SSL, czyli najważniejszy certyfikat w Internecie — co trzeba o nim wiedzieć?

Internet daje bardzo dużo możliwości, ułatwia nam życie i pozwala oszczędzić czas. Niestety stwarza też zagrożenia, a jednym z nich jest kradzież danych. Aby móc bezpiecznie łączyć się z siecią, dokonywać za jej pomocą np. zakupów i realizować płatności, konieczne jest szyfrowanie danych. Właśnie temu służą certyfikaty SSL. Co warto o nich wiedzieć?

Nie wszystkie certyfikaty są takie same. W zależności od rodzaju walidacji oferują różny poziom bezpieczeństwa witryny. W tym tekście przeczytasz o tym, co to certyfikat SSL, jakie są rodzaje certyfikatów, który będzie dla Ciebie najlepszy oraz jak dodać certyfikat SSL do strony.

Certyfikat SSL — do czego służy?

Certyfikat SSL (Secure Sockets Layer) to protokół sieciowy, który zabezpiecza transfer danych między serwerem a oknem przeglądarki poprzez szyfrowanie poufnych danych. Jest on obecnie standardowym zabezpieczeniem strony, które chroni dane przed nieautoryzowanym dostępem i zapewnia bezpieczeństwo transakcji.

Certyfikat strony internetowej jest niezbędny wszystkim witrynom, które zbierają dane od swoich użytkowników, niezależnie czy są to informacje dotyczące skrzynki mailowej, adresy, czy też pliki finansowe, jak numer rachunku bankowego. Mowa zatem głównie o stronach, które oferują zapis do newslettera i sklepach internetowych.

Ideą stworzenia certyfikatu SSL było zaprojektowanie uniwersalnego protokołu, z którego mogą korzystać różne protokoły aplikacyjne, jak HTTP, FTP, DNS, Telnet, NetBios, HTTPS. Certyfikat SSL jest takim właśnie rozwiązaniem.

Istnieją różne rodzaje certyfikatów SSL, które dzielą się ze względu na poziom szyfrowania. Znajdziemy tu zarówno darmowe certyfikaty SSL jak i wersje płatne, o czym szerzej przeczytasz w dalszej części artykułu. Dystrybucja certyfikatów jest kontrolowana przez CA Security Council (CASC) - urząd certyfikacji. Jest to organizacja, która zajmuje się weryfikacją tożsamości podmiotów, które ubiegają się o zabezpieczenie strony SSL.

Rodzaje certyfikatów SSL

Wiesz już, czym jest certyfikat SSL. Warto jednak zwrócić uwagę na to, że nie wszystkie protokoły są takie same. Ze względu na poziom wiarygodności szyfrowania połączenia wyróżniamy certyfikaty:

• SSL DV - (Domain Validation) - walidacja wg domeny. Jest to jeden z popularniejszych certyfikatów, niestety o niskiej wiarygodności. Aby go uzyskać, wystarczy podać domenę, która musi być zarejestrowana na dane firmowe i móc potwierdzić do niej dostęp, np. poprzez weryfikację przez pocztę z domeny serwisu. Certyfikat ten obejmuje domenę i jej subdomenę WWW i podaje informacje tylko o domenie, nie o jej właścicielu.
• SSL OV - (Organization Validation) - walidacja wg organizacji. Pod względem szyfrowania jest to protokół o tej samej wiarygodności co DV. Jest lepiej oceniany pod względem bezpieczeństwa, ponieważ poza informacją o domenie podaje również informacje o firmie, która jest jej właścicielem. W przypadku wdrożenia tego zabezpieczenia strony SSL dane firmowe są sprawdzane pod względem zgodności z wpisem do odpowiedniego rejestru (KRS, CEiDG). Certyfikat ten kosztuje więcej od certyfikatu DV.
• SSL EV (Extendem validation) - walidacja rozszerzona. Jest to zabezpieczenie, które charakteryzuje się najwyższym poziomem bezpieczeństwa. Jeżeli chcemy wdrożyć certyfikat EV poza weryfikacją domeny i danych firmowych z nią powiązanych, wnioskodawca musi potwierdzić swoją tożsamość, co generuje często dodatkowe koszty. Zresztą certyfikat SSL EV jest najdroższy ze wszystkich dostępnych certyfikatów.

Podział certyfikatów SSL pod względem finansowym wygląda następująco:

Darmowe certyfikaty Letsenscrypt —  certyfikaty te zapewniają taki sam poziom bezpieczeństwa pod względem szyfrowania, jak płatne odpowiedniki, jednak nie są objęte gwarancją wystawcy. Są anonimowe i mają określony czas ważności (zazwyczaj 3 miesiące). Istnieje jednak możliwość zautomatyzowania procesu odnawiania certyfikacji. Darmowe certyfikaty umożliwiają walidację domeny (DV), a ich dystrybucją zajmują się organizacje takie jak Letsencrypt. Od kilku lat Letsencrypt umożliwia wygenerowanie certyfikatów dla wszystkich subdomen w obrębie domeny (Wildcard).

Ile kosztuje certyfikat SSL? Ceny płatnych certyfikatów wahają się od kilkunastu złotych do kilku tysięcy w skali roku. Wybór odpowiedniego pakietu wiąże się z obszarem działalności firmy, rodzajem operacji, jakie użytkownicy wykonują w jej obrębie i innymi aspektami.

Zanim skusisz się na certyfikat w bardzo niskiej cenie (poniżej 100 zł), sprawdź, ile kosztuje jego odnowienie. Dostawcy często oferują zakup SSL w niskiej cenie, przy dużym koszcie jego odnowienia.

SSL — dlaczego jest tak ważny?

Coraz większa część naszego życia przenosi się do sieci. Poza przeglądaniem Internetu składamy zamówienia, wysyłamy dokumenty i przelewy, składamy wnioski, itd. Podczas wielu z tych operacji podajemy nasze poufne dane i z pewnością nikt nie chce, aby zostały one przechwycone przez jakąkolwiek niepowołaną do ich posiadania osobę.

Co daje certyfikat SSL:

• Bezpieczną komunikację w Internecie — dzięki certyfikatowi chronisz dane użytkowników Twojej strony, przez co Ci czują się pewniej, co może się przełożyć na to, że chętniej skorzystają z Twojej oferty.
• Uwierzytelnienie — certyfikat poświadcza tożsamość podmiotu, jakiemu został wydany.
• Wiarygodność  — domena z certyfikatem jest o wiele bardziej godna zaufania, co pozytywnie wpływa na opinie klientów.
• Wyższą pozycję w wyszukiwarce — zadaniem algorytmów wyszukiwarek jest dostarczenie użytkownikom jak najlepszej odpowiedzi na ich pytania. Strony z certyfikatem są wyżej punktowane przez Google, ponieważ jest to sygnał dla algorytmu, że właściciel strony dba o bezpieczeństwo jej użytkowników.
• Zgodność z GiODO/ RODO —  certyfikaty bezpieczeństwa zapewniają pewną transmisję danych, zatem wypełniają obowiązek zabezpieczenia informacji zawartych w bazach danych, jaki spoczywa na ich właścicielach.

Wyszukiwarki wysyłają odpowiednie komunikaty, które informują użytkowników, że znajdują się lub próbują wejść na niezabezpieczoną stronę, co może zniechęcić internautów do odwiedzenia jej. Strony, które wykorzystują szyfrowanie SSL, cechuje charakterystyczny znaczek kłódki, widoczny w pasku adresu strony, tuż koło jej adresu.

Na czym polega szyfrowanie SSL?

 Jak działa certyfikat SSL? W momencie, kiedy użytkownik sieci przesyła swoje dane na serwer strony, z której korzysta (np. składając zamówienie), protokół SSL szyfruje jego dane tak, aby nie zostały one przechwycone. Certyfikat chroni dane już w przeglądarce i w takiej, zaszyfrowanej, formie są one przesyłane na serwer, dzięki czemu w przypadku ataku, nikt nie ma do nich wglądu.

Certyfikaty  SSL wykorzystują szyfrowanie asymetryczne, które jest możliwe dzięki dwóm kluczom: publicznemu i prywatnemu. Informacje szyfrowane za pomocą klucza publicznego można odczytać tylko za pomocą klucza prywatnego i odwrotnie. Dodatkowo szyfrowanie to wymaga jeszcze trzeciego klucza sesyjnego, który szyfruje sesje przekazania danych. Jest to tzw. klucz pośredni.

Jak można uzyskać certyfikat SSL?

Certyfikat SSL można uzyskać na kilka sposobów. Obecnie większość dostawców oferuje certyfikat SSL standardowo w cenie hostingu, co jest wygodnym rozwiązaniem. Zabezpieczenie to można też zdobyć samodzielnie, generując certyfikat SSL Letsencrypt.

Nie wymaga to zazwyczaj działań po stronie serwera, a jedynie możliwości edycji opisów DNS. Trzecim sposobem jest zakup certyfikatu oraz wnioskowanie o weryfikację podmiotu przez firmę, która jest do tego upoważniona przez urząd certyfikacji. Weryfikacja obejmuje dane na temat firmy oraz weryfikację telefoniczną. Kiedy zostanie ona ukończona, Twój certyfikat może zostać wdrożony na stronie. Uzyskanie takiej weryfikacji trwa od kilku dni do ok. dwóch tygodni.

Jeżeli zastanawiasz się, gdzie kupić certyfikat SSL, to powinieneś wiedzieć o tym, że wybór jest ogromny. Dystrybucją certyfikatów zajmują się obecnie prawie wszyscy dostawcy hostingów. Wdrożenie go na serwerze jest standardowym elementem oferty deweloperów.

Czy certyfikat SSL można wygenerować samodzielnie?

Do uzyskania certyfikatu poufności konieczne jest wygenerowanie klucza i żądanie certyfikatu CSR (Certificate Signing Request). Obydwa te działania można wykonać samodzielnie.

Do generowania prywatnego klucza można wykorzystać dedykowaną stronę WWW. Z roku na rok jest ich coraz więcej, zatem nikt nie powinien mieć problemów ze znalezieniem odpowiedniej. Podczas generacji klucza konieczne jest podanie hasła, które będzie chroniło dostęp do niego. 

Kolejnym krokiem jest wygenerowanie CSR. W trakcie tego procesu należy podać hasło do klucza prywatnego. W odpowiedzi otrzymamy odpowiedni plik, który po uzyskaniu autoryzacji jest już ważnym certyfikatem. Teraz należy go tylko wdrożyć.

Jak zainstalować certyfikat SSL?

Wdrożenie certyfikatu SSL jest procesem dwuetapowym. Pierwszy etap to zakup (jeżeli mamy certyfikat komercyjny) i instalacja certyfikatu na serwerze. Drugi etap obejmuje działania na stronie WWW, czyli ustawienie odpowiednich przekierowań.

Jak zainstalować certyfikat SSL na stronie opartej o WordPress lub inny popularny CMS? W przypadku stron z CMS-em proces wdrażania certyfikatu jest zazwyczaj uproszczony do kilku kliknięć, tak aby nawet mniej zaawansowany technicznie administrator strony mógł sobie z tym poradzić.

Wiele CMS-ów posiada specjalne wtyczki przeznaczone do instalacji certyfikatów na WWW. W zależności od tego, jak napisana jest Twoja strona i jaki jest poziom Twojej wiedzy technicznej, możesz zainstalować certyfikat samodzielnie lub skorzystać z pomocy programisty.

Teraz należy jedynie sprawdzić, czy certyfikat został poprawnie wdrożony i faktycznie chroni dane użytkowników Twojej strony. Aby to zrobić, wystarczy wyświetlić stronę w przeglądarce i sprawdzić, czy w pasku przy adresie pojawi się kłódka. Jeżeli tak, certyfikat jest poprawnie zainstalowany i aktywny.

Podsumowując, kwestie bezpieczeństwa są bardzo ważne w Internecie: jeżeli działasz za pomocą tego medium, musisz mieć tego świadomość. Certyfikaty SSL są obecnie standardem bezpieczeństwa, którym musisz się zająć, aby być bardziej wiarygodnym w oczach klientów oraz kiedy dbasz o pozycjonowanie strony WWW. Certyfikat strony WWW jest też bardzo ważny pod względem SEO.