Połączenie nie jest prywatne?

Opublikowano przez Artur Szkarłat w dniu

Pytanie Wydawcy:

„Mam bardzo poważny problem. Po przekierowaniu z mojej strony na stronę leadstar, prowadzącą do mojego linku klient widzi informację „Połączenie nie jest prywatne – hakerzy mogą próbować wykraść Twoje dane z leadstar.pl”. Całkowicie niszczy to wiarygodność mojej strony i wręcz dosłownie odstrasza klientów, przed skorzystaniem z produktów, które polecam.”

Nie ukrywam – problem wygląda na pierwszy rzut oka poważnie. Czyżby administrator LeadStar nie zaktualizował certyfikatu SSL odpowiadającego za połączenie szyfrowane strony, czyli popularną „kłódkę”? Czy może rzeczywiście nastąpił atak hakerów? Rozwiązanie jest oczywiście inne i (o dziwo) wynika właśnie z naszego przywiązania do bezpieczeństwa systemu. Zacznijmy po kolei.

Trochę teorii

Jeszcze do niedawna certyfikaty SSL, odpowiadające za szyfrowanie komunikacji pomiędzy przeglądarką a serwerem, były domeną banków i instytucji zaufania publicznego. Stosowanie takiego certyfikatu objawia się dla użytkownika Internetu:

  • przedrostkiem https:// zamiast http://
  • ikonką kłódki wyświetlaną przed adresem URL w przeglądarce

Z czasem jednak coraz więcej firm zaczęło stosować certyfikaty ze względu na zwiększenie zaufania klientów. LeadStar także stosuje od samego początku taki certyfikat wystawiany przez RapidSSL oraz zweryfikowany przez DigiCert Inc.

Jednak metody szyfrowania zmieniają się wraz z rozwojem sprzętu i oprogramowania. To, co kiedyś było „silnym szyfrowaniem”, może być obecnie złamane w dużo krótszym czasie i mniejszymi nakładami środków niż dawniej. Nowe certyfikaty są więc wystawiane z zastosowaniem nowych i skuteczniejszych algorytmów. Żeby jednak były one poprawnie rozpoznawane przez przeglądarki, muszą one być aktualizowane, tak samo jak systemy operacyjne, na których pracują.

Rozwiązanie

Wracając do pytania Wydawcy, okazało się, że problematycznym urządzeniem był telefon oparty na starej wersji systemu Android. System ten w wersji 4.4 i starszej nie wspiera nowych algorytmów szyfrowania stąd rzeczony komunikat. Cytując naszego dostawcę rozwiązań sieciowych:

„Jest to kwestia algorytmu szyfrującego. Wystawiamy certyfikaty stosujące algorytm szyfrujący „SHA-256 with RSA and SHA-256 root” ale dostępny jest również algorytm „SHA-256 with RSA and SHA-1 root”. Ten drugi algorytm jest przestarzały i nie do końca już bezpieczny, ale ten pierwszy nie jest odczytywany przez system operacyjny Android w wersji 4.4 lub starszej. Na życzenie możemy wystawić certyfikat ze słabszym algorytmem szyfrowania ale nie jest to zalecane ze względu na jego mniejsze bezpieczeństwo.”

O ile co poniektórym firmom konkurencyjnym zdarza się stosować osłabione szyfrowanie (i w konsekwencji ich strona działa na starszych urządzeniach) my nie chcemy poświęcać bezpieczeństwa kosztem kompatybilności. Od początku przyświecała nam zasada jak największej ochrony Twoich danych i nie zamierzamy nic zmieniać w tej sprawie.

Osoby ze starymi smartfonami będą miały ten problem coraz częściej, bowiem większość obecnie wystawianych certyfikatów jest już zgodnych z nowymi standardami. Pozostaje zmienić telefon…

Aktualizacja 20.03.2020

Po testach na jednym ze starych telefonów (Samsung Galaxy SII) wygląda na to, że rozwiązaniem jest zainstalowanie ze sklepu Google Play przeglądarki Firefox dla Androida. Zawiera on bowiem wbudowane nowe certyfikaty a nie korzysta z systemowych (tak jak domyślna przeglądarka Android lub Google Chrome). Firefox w bezpieczny i bezproblemowy sposób ładuje wszystkie nowoczesne strony internetowe – w tym LeadStar 🙂

Kategorie: Pytania wydawców
Tagi:

Artur Szkarłat

Co tu dużo pisać. Wieloletnie doświadczenie w projektowaniu i budowaniu systemów afiliacyjnych oraz partnerskich. Uwielbiam automatyzować i usprawniać narzędzia tak, żeby jak najlepiej służyły swoim użytkownikom w myśl zasady "system dla człowieka a nie człowiek dla systemu". Prywatnie sklejam amatorsko modele, lubię VR i dobrą muzykę.

Podobne wpisy

Pytania wydawców

Jak sprawdzić czy wniosek zliczył się w LeadStar?

Twój znajomy zrobił zakupy w wybranym przez siebie sklepie (z Twojego linku afiliacyjnego) i chcesz sprawdzić, czy to zamówienie jest widoczne w statystykach w Panelu Partnera LeadStar? Nie wiesz jak to zrobić? Pomogę Ci. Złożone Dowiedz się więcej

Kącik porad

Zaliczki na podatek od przychodów w LeadStar [od 2023]

W związku ze zmianami, jakie zostały wprowadzone wraz z pojawieniem się Polskiego Ładu, rok 2022 stał się ostatnim rokiem, w którym (z przychodów generowanych w programach partnerskich) rozliczysz się na zasadach ogólnych lub poprzez ryczałt Dowiedz się więcej

Pytania wydawców

Czy link afiliacyjny według UOKiK należy oznaczyć jako współpracę reklamową?

Dostajemy wiele zapytań od wydawców o to, czy dodanie na swojej stronie internetowej linku do dowolnej kampanii – niezależnie czy to z naszego Programu Partnerskiego LeadStar czy jakiegokolwiek innego – wiąże się z dodaniem informacji, Dowiedz się więcej