες ώστε να τους ενημερώσει για τις νέες αλλαγές ή να τους βοηθήσει να προβούν σε αυτές.

Όσοι φιλοξενούνται σε Servers με άλλα Control Panels θα αντιμετωπίσουν αυτό το πρόβλημα σε 6 με 12 μήνες.

Πώς επιλύεται το ζήτημα;

Κάθε εταιρεία που χρησιμοποιεί παλαιά έκδοση Outlook για τη διαχείριση των Emails της θα αντιμετωπίσει αργά ή γρήγορα πρόβλημα.

Όλα είναι ζήτημα εκσυγχρονισμού και ασφάλειας. Η cPanel δεν είναι ο κακός παράγοντας της υπόθεσης που αποφάσισε εν μία νυκτή να υποχρεώσει όλους τους χρήστες της να μεταβούν στη χρήση SSL πιστοποιητικών. Η συζήτηση γίνεται στους κόλπους των εταιρειών παροχής υπηρεσιών διαδικτύου για πάνω από μία πενταετία ενώ οι δραστικές αυτές αναβαθμίσεις στην ασφάλεια αποφασίστηκαν από τη στιγμή που άρχισε να προσφέρεται το δωρεάν SSL της Let’s Encrypt. Όλα γίνονται με ένα παρόμοιο σκεπτικό: όταν ακόμα και τα συστήματα των FBI και CIA, της Apple, της Microsoft και της Google τα οποία δημιουργήθηκαν μετά από επενδύσεις εκατομμυρίων γίνονται έρμαια των επιθέσεων των Hackers, οι οποίοι όχι μόνο καταφέρνουν να εισχωρήσουν στα συστήματα ασφαλείας τους αλλά καταφέρνουν να φύγουν ανενόχλητοι με τεράστιο όγκο δεδομένων μέσα από αυτά, φανταστείτε πόσο εύκολα όχι κάποιος Hacker αλλά ένα απλό Bot θα καταφέρει να χακάρει τα Emails σας, την ιστοσελίδα σας, το πορτοφόλι σας. Συνεπώς, λοιπόν, πρέπει να υπάρξουν κινήσεις προς τη σωστή κατεύθυνση προς αποφυγή δυσάρεστων καταστάσεων. Εφόσον δεν αναβαθμίζετε ένα λογισμικό, γίνεστε ευκολότερος στόχος στους επιτήδειους.

Για τη μεγαλύτερη ευκολία σας λοιπόν και για να έχετε συνεχώς τη μέγιστη δυνατή ασφάλεια, προτείνουμε ή να αγοράσετε Windows 10, να κάνετε μία καθαρή εγκατάστασή τους και εν συνεχεία να εγκαταστήσετε και μία νέα έκδοση του Outlook ή να επικοινωνήσετε με τον τεχνικό που σας παρέχει υποστήριξη ώστε να ενημερωθεί εκείνος για το θέμα και να σας βοηθήσει στην επίλυσή του.

Ενημερωθείτε λοιπόν για τη νέα αυτή μετάβαση και προχωρήστε στις απαραίτητες ενέργειες πριν γίνει υποχρεωτική η χρήση SSL σε κάθε επικοινωνία.

 

Konet.gr

Εάν σας αρέσει το περιεχόμενο του blog μας, μοιραστείτε με τους γνωστούς σας τα άρθρα μας μέσω των Share Links που θα βρείτε παρακάτω.