Jak nazwa.pl pod płaszczykiem rewolucji wystawiła do wiatru część swoich klientów

dodał 18 lipca 2018 o 10:21 w kategorii Info, Krypto  z tagami:
Jak nazwa.pl pod płaszczykiem rewolucji wystawiła do wiatru część swoich klientów

Wiele serwisów poda dziś zapewne informacje o rewolucyjnych rozwiązaniach wprowadzanych przez nazwa.pl, chwaląc firmę za jej podejście do klientów. My chcielibyśmy pokazać inną stronę medalu.

W listopadzie 2017 r. jeden z naszych Czytelników wykupił w serwisie nazwa.pl certyfikat RapidSSL typu Wildcard, czyli taki, który pozwala zabezpieczyć dowolną liczbę subdomen w obrębie danej domeny. Wszystko było w porządku, dopóki nie okazało się, że certyfikat kwalifikuje się do wymiany. Powód? Pisaliśmy o tym kilka miesięcy temu.

13 września br. zostanie wydana wersja beta Google Chrome 70, która zacznie wyświetlać ostrzeżenie o planowanym usunięciu zaufania do starej infrastruktury firmy Symantec. W kolejnym miesiącu – 23 października – ukaże się stabilna wersja tej przeglądarki, która przestanie ufać certyfikatom wydanym przez wspomnianą infrastrukturę. Podobne zmiany planuje także Mozilla, należy się ich spodziewać w przeglądarce Firefox 63, która pojawi się w zbliżonych terminach. Problem dotyczy wszystkich certyfikatów wystawionych przez Symanteca, który do niedawna prowadził działalność także pod markami Thawte, GeoTrust i RapidSSL.

Symantec udostępnił proste narzędzie, które pozwala sprawdzić, czy certyfikat, którego używamy, podlega wymianie. Oto wynik uzyskany przez naszego Czytelnika:

Z widocznego powyżej komunikatu wynika, że na stronie RapidSSL można wymienić certyfikaty zakupione bezpośrednio. W przypadku certyfikatów nabytych za pośrednictwem resellerów zwracać się należy właśnie do nich. Zgodnie z zapewnieniem DigiCertu, który przejął od Symanteca cały biznes związany z certyfikatami, wymiana ma być bezpłatna i rzeczywiście – kilka firm konkurujących na polskim rynku z nazwa.pl wdrożyło darmowy program wymiany [1, 2, 3, Certyfikaty RapidSSL zniknęły z oferty nazwa.pl

Czytelnik, jak można było oczekiwać, skontaktował się z Działem Obsługi Klienta nazwa.pl, który nie od razu zrozumiał, o co chodzi, a gdy zrozumiał, to poinformował: „w związku z tym, że obecnie już nie posiadamy w ofercie certyfikatów RapidSSL, nie jesteśmy w stanie podjąć działań w odniesieniu do Państwa certyfikatu. Zalecamy tutaj zakup certyfikatu NazwaSSL w cenie 11,88 zł netto na rok”. Zdecydowanie nie tego spodziewał się Czytelnik.

„W mojej ocenie dokonałem nabycia wadliwego produktu już w dniu zakupu, który stanie się bezużyteczny po 13 września 2018. Dlatego uważam, że informacja i propozycja zakupu kolejnego certyfikatu jest nieco nie na miejscu. Tym bardziej, że inni dostawcy wymieniają je od ręki (…) Uważam, że mam pełne prawo do wymiany wadliwego produktu na warunkach identycznych, tj. otrzymanie pozbawionego wad certyfikatu Wildcard RapidSSL lub o takich samych parametrach i renomie” – argumentował Czytelnik w odpowiedzi na maila od nazwa.pl, nie zmieniło to jednak stanowiska firmy.

W kolejnej wiadomości (zrzut ekranu powyżej) pracownica Działu Obsługi Klienta potwierdziła, że „na ten moment nie ma technicznej możliwości aktualizacji certyfikatu”, w zamian zaproponowała nabycie nowego w promocyjnej cenie. Na uwagę zasługuje także stwierdzenie: „Sam certyfikat jest poprawny, kwestia zmian wprowadzonych przez Google Chrome nie jest zależna od nazwa.pl”. Czy to oznacza, że Czytelnik niepotrzebnie się martwi?

To może nie wymieniać certyfikatu…

Podobno lepiej raz zobaczyć, niż sto razy usłyszeć. Zobaczmy więc, co się stanie, jeśli certyfikat nie zostanie wymieniony.

„Połączenie nie jest prywatne” – zakomunikuje Chrome 70 przy próbie wejścia na stronę korzystającą z certyfikatu RapidSSL wydanego między 1 czerwca 2016 a 30 listopada 2017 (jak i z innych certyfikatów Symanteca wystawionych w tym czasie).

„Połączenie nie jest bezpieczne” – poinformuje Firefox 63, jeśli machniemy ręką na przeglądarkę Google’a i użyjemy konkurencyjnej.

Który administrator i/lub właściciel strony byłby zadowolony z takiego stanu rzeczy? Chyba żaden. Jeśli ktoś się łudzi, że może sobie pozwolić na zignorowanie użytkowników obu przeglądarek, niech zajrzy do serwisu gemiusRanking. Wtedy się dowie, że np. w ubiegłym tygodniu (9-15.07.2018) z Chrome korzystało 27,84% użytkowników, a z Firefoksa – 16,94%, czyli w sumie 44,78% odwiedzających monitorowane przez Gemiusa strony. Wniosek nasuwa się sam – lepiej certyfikat wymienić.

O certyfikatach RapidSSL firma nie chce się wypowiadać

Pod koniec czerwca skontaktowaliśmy się w omawianej sprawie z przedstawicielem nazwa.pl, Łukaszem Matusikiem, zadając mu trzy proste pytania:

  • Kiedy firma przestała być resselerem certyfikatów RapidSSL i czym to zostało spowodowane?
  • Jak wielu klientów zwracało się do nazwa.pl z pytaniem o wymianę certyfikatów RapidSSL?
  • Dlaczego (w odróżnieniu od konkurencyjnych firm) nazwa.pl nie zdecydowała się wdrożyć programu darmowej wymiany certyfikatów RapidSSL na równoważne?

Na żadne z tych pytań nie uzyskaliśmy odpowiedzi. Poproszono nas o cierpliwość, argumentując, że „nazwa.pl jest w przeddzień wdrożenia, które będzie miało znaczący wpływ na sytuację opisaną w przesłanym zapytaniu”. Rozmawiając z konsultantem za pośrednictwem LiveChatu na stronie firmy, ustaliliśmy, że certyfikaty RapidSSL zostały usunięte z oferty około 2-3 miesięcy temu. O powodach takiej decyzji konsultant nie mógł nas poinformować.

W oczekiwaniu na wspomniane wdrożenie poprosiliśmy o komentarz Urząd Ochrony Konkurencji i Konsumentów. Okazało się, że UOKiK nie jest zorientowany w sytuacji na rynku certyfikatów SSL. Agnieszka Majchrzak z biura prasowego Urzędu udzieliła nam lakonicznej odpowiedzi: „Wszystko zależy od umowy, którą użytkownik podpisał z serwisem. Nie znamy jej szczegółów, dlatego nie możemy dać jednoznacznego stanowiska. Jeżeli umowę zawarł konsument (nie prowadzi działalności gospodarczej), to może skorzystać z pomocy rzecznika konsumentów”.

Rzekoma rewolucja, która nie rozwiązuje problemu

Dziś rano do dziennikarzy trafiła informacja, że nazwa.pl „rewolucjonizuje polski Internet”. Charakteru zmian, można się było domyślić już wczoraj, odwiedzając stronę firmy (zrobiliśmy dla Was zrzut ekranu – promocyjna grafika wywołała sporo kontrowersji i została już zastąpiona przez inną).

Z nadesłanego komunikatu można się dowiedzieć, że

rozpoczął się proces nadawania certyfikatów SSL dla ponad 500 tys. domen klientów firmy. Jakby tego było mało, nazwa.pl masowo wprowadziła także protokół HTTP/2 wykorzystujący bezpieczne połączenia z użyciem komercyjnych certyfikatów SSL, diametralnie przyspieszając działanie serwisów WWW swoich klientów. Oba wdrożenia realizowane są w ramach dotychczasowej opłaty za domenę i hosting. Od tej pory klienci firmy wraz z domeną otrzymają certyfikat SSL całkowicie za darmo.

Firma twierdzi, że „rynkowa wartość wdrożenia to ponad 50 mln złotych. Tyle na wolnym rynku kosztowałyby wszystkie udostępnione przez firmę certyfikaty SSL”. Czyżby? Podstawowy certyfikat – równoważny do tego, który oferuje nazwa.pl – można uzyskać za darmo dzięki projektowi Let’s Encrypt, który sponsorują m.in. Google i Mozilla.

Dalej czytamy, że „z punktu widzenia właścicieli stron internetowych (…) wprowadzenie protokołu HTTP/2 w połączeniu z certyfikatem SSL można porównać do przesiadki z parowozu do kolei dużych prędkości”. No, nie do końca. HTTP/2 jest następcą leciwego już HTTP/1.1 (ustandaryzowanego w 1997). Bazuje na protokole SPDY, z którym eksperymentował Google, chcąc przyspieszyć działanie aplikacji webowych w Chrome. Prace nad HTTP/2 ukończono w 2015 i zgodnie z danymi W3Techs w lipcu br. wspierało go 27,9% z 10 mln najczęściej odwiedzanych stron.

Technicznie HTTP/2 niewiele się różni od HTTP/1.1, przede wszystkim umożliwia wykonywanie wielu zapytań do serwera naraz (multipleksing), dodaje obsługę mechanizmu push dla serwera i pozwala na kompresję nagłówków. Co istotne, nie zadziała bez certyfikatu SSL – nie ma możliwości wdrożenia HTTP/2 z pominięciem szyfrowania komunikacji (tzn. teoretycznie można, ale przeglądarki tego nie obsłużą, jak uściślają w komentarzach czytelnicy). Innymi słowy, nazwa.pl nie mogła wprowadzić tego protokołu na masową skalę, nie udostępniając klientom stosownych certyfikatów.

Warto też zauważyć, że jedna z największych obaw właścicieli stron, przymierzających się do zastosowania SSL/TLS, dotyczy wolniejszego wczytywania się zasobów. Użycie HTTP/2 kompensuje opóźnienia w komunikacji. Jednak prorokowane przez nazwa.pl „nawet 10-krotne przyspieszenie ładowania stron” spokojnie można włożyć między bajki.

Epilog z rozczarowanymi klientami w tle

Czy wprowadzone wdrożenie rozwiązuje problem naszego Czytelnika? Niestety nie, ponieważ darmowe certyfikaty SSL mają otrzymać tylko ci klienci, którzy posiadają domenę w nazwa.pl. Nasz Czytelnik do nich nie należy i nie mamy wątpliwości, że takich osób jest o wiele więcej. Nic dziwnego, że w nadesłanym komunikacie prasowym przedstawiciel nazwa.pl ani słowem nie wspomina o certyfikatach Symanteca, które we wrześniu przestaną być uznawane przez popularne przeglądarki. Część klientów musi je wymienić we własnym zakresie, świeżo wprowadzone zmiany w niczym im nie pomogą. Nie zdziwimy się, jeśli następnym razem zdecydują się na usługi konkurencyjnych firm, które problem zauważyły i właściwie na niego zareagowały.

Aktualizacja 2018-07-19 13:37

Dwie sprawy. Jeden z naszych Czytelników zwrócił uwagę na ciekawy zapis w nowym Regulaminie świadczenia usługi rejestracji domeny i usług powiązanych z dnia 17.07.2018. Otóż pkt 8 postanowień ogólnych tego regulaminu głosi:

W stosunku do domeny, której delegacja wskazuje na serwery DNS nazwa.pl, system DNS może być zabezpieczany rozszerzeniem w postaci DNSSEC, mającym na celu zwiększenie bezpieczeństwa informacji oraz rekordem CAA, zabezpieczającym domenę przed wystawieniem certyfikatów SSL z innych urzędów niż określone w tym rekordzie.

Warto o tym wiedzieć, decydując się na zakup domeny w nazwa.pl. Okazało się ponadto, że osoby, które nabyły certyfikaty RapidSSL za pośrednictwem tej firmy, mają szansę na pozytywne rozwiązanie sprawy. Na forum RootNode przedstawiciel nazwa.pl zamieścił bowiem następujące oświadczenie:

Nazwa.pl podpisuje właśnie 500 tys. domen certyfikatem SSL. Sytuacja opisana w artykule dotyczy indywidualnego przypadku. Firma, po zakończeniu wdrożenia podpisywania domen, będzie kontaktowała się bezpośrednio z klientami, których nie objęła promocja, a posiadają certyfikat RapidSSL Wildcard.