Certyfikatowe kompendium, czyli wszystko, co musisz wiedzieć o szyfrowanym protokole | DailyWeb.pl

Certyfikatowe kompendium, czyli wszystko, co musisz wiedzieć o szyfrowanym protokole

Opublikowano 2 miesiące temu -


Październik upływa pod znakiem cyberbezpieczeństwa, ale o certyfikatach SSL mówi się cały rok. Choć SSL funkcjonuje na rynku długo, bo już od 1999 roku, w ostatnim czasie jest o nich wyjątkowo głośno. Głównie ze względu na zmiany wprowadzane przez Google. Wśród użytkowników pojawia się pytanie: czy każda strona naprawdę potrzebuje certyfikatu SSL?

Kierunek zmian w polityce bezpieczeństwa Google jest co prawda jasny od dawna. Zmiany postępowały sukcesywnie… początkowo jako niebezpieczne oznaczane były tylko strony zawierające opcje płatności i logowania.

Google nie zostawia Ci wyboru

Od października 2017 strony zbierające dane użytkowników np. przez formularz kontaktowy. Wraz z aktualizacją Chrome 68, jako niebezpieczne oznaczana jest każda strona bez HTTPS. Do niedawna protokół https kojarzony był wyłącznie z bankowością czy sklepami internetowymi. Dziś musi być stosowany przez każdą witrynę.

Hypertext Transfer Protocol Secure

Nacisk na powszechne stosowanie tej technologii jest ogromny. HTTPS staje się standardem, co właściwie powinno cieszyć użytkowników. To właśnie o bezpieczeństwo ich danych toczy się walka. Co dla przeciętnego użytkownika oznacza nieszyfrowany protokół http? Część adresu URL, Hypertext Transfer Protocol umożliwia przesyłanie danych pomiędzy serwerem a klientem (przeglądarką). Żądanie przeglądarki przesyłane jest do serwera WWW, który następnie odpowiada na te wywołania. Http ma swoje minusy, zaliczany jest do najprostszych protokołów, w których przekazywane dane są jawne. Ulepszoną, szyfrowaną wersją http jest właśnie HTTPS Hypertext Transfer Protocol Secure.

Jak działa certyfikat SSL?

W przypadku protokołu HTTPS komunikacja pomiędzy przeglądarką a serwerem nie jest otwarta. Najpierw następuje wymiana kluczy SSL, a następnie przesłanie żądania. Wysyłane jest zgłoszenie do serwera, który odpowiada certyfikatem, potem następuje weryfikacja, wygenerowanie klucza symetrycznego i identyfikacja klienta. Dopiero po weryfikacji i odszyfrowaniu klucza symetrycznego odbywa się zaszyfrowany transfer danych. Taka forma uniemożliwia przechwycenie poufnych danych i ich modyfikacje.

  1. Twoja przeglądarka wysyła żądanie identyfikacji do serwera.
  2. W odpowiedzi serwer przesyła kopię certyfikatu SSL.
  3. Przeglądarka sprawdza, czy certyfikat jest ważny i czy można mu zaufać. Jeśli wszystko jest w porządku, informuje o tym serwer.
  4. Bezpieczne połączenie zostaje nawiązane. Od tego momentu dane przesyłane pomiędzy serwerem a przeglądarką są szyfrowane aż do wygaśnięcia sesji.

Jak przenieść stronę na https?

Dodanie szyfrowanego protokołu do domeny odbywa się w 3 krokach.

1.         Zakup certyfikatu – dodanie do koszyka – złożenie zamówienia

2.         Instalacja. Sposób instalacji przebiega różnie w zależności od serwera, samego produktu i wystawcy. Przykładowe instrukcje do instalacji certyfikatów na najpopularniejszych serwerach:

Jak zainstalować certyfikat SSL na serwerze?

2 podstawowe funkcje certyfikatów SSL

Szyfrowanie transmisji danych to podstawowa funkcja SSL, który dodatkowo jest jasnym komunikatem dla użytkowników witryny i pomaga w budowaniu wiarygodności strony.

  • Szyfrowanie danych

Certyfikat SSL szyfruje przesyłane dane na linii użytkownik – serwer. Chroni przed phishingiem. Zaszyfrowane kluczem dane są w pełni zabezpieczone i poufne. To gwarancja integralności danych, tj. przesyłane dane nie mogą zostać zmienione, przez niepowołane osoby trzecie, w trakcie transferu.

  • Autoryzacja i weryfikacja

Certyfikat SSL potwierdza prawo do domeny. Każdy SSL wydany przez urząd certyfikacji rejestrowany jest na określoną nazwę domeny. Kryteria weryfikacji stosowane przez urzędy certyfikacji zależą od tego, jaki poziom walidacji wybrał klient. Najbardziej złożony jest proces wydawania certyfikatu o najwyższej walidacji - Extended Validation. W tym wypadku musi być przedstawiony pełen pakiet informacji o firmie, a proces weryfikacyjny uwzględnia nawet kontakt telefoniczny z właścicielem. Walidacja EV nie musi być trudna. Szczególnie przy wsparciu specjalistów, którzy na co dzień obsługują procesy rejestracyjne. Możesz wejść na certyfikatyssl.pl/ i zadać pytania konsultantowi na czacie.

Kto wydaje certyfikaty SSL?

Certyfikat SSL wydawane są jedynie przez zaufane urzędy certyfikacji CA. Podobnie jak w przypadku wydawania dowodów tożsamości, urzędy kierują się restrykcyjnymi zasadami. Przykłady renomowanych urzędów certyfikacji: Comodo, CERTUM, DomenySSL, DigiCert, GeoTrust, Symantec, RapidSSL.

Rodzaje walidacji certyfikatów SSL 

Certyfikat DV (Domain Validation)

Oferuje podstawowy poziom walidacji, czyli weryfikację samej domeny. Podczas zamówienia sprawdzane jest, czy dane abonenta domeny zapisane w bazie WHOIS są takie same, jak dane znajdujące się w pliku CSR przesyłanym podczas zamówienia certyfikatu. Dodatkowo wystawca certyfikatu sprawdza, czy pod zgłoszoną domeną faktycznie działa strona WWW.

Plusy: weryfikacja jest szybka i odbywa się automatycznie przez wysłanie wiadomości e-mail

Minusy: weryfikacja nie obejmuje właściciela strony i internauta nie wie, kto rzeczywiście posiada domenę

Certyfikat OV (Organization Validation)

Poza samą domeną weryfikacja obejmuje też dane podmiotu, który zamawia certyfikat. Dlatego podczas zamówienia trzeba dostarczyć stosowne dokumenty, np. w przypadku firm może to być wpis do KRS lub umowa spółki. Po pomyślnej weryfikacji, dane właściciela strony są widoczne w przeglądarce internetowej w szczegółach certyfikatu.

Plusy: internauta może upewnić się, czy odwiedzana strona nie jest próbą oszustwa (tzw. pharming)

Minusy: dłuższy proces zakupu i weryfikacji właściciela strony

Certyfikat EV (Extended Validation)

Aby zamówić certyfikat o najwyższym stopniu walidacji, firma lub organizacja musi dostarczyć komplet precyzyjnych danych i przedstawić dokumentacje. W trakcie procederu wystawca certyfikatu kontaktuje się z właścicielem domeny, kontakt uwzględnia nawet rozmowę telefoniczną. Ten rodzaj certyfikatu wybierany jest przez organizacje przetwarzające wrażliwe dane, takie jak banki, serwisy aukcyjne czy firmy ubezpieczeniowe.

Plusy: najsilniejsza weryfikacja witryny i tożsamości podmiotu będącego jej właścicielem

Minusy: złożony proces weryfikacji

Jedno zamówienie, wiele korzyści

Masz wiele domen i subdomen? Mamy dobrą wiadomość, instalacja wielu certyfikatów SSL nie będzie konieczna. Odpowiedzią dla osób prowadzących szeroką działalność w Internecie jest certyfikat Multidomain SSL, który pozwala zabezpieczyć przesyłanie danych na wielu stronach należących do jednego właściciela. Dzięki takim rozwiązaniom można zabezpieczyć nawet 210 różnych domen. To ochrona wielu domen dla jednego adresu IP.

Pamiętaj!

Każdy certyfikat SSL zabezpiecza jedną domenę główną. Chcąc rozszerzyć ochronę na inne domeny i/lub subdomeny, konieczne będzie zamówienie certyfikatu w wersji Wildcard lub MultiDomain.

Więcej domen, więcej wydatków?

Certyfikaty Multidomain różnią się od siebie ilością zabezpieczanych domen, poziomem walidacji czy długością klucza szyfrowania w zależności od tego, co oferuje dostawca usługi. To jednocześnie ulubiona forma certyfikatów przedsiębiorców ze względu na prostotę w konfigurowaniu, łatwość obsługi i optymalizację kosztów. Koszty zabezpieczenia Multidomain są zdecydowanie mniejsze, niż zabezpieczenie każdej domeny osobnym certyfikatem. Średnia oszczędność to około 60% od ogólnej ceny przy zachowaniu tego samego poziomu walidacji i gwarancji ochrony.

Certyfikat MultiDomain pozwala zabezpieczyć kilka stron internetowych działających w osobnych domenach utrzymywanych na jednym koncie hostingowym:

Miltidomain może zabezpieczać takie domeny jak:

  • twoja-domena.pl
  • twoj-blog.pl
  • twoj-sklep.pl

Certyfikat Wildcard – chroni domenę główną i subdomeny, np.:

  • twoja-domena.pl
  • twoja-domena.pl
  • twoja-domena.pl

Domena .PAGE już dostępna, ale… strony?

Wyposażeni w podstawowe informacje możemy twierdząco odpowiedzieć na tytułowe pytanie. Każda strona potrzebuje certyfikatu SSL. Kierunek zmian jest jasny, wysoce prawdopodobne, że w przyszłości „nieszyfrowane” strony nie będą obsługiwane. Sugerującym przykładem może być rekomendowana przez Google domena .APP, czy też dostępna od niedawna domena .PAGE. Obie domeny wpisane są na predefiniowaną listę szyfrowanych domen HSTS. Oznacza to, że nie mogą funkcjonować bez certyfikatu SSL. Po rejestracji .PAGE, uruchomienie certyfikatu SSL jest konieczne. To informacja, którą otrzymamy już w ścieżce zakupowej domeny .PAGE.

Lista HSTS Preload

Lista stron ustawionych „na sztywno” w Chrome. Wymienione w zestawieniu domeny, mogą działać w pełni wyłącznie z HTTPS. Taka polityka bezpieczeństwa wymusza korzystanie z połączenia zaszyfrowanego certyfikatem SSL.

Czy bez certyfikatu SSL moja strona zniknie z Google?

Nie. Witryna nie zniknie z wyszukiwarki, ale straci wysokie pozycje. Algorytmy Google silne współgrają z forsowaną polityką bezpieczeństwa. Szyfrowanie danych na stronie jest jednym z kilkudziesięciu tzw. sygnałów, które algorytm bierze pod uwagę przy ustalaniu rankingu wyników wyszukiwania. Oczywiście, wciąż ważna jest optymalizacja witryny i prezentowane treści. Zainstalowanie certyfikatu SSL nie zagwarantuje też, że strona wystrzeli w górę w wynikach wyszukiwania. Ale jest to jedna z cegiełek potrzebna do budowania wysokiej pozycji w wyszukiwarkach.

Więcej informacji o certyfikatach SSL na stronie: https://certyfikatyssl.pl


Wpis sponsorowany, stworzony przez markę CertyfikatySSL.pl

1 0