Zagrebačka banka obnovila SSL certifikat za svoj sustav internetskog bankarstva

Zagrebačka banka obnovila je SSL certifikat za svoju aplikaciju za internetsko bankarstvo, javili su nam danas na upit poslan jučer popodne.

Kako navode u odgovoru, zahtjev za obnavljanjem certifikata pravovremeno je poslan, no nije bio pravovremeno potvrđen:

Zagrebačka banka podnijela je pravovremeno zahtjev za obnavljanje SSL certifikata za domenu www.zaba.hr no obzirom da isti nije potvrđen na vrijeme od strane vanjskog dobavljača korisnici e-zaba online usluga dana 18.09. primili su obavijest u svom Internet pregledniku o isteku važenja trenutnog SSL certifikata.

Iako je certifikat istekao, što je prouzročilo prikazivanje upozorenja prilikom pristupa eZaba aplikaciji (kod nekih preglednika manje, a kod drugih više drastično), promet koji se odvijao između korisnika bio je siguran na više razina, uvjeravaju iz Zagrebačke banke:

Zagrebačka banka za sve svoje online usluge koristi višeslojne mjere zaštite korisničkih podataka i transakcija. SSL certifikati renomiranih dobavljača tek jedna su od mjera zaštite, uz tokene i PKI infrastrukturu za autentifikaciju korisnika i autorizaciju transakcija kao i redundantne pozadinske sustave do kojih je pristup filtriran kroz više razina vatrozida. Ne umanjujući važnost korištenja važećih SSL certifikata, navedene mjere neovisno dodatno štite korisnike od eventualnih prijevara.

Sigurno, ali ipak… neugodno.

Istek certifikata nipošto ne znači da je stranica nesigurna. Laički rečeno, jednostavno je istekao rok kada neka treća strana jamči da se promet odvija isključivo između vas i ZABA-inih servera. Vaši podaci su i dalje zaštićeni, ali možda ne stignu na pravo odredište. Ipak, ako u URL-u stoji https://www.zaba.hr – prilično ste sigurni. Naglasak je na dvije stvari; “s” u “https” što označava sigurnu vezu, odnosno sigurni protokol, te domena zaba.hr što označava da se nalazite na sustavu Zagrebačke banke, a ne na nekom koji izgleda identično, ali želi doći do vaših podataka.

Ako bih trebao objasniti to osobi koja se uopće ne razumije u Internet i tehnologiju, objasnio bih to na primjeru istekle osobne iskaznice. Da, vi ste na slici i vaše je ime na njoj, ali iskaznica više ne vrijedi i policija ne može jamčiti da ste to vi. Kao rezultat toga, osobnu vam odbijaju gdje god da ju pokažete.

No, ovo nikako nije opravdanje da si institucija poput banke dozvoli da do isteka dođe. Da, sigurno je, zaštićeno, stotine vatrozida i autentifikacije i razno-razni sustavi koji stvarno rade drže vaše podatke sigurnima, ali ništa od toga nije poznato, niti treba biti, krajnjem korisniku. Vama netokratima je možda jasno o čemu se radi i bez problema ćete ući u aplikaciju i izvršiti neku transakciju, no velikoj većini korisnika eZabe ovo dodatno utjerava strah oko korištenja Internet bankarstva i plaćanja raznih usluga i prozivoda online.

Osobno, prije bih prestao koristiti usluge banke zbog toga što je dozvolila da dođe do isteka, nego zbog brige o sigurnosti. Nisu svi korisnici eZabe na tolikoj razini informatičke pismenosti da mogu odmahnuti na istekli SSL certifikat i upravo zato bi se Zagrebačka (ali i svaka druga) banka trebala pobrinuti da svoje sustave osvježava na vrijeme te da čim manje toga prepusti trećoj strani na odgovornost. Da je zahtjev za obnavljanjem certifikata poslan prije, možda bi prije bio i potvrđen.