Do czego służy certyfikat SSL? Czy trzeba go mieć?

W ciągu ostatniego roku na sporej części stron internetowych zauważyłeś/aś zapewne komunikat „niezabezpieczona” w lewym górnym rogu przeglądarki, obok adresu strony i zastanawiasz się, czy powinieneś skorzystać z danej strony internetowej – pozostać na niej, czy opuścić ją, ponieważ jest niebezpieczna.

Jeśli tylko oglądasz stronę, prawdopodobnie nie masz powodu do obaw, ale jeśli masz do wypełnienia jakikolwiek formularz, nie powinieneś tego robić na stronach internetowych z tym komunikatem. Tak to wygląda dla przykładu w przeglądarce Google Chrome:

Kiedy klikniesz w komunikat „niezabezpieczona”, dowiesz się, że „Twoje połączenie z tą witryną nie jest bezpieczne”. Dalej przeczytasz, aby nie podawać żadnych informacji poufnych, w tym danych kart kredytowych czy haseł, ponieważ osoby zewnętrzne będą mogły to przechwycić. Jest to prawda, certyfikat SSL służy – najkrócej rzecz ujmując – do weryfikacji, czy dane trafiają we właściwe miejsce i czy są pobierane z właściwego, autoryzowanego do tego miejsca.

Czym jest certyfikat SSL?

Certyfikaty SSL jest narzędziem, które zapewnia ochronę stron internetowych oraz zapewnia zachowanie poufności danych przesyłanych drogą elektroniczną. Dane przesyłane pomiędzy komputerami są w pełni szyfrowane.

Certyfikaty SSL rejestruje się dla wybranej domeny. Zawiera on informacje o tym, kto jest właścicielem domeny (pełne dane teleadresowe). Danych tych nie można samodzielnie zmienić, są zabezpieczone kryptograficznie.

Aby zrozumieć, jak certyfikat działa od strony technicznej, objaśnię, jak działa przesyłanie danych między przeglądarką a serwerem.

Gdy pobieramy dane z internetu – serwer, z którego są pobierane te dane, prosi naszą przeglądarkę o nasz klucz publiczny (każdy internauta w przeglądarce ma taki klucz). Dzięki temu kluczowi serwer może zaszyfrować wszystkie przesyłane do nas informacje.

Kiedy nasza przeglądarka otrzyma zaszyfrowane dane, również odszyfrowuje je za pomocą klucza – ale nie publicznego (dostępnego dla serwerów) tylko prywatnego, który nie jest nikomu udostępniany.

Gdy cały proces zachodzi w drugą stronę i my wysyłamy dane na serwer (np. zostaje wypełniony formularz kontaktowy albo formularz rejestracji użytkownika) – sytuacja jest odwrotna. Wtedy przeglądarka pobiera klucz publiczny serwera. Za pomocą tego klucza szyfruje dane. Serwer odszyfrowuje dane swoim kluczem prywatnym.

Klucz prywatny i klucz publiczny w przeglądarce stanowią parę – tak samo klucz prywatny i klucz publiczny na serwerze. Klucz prywatny odszyfrowuje dane z klucza publicznego. Klucze są na tyle skomplikowane, że odszyfrowanie klucza prywatnego na podstawie klucza publicznego jest prawie niemożliwe. Teoretycznie jest możliwe, ale wymagałoby to tak wielkiej siły obliczeniowej, że jest po prostu nieopłacalne. Gdy dane są bardzo wrażliwe i dużo warte, z reguły jest wiele innych dodatkowych zabezpieczeń.

Cały ten proces określamy szyfrowaniem asymetrycznym, ponieważ klucz odpowiadający za szyfrowanie danych nie może ich potem odszyfrować – potrzebny jest do tego odpowiedni klucz prywatny. Nie wszystko jest szyfrowane asymetrycznie, ponieważ jest to zasobochłonne.

I teraz pytanie, po co certyfikat, skoro są takie klucze szyfrujące w przeglądarce i na serwerze?

Certyfikat to tak naprawdę nadzór strony trzeciej. Dlatego posiadanie certyfikatu wiąże się z reguły z poniesieniem kosztu. Zadaniem instytucji certyfikującej i certyfikatu SSL jest potwierdzenie, że klucz publiczny wysyłany z serwera do naszej przeglądarki to faktycznie klucz tego serwera, a nie jakiś podmiot podszywający się pod ten serwer (dlatego jak logujecie się do banku, upewnijcie się, że obok adresu strony jest info dot. certyfikatu SSL i jest właściwy adres strony).

Cała ta weryfikacja jest powiązana z danym adresem strony (domeną). Więc potencjalny oszust działający na innej domenie nie będzie w stanie użyć tego samego klucza serwera.

Gdy występujecie o certyfikat SSL dla swojej witryny i otrzymujecie klucz prywatny od instytucji wydającej certyfikat – nie rozsyłajcie go na prawo i lewo. Nie może on trafić w ręce osoby trzeciej, ponieważ wtedy cała operacja jest skompromitowana. Na szczęście obecnie cały proces wydawania certyfikatów w większości firm hostingowych jest w dużym stopniu zautomatyzowany.

Typy certyfikatów SSL

Rozróżniamy 3 podstawowe typy certyfikatów SSL:

DV – Domain Validation

SSL walidujący domenę – DV – Domain Validation – jest to najprostsza forma zabezpieczenia certyfikatem danej strony internetowej. Certyfikat taki potwierdza autentyczność domeny i zabezpiecza transmisję danych w jej obrębie.

Certyfikat taki powinna mieć każda strona, która korzysta z systemu CMS (aby chronić formularze rejestracji, logowania czy komentowania), np. WordPress, Joomla czy Drupal. Dla forów internetowych, małych portali czy niewielkich sklepów internetowych także będzie to dobrym rozwiązaniem.

Certyfikaty takie można uzyskać za darmo (let’s encrypt) lub kupić za niewielką cenę (50-150 zł rocznie). Cena jest wyższa, gdy potrzebujemy wildcard (obsługi subdomen przez certyfikat).

OV – Organization Validation

Certyfikat OV – Organization Validation potwierdza autentyczność domeny i jej właściciela. Jest to wyższy poziom zabezpieczenia, niż Domain Validation.

Certyfikat taki będzie idealny dla większych portali, dużych sklepów internetowych czy serwisów, gdzie użytkownicy przekazują dużą ilość danych osobowych – np. serwisów z branży hotelarskiej, gdzie użytkownicy zostawiają dużo danych osobowych podczas rezerwacji czy dokonują płatności przy rezerwacji. Koszt takiego certyfikatu wynosi z reguły około 300-500 zł. W przypadku, gdy certyfikat zawiedzie, możemy liczyć na rekompensatę w kwocie ok. 70 tys. zł.

EV – Extended Validation

EV to certyfikaty o najwyższym poziomie zabezpieczenia i ewentualnej rekompensaty. Są też najdroższe.

Certyfikat ten pozwala na autentyfikację domeny, danych jej właściciela oraz pozwala na wyświetlania zielonego paska obok adresu strony w przeglądarce. Certyfikat taki można spotkać na stronach bankowości elektronicznej czy w serwisach do rezerwacji obiektów typu booking.com.

Obecnie właściwie „zielony pasek” to figura retoryczna, pasek ten z reguły jest szary z zielonymi napisami, wyświetla się w nim nazwa podmiotu odpowiedzialnego za daną witrynę.

Certyfikat taki powinien być wykupiony przez podmioty przechowujące najbardziej wrażliwe dane i na których spoczywa duża odpowiedzialność odnośnie przechowywanych danych.

Czy powinienem mieć wykupiony certyfikat SSL na swojej stronie www?

Temat ten został pokryty w sporej części powyżej w opisach typów certyfikatów, jednak poświęcę mu jeszcze parę zdań i uzupełnię te informacje.

Certyfikat SSL powinien być zakupiony dla każdej strony internetowej. Odkąd przeglądarki internetowe wymagają certyfikatu SSL, aby uznać strony za w pełni bezpieczne, nieposiadanie certyfikatu znacznie zmniejsza wiarygodność witryny, a co za tym idzie – źle wpływa na wizerunek firmy czy danego przedsięwzięcia w internecie.

Jeśli masz małą stronę internetową, na której nie ma nawet formularza kontaktowego, nie zbierasz żadnych danych, statystyk, nie ma żadnych przycisków społecznościowych, żadnych narzędzi do zostawiania danych osobowych przez klientów – nie narażasz nikogo na niebezpieczeństwo. Może to szkodzić głównie wizerunkowo i spada wiarygodność strony internetowej (a co za tym idzie, wiarygodność twojej firmy czy przedsięwzięcia).

Jeżeli zaś:

• zajmujesz się handlem w internecie (posiadasz sklep internetowy)
• pobierasz i przetwarzasz dane osobowe – za pomocą formularza kontaktowego, callpage, wtyczek społecznościowych, formularzy rejestracji czy w jakikolwiek inny sposób
• publikujesz informacje, które powinny być wiarygodne w oczach innych
• przekazujesz swoim partnerom biznesowym czy współpracownikom poufne informacje za pośrednictwem internetu
• prowadzisz poważne przedsięwzięcie w internecie, zależy Ci na dobrym wizerunku firmy
• Twoja strona jest oparta o system CMS, np. WordPress, Drupal, Joomla

Wtedy należy zaopatrzyć się w certyfikat SSL. Biorąc pod uwagę powyższe informacje, de facto każda strona www powinna mieć certyfikat. Po co wydawać pieniądze na domenę, stronę www i serwer, jeśli nie będzie ona wiarygodna.

Powszechnie wiadomym jest, że Google lepiej postrzega strony internetowe, które mają certyfikat, niż strony bez tego certyfikatu. Jeśli pozycjonujesz swoją stronę internetową lub ktoś ją pozycjonuje, certyfikat także jest niezbędny.

Jak rozpoznać, że certyfikat SSL jest zainstalowany i witryna z niego korzysta?

Gdy na serwerze zainstalowany jest certyfikat i strona internetowa go wykorzystuje, przy adresie strony zamiast komunikatu „Niezabezpieczona” będzie widoczna kłódka. Po kliknięciu na tę kłódkę będzie można dowiedzieć się więcej odnośnie certyfikatu:

Oprócz tego, gdy na stronie www jest działający certyfikat SSL, jej adres zaczynać się będzie od „https” (Hypertext Transfer Protocol Secure), z kolei gdy jest brak certyfikatu – „http” (Hypertext Transfer Protocol), a próba otwarcia witryny za pomocą „https” skończy się takim lub podobnym komunikatem:

Gdzie kupić certyfikat SSL? Ile kosztuje?

Aby zaoszczędzić na certyfikacie SSL, warto skorzystać z odpowiednich usług hostingowych. Takie firmy, jak dhosting czy hekko oferują certyfikaty SSL za darmo (podstawowe certyfikaty – Domain Validation). Są to certyfikaty wystarczające dla stron firmowych, małych sklepów czy małych portali.

Pamiętaj jednak, że na bezpieczeństwie nie powinno się mocno oszczędzać i jeśli twój biznes się rozrasta, twój sklep ma coraz większą sprzedaż czy twój portal ma coraz więcej odwiedzin – warto rozważyć bardziej profesjonalny certyfikat SSL.

Niemal każda firma hostingowa ma w swojej ofercie certyfikaty SSL – również firmy wymienione powyżej. Jeśli zaś hosting, na którym mamy stronę, nie oferuje certyfikatu SSL, albo jeśli mamy serwer VPS bądź dedykowany, można skorzystać bezpośrednio z usług wystawcy certyfikatu, np. Certum.

Jeśli nie masz certyfikatu na swojej stronie internetowej i chciałbyś taki zainstalować, skontaktuj się z nami. Zrobimy to za Ciebie błyskawicznie i w korzystnej cenie 🙂

Instalacja certyfikatu to nie tylko zainstalowanie go na serwerze, ale w większości przypadków także przystosowanie strony internetowej do działania z wykorzystaniem certyfikatu.