Červen 2018 ~ "Statistiky CZ domény"

V tomto reportu jsme se zaměřili na HTTP hlavičky a SSL certifikáty. Analyzováno bylo 857 586 aktivních CZ domén, tedy 65.32 % z celkového počtu 1 312 987 registrovaných domén.


Dle vyjádření společnosti Google, vydání nové verze prohlížeče Chrome 68 přinese od července 2018 jednu zásadní změnu, všechny webové stránky zobrazené prostřednictvím HTTP budou označeny tagem ,,nezabezpečeno“ (“not secure”).

Google toto rozhodnutí opírá o fakt, že HTTPS je dnes z hlediska uživatelů běžnější než HTTP:

  • více než 68% trafficu na Androidu a Windows je načteno přes HTTPS,
  • v případě Chrome OS a macOS je to dokonce 78%,
  • navíc 81 z top 100 webových stránek používají defaultně HTTPS.
Jak je na tom využití HTTPS v případě webových stránek v CZ doméně?

Dle našeho testu bylo pouze 222 778 z 857 586 testovaných domén (26%) dostupných přes HTTPS. Drtivá většina používá SSL certifikát zdarma od Let's Encrypt. Top 10 vystavovatelů:

Počet SSL certifikátůVystavovatel certifikátu
193 237Let's Encrypt
10 187DigiCert Inc
7 076COMODO CA Limited
3 581cPanel, Inc.
2 641Actalis S.p.A.
1 711GeoTrust Inc.
1 401Trust Provider B.V.
773Symantec Corporation
737Unizeto Technologies S.A.
334GlobalSign nv-sa

Pokud bychom chtěli statistiku dle TOP webových stránek, jedním z ukazatelů by mohl být S-rank (S-rank stránky je veličina, která by měla vyjadřovat důležitost každé stránky na českém webu):

S-rankPočet SSL certifikátů
1043
980
8205
7369
61 018
52 860
47 318
314 683
226 343
142 116
0127 696
null47

Jak je vidět, čím méně je web populární, tím je větší šance, že bude používat HTTPS. To může znamenat, že u nově vznikajících projektů se bere SSL certifikát jako samozřejmost, do budoucna by bylo vhodné zaměřit se také na statistiky dle jednotlivých web hostingů a serverů.

Doba expirace certifikátů už není tolik zajímavá. Certifikáty od Let's Encrypt, kterých je většina, jsou vystavovány s dobou platnosti 3 měsíce. Certifikátů s platností delší než 90 dní je 24 199, delší než jeden rok už jen 6 454, delší než 2 roky je 1 390 a certifikátů s dobou expirace delší než 1 000 dní je pouze 24. Expirovaných certifikátů bylo detekováno 209.

Pokud chcete otestovat svůj web, můžete využít jeden z našich online testů zdarma (Ověření SSL certifikátu).

Jak je vidět, české weby mají ještě co dohánět. Uvidíme, jak se situace bude postupem času vyvíjet. Při další analýze se již bude kontrolovat redirect a vyhodnocovat, jak funguje přesměrování, jaký je defaultní stav a zda je web dostupný pouze přes HTTPS.

V následující části tohoto reportu jsme se zaměřili na HTTP hlavičky, které zvyšují bezpečnost a soukromí uživatelů, jedná se o následujících 6 hlaviček:
  • Referrer-Policy
  • X-Frame-Options (XFO)
  • X-XSS-Protection (XXSSP)
  • Content-Security-Policy (CSP)
  • X-Content-Type-Options (XCTO)
  • HTTP Strict-Transport-Security (HSTS)
Vysvětlení výše uvedených hlaviček, ukázky použití a možnosti konfigurace budeme vysvětlovat v následujících článcích. Zároveň můžete využít našich online nástrojů zdarma (Kontrola HTTP hlaviček) a otestovat si vlastní webové stránky. Pokud chcete dosáhnout 100% hodnocení, je nutné mít nastaveno všech 6 uvedených HTTP hlaviček. To splnilo pouze 907 .cz domén z 857 586 testovaných, z toho jenom 20 s S-rankem vyšším než 5.

HSTS využívá 39 857 domén, když vezmeme v potaz, že jen 222 778 testovaných domén beží na HTTPS, tak pouze necelých 18% z nich implementovalo HSTS. To není úplně nejlepší rozhodnutí.

Stejně jako u SSL certifikátů, čím vyšší je S-rank, tím menší je využití HTTP hlaviček ke zvýšení bezpečnosti. To může být způsobeno také tím, že implementace například CSP u velmi rozsáhlých webových projektů může být značně komplikovaná. Více pravděpodobné je však to, že se jedná o poměrně staré projekty, kde bezpečnost nikdy nebyla prioritou a dokud všechno funguje, není potřeba konfiguraci měnit.

V následující tabulce a můžete vidět celkové počty využití jednotlivých HTTP hlaviček a jejich rozložení v závislosti na S-ranku domény. Testováno bylo znovu 857 586 .cz domén. Díky přiloženému grafu je krásně vidět, že nové projekty a domény s menším rankem jsou na tom mnohonásobně lépe.


Uvedené výsledky nejsou nijak optimistické. Nejvíce rozšířená HTTP hlavička je X-Frame-Options (XFO), kterou využívá necelých 10% testovaných webů. Ostatní testované hlavičky jsou používány tak málo, až se tomu nechce věřit. Zejména nízké rozšíření Content-Security-Policy (CSP), na které se aplikace WebAlert.cz přístupná pro registrované uživatele specializuje.

Je nám jasné, že projekt WebAlert.cz si nezíská mnoho uživatelů, každopádně náš cíl je vzdělávat administrátory, usnadnit implementaci a testování bezpečnostních mechanizmů, vyhodnocovat incidenty a zlepšit bezpečnost českého internetu. Čeká nás ještě spousta práce ...

PS: aplikace je v testovací fázi, neručíme za správnost výše uvedených informací.
Červen 2018 ~ "Statistiky CZ domény" Červen 2018 ~ "Statistiky CZ domény" Reviewed by Kamil Vavra on července 02, 2018 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.