Co to jest SSL i dlaczego nie możesz się bez niego obejść?

Data dodania: 26 lutego 2019

Autor: Emila Uganowska

szyfrowanie ssl

Nie da się ukryć, że SSL staje (lub nawet stał) się standardem w przestrzeni Internetowej. Coraz większa liczba użytkowników i wydawców treści zdaje sobie sprawę, że jest on niezbędny do bezpiecznego funkcjonowania witryn. Do wzrostu tej świadomości z pewnością przyczynił się rozwój ich możliwości – dzisiaj online dokonujemy zakupów, przelewamy pieniądze, dzielimy się danymi osobowymi, czy rozliczamy z Urzędem Skarbowym. Bez SSL każda z tych czynności byłaby potencjalnym zaproszeniem do ataku i kradzieży danych. Zatem czym jest SSL? I kto powinien pomyśleć o jego wdrożeniu?

Co to jest SSL?

Skrót SSL pochodzi on od angielskich słów Secure Socket Layer. Samą nazwę, jak i technologię z nią związaną, opracowało znane zapewne Wam przedsiębiorstwo Netscape, w 1994 roku. Uniwersalność, wysoka skuteczność i stosunkowo prosta implementacja tego rozwiązania sprawiła, że obecnie jest to powszechnie przyjęty standard szyfrowania na stronach internetowych.

SSL to protokół umożliwiający szyfrowanie strumienia informacji, który biegnie między użytkownikiem strony internetowej a serwerem tej strony. Daje on gwarancję, że przesyłane dane są bezpieczne i poufne.

Jak działa szyfrowanie SSL?

Za pomocą SSL można szyfrować różnego rodzaju połączenia (np. FTP czy pocztę elektroniczną), jednak najczęściej wykorzystuje się go do zabezpieczania protokołu HTTP. Dzięki szyfrowaniu SSL otrzymujemy protokół HTTPS (HyperText Transfer Protocol Secure) i pewność, że dane wymieniane z witryną nie trafią w niepowołane ręce.

Ogólna metoda działania SSL na stronie WWW opiera się na kluczach szyfrowania i certyfikacie uwierzytelniającym.

W dużym uproszczeniu działa to tak, że każda ze stron, czyli (np. użytkownik i serwer WWW) posiada dwa klucze szyfrujące – klucz publiczny i klucz prywatny. Kiedy użytkownik zwraca się do serwera witryny o udostępnienie jakichś danych, serwer prosi naszą przeglądarkę o jej klucz publiczny. Następnie z jego pomocą szyfruje informacje potrzebne użytkownikowi i przesyła z powrotem do przeglądarki. Ta za pomocą klucza prywatnego (nieudostępnianego nikomu) odszyfrowuje dane i przekazuje użytkownikowi.

W sytuacji, gdy to użytkownik wysyła informacje do serwera (np. za pomocą formularza) zasada działania jest podobna. Wtedy to jego przeglądarka prosi serwer o klucz publiczny i szyfruje dane, które potem są rozszyfrowywane przez klucz prywatny serwera.

By dodatkowo podnieść bezpieczeństwo wprowadzono certyfikat klucza publicznego, powszechnie znany jako certyfikat SSL. Jest on wydawany przez zewnętrznego, zaufanego dostawcę (instytucję certyfikującą), która potwierdza, że podany klucz serwera faktycznie należy do niego.

Kiedy stosować SSL?

Korzystanie z SSL na stronie internetowej jest co do zasady dobrowolne. Warto jednak pamiętać, że szczególnie teraz, po wdrożeniu RODO, jest on wysoce zalecany dla wszystkich witryn przetwarzających różnego rodzaju dane użytkowników, takich jak:

  • sklepów internetowych, serwisów aukcyjnych,
  • portali szkół, uczelni czy korporacyjnych stron,
  • stron urzędowych czy stron dotyczących zdrowia pacjentów,
  • stron obsługujących płatności, np. witryn banków czy instytucji finansowych,
  • poczty e-mail czy aplikacji typu klient-serwer.

Choć zapisy rozporządzenia nie formułują nakazu używania SSL wprost, to jednak stawiane warunki można spełnić jedynie za jego pomocą. Zgodnie z RODO informacje (w szczególności dane osobowe) muszą być szyfrowane, a wybrana metoda musi zapewniać ciągłą poufność systemów i usług. Zaniedbanie tej kwestii może skutkować surowymi karami finansowymi, dlatego jeśli zatem dana strona internetowa ma styczność z takimi informacjami, to szyfrowanie jest niezbędne.

Rodzaje certyfikatów SSL

Certyfikaty SSL możemy podzielić na 3 grupy, w zależności od sposobu weryfikacji podmiotu, który go używa.

Certyfikat DV – Domain Validation

To najniższy poziom uwierzytelniania. Podczas wystawiania certyfikatu SSL DV sprawdza się, czy wnioskujący faktycznie ma prawo do korzystania z domeny, jednak nie weryfikuje się żadnych dodatkowych danych.

Gdzie się sprawdzi certyfikat DV? Pamiętajmy, że im mniejsza ilość informacji w certyfikacie, tym mniejsze zaufanie użytkownika. Z tego rodzaju certyfikatu korzysta się coraz rzadziej, najczęściej stosują go prywatne strony internetowe czy blogi.

Certyfikat OV – Organization Validation

To rodzaj certyfikatu, który można otrzymać dopiero po zweryfikowaniu prawa do posługiwania się domeną oraz danych identyfikujących podmiotu (osoby lub firmy) ubiegającego się o certyfikat. W tym celu niezbędne jest przesłanie informacji takich jak np. KRS do instytucji certyfikującej, która sprawdzi ich poprawność. Po tym, trafią one do szczegółów certyfikatu.

 

 

Gdzie się sprawdzi certyfikat OV? To klasa certyfikatów, wykorzystywana w komercyjnych i publicznych projektach, np. sklepach internetowych czy serwisach informacyjnych.

Certyfikat EV – Extended Validation

Jest to najszersza metoda weryfikacji podmiotu i witryny ubiegającej się o certyfikat. Przed jego wydaniem szczegółowo sprawdza się wnioskującego (m.in. posiadany status prawny, zgodność z dokumentami urzędowymi, faktycznie prowadzoną działalność) oraz jego prawo do korzystania z domeny. Ten certyfikat bardzo łatwo odróżnić od pozostałych, gdyż obok klasycznej zielonej kłódki pojawiają się dane firmy, która wnioskowała o wydanie poświadczenia.

Gdzie się sprawdzi certyfikat EV? Ze względu na drobiazgową weryfikację, z tego rodzaju certyfikatu najczęściej korzystają banki, instytucje finansowe czy niektóre strony rządowe.

Certyfikat “wildcard”

Certyfikaty DV, OV i EV są certyfikatami wydawanymi dla pojedynczej domeny, bez jej subdomen. Istnieje jednak możliwość rozszerzenia zabezpieczenia. W tym celu stosuje się certyfikat typu “wildcard”. Pozwala on na certyfikację wszystkich subdomen danej domeny.

Gdzie sprawdzi się certyfikat typu “wildcard”? To opcja dla podmiotów dysponujących większą ilością subdomen w obrębie domeny. Warto pamiętać, że certyfikat “wildcard” nie obejmuje sub – subdomen.

Certyfikat SSL –  co daje?

Główną zaletą szyfrowania jest, oczywiście, bezpieczeństwo danych użytkowników. Już samo to powinno skłonić właścicieli witryn do wdrożenia SSL. Dla tych, dla których to jednak za mało, mamy kolejne argumenty:

SSL ułatwia SEO

Choć wokół algorytmów Google urosło wiele legend, specjaliści SEO są pewni – protokół HTTPS jest jednym z wielu czynników rankingujących. Co to oznacza? O ile nie możemy oczekiwać, że samo szyfrowanie sprawi, że zdobędziemy pierwsze pozycje, o tyle z całą pewnością ułatwi nam walkę o te pozycje.

Wiarygodność i integralność danych

Szyfrowanie i korzystanie z zewnętrznych certyfikatów sprawia, że ryzyko przechwycenia danych zabezpieczonych przez SSL jest znikome. Dodatkowo to rozwiązanie eliminuje ryzyko naruszenia ich integralności (czyli wprowadzenia nieautoryzowanych zmian przez osoby nieupoważnione), przez co to doskonałe rozwiązanie dla podmiotów, które muszą dostosować swoje witryny do wymagań prawnych (m.in. RODO).

Ochrona przed phishingiem

Phishing, czyli wykradanie danych za pomocą sfałszowanej strony jest jedną z popularniejszych metod kradzieży w Internecie. Zwykle witryna różni się od oryginału drobnymi elementami, np. dodatkową literą w nazwie domeny. Jedynego, czego złodzieje nie są w stanie podrobić jest właśnie certyfikat SSL.

SSL buduje zaufanie użytkowników

Protokół SSL stanowi o wiarygodności strony i daje użytkownikom do zrozumienia, że ich dane są bezpieczne. Podnosi to ich zaufanie, buduje profesjonalny wizerunek i zwiększa chęć interakcji z witryną. Według badań, zainstalowanie certyfikatu SSL może obniżyć współczynnik odrzuceń witryny i podnieść ilość konwersji nawet o kilkadziesiąt procent.

Szyfrowanie staje się wymogiem

Nacisk na wprowadzenie SSL zaczyna kłaść coraz większa liczba niezależnych organizacji. Tak jest m.in. w przypadku Facebooka – by uruchomić sklep i zintegrować go ze swoją stroną trzeba posiadać certyfikat SSL, czy WordPressa, który premiuje hostingi i strony posiadające SSL. Oprócz tego, jest on jednym z kryteriów stawianych witrynom przez normę regulującą płatności kartą (Payment Card Industry Data Security Standard). Brak SSL może uniemożliwić wdrożenie takiej płatności.

Instalacja SSL  – najczęstsze problemy i błędy przy wdrażaniu

Z doświadczenia wiemy, że wdrożenie szyfrowania na stronie może przysporzyć problemów, szczególnie osobom, które nie miały wcześniej większej styczności z podobnymi technologiami.

Zainstalowałem certyfikat, ale kłódka jest przekreślona

W tej sytuacji problemem zwykle jest to, że nie wszystkie elementy na stronie (np. pliki, skrypty) są przesyłane z szyfrowanego adresu lub witryna korzysta z plików umieszczonych na zewnętrznym serwerze, nie posiadającym SSL. Aby rozwiązać problem warto sprawdzić odwołania do plików i w razie potrzeby podmienić je z “http://” na “https://”. W przypadku problemów z zewnętrznym serwerem – należy wdrożyć SSL również na tym serwerze.

Brak przekierowania

To chyba jeden z najczęstszych błędów popełnianych przez osoby wdrażające SSL. Trzeba pamiętać, że po zainstalowaniu SSL funkcjonują dwie wersje naszej witryny – HTTP i HTTPS. Dla Google to dwie różne witryny, jednak ze zduplikowaną treścią. A to negatywnie wpływa na pozycje w wyszukiwarce. Jedyną opcją w tym przypadku jest poprawne ustawienie przekierowania między obiema wersjami.

Nieaktualna mapa witryny

Dość często zapomina się, że po przeprowadzeniu wdrożenia SSL należy wygenerować nową sitemapę i umieścić ją Google Search Console. Taka operacja ułatwi robotom zaindeksowanie strony, dzięki czemu szybciej zobaczymy pożądane efekty.

To tylko część z problemów, z jakimi można się zetknąć przy wdrażaniu SSL. Większość z nich wynika z niedostatecznej wiedzy na temat specyfiki działania stron internetowych i serwerów WWW. Choć samodzielna instalacja SSL jest możliwa, to jednak by uniknąć konsekwencji niepoprawnego wdrożenia, warto oddać to zadanie w ręce specjalistów. Nasza firma, WP-OPIEKA, posiada wieloletnie doświadczenie w implementacji i konfigurowaniu certyfikatów SSL na różnego rodzaju stronach internetowych. Dzięki temu, nasi Klienci nie muszą troszczyć się o kwestie techniczne, lecz mogą zająć się rozwojem swoich projektów.


Dodaj komentarz

Twój adres email nie będzie widoczny.

*