Nie da się ukryć, że certyfikat SSL stał się standardem w przestrzeni internetowej. Coraz większa liczba użytkowników i wydawców treści online zdaje sobie sprawę, że jest on niezbędny do bezpiecznego funkcjonowania stron internetowych. Do wzrostu tej świadomości z pewnością przyczynił się rozwój ich możliwości. Dzisiaj to właśnie w sieci dokonujemy zakupów, przelewamy pieniądze, dzielimy się danymi osobowymi czy rozliczamy z Urzędem Skarbowym. Bez SSL każda z tych czynności byłaby potencjalnym zaproszeniem do ataku i kradzieży danych. Zatem czym jest SSL? I kto powinien pomyśleć o jego wdrożeniu?

Co to jest certyfikat SSL?

Skrót SSL pochodzi on od angielskich słów Secure Socket Layer. Nazwę, jak i technologię z nią związaną, opracowało w 1994 roku przedsiębiorstwo Netscape. Uniwersalność, wysoka skuteczność i stosunkowo prosta implementacja tego rozwiązania sprawiła, że obecnie jest to powszechnie przyjęty standard szyfrowania na stronach internetowych. Za jego pomocą zabezpiecza się strumień informacji, który biegnie między użytkownikiem strony internetowej a jej serwerem. Certyfikat SSL daje Ci gwarancję, że wszystkie przesyłane przez Ciebie dane (np. loginy, hasła, numery kart) są bezpieczne i poufne.

Jak działa szyfrowanie SSL?

Za pomocą SSL można szyfrować różnego rodzaju połączenia (np. FTP czy pocztę elektroniczną). Najczęściej jednak wykorzystuje się go do zabezpieczania protokołu HTTP. Dzięki szyfrowaniu SSL otrzymujemy protokół HTTPS (HyperText Transfer Protocol Secure) i pewność, że dane wymieniane z witryną nie trafią w niepowołane ręce.

Ogólna metoda działania SSL na stronie www opiera się na kluczach szyfrowania i certyfikacie uwierzytelniającym. W dużym uproszczeniu działa to tak, że każda ze stron, czyli np. użytkownik i serwer internetowy, posiada dwa klucze szyfrujące – klucz publiczny i klucz prywatny. Kiedy użytkownik zwraca się do serwera witryny o udostępnienie jakichś danych, serwer prosi jego przeglądarkę o jej klucz publiczny. Następnie za jego pomocą szyfruje informacje potrzebne użytkownikowi i przesyła z powrotem do przeglądarki. Ta, używając klucza prywatnego (nieudostępnianego nikomu), odszyfrowuje dane i przekazuje użytkownikowi.

W sytuacji, gdy to użytkownik wysyła informacje do serwera (np. za pomocą formularza), zasada działania jest podobna. Wtedy to jednak jego przeglądarka prosi serwer o klucz publiczny i szyfruje dane, które potem są rozszyfrowywane przez klucz prywatny serwera.

By dodatkowo podnieść bezpieczeństwo, wprowadzono certyfikat klucza publicznego, powszechnie znany jako certyfikat SSL. Jest on wydawany przez zewnętrznego, zaufanego dostawcę (instytucję certyfikującą), która potwierdza, że podany klucz serwera faktycznie należy do niego.

Kiedy stosować SSL?

Korzystanie z SSL na stronie internetowej jest co do zasady dobrowolne. Warto jednak pamiętać, że szczególnie teraz, po wdrożeniu RODO, jest on wysoce zalecany dla wszystkich witryn przetwarzających różnego rodzaju dane użytkowników. Wśród nich szczególnie dla:

  • sklepów internetowych,
  • serwisów aukcyjnych,
  • portali szkół i uczelni,
  • stron korporacyjnych stron,
  • stron urzędowych,
  • stron dotyczących zdrowia pacjentów,
  • stron obsługujących płatności (np. witryn banków czy instytucji finansowych),
  • poczty e-mail,
  • aplikacji typu klient-serwer.

Choć zapisy rozporządzenia nie formułują nakazu używania SSL wprost, to jednak stawiane warunki można spełnić jedynie za jego pomocą. Zgodnie z RODO, informacje (w szczególności dane osobowe) muszą być szyfrowane, a wybrana metoda musi zapewniać ciągłą poufność systemów i usług. Zaniedbanie tej kwestii może skutkować surowymi karami finansowymi.  Jeśli zatem dana strona internetowa ma styczność z takimi informacjami, to szyfrowanie jest niezbędne.

Rodzaje certyfikatów SSL

Certyfikaty SSL możemy podzielić na 3 grupy, w zależności od sposobu weryfikacji podmiotu, który go używa.

Certyfikat DV – Domain Validation

To najniższy poziom uwierzytelniania. Podczas wystawiania certyfikatu SSL DV sprawdza się, czy wnioskujący faktycznie ma prawo do korzystania z domeny, jednak nie weryfikuje się żadnych dodatkowych danych.

fragment okna przeglądarki internetowej

Gdzie się sprawdzi certyfikat DV?

Pamiętajmy, że im mniej informacji zawiera certyfikat, tym mniejsze zaufanie użytkownika do witryny. Z tego rodzaju certyfikatu korzysta się coraz rzadziej, najczęściej stosują go prywatne strony internetowe czy blogi.

Certyfikat OV – Organization Validation

To rodzaj certyfikatu, który można otrzymać dopiero po zweryfikowaniu prawa do posługiwania się domeną oraz danych identyfikujących podmiotu (osoby lub firmy) ubiegającego się o certyfikat. W tym celu niezbędne jest przesłanie informacji takich, jak np. KRS do instytucji certyfikującej, która sprawdzi ich poprawność. Po tym trafią one do szczegółów certyfikatu.

fragment okna przeglądarki internetowej

Gdzie się sprawdzi certyfikat OV?

Ta klasa certyfikatów wykorzystywana jest w komercyjnych i publicznych projektach, np. sklepach internetowych czy serwisach informacyjnych.

Certyfikat EV – Extended Validation

Jest to najszersza metoda weryfikacji podmiotu i witryny ubiegającej się o certyfikat. Przed jego wydaniem szczegółowo sprawdza się wnioskującego (m.in. posiadany status prawny, zgodność z dokumentami urzędowymi, faktycznie prowadzoną działalność) oraz jego prawo do korzystania z domeny. Ten certyfikat bardzo łatwo odróżnić od pozostałych, gdyż obok klasycznej zielonej kłódki pojawiają się dane firmy, która wnioskowała o wydanie poświadczenia.

fragment okna przeglądarki internetowej

Gdzie się sprawdzi certyfikat EV?

Ze względu na drobiazgową weryfikację, z tego rodzaju certyfikatu najczęściej korzystają banki, instytucje finansowe czy niektóre strony rządowe.

Certyfikat wildcard

Certyfikaty DV, OV i EV wydawane są dla pojedynczej domeny, bez jej subdomen. Istnieje jednak możliwość rozszerzenia zabezpieczenia. W tym celu stosuje się certyfikat typu wildcard. Pozwala on na certyfikację wszystkich subdomen danej domeny.

Gdzie się sprawdzi certyfikat typu wildcard?

To opcja dla podmiotów dysponujących większą liczbą subdomen w obrębie domeny. Warto pamiętać, że certyfikat wildcard obejmuje tylko subdomeny pierwszego rzędu (np. sklep.wp-opieka.pl), co oznacza, że subdomeny drugiego stopnia nie będą już zabezpieczone (np. hurt.sklep.wp-opieka.pl).

Certyfikat SSL – dlaczego warto go wdrożyć na swojej stronie?

Główną zaletą szyfrowania jest bezpieczeństwo danych użytkowników. Już samo to powinno skłonić właścicieli witryn do wdrożenia SSL. Dla tych, dla których to jednak za mało, mamy kolejne argumenty:

SSL ułatwia SEO

Choć wokół algorytmów Google urosło wiele legend, specjaliści SEO są pewni – protokół HTTPS jest jednym z wielu czynników rankingowych. Co to oznacza? O ile nie możemy oczekiwać, że samo szyfrowanie sprawi, że zdobędziemy pierwsze pozycje, o tyle z całą pewnością ułatwi nam walkę o nie.

Wiarygodność i integralność danych

Szyfrowanie i korzystanie z zewnętrznych certyfikatów sprawia, że ryzyko przechwycenia danych zabezpieczonych przez SSL jest znikome. Dodatkowo to rozwiązanie eliminuje ryzyko naruszenia ich integralności, czyli wprowadzenia nieautoryzowanych zmian przez osoby nieupoważnione. Jest to więc doskonałe rozwiązanie dla podmiotów, które muszą dostosować swoje witryny do wymagań prawnych (m.in. RODO).

Ochrona przed phishingiem

Phishing, czyli wykradanie danych za pomocą sfałszowanej strony, jest jedną z popularniejszych metod kradzieży w internecie. Zwykle witryna różni się od oryginału drobnymi elementami, np. dodatkową literą w adresie URL. Jedynego, czego złodzieje nie są w stanie podrobić, jest właśnie certyfikat SSL.

SSL buduje zaufanie użytkowników

Protokół SSL stanowi o wiarygodności strony i daje użytkownikom do zrozumienia, że ich dane są bezpieczne. Podnosi to ich zaufanie, buduje profesjonalny wizerunek i zwiększa chęć interakcji z witryną. Według badań zainstalowanie certyfikatu SSL może obniżyć współczynnik odrzuceń witryny i podnieść liczbę konwersji nawet o kilkadziesiąt procent!

Szyfrowanie staje się wymogiem

Nacisk na wprowadzenie SSL zaczyna kłaść coraz większa liczba niezależnych organizacji. Tak jest m.in. w przypadku Facebooka – by uruchomić sklep i zintegrować go ze swoją stroną, trzeba posiadać certyfikat SSL. Podobnie robi WordPress, który premiuje hostingi i strony posiadające SSL. Oprócz tego jest on jednym z kryteriów stawianych witrynom przez normę regulującą płatności kartą (Payment Card Industry Data Security Standard). Brak SSL może uniemożliwić wdrożenie takiej płatności.

Instalacja SSL – najczęstsze problemy i błędy przy wdrażaniu

Z doświadczenia wiemy, że wdrożenie szyfrowania na stronie może przysporzyć problemów – szczególnie osobom, które nie miały wcześniej większej styczności z podobnymi technologiami.

Zainstalowałem certyfikat, ale kłódka jest przekreślona

W tej sytuacji problemem zwykle jest to, że nie wszystkie elementy na stronie (np. pliki, skrypty) są przesyłane z szyfrowanego adresu lub witryna korzysta z plików umieszczonych na zewnętrznym serwerze, nieposiadającym SSL. Aby rozwiązać problem, warto sprawdzić odwołania do plików i w razie potrzeby podmienić je z http:// na https://. W przypadku problemów z zewnętrznym serwerem należy wdrożyć SSL również na tym serwerze.

Brak przekierowania

To chyba jeden z najczęstszych błędów popełnianych przez osoby wdrażające SSL. Trzeba pamiętać, że po zainstalowaniu SSL funkcjonują dwie wersje naszej strony – HTTP i HTTPS. Dla Google to dwie różne witryny jednak ze zduplikowaną treścią. To negatywnie wpływa na pozycje w wyszukiwarce. Jedyną opcją w tym przypadku jest poprawne ustawienie przekierowania między obiema wersjami.

Nieaktualna mapa witryny

Dość często zapomina się, że po przeprowadzeniu wdrożenia SSL należy wygenerować nową sitemapę i umieścić ją w Google Search Console. Taka operacja ułatwi robotom zaindeksowanie strony, dzięki czemu szybciej zobaczymy pożądane efekty.

To tylko część z problemów, z jakimi można się zetknąć przy wdrażaniu SSL. Większość z nich wynika z niedostatecznej wiedzy na temat specyfiki działania stron internetowych i serwerów www. Choć samodzielna instalacja SSL jest możliwa, to jednak by uniknąć konsekwencji niepoprawnego wdrożenia, warto oddać to zadanie w ręce specjalistów. WP Opieka posiada wieloletnie doświadczenie w implementacji i konfigurowaniu certyfikatów SSL na różnego rodzaju stronach internetowych. Dzięki temu nasi Klienci nie muszą troszczyć się o kwestie techniczne i mogą w pełni zająć się rozwojem swoich biznesów.

Udostępnij dalej: